Het Biometrisch Paspoort Dossier van Anne Urai, V6D
Inhoudsopgave Voorwoord Inleiding Deel 1 – de artikelen Deel 2 – samenvattingen en feitenlijstje Nawoord en voorbeelstellingen
3 4 5 38 43
2
Anne Urai V6D
Voorwoord Het biometrisch paspoort fascineert me erg omdat hier een duidelijk raakvlak te zien is tussen zeer geavanceerde techniek en toepassing bij het grote publiek. Toen ik begon met het aanleggen van dit dossier was ik vooral geinteresseerd in de technische aspecten, maar gaandeweg kwam ik erachter dat het maatschappelijke debat meer zal gaan over de ethische aspecten van dit paspoort. In hoeverre komt de privacy in het geding, en is het paspoort wel terrorisme-proof? Deze dingen moeten we ons afvragen betreffende de invoering van het biometrisch paspoort. We krijgen er vroeg of laat allemaal mee te maken, en de invoering van het biometrisch paspoort zal hoe dan ook een grote invloed hebben op de veiligheid en privacy van ons allen.
3
Anne Urai V6D
Inleiding Rondom het invoeren van het biometrisch paspoort zijn veel problemen ontstaan. Vooral het maken van goede foto’s en paspoorten bleek niet altijd goed te gaan. In dit dossier zal ik ingaan op de problemen die hierbij speelden, en de oorzaken van de dingen die fout zijn gelopen. Een ander belangrijk aspect van biometrie is de privacyschending. In verschillende artikelen komen experts aan bod die hun mening geven over gevaren en mogelijkheid van het biometrisch paspoort. Dit dossier biedt een overzicht van de voors en tegens van biometrie. Ik hoop dat het dossier voldoende zal zijn om een mooi betoog of een mooie beschouwing mee te maken.
4
Anne Urai V6D
Deel 1 De artikelen
5
Anne Urai V6D
Factsheet veiligheidskenmerken biometrische gegevens paspoorten en reisdocumenten 19 april 2005
EU-verordening betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten Nederland voert biometrische kenmerken in de Nederlandse reisdocumenten op basis van een verordening van de Europese Unie. De EU-verordening heeft tot doel[1] de paspoorten en overige reisdocumenten van de lidstaten van de Europese Unie beter te beveiligen tegen vervalsing en frauduleus gebruik. Hiertoe bepaalt artikel 1 van de verordening dat de door de lidstaten afgegeven paspoorten en andere reisdocumenten aan de minimumveiligheidsnormen moeten voldoen die in de bijlage bij de verordening zijn vastgelegd. Daarnaast schrijft de verordening voor dat in deze documenten een opslagmedium wordt gebruikt dat een gezichtsopname bevat (de zogenaamde gelaatscan), terwijl daarin ook vingerafdrukken in een interoperabel formaat moeten worden opgenomen. Een uitzondering is gemaakt (artikel 1 lid 3) voor de documenten die een geldigheidsduur hebben van 12 maanden of korter. De verordening is sinds 29 december 2004 van kracht. Waarom worden de reisdocumenten van biometrische kenmerken voorzien? De biometrische kenmerken bieden een extra beveiliging bovenop de beveilings- en echtheidskenmerken die nu reeds in de reisdocumenten zijn opgenomen. De toegevoegde waarde van biometrische kenmerken is dat daarmee zogenaamde look alike fraude kan worden opgespoord. Van look alike fraude is sprake wanneer iemand die uiterlijke gelijkenis met een andere persoon u vertoont, misbruik maakt van diensuw reisdocument Daarnaast bieden biometrische kenmerken de mogelijkheid om geautomatiseerd, bijvoorbeeld aan de grens, de reisdocumenten te kunnen controleren. De (grens)controle wordt daardoor efficiënter. Implementatie EU-verordening Op 28 februari 2005 heeft de Europese Commissie een beschikking uitgevaardigd waarin zij de technische specificaties heeft vastgesteld voor de opslag van de biometrische kenmerken in de reisdocumenten van de lidstaten. Met de vaststelling van deze specificaties treedt de invoeringstermijn van 18 maanden in werking voor de invoering van de gelaatscan. Dit betekent dat de reisdocumenten van de lidstaten van de Europese Unie vóór 28 augustus 2006 een chip moeten bevatten met daarin de gelaatscan en de alfanumerieke gegevens die nu al zijn opgenomen in de machineleesbare strook van de documenten. De invoeringstermijn voor de vingerafdrukken (36 maanden) is nog niet in werking getreden. Daarvoor moet de Europese Commissie nog een nadere beschikking opstellen. Het is nog niet bekend wanneer de beschikking door de Europese Commissie zal worden uitgebracht. Na publicatie van de beschikking hebben de lidstaten van de Europese Unie maximaal 36 maanden om de reisdocumenten van vingerafdrukken te voorzien. Nederlandse reisdocumenten met biometrische kenmerken De Nederlandse reisdocumenten, het paspoort en de Nederlandse identiteitskaart (NIK), gaant conform de Europese regels twee biometrische kenmerken, te weten de gelaatscan en twee vingerafdrukken. De biometrische kenmerken worden opgeslagen in een chip. De chip zal ook
6
Anne Urai V6D
de informatie gaan bevatten die nu ook al is opgenomen in de zogenaamde machineleesbare strook[2]. Die gegevens zijn: • • • • • • •
Naam (voornamen en achternaam); Documentnummer; Nationaliteit; Geboortedatum; Geslacht; Datum einde geldigheid Sofi-nummer.
De gelaatscan zal vóór 28 augustus 2006 worden ingevoerd om te voldoen aan de invoeringstermijn van de Europese Unie. Wat zijn biometrische kenmerken? Biometrie is een technologie die het mogelijk maakt om bepaalde unieke, persoonsgebonden kenmerken waar te nemen, te meten en vast te leggen. Het betreft zowel lichaamskenmerken (zoals een vingerafdruk, een gelaatsscan en een irisscan) als gedragseigenschappen (zoals schriftherkenning, stemgeluid en lichaamsgeur). Met deze technologie kan op automatische wijze mede de identiteit van een persoon vastgesteld (identificatie) of gecontroleerd (verificatie) worden, indien de biometrische karakteristieken van die persoon vooraf in een systeem/smartcard zijn vastgelegd. Gelaatscan De gelaatscan moet worden gezien als een digitale foto waarbij elektronisch een aantal (geometrische) kenmerken (zoals de positie van de ogen, afstanden tussen de ogen, neus en mondhoeken ) worden gemeten. Tevens worden de contouren van het gelaat vastgelegd. Bij verificatie (in het geval van controle) wordt een digitale foto van de betreffende persoon gemaakt en vergeleken met de in (de chip in) het paspoort opgeslagen foto door dezelfde kenmerken te vergelijken. Vingerafdruk De elektronische vingerafdruk wordt gemakt door de lijnen, de eindpunten, takken, knopen, lussen en inkepingen in de afdruk (de zogenaamde minutiae) en de richting en de dichtheid van de lijnen te scanen. Een vingerafdruk is in feite een digitale zwart-wit foto van een vinger die vervolgens ook digitaal wordt opgeslagen. Bij verificatie wordt opnieuw een opname van dezelfde vinger gemaakt, die wordt vergeleken met de opname in het paspoort. Geldigheidsduur reisdocumenten De Nederlandse reisdocumenten zijn 5 jaar geldig. De geldigheidsdoor blijft 5 jaar als de documenten met biometrische kenmerken worden uitgerust. Beveiligingsmaatregelen De in (de chip in) de reisdocumenten opgeslagen biometrische kenmerken worden op verschillende manieren beveiligd. Daartoe worden de volgende (technische) maatregelen genomen:
7
Anne Urai V6D
nadat de chip is gepersonaliseerd, wordt deze gesloten. Daardoor kan er geen informatie meer aan de chip worden toegevoegd; • er wordt een digitale handtekening over de gegevens in de chip gezet van de uitgevende instantie. De digitale handtekening maakt het mogelijk om de authenticiteit van de opgeslagen gegevens te verifiëren; • het kopiëren en vervalsen van de inhoud van de chip wordt tegengegaan door gebruik te maken van de zogenaamde “Actieve Authenticatie”; • het ongeoorloofd en ongemerkt uitlezen van de chip wordt tegengegaan door het gebruik van een vorm van toegangscontrole (Basic Access Control); • tegen het afluisteren/aftappen bij het uitlezen van de chip (door de uitleesapparatuur) wordt gebruik gemaakt van een versleutelde verbinding (Secure Messaging) Deze techniek zorgt er voor dat de communicatie tussen de chip en de reader versleuteld plaatsvindt. • de in de chip opgeslagen vingerafdrukken worden nog extra beveiligd door gebruik te maken van “Extended Access Control”. Deze techniek zorgt ervoor dat de vingerafdrukken alleen uitgelezen kunnen worden door daartoe geautoriseerde apparatuur van bevoegde instanties. •
Praktijkproef biometrie Van 30 augustus 2004 tot 28 februari 2005 is ter voorbereiding op de invoering van biometrie in de Nederlandse reisdocumenten in zes gemeenten (Almere, Apeldoorn, Eindhoven, Groningen, Utrecht, Rotterdam) een proef gehouden. De proef had tot doel aan het licht te brengen wat de gevolgen van het opnemen van biometrische kenmerken zou zijn voor het aanvraag- en uitgifteproces van reisdocumenten. Verder was de proef bedoeld om of het biometrisch testdocument door verschillende op de markt beschikbare leesapparatuur gelezen konden worden. Burgers die een paspoort of Nederlandse identiteitskaart kwamen aanvragen in een van de zes gemeenten konden mee doen met de proef. Deelnemers moesten dan een gelaatscan en twee vingerafdrukken afgeven die in een chip in een biometrisch testdocument werden opgenomen. Bij het ophalen van het reguliere reisdocument werden de biometrische kenmerken van de aanvrager geverifieerd met die kenmerken die in de chip waren opgeslagen. In totaal zijn 14.779 biometrische testdocumenten geproduceerd voor de proef. Gepland waren ca. 15.000 documenten. De uitkomsten van de proef worden geanalyseerd en zullen verder worden gebruikt voor het invoeringstraject. VS Visa Waiver Programma De Verenigde Staten heeft alle landen die aangesloten zijn op het Visa Waiver Programma, waaronder Nederland, aangegeven dat burgers van deze landen alleen nog de VS in kunnen reizen zonder visum, als zij op 26 oktober 2005 de gelaatscan hebben geïntroduceerd. Op de website van het Department of Homeland Security van de VS wordt de achtergronden van deze VS-maatregel alsmede van de eisen die de VS stelt toegelicht. Reisdocumenten die vóór 26 oktober 2005 zijn uitgegeven (en die dus geen gelaatscan bevatten) worden overigens door de VS zolang ze geldig zijn geaccepteerd. Prijs van het paspoort Het kabinet heeft recent (8 april 2005) in het kader van de zogenaamde Voorjaarsnota gesproken over de kosten die gepaard gaan met de invoering van biometrische kenmerken in de Nederlandse reisdocumenten. Die bespreking heeft geleid tot de volgende besluiten:
