Europa als actor in nationaal identiteitsbeleid door Max Snijder, 18 februari 2011 De Europese component in nationale besluitvorming wordt vaak sterk onderschat. Het meest bekend zijn wij met de Europese wet- en regelgeving, die vaak wordt genoemd op momenten dat we daar last van hebben. Echter, de bestaande Europese regels kennen een lang en complex voortraject, waar we niet altijd goed zicht op hebben. Voordat een Europese Richtlijn een feit is zijn er veelal zware onderhandelingen aan verafgegaan. Uiteindelijk moeten alle lidstaten instemmen, inclusief het Europese Parlement. Op die manier is bijvoorbeeld de richtlijn EC2252/2004 tot stand gekomen, die onder andere bepaalt dat de lidstaten een gezichtsscan en twee vingers in de chip van het paspoort dienen op te slaan. Ook zegt deze richtlijn nadrukkelijk dat de opslag van de biometrische data buiten de chip van het paspoort een nationale aangelegenheid is. Maar niet alle afspraken tussen Europese landen worden centraal vanuit ‘Brussel’ geregeld. Gedurende een aantal jaren heeft de Europese Commissie (DG Home, vroeger DG JLS) gepoogd om tot enkele veiligheidsonderwerpen een aantal zaken centraal te regelen, waaronder een centraal Europees paspoortregister en een centrale opslag van persoonsgegevens van alle veroordeelde criminelen en verdachten van zware misdrijven. Geen van beiden is geslaagd. Landen hebben de voorkeur uitgesproken om ieder verantwoordelijk te blijven voor de eigen data en uitwisselingscriteria. Het Verdrag van Prüm: ‘Schengen III’ Als alternatief voor de centrale aanpak van Brussel heeft een kleine groep lidstaten, waaronder Nederland, een aantal jaar geleden het initiatief genomen om een bilateraal uitwisselingsverdag te construeren. Dit verdrag, bekend als het Verdrag van Prüm en in de wandelgangen ook Schengen III genoemd, regelt de uitwisseling van persoonsgegevens van criminelen en verdachten op bilaterale basis. Het is een hit/no-hit (HNH) systeem, waarbij alleen in tweede instantie persoonsgegevens worden uitgewisseld indien er een hit is. Dit HNH-systeem werkt automatisch. Dat wil zeggen dat de nationale systemen over en weer dag en nacht, 7 dagen per week open moeten staan voor zoekacties in elkaars registers. Het Verdrag van Prüm heeft geruime tijd parallel gelopen aan de pogingen van de commissie om een dergelijk systeem te centraliseren. Op een gegeven moment sloten zich zoveel landen aan bij Prüm, dat de commissie zich gewonnen moest geven en Prüm tot Europees beleid verhief. Niet iedereen realiseert zich wat Prüm betekent. Hier volgen enkele passages uit het verdrag: Objectives “Stepping up of cross-border cooperation, particularly in combating terrorism, cross-border crime and illegal migration, [...] to play a pioneering role in establishing the highest possible standard of cooperation, especially by means of improved exchange of information, particularly in combating terrorism, cross-border crime and illegal migration, while leaving participation in such cooperation open to all other Member States of the European Union.”
