Het biometrisch paspoort als onbedoeld privacygeschenk

Onderstaand artikel van Privacy First-medewerker Vincent Böhre verscheen deze maand in het tijdschrift De Filosoof (Universiteit Utrecht). Morgen staat de Paspoortwet hoog op de politieke agenda: in een debat met minister Spies (BZK) zal onder meer de kwestie van de verplichte afname van vingerafdrukken voor paspoorten en identiteitskaarten aan de orde komen. Onlangs heeft Privacy First er bij alle partijen in de Tweede Kamer (opnieuw) op aangedrongen om z.s.m. een identiteitskaart zonder vingerafdrukken in te (laten) voeren en de regering te verzoeken om de Paspoortverordening op Europees niveau te laten herzien. Dit opdat verplichte afname van vingerafdrukken óók voor het paspoort geschrapt zal kunnen worden of tenminste een vrijwilig karakter zal kunnen krijgen. Onderstaande biedt daartoe een quick recap met een positieve twist. Een digitale versie van het artikel vindt u HIER (pp. 6-7, pdf).

Het biometrisch paspoort als onbedoeld privacygeschenk

“Eind 2001 stelde het CDA voor om de vingerafdrukken van alle Nederlanders via het paspoort op te slaan voor opsporingsdoeleinden. Door andere partijen werd dit voorstel echter meteen naar de prullenbak verwezen omdat het zou leiden tot een Big Brother maatschappij. Toch werd een nog verdergaand voorstel zeven jaar later vrij geruisloos tot wet verheven. Naast opsporing en vervolging zouden ieders vingerafdrukken en gezichtsscan (biometrische persoonsgegevens) onder de nieuwe Paspoortwet tevens gebruikt kunnen worden voor terrorismebestrijding, binnen- en buitenlandse staatsveiligheid, rampenbestrijding en de uitvoering van wettelijke identificatieplichten. Dit zonder dat deze wettelijke doeleinden parlementair waren besproken.[1] Door de Eerste Kamer werd de nieuwe Paspoortwet zelfs zonder stemming aangenomen. Media stonden erbij en keken ernaar. Hoe had dit zo ver kunnen komen?

‘Bystander syndrome’

In zekere zin was (en is) de nieuwe Paspoortwet emblematisch voor het Nederlandse tijdsgewricht na ‘9/11’. Een tijdsgewricht waarin (veronderstelde) anti-terrorismemaatregelen moeiteloos door ons parlement konden worden geloodst. Dergelijke maatregelen zouden immers onze veiligheid bevorderen, zo werd ons voortdurend verteld. Mensen hebben van nature de neiging om autoriteiten te volgen en zich naar de status quo te schikken. In mensenrechtelijke zin zou men het tijdsgewricht na ‘9/11’ kunnen beschouwen als een gigantisch experiment van Milgram: zonder al te veel weerstand zijn diverse mensenrechten jarenlang op de maatschappelijke pijnbank gelegd. Zo ook bij de totstandkoming van de nieuwe Paspoortwet. Ieder Eerste Kamerlid had tenminste om een parlementaire stemming kunnen verzoeken. Journalisten en wetenschappers hadden tijdig aan de bel kunnen trekken. Maar men stond erbij en keek ernaar. Deze wet zou Nederland immers ‘veiliger’ maken. Maar waarop was die aanname gebaseerd? Zou Nederland door de massale opslag van vingerafdrukken in reisdocumenten en bijbehorende databanken niet juist onveiliger worden? Deze vraag was nooit publiekelijk gesteld, laat staan bediscussieerd en beantwoord.

Disproportioneel

Hét Nederlandse overheidsargument voor de invoering van vingerafdrukken in paspoorten en identiteitskaarten luidt reeds sinds eind jaren 90 als volgt: dit zou lookalike fraude met reisdocumenten belemmeren. Bij lookalike fraude misbruikt iemand andermans reisdocument waarmee hij/zij uiterlijke gelijkenis vertoont. Over de omvang van dit type fraude zijn in de parlementaire geschiedenis nauwelijks vragen gesteld. Uit een recent Wob-verzoek van Privacy First bleek dat het slechts om tientallen gevallen per jaar gaat (met Nederlandse reisdocumenten op Nederlands grondgebied).[2] In het licht hiervan is de invoering van vingerafdrukken in reisdocumenten van 17 miljoen Nederlanders volstrekt disproportioneel. Dit nog afgezien van de tientallen, zo niet honderden miljoenen euro’s die de overheid erin geïnvesteerd heeft.

Risico’s

Met de invoering van een ‘biometrische identiteitsinfrastructuur’ ontstaat een nieuwe vorm van fraude die buitengewoon moeilijk te detecteren en te bestrijden is: biometrische identiteitsfraude, bijvoorbeeld door hacking. Niet alleen bij argeloze burgers en bedrijven, maar ook in de publieke sfeer (spionage). Daarnaast is inmiddels gebleken dat in 21-25% van de gevallen de biometrische gegevens in de chip van Nederlandse reisdocumenten niet correct kunnen worden uitgelezen (geverifieerd). Bij controle lopen burgers dus een groot risico om ten onrechte van fraude verdacht te worden. Voor terrorismebestrijding is het biometrische paspoort al evenmin geschikt: terroristen gebruiken over het algemeen hun eigen, authentieke reisdocumenten. Over het gebruik van biometrie in de sfeer van veiligheids- en inlichtingendiensten is helaas weinig bekend, al laten mogelijke doelen zich makkelijk raden: identificatie van zwijgende verdachten en “interessante” personen in de openbare ruimte, herkenning van emoties, leugendetectie en de herkenning of inzet van dubbelgangers. Hetzelfde geldt in het domein van opsporing en vervolging, ook in combinatie met openbaar cameratoezicht en automatische gezichtsherkenning. Bovendien maakt het RFID (Radio Frequency Identification)-aspect van de chip in het document uitlezen op afstand mogelijk; burgers kunnen hierdoor ongemerkt worden geïdentificeerd en gevolgd. Bij wettelijke identificatieplichten denke men verder aan de eventuele invoering van vingerscans bij banken, sociale diensten, het internet etc. (Sinds eind vorig jaar loopt reeds een Nederlandse pilot met mobiele vingerscanners voor de politie.) En tenslotte is er nog het domein van de rampenbestrijding: biometrie als logistiek middel of ter identificatie van slachtoffers bij grootschalige calamiteiten. Al met al gaan deze mogelijkheden voor het gebruik van biometrie minstens tien, zo niet honderd stappen verder dan louter de bestrijding van lookalike fraude met reisdocumenten. Hierbij dient men zich te realiseren dat al deze mogelijkheden vroeg of laat zullen worden gebruikt. In jargon heet dit function creep