8
Anne Urai V6D
om jongeren van 14 jaar, die gedwongen zijn een identiteitskaart aan te schaffen en nog niet beschikken over andere geldige identiteitsbewijzen als bijvoorbeeld een rijbewijs, tegemoet te komen ontvangen zij voortaan bij het bereiken van de 14-jarige leeftijd de Nederlandse identiteitskaart (eenmalig) gratis krijgen. Deze maatregel treedt in 2006 in werking. • de prijs van de Nederlandse identiteitskaart zal voor twee jaar (2006 en 2007) worden bevroren op het prijsniveau van 2005. Deze maatregel zorgt ervoor dat de Nederlanders die in Europa willen reizen de komende jaren (de Nederlandse identiteitskaart is net als het paspoort 5 jaar geldig) niet geconfronteerd worden met prijsverhoging van het reisdocument. • voor het paspoort blijft gelden dat de prijs kostendekkend is. •
De kosten die voorzien worden zijn opgebouwd uit de volgende componenten: Investeringen: voor het aanpassen van de productiestraten bij de producent van de reisdocumenten, voor het aanpassen van de infrastructuur bij de uitgevende instanties, de aanschaf van enrollmentapparatuur, voor opleiding van personeel uitgevende instanties (zie verder de bijlage over de kostenraming die is opgenomen bij de brief aan de TK van de minister voor BVK dd 19 december 2003). • Exploitatielasten: de chip waarop de briometrische kenmerken moeten worden opgeslagen, het "personaliseren" en beveiligen van de chip (zie verder de bijlage over de kostenraming die is opgenomen bij de brief aan de TK van de minister voor BVK dd 19 december 2003). •
Geraamd is dat deze twee componenten leiden tot ca € 11 aan meerkomsten (zie de bijlage over de kostenraming die is opgenomen bij de brief aan de TK van de minister voor BVK dd 19 december 2003). Kosten gemeenten: de invoering van biometrie leidt er toe dat het aanvragen en het uitgeven van de reisdocumenten meer tijd gaat nemen. Die kosten brengen de gemeenten in rekening. Het bepalen van de hoogte van de extra kosten bij gemeenten vindt plaats aan de hand van een onderzoek dat samen met de gemeenten wordt uitgevoerd. De uitkomsten zijn nog niet beschikbaar. • Vernieuwen/vervangen aanvraag- en uitgifte infrastructuur en opzet administratie: voor het aanvragen en uitgeven van de reisdocumenten is in 2001 (bij de invoering van het huidige model van de reisdocumenten) een technische infrastructuur gelegd. Volgend jaar moet die infrastructuur (omdat de technische levensduur daarvan deels verstreken is) vervangen cq vernieuwd worden. Daarnaast zal, vanwege de invoering van biometrie, de reisdocumentenadministratie een andere opzet krijgen. •
Hoewel thans nog niet precies duidelijk is hoe hoog de kosten van deze twee componenten zullen zijn is vooralsnog de inschatting gemaakt dat ze samen rond de € 15 kunnen gaan bedragen. [1] TK 2003-2004, 22 111 nr 318 [2] Zie verder http://www.icao.int/mrtd/Help/mrtd.htm. Klik op index en vervolgens op mrz positions Invoering biometrische kenmerken in Nederlandse reisdocumenten in twee fasen 19 april 2005
9
Anne Urai V6D
De gelaatsscan zal als eerste biometrische kenmerk in de Nederlandse reisdocumenten (paspoort en Nederlandse identiteitskaart) worden ingevoerd, daarna volgt de vingerscan. Dat schrijft minister Pechtold (BVK) in een brief aan de Tweede Kamer. De gelaatsscan wordt als eerste kenmerk ingevoerd om te voldoen aan de verordening van de Europese Unie die de invoering van de gelaatscan en de vingerafdrukken verplicht stelt. De gelaatsscan moet uiterlijk op 28 augustus 2006 door de lidstaten van de Europese Unie in het reisdocument zijn opgenomen. De Nederlandse reisdocumenten krijgen een chip waarin het gelaat van de houder van het reisdocument is opgeslagen. De foto die de burger bij het aanvragen van een reisdocument moet indienen wordt gescand en daarvan wordt een digitaal plaatje opgeslagen in de chip in het reisdocument. De vingerafdrukken worden op een later moment ingevoerd. Met de voorbereiding daarvan wordt begonnen zodra de Europese Commissie daarvoor de technische specificaties volledig heeft vastgesteld. Vanaf dat moment hebben de EU-lidstaten maximaal 36 maanden om de vingerafdrukken in te voeren. De Nederlandse reisdocumenten houden ook na de invoering van biometrische kenmerken een geldigheidsduur van 5 jaar. Minister Pechtold gaat daarnaast on line verificatie van de reisdocumenten mogelijk maken. Voor on line verificatie is het noodzakelijk dat de administraties van de identiteitsdocumenten met biometrische kenmerken centraal zijn georganiseerd. Voor de vreemdelingendocumenten is dat al het geval, voor de reisdocumenten echter nog niet. Deze administratie bevindt zich nu bij de instanties die reisdocumenten uitgeven (zoals gemeenten, ambassades en beroepsconsulaten, de Kabinetten van de Gouverneurs in de Nederlandse Antillen en Aruba, de gezaghebbers van de eilandgebieden in de Nederlandse Antillen en de daartoe aangewezen brigades van de Koninklijke Marechaussee). © Ministerie van Binnenlandse Zaken en Koninkrijksrelaties - 24 augustus 2006
Persoonsgegevens en reisdocumenten In de gemeentelijke basisadministratie persoonsgegevens (GBA) heeft elke Nederlandse gemeente een aantal persoonsgegevens van haar burgers vastgelegd. Deze gegevens worden via een elektronisch netwerk tussen gemeenten uitgewisseld. Ook (semi-)overheidsorganisaties die van actuele persoonsgegevens afhankelijk zijn, hebben toegang tot het netwerk. Reisdocumenten dienen ter identificatie en als bewijs van nationaliteit. Men onderscheidt het paspoort en de Nederlandse Identiteitskaart (NIK). Beide documenten kunnen bij de gemeente worden aangevraagd. Het paspoort is overal ter wereld geldig, de Nederlandse Identiteitskaart binnen de meeste Europese landen. Op een verlopen reisdocument mag niet worden gereisd. Of het nu de GBA betreft of het reisdocument, de identiteit van de burger wordt zorgvuldig vastgesteld en vervolgens vastgelegd, zodat daarvan gebruik kan worden gemaakt voor allerlei overheids- en semi overheidstaken. Sinds 1999 zijn de coördinatie en de kwaliteitsbewaking rond de gemeentelijke basisadministratie, persoonsgegevens en reisdocumenten toevertrouwd aan BPR (voluit Basisadministratie Persoonsgegevens en Reisdocumenten), een agentschap van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. 10
Anne Urai V6D
Extra voorlichting over pasfoto op paspoort 4 september 2006 Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Nederlandse Vereniging voor Burgerzaken hebben vanmiddag overleg gevoerd over de eerste ervaringen met de invoering van de elektronische reisdocumenten. Het overleg verliep in een constructieve sfeer. Er zijn afspraken gemaakt om een aantal knelpunten die zich met name met de pasfoto’s voordoen op korte termijn de wereld uit te helpen. Allereerst is afgesproken dat de nieuwe foto-eisen niet integraal van toepassing zijn voor foto’s van kleine kinderen die in het document van hun ouders worden bijgeschreven. Immers die foto’s worden niet opgeslagen in de chip van het document van de ouder. Voor deze foto’s blijft wel gelden dat de foto scherp moet zijn, recht van voren gefotografeerd en met voldoende contrast. Voor kleine kinderen die een eigen paspoort krijgen is afgesproken dat op korte termijn meer duidelijkheid zal worden gegeven over de toepassing van de foto-eisen. Over een aantal punten, zoals het bepalen van de ooraanzet, het dragen van een bril op de pasfoto, etc. zal de komende weken intensieve voorlichting aan de gemeenten en lokale fotografen worden gegeven met daarin verduidelijking (door middel van voorbeelden). Zo zullen de gemeenten op korte termijn worden voorzien van voorbeeldmateriaal dat door gemeenten kan worden gebruikt voor “huis-aan-huisbladen” om zo de burgers én de fotografen aanvullend voor te lichten. Daarnaast zal het ministerie van BZK opnieuw overleg voeren met vertegenwoordigers van de fotobranche. Nicolaï ontvangt eerste elektronische paspoort Minister Nicolaï heeft op maandag 28 augustus in zijn woonplaats Amstelveen het eerste elektronische paspoort in ontvangst genomen van burgemeester Van Zanen. Het biometrische paspoort vervangt het oude en moet fraude tegengaan. Alle nieuwe elektronische paspoorten en identiteitsbewijzen zijn voortaan voorzien van een chip die op afstand uit te lezen is. Op die chip staan een foto in kleur en diverse persoonsgegevens, zoals naam, geslacht, nationaliteit en sofinummer. De foto kan worden uitvergroot en samen met de persoonlijke kenmerken worden vergeleken met de informatie op het document én met een (live) opname van de persoon die het document voor controle aanbiedt. Zo wordt het moeilijker voor die persoon om zich te identificeren met een reisdocument van iemand anders, de zogenoemde 'look-alike' fraude. Het aantal vervalsingen was, door onder andere geavanceerde druktechnieken, al teruggedrongen sinds de invoering van het huidige paspoort in 2001. Behalve het paspoort wordt ook de Nederlandse identiteitskaart met een chip uitgerust. Daarmee voldoen de documenten volledig aan de Europese Verordening die tijdens het Nederlandse voorzitterschap van de Europese Unie in 2004 tot stand is gekomen. De chip zit op de zogenoemde houderpagina, waarop alle gedrukte persoonlijke gegevens van iemand staan. Wie de elektronische gegevens wil lezen heeft een meeleesapparaat nodig. Het nieuwe document wordt 8 euro duurder en kost maximaal 47,45 euro. Vanaf 2009 zullen op de chip ook vingerafdrukken worden opgeslagen. Identificatie aan de hand van vingerafdrukken is verder gevorderd dan die met behulp van een gelaatsscan. Maar hiervoor moet de Europese Unie nog richtlijnen vaststellen. 11