Article 14 ‘Provision of Personal Data’ “For the prevention of criminal offences and in maintaining public order and security for major events with a cross-border dimension, in particular for sporting events or European Council meetings, the Contracting Parties shall, both upon request and of their own accord, in compliance with the supplying Contracting Party's national law, supply one another with personal data if any final convictions or other circumstances give reason to believe that the data subjects will commit criminal offences at the event or pose a threat to public order and security, in so far as the supply of such data is permitted under the supplying Contracting Party's national law.” Met betrekking tot de uitwisseling tussen lidstaten van persoonsgegevens uit nationale systemen vinden we de volgende belangrijke aspecten: - het verdrag verwijst veelvuldig naar de nationale wetgeving van de individuel lidstaten mbt de bescherming van de persoonsgegevens en privacy. Dat geldt voor zowel het vestrekken (verstrekker) als de verwerking (ontvanger) ervan. - vanwege het bovenstaande is er op het gebied van de bescherming van de persoonsgevens geen sprake van Europees beleid, omdat er tussen de lidstaten geen harmonisatie bestaat mbt de wetgeving op privacybescherming en data protection. Dit maakt het voor het Europees Parlement moeilijk om dit in zijn geheel te overzien en te controleren. - het verdrag spreekt over vingerafdrukken, die afkomstig zijn uit een nationale AFIS. Echter, een AFIS (Automated Fingerprint Identification System) is niets anders dan een grote database met vingerafdrukken, die vanuit de historie meestal de gegevens van criminelen en verdachten bevat. Het verdrag sluit niet uit dat een dergelijk AFIS ook vingerafdrukken van gewone burgers kan bevatten. Er zijn al leveranciers die zgn. Civil AFIS systemen leveren. - bij het afdragen van persoonsgegevens is het verstrekkende land afhankelijk van de wetgeving en integriteit van het vragende land. Het vertrouwen bevindt zich veelal op operationeel niveau. De vraag is waar dit eventuele vertrouwen op is gebaseerd en of er consistentie en transparantie over de criteria bestaat. - het verdrag van Prüm stelt dat er een strikte controle moet zijn op een correcte naleving van de nationale wetgeving door de nationale DPA (Data Protection Authority, in Nederland het CBP). De vraag is of ons CBP deze controle ook daadwerkelijk uitvoert/kan uitvoeren en bij overtreding de misbruiker sancties kan opleggen. Indien een land overgaat tot een centrale administratie van alle burgers inclusief de vingerafdrukken is er technisch gezien spraken van een AFIS. Maakt het verdrag van Prüm het dan mogelijk dat een lidstaat de vingerafdrukken van een verdachte met onbekende identiteit in de nationale vingerafdrukkendatabase van alle burgers kan starten? Velen zullen zeggen dat dit slechts theorie is, omdat de huidige AFIS systemen uitsluitend de gegevens (incl. 10 vingerafdrukken) van verdachten en criminelen bevatten. Maar in de letter sluit het verdrag dat niet uit. De centralisatie van nationale bevolkingsregisters: European Committee on Legal CoOperation Met betrekking tot nationale bevolkingsregisters zijn diverse processen gaande, die zich deels of geheel buiten het zicht van de Europese Commissie en het Europese Parlement afspelen. De Europese verordening EC2252/2004 laat het aspect van centrale opslag Europa als actor in nationaal identiteitsbeleid Auteur: Max Snijder, 17 februari 2011 ALLE RECHTEN VOORBEHOUDEN
2
nadrukkelijk aan de individuele lidstaten over. Het recente onderzoek van minister Donner nav de vraag van de heer Heijnen (2de kamerfractie PvdA) aangaande het Europese beeld mbt de centralisering van de nationale bevolkingsadministraties laat een zeer gefragmenteerd beeld zien (meer hierover verderop in dit document). Voor zover er sprake is van Europees beleid op dit punt, vallen er met name bewegingen waar te nemen uit de hoek van de Europese justitiële samenwerking. De belangrijkste is de Commissie voor Europese Justitiële Samenwerking (European Committee on Legal Co-Operation, de CDCJ). Deze commissie, die valt onder de Council of Europe, heeft de Group of Specialists on Identity and Terrorism ingesteld, de CJ-S-IT, die onder leiding van een Nederlandse ambtenaar van het Ministerie van Justitie in 2004 aanbevelingen heeft geformuleerd om maatregelen ter bestrijding van terrorisme, met een speciale focus op identiteit en identiteitsmanagement: a) Strenghtening document security and document issusing procedures, especially in order to verify the identity of the applicants, taking into account especially how this could be done by: - facilitating rapid access to document registers by national authorities to enable rapid, reliable and comprehensive identity checks to be carried out; - facilitating the identification of persons who have changed their names or who have several names, nationalities, tarvel or identity documents; - facilitating the notification and registration of events which have taken place in different countries and which concern the identity of a