Anne Urai V6D
Op de pasfoto mogen mensen niet meer lachen. Ze moeten neutraal kijken en de mond gesloten houden. Op de site www.paspoortinformatie.nl vindt u informatie over het nieuwe document en voorbeelden van goede en foute foto's. Paspoort met chip vanaf 26 augustus 24 april 2006 Minister Pechtold heeft vandaag het nieuwe model paspoort en Nationale Identiteitskaart gepresenteerd bij de ondertekening van het verlengde contract met de producent Sdu Identification in Haarlem. De introductie van een nieuwe ‘generatie’ elektronische Nederlandse reisdocumenten zal plaatsvinden op zaterdag 26 augustus 2006. Minister Pechtold heeft vandaag het nieuwe model paspoort en Nationale Identiteitskaart gepresenteerd bij de ondertekening van het verlengde contract met de producent Sdu Identification in Haarlem. De introductie van een nieuwe ‘generatie’ elektronische Nederlandse reisdocumenten zal plaatsvinden op zaterdag 26 augustus 2006. Met de invoering van de elektronische reisdocumenten op die dag voldoet Nederland aan de eisen van de Europese Unie. Minister Pechtold voor Bestuurlijke Vernieuwing en Koninkrijksrelaties bracht een bezoek aan Sdu Identification waarna de officiële ondertekening en de presentatie van het nieuwe model plaatsvonden. Het paspoort en de Nederlandse identiteitskaart krijgen een chip. De chip bevat: - de weergave van de foto (in kleur) in het door de Europese Unie voorgeschreven technische formaat, namelijk een zogeheten Full Frontal Face Image; - naam, voornamen; - geboortedatum; - geslacht; - documentnummer; - sofi-nummer (in de toekomst burgerservicenummer); - datum einde geldigheid document. De vingerafdruk wordt op een later moment ingevoerd, omdat de Europese Unie nog een deel van de technische specificaties moet vaststellen. Het elektronische paspoort zal € 8,06 meer kosten. Het bedrag is exact kostendekkend. Minister Pechtold heeft de prijsverhoging eerder aangekondigd. Het nieuwe maximumtarief (leges) dat gemeenten in rekening mogen brengen wordt € 47,46. Gemeenten berekenen de prijs voor de leges op basis van gemaakte kosten. Voor de Nederlandse identiteitskaart wordt de verhoging in 2006 en 2007 niet doorberekend. De chip maakt het mogelijk de gegevens elektronisch te controleren door de gegevens te vergelijken met de kenmerken van de drager van dat paspoort en met de gedrukte gegevens in het paspoort. Zo wordt het moeilijker het document te vervalsen en ook moeilijker om zich te identificeren met een reisdocument van iemand anders (de zogenaamde look-a-like-fraude). Met de opname van biometrische kenmerken wordt aangesloten op de afspraken die in de Europese Unie zijn gemaakt om de veiligheid te vergroten.
12
Anne Urai V6D
* Begin opniërende artikelen Terugstaren naar het oog van de douane Door Menno Steketee AMSTERDAM, 30 JAN. Technisch is het eenvoudig om te controleren of iemand is wie hij zegt, aan de hand van zijn iris, hand- of vingerafdruk. Maar waterdicht bewijs leveren `biometrische' pasjes niet. De Nederlandse overheid wil dat het nieuwe paspoort wordt voorzien van biometrische kenmerken, karakteristieken van bijvoorbeeld de iris, de vingerafdruk en het gezicht. Deze zijn per individu uniek. Tegelijk eist de Amerikaanse overheid dat identiteitspapieren van buitenlandse bezoekers zonder visumplicht, zoals Nederland, vanaf herfst volgend jaar biometrische kenmerken bevatten. Biometrie biedt veel toepassingen, maar deze methode voor het identificeren van mensen is volgens deskundigen niet waterdicht. Op de luchthaven Schiphol is sinds 2001 op bescheiden schaal een `biometrisch document' in gebruik. Reizigers die niet in de rij willen staan voor de paspoortcontrole bijvoorbeeld zakenlieden kunnen bij Privium, onderdeel van de Schiphol Group, een pasje laten maken waarin gegevens over de iris zijn opgeslagen. Zo'n pas verleent snelle doorgang bij de zogenoemde automatische grenspassage, een onbemande controlepoort. Afgelopen vrijdag is de vijfduizendste Privium-pas uitgereikt, meldt een woordvoerder van de Schiphol Group, de onderneming die de luchthaven beheert. De methode is in oktober vorig jaar goedgekeurd door TNO. Het maken van een irisscanpasje is simpel. De reiziger meldt zich bij de burelen van Privium tussen de twee grote vertrekhallen. Daar moet aan een marechaussee een paspoort worden overhandigd, die vervolgens in een politiecomputer bekijkt of de betreffende klant geen verkeersboetes heeft uitstaan of de afgelopen jaren nog naar Afghanistan is geweest. Bij goedkeuring van de gelichte doopceel moet de Privium-gegadigde tweemaal een paar seconden in een speciale camera turen om de iris in kaart te brengen, waarna een apparaat een plastic pasje produceert waarop de kenmerken van de iris in een algoritme zijn opgeslagen. Om misbruik van de irisgegevens te voorkomen, worden deze niet opgeslagen in een database. De kaarthouder is zo de enige bezitter van de biometrische data. Bij de speciale Privium-poortjes in de vertrekhal moet deze `irispas' in een gleuf worden ingebracht, waarna een tourniquet openklikt. Achter dit draaihekje bevindt zich naast een tweede tourniquet een elektronisch `oog' waarin de Privium-klant een paar seconden moet terugkijken. Het brein achter dit oog vergelijkt de irisgegevens die in het pasje zijn opgeslagen met die welke live worden gepresenteerd. Als ze overeenkomen, opent het tweede hekje en ligt de weg naar de gates en de belastingvrije winkels open. Wanneer de iris niet wordt herkend, gaat er een hekje aan de zijkant van de automatische passage open, waarna men alsnog achteraan moet sluiten bij de rij schuifelende mensen met een paspoort in de hand. Van de Privium-pas bestaan twee soorten: Privium Basic van 99 euro per jaar en Privium Plus die 119 euro kost. De eerste, meldt de woordvoerder, zorgt alleen voor een snelle passage, de tweede ook voor voorrang bij het inchecken. De Schiphol Group heeft intussen met Joh. Enschedé een bedrijf opgericht, Dartagnan, dat internationale toepassingen van de irisscan, bijvoorbeeld op andere luchthavens, in kaart moet brengen. De irispas is maar één voorbeeld van de toepassing van biometrie. Vinger-, en handafdrukken of een zogeheten gezichtsscan (waarbij onder meer afstanden tussen verschillende delen van het gelaat worden opgeslagen) kunnen ook worden toegepast als extra controle op het gebruik van bankpassen en deursloten of om computers te beveiligen. Een apparaatje dat vingerafdrukken leest en is verbonden aan een toetsenbord, is voor enige honderden euro's te koop. Een andere biometrische methode maakt gebruik van het karakteristieke ritme waarmee mensen bijvoorbeeld hun naam intypen. Elke persoon doet dat op onnavolgbare wijze. De toepassingen van biometrische kenmerken zijn dus legio. Maar ,,niet waterdicht'', zegt Ruud van Munster, werkzaam op dit terrein bij TNO. ,,Het is lastig'', zegt Van Munster, ,,maar niet onmogelijk om kenmerken die onvervreemdbaar verbonden zijn met het lichaam te 13
Anne Urai V6D
ontvreemden.'' Hij noemt een voorbeeld waarbij een biometrische controlemethode viel te omzeilen door het reliëf van een vingerafdruk vanaf een wijnglas te kopiëren op een soort vingerhoedje. De sensor die de echtheid van de `vinger' moest verifiëren, ontdekte de fraude niet. Doordat deze methodes in theorie dus zijn te bedotten, valt volgens Van Munster niet te verwachten dat het nieuwe paspoort op grote schaal zal worden gebruikt voor geautomatiseerde passage van internationale grenzen. Het is volgens hem eerder een back-up voor de marechaussee die twijfelt aan de echtheid van een gewoon paspoort. ,,We willen de kans vergroten dat iemand is wie hij zegt.'' Datum: 30-01-2003 Sectie: Binnenland Pagina: 7 Trefwoord: Innovatie en uitvindingen; Privacy en geheimhouding; Openbaar bestuur; Politiek en Staat; Recht; Burgerlijk Recht; Wetenschap en Techniek Op dit artikel rust auteursrecht van NRC Handelsblad BV, respectievelijk van de oorspronkelijke auteur. Grote problemen nieuw paspoort De invoering van het nieuwe paspoort, begin deze week, gaat gepaard met ernstige problemen. Gemeenten krijgen paspoorten binnen van producent SDU Identification die niet voldoen aan de wettelijke normen. Deze worden volgens de Nederlandse Vereniging voor Burgerzaken (NVVB) toch overhandigd aan de burger. Het nieuwe paspoort bevat een chip waarop zogeheten biometrische gegevens staan, zoals een gelaatsscan. Aan de grens kan een beambte daarmee controleren of de drager van het paspoort dezelfde persoon is als degene die de pas ooit heeft aangevraagd. Een woordvoerster van Binnenlandse Zaken kan niet zeggen hoeveel verkeerde paspoorten zijn verstrekt. Ze sluit niet dat een foutief paspoort wordt geweigerd in landen als de Verenigde Staten. De problemen ontstaan doordat bepaalde pasfotos niet kunnen worden verwerkt door SDU Identification. Vooral jonge kinderen en ouderen ondervinden problemen met het maken van een geschikte pasfoto, zegt Cees Meester van de NVVB, die de invoering namens gemeenten coördineert. De pasfoto moet aan strenge eisen voldoen, anders mislukt de gelaatsscan. Een foto wordt door SDU Identification al afgekeurd als de huid te veel glimt of de mond niet geheel gesloten is. Volgens de woordvoerster van het ministerie van Binnenlandse Zaken gaan gemeenteambtenaren die de pasfotos moeten controleren te snel akkoord met een ingeleverde foto. De SDU kan er dan wel een geldig paspoort mee maken, maar dan zonder de biometrische gegevens op de chip. De burger krijgt dan een onvolledige pas. Maar volgens Meesters van de NVVB is het in veel gevallen onmogelijk voor een fotograaf om een pasfoto te maken die geschikt is voor het biometrisch paspoort. Het hoofd mag niet te groot op de foto staan, en moet exact binnen bepaalde kaders passen. Ogen moeten recht in de lens kijken. De mond moet gesloten zijn. Bij ouderen levert de grijze haarkleur contrastproblemen op ten opzichte van de achtergrond. Door deze problemen worden fotos massaal afgekeurd, aldus Meesters. De woordvoerster van Binnenlandse Zaken betreurt de gang van zaken en spreekt van opstartproblemen. Ook Frankrijk, Duitsland en Groot-Brittannië hebben deze problemen gekend tijdens de invoering van het biometrisch paspoort. Na overleg gistermiddag tussen Binnenlandse Zaken en de NVVB zijn volgens het ministerie afspraken gemaakt om een aantal knelpunten die zich vooral met de pasfotos voordoen op 14
Anne Urai V6D
korte termijn de wereld uit te helpen. Het gaat daarbij onder meer om pasfotos van kleine kinderen, aldus een persbericht van het departement. Datum: 02-09-2006 Sectie: Voorpagina Pagina: 01 Trefwoord: Openbaar bestuur Organisatie: Nederlandse Vereniging voor Burgerzaken (NVVB); SDU Identification Op dit artikel rust auteursrecht van NRC Handelsblad BV, respectievelijk van de oorspronkelijke auteur. Een bolle toet is biometrisch niet handig de Volkskrant, Binnenland, 31 augustus 2006 (pagina 03) Van onze verslaggever Ron Meerhof Een nieuw paspoort, dan ook een nieuw type pasfoto. Het lijkt simpel, maar door de strenge biometrische voorschriften is het nog een heel gedoe kruin en oren juist in beeld te brengen. (foto) Thom Hekelaar maakt zich in zijn Rotterdamse zaak op een pasfoto te maken volgens de laatste voorschriften., Instructievel (vanaf 11 jaar) voor ambtenaren om te controleren of de pasfoto aan de nieuwe eisen voldoet. ‘Fotomatrix Model 2006’ is niet berekend op ronde hoofden. Zoals dat van de meneer die woensdagochtend met zijn vrouw Foto Studio Heno aan de Rotterdamse Meent kwam binnenwandelen. Bedrijfsleider Thom Hekelaar heeft de foto nog liggen. Als het linker- en rechteroor van de man precies goed binnen de matrix liggen, zakt zijn tamelijk lage voorhoofd in het rode hokje van de matrix. En dat mag niet, volgens de regels voor de nieuwe paspoorten, met de biometrische gegevens, die sinds maandag worden verstrekt. Niet lachen, schouders recht, geen schaduwen, recht in de camera, en precies voorgeschreven verhoudingen; dat zijn zo wat van de nieuwe regels. En ‘de aanzet van de kruin’ moet dus zichtbaar zijn in het transparante deel van de matrix, boven het rode hokje. Dat doet de kruin van de meneer met het bolle hoofd dus niet. ‘Vanochtend kwam zijn kruin er wel bovenuit’, verzucht Hekelaar. ‘Maar toen ze op het stadhuis kwamen om een paspoort aan te vragen, werden ze teruggestuurd.’ De afbeelding was te groot. Tussen de zestien en twintig millimeter breed mag het gelaat op een paspoortfoto zijn. Dus stond het echtpaar zo’n anderhalf uur later weer in de zaak. De foto werd kosteloos verkleind. Ze gingen terug naar het stadhuis. Aan het begin van de middag stonden ze weer in de zaak van Hekelaar: nu was-ie te klein. ‘Toen ben ik meegegaan’, zegt Hekelaar. ‘Die ambtenaren kunnen verzinnen wat ze willen, maar ze weten niks van verhoudingen en die meneer heeft nou eenmaal een bol hoofdje en heel kleine oortjes. Het past niet! Dat heb ik ze uitgelegd.’
15
Anne Urai V6D
Hekelaar holt dezer dagen regelmatig heen en weer tussen zijn zaak en het stadhuis. Dat is gelukkig maar een paar honderd meter. Vele tientallen pasfotoklanten heeft hij per dag. In drie dagen is al een forse stapel retour gekomen. Sommige daarvan hebben Hekelaar en zijn collega’s aan zichzelf te wijten, geeft hij toe. ‘We moeten wennen aan het formaat. Als je al twintig jaar anders fotografeert.’ Van die vastgeroeste gewoonten is rond half drie in de middag de 22-jarige Sanne van Aspert het slachtoffer. Ze staat al zeker tien minuten aan het loket als de vrouw die haar helpt steeds onheilspellender begint te kijken. Ze gaat naar achteren met een stapeltje papieren en foto’s en komt even later weer hoofdschuddend terug. ‘Oh nee’, zucht Van Aspert. ‘De foto’s zijn niet goed. Te groot. En ik heb al bijna twee uur zitten wachten!’ Ze kan ze inwisselen en krijgt nieuwe. De mevrouw achter het loket had ook nog iets geroepen over de oren, maar dat wordt in de fotozaak resoluut genegeerd. ‘Die oren zijn goed. Die ambtenaar weet er niks van.’ En inderdaad, het ging alleen om het formaat: een halfuurtje later is Van Aspert de bezitter van een biometrisch paspoort. Het geklooi met de formaten zal snel wennen, voorspelt Hekelaar. ‘Die regels zijn best duidelijk, en we zijn er blij mee. Maar nu die ambtenaren nog, hé. We zijn al twintig jaar bezig ze op te voeden, en nu moeten we weer overnieuw beginnen.’ Want de ambtenaren interpreteren de regels vaak fout en hebben ook de neiging er van alles bij te verzinnen. Op het Rotterdamse stadhuis vonden sommigen opeens dat ook het linkeroog binnen het rode vlak van de matrix moest vallen. Terwijl dat nergens staat. In Amsterdam mag je opeens geen piercings meer hebben, meldde de Amsterdamse vestiging. Ook onzin. En dan de hoofddoeken. Op een voorbeeldfoto van de site van het ministerie van Binnenlandse Zaken staat een jonge vrouw met een hoofddoekje strak om haar gezicht. Deze foto is goed, staat erbij. Maar kruin noch ‘aanzet van de oren’ zijn te bekennen. Op sommige stadhuizen wordt daarom gevraagd de hoofddoek aan de zijkanten even iets naar achteren te doen. Wat de site van het ministerie betreft: daar staan foto’s op van mensen die lachen, die niet helemaal recht van voren zijn gefotografeerd, of waar schaduw op te zien is. ‘Goed’, staat er doodleuk onder. Andere regels zijn wel helder, maar onuitvoerbaar. De mond moet dicht zijn. Maar sommige baby’s hebben daar maling aan, anderen zijn verkouden. ‘Probeer zo’n mondje maar eens dicht te krijgen’, zegt Hekelaar. ‘Onmogelijk.’ Copyright: de Volkskrant Nooit meer Cheese! Door Michael Persson en Jeroen Trommelen AMSTERDAM - In augustus wordt het paspoort ingevoerd dat is uitgerust met een geheugenchip. De nieuwe techniek brengt nieuwe risico’s met zich mee. Het aantal twijfelgevallen over iemands identiteit zal toenemen. Cheese!Smile!Dat is binnenkort dus allemaal verleden tijd. Het commando wordt straks iets als ‘mond dicht en kaken op elkaar’. De foto voor het biometrisch paspoort dat zaterdag 26 augustus wordt ingevoerd, is niet bedoeld om douaniers vriendelijk in de ogen te kijken. Met de introductie van het nieuwe paspoort gaat weer een stukje onschuld verloren. De pasfoto wordt 16
Anne Urai V6D
minder foto en meer technisch vergelijkingsmateriaal voor een digitale gelaatsscan. Zo’n foto vereist een strak protocol. Computers houden niet van lachende gezichten, want de techniek om gezichten digitaal te vergelijken, staat nog in de kinderschoenen. Apparaten die echte gezichten proberen te vergelijken met digitale gelaatsscans hebben het gemiddeld een op de vier keer bij het verkeerde eind. Bij kinderen en ouderen neemt het aantal vergissingen verder toe. Zonder neutrale blik, gesloten mond, zichtbare ooraanzet, volledig zichtbare ogen en een strikt protocol voor achtergrondkleur, positie en grootte lukt de vergelijking in elk geval niet. Eigenlijk zijn foto’s helemaal niet zo geschikt om iemand te herkennen, zoals elke geoefende douanier weet. Dus staat er een nog veel verder reikende maatregel op stapel. De foto in het paspoort – die in de Eerste Wereldoorlog werd geïntroduceerd – blijft weliswaar bestaan, maar wordt in de praktijk steeds minder belangrijk. Uiterlijk 28 juni 2009 zullen aan de geheugenchip in het nieuwe paspoort twee vingerafdrukken worden toegevoegd. Die zijn volgens identificatie-experts een stuk bruikbaarder dan de afbeelding van ons gelaat. Voor wie de discussie heeft gemist: het biometrisch paspoort, met flinterdunne zenderchip (RFID), wordt ingevoerd om de vervalsing van reisdocumenten moeilijker te maken en om lookalike-fraude beter te kunnen bestrijden. Begin 2005 besloot de Europese Commissie dat de elektronische paspoorten er binnen achttien maanden moesten zijn. Dit onder druk van de Verenigde Staten, in het kader van de ‘oorlog tegen terrorisme’. Bij een nieuwe techniek horen echter nieuwe risico’s. De zenderchip in het paspoort maakt het in beginsel mogelijk de gegevens op afstand te lezen of te kopiëren zonder dat iemand dat merkt. Om dit te voorkomen worden de gegevens ‘versleuteld’ aan de hand van een unieke code, die op de eerste pagina van elk paspoort staat. Een douanier moet straks het paspoort eerst onder een optische scanner houden, die de code leest. Pas daarna kan hij de chip uitlezen. Toch slaagden professionele krakers vorig jaar, tijdens het hackersfestijn What the Hack, erin de paspoortchips illegaal te lezen – zonder het document eerst te openen en te scannen. Het bleek mogelijk alle cijfers uit de beveiligingscode slim bij elkaar te gokken. Inmiddels is dat lek gedicht door de geheimcode moeilijker te maken. De risico’s van illegaal meelezen of ‘aftappen’ van de paspoortchip lijken daardoor nu mee te vallen, zegt Jaap-Henk Hoepman van de Radboud Universiteit Nijmegen, waar de chips aan de laatste tests wordt onderworpen. Het is volgens hem straks onwaarschijnlijk dat illegale identiteitsjagers een bus instappen om alle paspoorten te skimmen. ‘Het gokken naar de toegangscode is moeilijker geworden, en bovendien duurt het een paar seconden voor de paspoortchip reageert op een uitleesverzoek. Dus wie duizend keer een toegangscode probeert, is zo een uur verder.’ Waaraan hij toevoegt dat er inmiddels wel erg veel ingewikkelde trucs zijn bedacht om de chip te beveiligen. ‘Het was veel beter geweest als we gewoon een contact- chip hadden gebruikt, in plaats van een RFID. Dan was je van al het gedonder af geweest.’ Daarnaast zijn er nog twee andere grote vraagtekens te zetten bij het nieuwe biometrische paspoort. Als de douane twijfelt aan iemands identiteit, kan een gelaatsscan of (vanaf 2009) een vingerafdruk worden gemaakt. Omdat de apparatuur verre van feilloos is, kan dit leiden tot duizenden twijfelgevallen. Hoe dat probleem moet worden opgelost, weet nog niemand. Hoepman: ‘En wat gebeurt er met mensen die de chip uit protest stiekem onklaar maken, bijvoorbeeld als ze in het vliegtuig zitten? Worden die bij de grens teruggestuurd?’