person; b) Promoting the use of scientific identification in identity documentation. bron: CJ-S-IT (2004)16, 23 april 2004 Onder ‘scietific identification’ worden onder andere DNA technieken en biometrie verstaan. De bovenstaande aanbevelingen schetsen de achtergrond waartegen het vrij plotselinge en onvoorbereide besluit van de Nederlandse overheid om biometrische gegevens van de burgers centraal op te slaan zich wellicht heeft afgespeeld. Het rapport zegt over het nationaal faciliteren van bovengenoemde punten het volgende: The SJ-S-IT therefore recommended that member states of the Council of Europe improve the ability to access such registers .../... and, if a legal basis for such access is missing, consider to take the necessary steps to enable it. bron: CJ-S-IT (2004)16, 23 april 2004 Het bovenstaande suggereert dat Europese lidstaten op basis van biometrische gegevens over en weer identiteitsonderzoeken moeten kunnen doen met gebruikmaking van elkaars gecentraliseerde (biometrische) bevolkingsadministraties. Afgezien van de technische haalbaarheid van een dergelijk netwerk van centrale administraties roept dit in combinatie met het verdrag van Prüm ernstige vragen op mbt de controleerbaarheid alsmede de maatschappelijke wenselijkheid van dergelijke ontwikkelingen. Immers, de biometrische gegevens ontwikkelen zich hiermee als een instrument voor zowel identiteitsvaststelling als opsporing en vervolging op Europese schaal. Bovendien doen de bovenstaande aanbevelingen van de CJ-S-IT de grens vervagen tussen een centraal bevolkingsregister (incl. biometrische gegevens) en de AFIS-systemen waar het verdrag van Prüm aan refereert. Een moeilijk verenigbare vermenging van functionaliteiten dringt zich op, zoals we dat nu al kennen van de nieuwe Nederlandse Paspoortwet. Europa als actor in nationaal identiteitsbeleid Auteur: Max Snijder, 17 februari 2011 ALLE RECHTEN VOORBEHOUDEN
3
State of the Art Dat we in Europa nog niet zover zijn blijkt uit het voornoemde onderzoek van minister Donner. Onlangs verscheen het antwoord van de minister op de vraag van de heer Heijnen over de stand van zaken rond de opslag van persoonsgegevens en biometrie in andere Europese lidstaten. De minister heeft daarvoor een beknopt onderzoek opgezet (zie bijlage) aan de hand van een vragenlijst. In het navolgende volgen enkele observaties naar aanleiding daarvan. -
-
-
-
-
van de 26 landen zijn er slechts 10 die vingerafdrukken centraal opslaan. De grote meerderheid slaat ze dus niet centraal op of alleen tijdelijk. ten aanzien van de wijze van opslag is het beeld nogal heterogeen. Landen hebben blijkbaar geen eenduidige visie over de noodzaak dan wel haalbaarheid daarvan, hetgeen duidt op twijfels. landen die de keuze hebben (Denemarken, Groot Brittannië en Luxemburg) kiezen er blijkbaar voor om de Europese verordening niet te volgen en de vingerafdrukken zelfs niet in het paspoort op te slaan. Van Groot Brittannië weten we dat zij hier bewust voor hebben gekozen. Denemarken kan in principe nog besluiten ervan af te zien. de mogelijkheden en voordelen van decentrale opslag zijn in Nederland nauwelijks onderzocht. Het CBP bevestigt dit in haar opinie van maart 2007. Het is niet gezegd dat in de genoemde 10 landen deze afwegingen wél grondig zijn gedaan. dat er 10 landen zijn die de vingerafdrukken centraal opslaan zegt niets over de juistheid of haalbaarheid van die beslissing. Het juridische kader en de technische uitvoering is niet bij het onderzoek van de minster betrokken. Landen vertonen op dit punt soms grote verschillen. Zo hebben Griekenland en Frankrijk een stringent privacy regime met een DPA (data protection authority, in NL het CBP) die vergaande in de wet verankerde slagkracht heeft. Maw: om echt te weten hoe landen met de (centrale) opslag omgaan en of dit op een transparante en correcte wijze gebeurt is een veel uitgebreider onderzoek nodig. Een eerste scan van de resultaten laat zien dat het doel van de centrale opslag en het daaraan gekoppelde gebruik sterk uiteenlopen. zoals Groot Brittanië heeft laten zien is het zeer wel mogelijk dat landen op hun besluit tot centrale opslag terug kunnen komen. met betrekking tot de centrale opslag van biometrische gegevens is Europa duidelijk een nog open speelveld, een soort Wild West in zekere zin. Het gevaar bestaat dat bepaalde landen onderling afspraken maken en naar elkaar verwijzen als verantwoording voor de eigen besluitvorming. Omdat dergelijke afspraken op bilaterale basis en vaak op operationeel niveau gebeuren ontrekken zij zich aan het gezag van de Europese Commissie en zelfs het Europarlement. dat landen niet verifiëren bij het in ontvangst nemen van het paspoort is een veeg teken, aangezien het hier om één van de belangrijkste drijfveren voor de introductie van biometrie voor het paspoort gaat. Dit kan wijzen op een algemeen probleem met de kwaliteit van de afdrukken (= grote kans op fouten) en de inrichting van de processen aan de balie. Nu moet de baliemedewerker zelf oordelen bij twijfel, iets waar hij/zij niet is voor getraind en waarvoor de biometrie nu juist een oplossing moest bieden.