17
Anne Urai V6D
De eerste vormen van protest zijn al geboren. De privacyclub ID-Nee in Utrecht is een actie begonnen om ‘gewetensbezwaarden’ die niet elektronisch geoormerkt willen worden, nog snel een oud paspoort aan te laten vragen. Dat kan tot uiterlijk 18 augustus en bespaart bovendien acht euro. Volgens de actiegroep is de opslag van biometrische gegevens onveilig en vormt ze een inbreuk op de privacy van burgers. Eerder al waarschuwde de Duitser Peter Schaar voor de ‘verstrekkende gevolgen van biometrische kenmerken in het paspoort’. Schaar is voorzitter van de Artikel-29-werkgroep, die de Europese Commissie adviseert over privacy en de opslag van persoonsgegevens. ‘Deze informatie kan worden opgeslagen en ter beschikking van instanties worden gesteld voor een heleboel onvoorspelbare doeleinden’. Wat bedoelen ze daarmee? Een gouden regel voor privacybescherming is dat persoonsgegevens niet zomaar gebruikt mogen worden voor aan ander doel dan waarvoor ze zijn verstrekt. Pasfoto’s en straks ook vingerafdrukken worden afgestaan voor het verkrijgen van een paspoort – niet voor het opsporen of volgen van burgers. Maar daar worden ze wel voor gebruikt. Oud-minister Pechtold beloofde eerder dit jaar de Tweede Kamer een nieuwe wet voor de ‘centrale opslag’ van foto’s en vingerafdrukken. Hij verzekerde dat tot die tijd alles bij het oude blijft. Maar voor de toegang van politie en justitie maakt dat weinig uit, erkent een woordvoerster van Binnenlandse Zaken. Vanaf 26 augustus worden de biometrische data opgeslagen in de gemeentelijke basisadministratie die 24 uur per dag on-line kan worden geraadpleegd door alle bevoegde instanties, waaronder politie en het Openbaar Ministerie. Prettig voor de overheid is dat burgers straks zelf gaan betalen voor het verzamelen van hun vingerafdrukken. Die zullen worden gemaakt op het gemeentehuis. Als dat een kwartiertje extra tijd kost, ligt een tariefsverhoging van nog eens acht euro voor de hand. Helemaal onduidelijk is wat buitenlandse overheden met de gelaatsscans en (straks) vingerafdrukken gaan doen. Vooral over de intenties van de Amerikanen maakt onderzoeker Hoepman zich weinig illusies. Hij wijst daarbij op de technieken die de grote elektronische spionagedienst, de National Security Agency (NSA), gebruikt in het kader van de ‘strijd tegen het terrorisme’. Telefoon- en e-mailverkeer wordt massaal onderschept, het internationale geldverkeer wordt routinematig in de gaten gehouden. De NSA probeert daar verdachte patronen in te ontdekken. Doordat die methode niet waterdicht is, worden ook veel onschuldigen voor verdacht aangezien. Ondanks het ogenschijnlijk onwettige karakter van dergelijk opsporingswerk blijft Bush achter de methoden staan. Hoepman: ‘Je mag er daarom gerust van uitgaan dat straks ook de biometrische gegevens van reizigers worden opgeslagen en worden doorzocht.’ Overigens worden de vingerafdrukken op de chip straks beter beveiligd dan de gelaatsscan nu. Om deze beveiliging, de Extended Access Control, te mogen ontsleutelen, hebben andere landen een soort certificaat nodig. De Amerikanen zullen dat certificaat in Den Haag moeten aanvragen, en kunnen het kwijtraken als ze zich niet aan de regels houden. ‘Maar zolang ze dat certificaat hebben, kunnen ze met de Europese vingerafdrukken doen wat ze willen’, zegt Hoepman. Paradoxaal genoeg is voor veel Amerikanen het afstaan van vingerafdrukken een gevoelige zaak. Amerika dreigde de visumplicht voor Europeanen weer in te voeren als het Europees biometrisch paspoort niet snel zou worden ingevoerd. Maar een wetsvoorstel voor het opnemen van vingerafdrukken of gelaatsscan in het éigen paspoort kwam er niet: te gevoelig.
18
Anne Urai V6D
Tracking, tracing en privacy Albert Heijn gaat de bonuskaart vervangen door een slimme klantenkaart met RFID- chip , schreef begin deze maand het vakblad Elsevier Retail. Met de bonuskaart-nieuwe-stijl zouden onder meer boodschappen op afbetaling kunnen worden gekocht. De kaart, waarvoor dezelfde techniek wordt gebruikt als in het nieuwe paspoort, hoeft niet meer bij een afleesapparaat te worden gehouden. De RIFD- chip maakt op veel grotere afstand draadloos contact met de scanners. Je kunt de kaart gewoon in je broekzak houden. De voordelen voor Albert Heijn leken duidelijk: de klant kan worden geïdentificeerd zodra hij de supermarkt binnenloopt en kan tijdens het winkelen letterlijk op de voet worden gevolgd. Ook wordt het mogelijk zeer persoonlijke aanbiedingen te doen, gekoppeld aan vorige aankopen: Heeft u nog wel maandverband in huis? Wanneer ook andere winkelketens meedoen, kan iemands koop- en loopgedrag nog preciezer in kaart worden gebracht. De detailhandel vindt de technologie veelbelovend, maar erkent dat veel consumenten er niet op zitten te wachten. Volgens onderzoek stellen klanten de zenderchip eigenlijk alleen op prijs om dure spullen zoals auto’s en fototoestellen te kunnen terugvinden. Volgens Albert Heijn is het bericht over de nieuwe bonuskaart dan ook onjuist. 'We zijn helemaal niets van plan met de kaart', zegt woordvoerder Jan Christiaan Hellendoorn. 'Bovendien zou RIFD daar niet zo’n geschikte techniek voor zijn, want dat is toch vooral een tracking en tracing (opsporen en volgen)- chip.' Voor het komend jaar is geen enkele verandering voorzien. ‘Maar je kunt nooit uitsluiten dat in de toekomst andere plannen worden gemaakt. Of de consument bezwaar zou maken tegen de nauwkeurige registratie van zijn winkelgedrag, is daarbij de vraag. Via de bestaande bonuskaarten wordt al veel persoonsgevoelige informatie opgeslagen. Opsporingsinstanties zoals de politie kunnen die gegevens opvragen. Voor onderzoek naar steunfraude, bijvoorbeeld, heeft de sociale recherche gegevens van de AHbonuskaart zonder omhaal gekregen. 'Overheid tast privacy onnodig aan' de Volkskrant, Binnenland, 26 mei 2005 (pagina 02) Van onze verslaggever Wilco Dekker De bescherming van de persoonlijke levenssfeer van burgers staat in Nederland steeds meer onder druk, terwijl dat niet nodig is. Dit stelt het College Bescherming Persoonsgegevens (CBP) in het woensdag gepresenteerde jaarverslag over 2004. Volgens bestuurders en politici moeten de privacyregels worden aangepast om effectief te kunnen optreden tegen onder meer terrorisme en fraude. Maar dat is volgens het CBP vaak een schaamlap om de eigen onkunde - zoals het gebrek aan samenwerking tussen overheidsinstanties - te maskeren. Voorzitter Jacob Kohnstamm van de 'privacy-waakhond' stoort zich eraan dat betrokkenen vaak klagen over hindernissen die de privacywetgeving zou opwerpen, maar nooit concreet kunnen zeggen van welke regels zij last hebben. De CBP-voorzitter noemde het politieke en maatschappelijke klimaat woensdag 'grimmig'. Het college maakt zich vooral zorgen over de verregaande bevoegdheden die politie en justitie krijgen om gegevens te verzamelen over burgers, die soms nog niet eens verdacht zijn. Een goede controle op die extra bevoegdheden is nog niet geregeld . De Europese plannen om gegevens over e-mail en (mobiel) telefoonverkeer van burgers langdurig te bewaren, vindt het CBP buiten proportie. Internetproviders protesteerden al eerder tegen dat plan, omdat zij straks miljoenen euro's kwijt zijn aan het opslaan en bewaren 19
Anne Urai V6D
van de gegevens. Het CBP wijst verder op het gevaar van mogelijk misbruik van biometrische gegevens, zoals vingerafdrukken. Nederland gaat een nieuw biometrisch paspoort invoeren, in eerste instantie voorzien van een chip met een zogehenen gelaatscan. Later komen daar vingerafdrukken bij. Het kabinet wil die foto's en vingerafdrukken opslaan in een centrale databank. 'Het geloof in de biometrie is hoger dan verantwoord', zei Kohnstamm. 'Nut en noodzaak van een centrale databank zijn nog niet voldoende aangetoond.' Het CBP wil ook meer aandacht voor de sterkere positie die verzekeraars krijgen in het nieuwe zorgstelsel en in de sociale zekerheid. Dit kan betekenen dat deze bedrijven straks meer informatie over hun cliënten hebben, waardoor het medisch beroepsgeheim in het gedrang kan komen. Volgens Kohnstamm is nog onvoldoende helder op basis waarvan de informatie moet worden verstrekt. Copyright: de Volkskrant ELSEVIER.NL NEDERLAND vrijdag 1 september 2006 15:42 Nicolaï: Eisen pasfoto niet versoepeld De eisen waaraan een pasfoto op een paspoort moet voldoen, worden niet versoepeld. Dat zei VVD-minister Atzo Nicolaï (Bestuurlijke Vernieuwing) vrijdag. Hij wil misverstanden bij gemeenten en burgers over het nieuwe biometrische paspoort uit de weg ruimen door nog eens duidelijk informatie te geven over de richtlijnen voor de pasfoto's. Nicolaï ontving maandag eerste paspoort De media berichtten vandaag over chaos rondom het nieuwe paspoort. Paspoortproducent Sdu Identification zou paspoorten afleveren met mislukte biometrische scans. Als de scans mislukken, kan de chip op het paspoort niet worden afgelezen en lopen reizigers het risico te worden teruggestuurd aan de grens van bijvoorbeeld de Verenigde Staten of Maleisië, waar ze al apparatuur hebben om de scans te lezen. Streng Volgens een woordvoerder van het ministerie van Binnenlandse Zaken valt het allemaal best mee. 'Tot nu toe wordt maar 1,6 procent van de paspoorten afgekeurd door de drukker.' Sdu stuurt een afgekeurd paspoort retour naar de gemeente met het bericht dat het niet mogelijk was om een goede biometrische scan van de pasfoto te maken. De gemeente kan het paspoort dan vernietigen of toch meegeven aan de aanvrager als die dat wil. Met het risico dat sommige landen hem de toegang kunnen weigeren. Eisen 20
Anne Urai V6D
De biometrische scan wordt gemaakt op basis van een pasfoto. Die moet aan strenge eisen voldoen omdat persoonlijke kenmerken als de afstand tussen neus, oren, mondhoeken, kin en kruin precies moeten worden vastgelegd. Als de pasfoto niet voldoet, levert dit een onvolledige scan op (lees Paspoort leidt tot wanhoop). De eisen zijn vastgelegd in internationale richtlijnen die zijn opgesteld door de International Civil Aviation Organisation. Daaraan hoort elk land zich te houden. Wennen Op dit moment zouden de grootste problemen ontstaan aan de gemeenteloketten waar ambtenaren mensen en masse terugsturen om nieuwe pasfoto's te laten maken. Het ministerie is daar niet verbaasd over. 'Gemeenteambtenaren moeten nog even wennen. Het is niet anders dan in Engeland of Duitsland, landen waar het biometrische paspoort al is ingevoerd. Daar waren in het begin ook problemen met de foto’s.' Cees Meesters, woordvoerder van de Nederlandse Vereniging Voor Burgerzaken is het daar niet mee eens: 'Dertig tot 40 procent van de burgers wordt bij het loket teruggestuurd omdat hun foto niet goed is. Wij vinden dat nog steeds te veel.' Onmogelijk Wie op de foto moet voor het nieuwe paspoort moet recht naar voren kijken, geen haar in het gezicht hebben, petjes en andere hoofddeksels af doen, oren vrij houden en vooral niet lachen. Een hoofddoek mag overigens wel, als die uit religieuze overwegingen wordt gedragen. De NVVB vindt deze eisen véél te streng. Cees Meesters: 'Vraag een kind van vijf maar eens om niet te lachen op een foto. Dat is toch onmogelijk! En mensen met een glimmende huid kunnen ook al niet op de foto. Daarom hebben veel fotografen nu potjes met matte poeder voor hun klanten neergezet.' De minister heeft inmiddels geconstateerd dat gemeenten nogal verschillend met de voorschriften omgaan. De NVVB gaat vandaag voor spoedoverleg naar het ministerie. Zij wil versoepeling van de richtlijnen. Bovendien vindt de NVVB dat gemeenten geen 'mislukte' paspoorten mee moeten geven. De burger moet dringend worden geadviseerd in dat geval een nieuw paspoort aan te vragen. Anders kan hij het straks in steeds minder landen gebruiken. Door Carina van Aartsen Publicatiedatum: 1 september 2006 ELSEVIER.NL NEDERLAND donderdag 7 april 2005 14:59 Het nieuwe identificeren Zes gemeenten doen mee aan een proef met biometrische identificatie in het paspoort. Unieke kenmerken van het gezicht en de vingerafdruk komen op een chip in een testdocument. Hoe biometrie dankzij terrorisme realiteit wordt en waarom het oude paspoort niet langer voldoet. 'Vervalsen is zo makkelijk.'
21
Anne Urai V6D
Door Robert Stiphout Verschenen in Elsevier op 16 augustus 2004 Alsof ze een parkeerkaartje trekken - routineus gebruiken de Nederlandse reizigers op Schiphol de irisscanner bij de grenscontrole. Oud, jong, man en vrouw, stoppen een pas in de automaat, houden hun oog voor de camera en wandelen door het openslaande hek. Privium-pas Zij zijn in het bezit van een zogeheten Privium-pas met daarin een chip waarop de herkenningspunten van de iris staan. Privium is een biometrie-service van de luchthaven waaraan nu twaalfduizend mensen deelnemen. De meesten reizen geregeld met het vliegtuig en prefereren de snellere irisscan boven de paspoortcontrole met zijn lange rijen. Biometrie, de technologie waarmee iemand kan worden geidentificeerd aan de hand van fysieke kenmerken, is niet langer eng of sciencefiction, maar klaar voor het grote publiek. Voor steeds meer mensen wordt het scannen van oog, gezicht, stem, handtekening, vingerafdruk of hand een dagelijkse routine. Een routine die de wereld veiliger en minder fraudegevoelig moet maken. Biometrie houdt niet op bij de irisscan op Schiphol. Bedrijven vervangen de magneetstrip in het traditionele toegangspasje door een chip met biometrie. Nederlanders die een visum voor de Verenigde Staten aanvragen, moeten hun vingerafdruk achterlaten op het consulaat in Amsterdam en asielzoekers moeten bij aanmelding in Nederland een elektronische vingerafdruk afstaan. In de Rotterdamse haven kunnen chauffeurs pas containers laden als ze hun linkerhand laten scannen. En verzorgers in de verslaafdenzorg kunnen gegevens over patienten alleen uit het landelijk informatiesysteem halen als de computer ze heeft geidentificeerd aan de hand van hun handtekening. Inhaalslag 'Maar biometrie komt pas echt van de grond zodra het Nederlands paspoort is uitgerust met biometrische kenmerken,' zegt Frits Bosch, directeur van Dartagnan, het bedrijf dat Privium invoerde. Bosch: 'Dat is het moment waarop de acceptatie bij het grote publiek begint.' De toepassingen zijn volgens hem eindeloos: banken, casino's, verhuurbedrijven. 'Was het eerst een service om door personen te worden geholpen, straks staat de machine symbool voor eenzelfde service,' zegt Nanne Onland van Dartagnan. Tot nog toe is het Maleisische paspoort het enige ter wereld met een biometrisch kenmerk (vingerafdruk). Maar Europa maakt een inhaalslag. De Europese Commissie heeft voorgesteld om twee biometrische kenmerken in EU-paspoorten en visa op te nemen: gelaatsherkenning en een vingerafdruk. Irisscan Die zijn minder betrouwbaar dan een irisscan, maar doorgaans goedkoper en conform de richtlijnen van de internationale organisatie voor de burgerluchtvaart. Die probeert ervoor te zorgen dat alle landen dezelfde biometrische kenmerken en computersystemen gebruiken, opdat computers in verschillende landen alle passen kunnen lezen. De Europese Commissie voorziet invoering van biometrie nog voor eind 2005. In datzelfde jaar stellen ook de Verenigde Staten biometrische kenmerken in het paspoort verplicht. Wie dan zonder visum naar Amerika wil, moet biometrische kenmerken in zijn pas hebben. Door heel Europa wordt biometrie in reisdocumenten uitgetest. 'De Europese Commissie gaat nog dit jaar 22
Anne Urai V6D
een project opzetten met biometrische toegangssystemen voor werknemers op Europese luchthavens,' zegt Frits Bosch. Daarnaast experimenteren Groot-Brittannie, Belgie, Italie en Nederland met gelaatsherkenning, vingerafdruk en iris als biometrisch kenmerk voor in reisdocumenten. Na de zomer gaat ook de Nederlandse pas aan de biometrie. Onder de naam 2B or not 2B begint een test voor de invoering van gelaatsherkenning en vingerafdruk in het paspoort. Inwoners van Almere, Apeldoorn, Eindhoven, Groningen, Rotterdam en Utrecht kunnen bij de aanvraag van een nieuw paspoort op vrijwillige basis een gelaatsscan en vingerafdruk laten afnemen. De scan en afdruk gaan vervolgens naar de fabrikant SDU Identification in Haarlem. Daar worden de data opgeslagen op een chip en verwerkt in een testdocument. De praktijkproef moet volgens het ministerie van Binnenlandse Zaken duidelijk maken of daadwerkelijk biometrische kenmerken aan het paspoort kunnen worden toegevoegd. Niet dat minister Thom de Graaf (D66) voor Bestuurlijke Vernieuwing overigens nog anders zou kunnen beslissen gezien de Europese en Amerikaanse plannen voor invoering van biometrie. De privacy blijft onaangetast bij biometrie . De computer controleert alleen of de gezichtskenmerken van het individu overeenkomen met de kenmerken in de pas. I=ID noemen ze dat bij SDU. De biometrische kenmerken worden niet opgeslagen en ook niet vergeleken met kenmerken van criminelen en verdachten in een databank, zoals overigens wel gebeurt bij het aanvragen van een visum voor de Verenigde Staten. Bij het Nationaal Bureau Documenten (NBD) van de Koninklijke Marechaussee op Schiphol - het expertisecentrum op het terrein van bestrijding van fraude met reisdocumenten - weten ze dat het niet meer van deze tijd is om iemand op zijn blauwe ogen te geloven. Zeker zijn van iemands identiteit voorkomt diefstal: denk aan identificatie bij het kopen van een mobiele telefoon of het huren van een auto. Het voorkomt illegaal verblijf: denk aan illegaal werken in de tuinbouw. Het voorkomt zorgfraude: denk aan de onverzekerde patient die zich uitgeeft voor een verzekerde. Bloedserieus En het voorkomt op twee manieren terrorisme. Een: veel terroristen reizen onder een valse identiteit. Twee: terroristische organisaties verdienen geld aan mensensmokkel waarvoor weer valse paspoorten worden gebruikt. 'Wij nemen het paspoort dan ook bloedserieus,' zegt het hoofd van het NBD Michel Oude Veldhuis. Het NBD is niet voor niets zeven dagen per week open en volgestopt met onderzoeksapparatuur. Het lijkt erop dat ook buiten Schiphol het paspoort vaker zeer serieus wordt genomen. Want op de landelijke helpdesk van het bureau rollen onophoudelijk verzoeken uit de fax om paspoorten te controleren. Politie, FIOD, SIOD (Sociale inlichtingen- en opsporingsdienst), UWV en Belastingdienst komen met in beslag genomen documenten. Bedrijven sturen kopieen van paspoorten voor documentonderzoek. Is de sollicitant legaal? Mag de klant een rekening openen? Voor dit jaar verwacht het NBD vijfduizend verzoeken - een verdubbeling ten opzichte van vorig jaar. Biometrie zou geen overbodige toevoeging zijn in de pas, zo blijkt op de helpdesk. Drie van de tien naar de helpdesk gestuurde kopieen van paspoorten zijn volgens Oude Veldhuis vals. Een blik is voor de medewerkers voldoende. Ter illustratie pakt documentendeskundige Richard Kerkman een door een tuinder gestuurde kopie van het Portugese paspoort van een sollicitant. 'De lay-out klopt niet,' constateert Kerkman. Het document is vals. Ook een Engelse pas blijkt namaak. Het serienummer komt niet overeen met de instantie die de 23