Het laatste punt van de bovenstaande opsomming impliceert dat we ons de vraag moeten stellen of we er wel aan toe zijn om in dit stadium grote databanken op te zetten. Als we niet Europa als actor in nationaal identiteitsbeleid Auteur: Max Snijder, 17 februari 2011 ALLE RECHTEN VOORBEHOUDEN
4
in staat zijn om de afdrukken in goede kwaliteit en integriteit (= veiligheid!) af te nemen en bij ontvangst te verifiëren zonder teveel fouten, zijn grote databases gedoemd om te mislukken. Het onderzoek illustreert de grote verdeeldheid en onduidelijkheid die er op Europees niveau op dit punt bestaat. Het is dus van het grootste belang dat er autonome afwegingen gebaseerd op rationele argumenten worden gemaakt en dat argumenten als "de buurman doet het ook" nooit leidend mogen worden. Conclusies Op Europees niveau zijn ontwikkelingen en stromingen gaande met betrekking tot het opslaan en uitwisselen van persoonsgegevens die niet allemaal even zichtbaar zijn voor burgers en politiek. Het risico is dat deze ontwikkelingen leiden tot krachtenvelden en soms zelfs concrete besluiten, waar ons democratische systeem geen bijdrage aan heeft kunnen leveren. Anderszins kunnen er nationale besluiten genomen worden die in het bredere verband tot grote en zelfs onbeheersbare risico’s kunnen leiden. Naar aanleiding daarvan zou men zich de volgende vragen moeten stellen: - hebben de Nederlandse overheid en het parlement rekening gehouden met mogelijke lange termijn gevolgen van de huidge paspoortwetgeving ten aanzien van de bescherming van de persoonsgegevens bij nationaal, Europees en internationaal ge/misbruik; Zo ja: hoe en waar blijkt dat uit; - in welk groter geheel moeten wij de verdere ontwikkeling van het administratieve systeem voor de Nederlandse bevolking plaatsen; - hoe kunnen wij voorkomen dat wij binnen de Europese en internationale ontwikkelingen rond uitwisseling van persoonsgegevens controle en autonomie verliezen ten aanzien van de bescherming van de persoonsgegevens van de eigen burgers; - wat zijn de werkgroepen en gremia waar Nederland op Europees niveau in deelneemt vanuit de verschillende ministeries en ministeriële afdelingen en hoe verhouden de uitkomsten en besluiten van deze werkgroepen en gremia zich tot onderwerpen aangaande de beveiliging van persoonsgegevens en de verantwoording van maatregelen; - waaruit bestaat de parlementaire controle van deze deelnames en vanuit welk mandaat vinden deze deelnames plaats; - hoe kunnen we voorkomen dat bepaalde Europese ontwikkelingen, die zich buiten het zicht van ons democratische systeem afspelen, niet na het ‘point of no return’ op de politieke besluitvormingstafel terecht komen; - welke maatregelen moeten wij treffen om onze nationale beschermer van persoonsgegevens effectief naar de hierboven omschreven ontwikkelingen en problematiek te kunnen laten handelen; Aanbevolen wordt om een studie uitvoeren die antwoord op onder andere deze vragen zal geven.
Max Snijder is expert op het gebied van grootschalige identiteitssystemen en biometrie. Hij voert onderzoeks- en adviesopdrachten uit voor overheden, onderzoeksinstituten, Europese instellingen en het bedrijfsleven. Hij is directeur van de European Biometrics Group.
[email protected] / www.eubiometricsgroup.eu
Europa als actor in nationaal identiteitsbeleid Auteur: Max Snijder, 17 februari 2011 ALLE RECHTEN VOORBEHOUDEN
5