Anne Urai V6D
pas zou hebben uitgegeven. Toch is paspoorten vervalsen makkelijk, volgens Oude Veldhuis: 'We hebben net de nieuwste kleurenkopieermachine aangeschaft. Die maakt imitaties van paspoorten waar je eng van wordt.' Dan ontstaat er opwinding op de helpdesk. Bij een inval van de FIOD is een zwart leren tasje gevonden met 36 Iraakse identiteitsbewijzen. Allemaal vals. De bijzondere dienst van de marechaussee zal de vondst samen met de inlichtingendienst AIVD onderzoeken. Terreur versnelt de komst van biometrie volgens Oude Veldhuis. Dat zegt hij niet omdat het NBD in het kader van de terreurbestrijding een ruimer budget kreeg waardoor het bureau kan uitbreiden met biometrie-specialisten en nog meer onderzoeksapparatuur. Oude Veldhuis gelooft dat biometrie toekomst heeft. 'Machines worden niet moe.' Bovendien zijn er bijna vijfduizend soorten reisdocumenten. Dat is bijzonder lastig controleren voor een marechaussee, maar met biometrische kenmerken in paspoort en visa heeft een computer geen moeite met de veelvoud aan reispapieren. Wondermiddel Extra reden voor biometrie is de toenemende fraude door lookalikes. Hoewel de marechaussees zijn getraind ze op te sporen, zijn hun ogen niet zo nauwkeurig als, zeg, een irisscanner. Dat blijkt als in de dependance van het NBD op de luchthaven een Surinamer verschijnt die er door de Vreemdelingenpolitie van wordt verdacht een lookalike te zijn. De NBD-medewerkers worden het niet eens. De een zegt dat de man de persoon op de pasfoto is, de ander beweert van niet. Oude Veldhuis moet de knoop doorhakken. Hij draait de foto, kijkt naar mond, neus, lippen. 'Nee, het voorhoofd is anders, het is hem niet.' Toch is enige scepsis tegenover biometrie als wondermiddel op haar plaats. Ook biometrische paspoorten zijn te vervalsen en de politie op straat en winkelpersoneel zullen niet over vingerafdruk- of gelaatsscanners beschikken. Kennis van echtheidskenmerken in documenten blijft nodig, volgens het NBD. Zelfs al zou biometrie onfeilbaar zijn, dan nog moet worden bedacht dat de veiligheidsketen zo sterk is als de zwakste schakel. Dat toonde CDA-minister Piet Hein Donner van Justitie eind vorig jaar weer aan, toen hij het Openbaar Ministerie (OM) opdracht gaf paspoortfraude op Schiphol minder prioriteit te geven. Het gevolg: de 2.600 reizigers die de marechaussee op Schiphol het afgelopen jaar arresteerde vanwege fraude met reisdocumenten, werden niet vervolgd. Wie de teksten op de muur van de verhoorkamers van het NBD leest, vraagt zich af wat voor fraudeurs het OM dankzij de prioriteitenstelling heeft laten gaan. In de muur van een verhoorkamer staat gekrast: 'I love Allah'. De vervalsers en fraudeurs komen Nederland dan niet binnen, maar ze kunnen het wel ongestraft blijven proberen. De grenscontrole als pingpongbatje in plaats van een fuik voor criminelen en terroristen. Dan helpt ook invoering van een biometrisch paspoort niet. Publicatiedatum: 7 april 2005 ELSEVIER.NL NEDERLAND vrijdag 14 juli 2006 14:21 Schiphol voert strengere paspoortcontrole in Binnenkort worden paspoorten niet meer vluchtig ingekeken, maar gescand met speciale 24
Anne Urai V6D
apparatuur. Op die manier kan de marechaussee de pas in een paar seconden op echtheid en geldigheid controleren. Controle met behulp van scanner Over een paar weken wordt de scanapparatuur bij alle controlebalies op de luchthaven ingebouwd. De scanners zijn hard nodig volgens de marechaussee. Vervalsingen zijn met het blote oog vaak nauwelijks te zien. Bovendien is er weinig tijd voor uitvoerige controles, omdat de wachttijd voor passagiers beperkt moet blijven. Vervalsingen De scanner herkent valse paspoorten op grond van papiersoort en andere verborgen echtheidskenmerken. Ook kan het apparaat zien of met een paspoort is gerommeld. De vervalsingen worden opgespoord met behulp van infrarood, UV-belichting en retroreflectie. De scanner ziet ook of de persoon voorkomt in het opsporingsregister. Op het nieuwe Nederlandse paspoort, dat in september wordt ingevoerd, voert de scanner nog een extra controle uit. Het nieuwe paspoort bevat een chip met de foto van de paspoorthouder en gegevens. De controleur kan de pasfoto op een beeldscherm enorm groot opblazen, zodat meteen te zien is of degene met het paspoort ook de eigenaar is. Kritiek De Rekenkamer uitte vorig jaar scherpe kritiek op de controles aan de grens. De Nederlandse grens zou een zwakke plek zijn in de bestrijding van terrorisme. Na 11 september beloofde de regering de grenscontrole te verbeteren om terrorisme te bestrijden (lees Nederlandse grens houdt terroristen niet tegen). De nieuwe methode is niet alleen betrouwbaarder, maar beperkt de wachttijd voor reizigers bij de douane waarschijnlijk ook. De marechaussee heeft de apparatuur de afgelopen tijd al getest en zegt tevreden te zijn met de resultaten daarvan. Door Ingrid van der Chijs Publicatiedatum: 14 juli 2006 01-09-2006 'Lachen mag best, geen gekke bekken' De klachten stromen binnen over het nieuwe paspoort, maar minister Atzo Nicolaï van Bestuurlijke Vernieuwing... ...denkt dat de ‘kinderziekten’ snel voorbij zijn. Gemeentelijke ambtenaren zijn volgens hem nog iets te streng bij het beoordelen van pasfoto’s. 1. Wel een dramatisch begin van het nieuwe paspoort, hè? ,,Nee hoor. Er zijn wat misverstanden over de eisen waar de foto’s aan moeten voldoen, maar die kunnen we snel uit de wereld helpen.’’ 2. Maar het loopt toch niet helemaal lekker als mensen met verkeerde foto’s worden teruggestuurd. ,Het is natuurlijk vervelend als burgers speciaal vrij hebben genomen om bij het gemeentehuis 25
Anne Urai V6D
in de rij te staan voor een paspoort en dan terug moeten voor een nieuwe foto. Maar ik heb de indruk dat gemeenten hier en daar gewoon wat te streng zijn bij de beoordeling van de foto’s. Want het is echt niet zo dat je absoluut niet mag lachen. En je hoeft ook je hoofddoek niet af of je bakkebaarden te laten afknippen. Het gaat erom dat je gezicht duidelijk te zien is, zoals het er normaal ook altijd uitziet. Dus geen gekke bekken of een grote grijns.’’ 3. Zijn de gemeenten eigenlijk wel goed geïnformeerd? ,,Ja. Er zijn zelfs speciale trainingen gegeven met aandacht voor grensgevallen. Wat accepteer je wel en wat niet? Maar het is goed om nu alle gemeenten nog eens te attenderen op de regels.’’ 4. Een pasfoto van een baby maken is wel erg ingewikkeld. Kan dat niet anders? ,,Baby’s zijn een geval apart. Ik vind de voorschriften daarvoor ook wel een beetje gedoe. Het hoofdje moet recht worden gehouden, de mond dicht en er mogen geen handen zichtbaar zijn die de baby ondersteunen. Maar hierover zijn internationale afspraken gemaakt. Het is belangrijk dat we ons daaraan houden zodat we toegang kunnen krijgen tot andere landen.’’ 5. Niks aan de hand dus eigenlijk, zegt u? ,,Ik overleg wel met de drukkerij omdat sommige foto’s te flets zijn. Dat mag niet. Je hebt voor het paspoort betaald, dus moet het goed zijn. Overigens is maar 1,5 procent van de foto’s door de Sdu afgekeurd. Dus dat valt wel mee.’’ Door YVONNE WIGGERS 01-09-2006 Scans nieuw paspoort mislukken AMSTERDAM -Als dan ten slotte het nieuwe paspoort kan worden afgehaald, is het soms nog niet goed: ‘Een paspoort dat door de scanner in het ene land wordt herkend, kan in een ander land niet worden herkend.’ Er is een Amsterdammer met een gloednieuw paspoort en een fikse bos haar, die maar beter niet naar Amerika of Maleisië kan gaan. Amsterdam besloot deze week om zijn paspoort toch maar te verstrekken, terwijl het controlerende bedrijf Sdu Identification had laten weten dat de biometrische scan van de aanvrager was mislukt. Zijn haardos stond te groot op de pasfoto. Vier dagen na de officiële introductie moeten nog meer mensen rondlopen met een hagelnieuw paspoort dat in sommige landen voor problemen kan zorgen. ,,Die onduidelijkheid is heel vervelend. We weten niet wat we de mensen moeten vertellen. Een paspoort dat door de apparatuur in bijvoorbeeld Zwitserland geen probleem oplevert, kan in weer een ander land toch niet herkend worden,” zegt Richard Caen van de gemeente Amsterdam. Een inwoner van Haarlemmermeer mocht deze week kiezen toen hij zijn paspoort kwam afhalen. ,,We vertelden dat z’n paspoort geldig was, maar dat hij mogelijk in de Verenigde Staten een extra controle zou krijgen omdat de scan op zijn paspoort niet was gelukt,’’ zegt woordvoerder Bob Kiel. De man koos voor een nieuwe pas. Die onduidelijkheid en de aanhoudende chaos over beoordeling van de pasfoto’s zijn voor de Nederlandse Vereniging van Burgerzaken reden vandaag bij Binnenlandse Zaken spoedoverleg te 26
Anne Urai V6D
voeren. ,,Het gaat niet goed. De fotografen weten niet meer wat ze moeten doen en bij de balies zijn de wachtrijen nog steeds veel te lang. Hier moet echt verandering in komen,” zegt voorzitter Kees Meesters. Ook zijn afdeling in Rotterdam stuurt nog dagelijks tientallen mensen weg omdat hun pasfoto’s niet exact volgens de eisen zijn gemaakt. Door OLOF VAN JOOLEN AXEL VELDHUIJZEN 2006: het jaar van het biometrisch paspoort Nederlanders krijgen vanaf augustus 2006 een paspoort met een radiochip met een digitale foto. Later volgt hun vingerafdruk. Deze gegevens komen ook in een centrale databank. Netkwesties sprak met critici, ook met de baas van de Amerikaanse paspoorten, over nut en gevaren. Het Nederlandse paspoort krijgt vanaf volgend jaar een RFID-chip die draadloos kan communiceren met de computer van de douane. Op de chip staat in eerste instantie alleen een digitale gezichtsfoto. Het gezicht voor de scanner wordt gecontroleerd met het gezicht op de chip. Over een paar jaar volgen de digitale afbeeldingen van twee vingerafdrukken. De invoering van RFID-chip in het paspoort komt voort uit een eis van de Verenigde Staten, na de aanslagen van 11 september 2001. Maar de plan voor een biometrische identiteitsvereiste lag er al langer, vertelde de baas van de Amerikaanse paspoorten, Frank Moss, onlangs tijdens een klein congres met internationale experts op het gebied van elektronische paspoorten in de Beurs van Berlage in Amsterdam. "Een paar jaar geleden dacht ik dat we het elektronische paspoort in een jaar tijd zouden kunnen invoeren, maar als ik één ding heb geleerd dan is het wel dat het allemaal langer duurt. De verwachtingen die de biometrie-industrie schepte konden niet waar gemaakt worden," aldus Moss. Maar in 2006 is het dan echt zo ver: Amerika laat alleen nog reizigers zonder visa toe uit landen die op 25 oktober 2006 zijn begonnen met het invoeren van biometrische paspoorten. Alle EUlanden spraken in een verordening van december 2004 af de paspoorten uiterlijk vanaf augustus 2006 te voorzien van de draadloze chips. Nederland zit achterin de middenmoot bij de invoering van het e-paspoort. De deadline voor het Nederlandse e-paspoort is eind augustus. Maar diverse buurlanden zijn al klaar: België (november 2004) en Duitsland (november 2005) geven al paspoorten met chips uit. Kritiek op leveranciers Moss leverde in Amsterdam felle kritiek op de leveranciers van biometrische technologie. "Biometrie is maar een gereedschap, geen doel op zich. Ik heb alle leveranciers van alles zien beloven, maar niet als ze het op grote schaal ingevoerd moet worden. Ze moeten sneller leveren en schaalbaar. Als mensen er geen vertrouwen in hebben dat gegevens niet te onderscheppen zijn, dan brengt dat dit soort projecten en dus ook de hele biometrie-industrie in gevaar. We moeten geen claims maken als zou 11 september-kaper Mohammed Atta dankzij biometrie gepakt zijn voordat hij een aanslag pleegde. Biometrieleveranciers moeten minder beloftes maken en meer leveren dan ze beloven," aldus Moss. 27
Anne Urai V6D
Het grootste probleem bij de invoering van het e-paspoort is de beveiliging van alle techniek. Eind februari 2005 werd de Europese Commissie het eens over de technische details van het nieuwe paspoort. Die sluiten aan bij eerdere standaarden die zijn gemaakt door de ICAO, de International Civil Airline Organisation. De beveiliging beslaat tenminste drie onderdelen: 1) De zogeheten 'basic access control', die ervoor moet zorgen dat de houder van het paspoort deze ook echt moet overhandigen voordat de informatie op de chip kan worden uitgelezen. De chip op het paspoort wordt alleen uitgelezen als de cryptografische sleutel klopt. Die sleutel wordt afgeleid uit de variabelen die op het papieren paspoort staan: geboortedatum, vervaldatum en paspoortnummer. Deze staan op de zogeheten machine readable zone (mrz), het deel van het paspoort dat door een scanapparaat gelezen kan worden. Geboortedatum, vervaldatum en paspoortnummer vormen samen de sleutel. Kloppen ze alle drie dan krijgt de computer toegang tot de bestanden op de chip. 2) Ten tweede wordt het vervalsen van paspoorten tegengegaan door de controle van de elektronische handtekening van het veiligheidsdocument. Deze handtekening bestaat uit hashcodes die worden gegenereerd uit de belangrijke gegevens op het paspoort, en bevat een sleutel uitgegeven door het land waarbij het paspoort hoort. Die sleutel moet elke drie maanden worden ververst. 3) De derde beveiligingslaag zijn EU-landen niet verplicht in te voeren, maar Nederland doet dat wel. Het is een extra sleutel die de chip meekrijgt, waardoor een extra hashcode ontstaat. Op termijn voegt de controle van de vingerafdruk nog een nieuw beveiligingselement toe. Samenvattend kunnen de biometrische gegevens worden uitgelezen als al deze elementen er zijn: certificaat van SDU (de producent van de paspoorten) een publieke sleutel voor de controle van de echtheid van de pas de hashcodes die bij alle gegevens op het paspoort horen (geboortedatum, vervaldatum, paspoortnummer etc) • de elektronische handtekening (ook geleverd door SDU) • • •
Het bestand met de gezichtsfoto krijgt in eerste instantie geen eigen beveiliging, voor het bestand met de vingerafdruk zal dat waarschijnlijk wel gebeuren. Wie deze allemaal heeft zou theoretisch een niet van echt te onderscheiden digitale kopie van het paspoort kunnen maken. Look-a-like-fraude De reden om het biometrische paspoort in te voeren is vooral het tegengaan van zogeheten look-a-like fraude: dat mensen reizen op het paspoort van anderen. Amerika vermoedt dat vooral criminelen en terroristen dat doen. In Amerika is de controle van look-a-like fraude nog moeilijker vanwege de kwetsbaarheid van de Amerikaanse grenzen, die jaarlijks 129 miljoen keer worden overgestoken. De VS tellen nu ook 661.000 nummers van paspoorten die verloren of gestolen zijn, 10 procent van de totale database op dit gebied van Interpol. Volgens Moss heeft de VS ook 50.000 namen van vermisten of andere personen die gezocht worden door opsporingsdiensten.
28
Anne Urai V6D
De uitgifte van nieuwe paspoorten in de VS stijgt door de nieuwe vereisten: in 2005 10,5 miljoen nieuwe paspoorten, in 2006 12 miljoen, in 2007 14 miljoen en mogelijk 17 miljoen in 2008, zo vertelde Moss. Over een paar jaar moet wellicht wederom vernieuwing plaatsvinden. In de toekomst willen de VS extra kenmerken toevoegen, wat een chipgeheugen van tenminste 64kb vereist. De eerste veldtesten met het e-paspoort zijn al in juni gedaan de VS, Australië, Nieuw-Zeeland en Singapore, die al RFID-paspoorten hebben. Sommige luchthavens, zoals van Minneapolis en San Francisco, testen het gebruik van RFID-paspoorten. De biometrische gegevens gaan Amerika's eigen databank in. In zekere zin zijn de paspoorten al digitaal: de overheid heeft al jarenlang een databank met alle gegevens die bij uitgegeven paspoorten horen. In Amerika heeft deze databank, het Passport Records Imaging System Management, volgens Moss ingescande foto's van paspoortaanvragen sinds 1994. PR-strijd Amerikaanse douane Moss wil animo kweken: "Ik wil duidelijk maken dat de gegevens op de chip grotendeels hetzelfde zijn al nu op het papieren paspoort. Je moet blijven duidelijk maken welke gegevens er niet opkomen: geen vluchtgegevens, geen sociale data. Persoonlijke privacy van de burgers is beschermd door een zware technische beveiliging zodat mensen niet te volgen zijn." Moss blijkt vol vertrouwen over een goede afloop. "Ik zal een volledig werkend biometrisch paspoort hebben voor 30 miljoen mensen tegen aanstaande oktober 2006. Als alles goed gaat," zei Moss tegen Netkwesties. Databank ter discussie Europa volgt Amerika gehoorzaam. Het Europees Parlement (EP) heeft op 2 december 2004 ingestemd met de opname van een gelaatsscan in paspoorten. Het Europees Parlement vond toen nog dat de opname van vingerafdrukken facultatief moet blijven. Maar die mening is herzien. Het Europees Parlement verzette zich destijds ook tegen de centrale database met paspoortdata, vanwege risico voor misbruik. Het EP vermeldt ook nadrukkelijk dat de biometrische gegevens uitsluitend mogen worden gebruikt ter verificatie van de echtheid van documenten en voor het vaststellen van de identiteit van paspoorthouders. Maar landen mogen zo'n online biometrische databank gekoppeld aan het paspoort wel zelf invoeren. En Nederland is, naar nu blijkt, een van de weinige landen waar de regering al heeft verklaard zo'n online databank te willen invoeren. Netkwesties sprak Sjef Broekhaar, de baas van het Bureau Persoonsregistratie en Reisdocumenten, er tijdens het congres in Amsterdam op aan, maar hij liet het bij: "De politiek moet beslissen of er een centrale databank komt of niet. Ik kan als ambtenaar alleen uitvoeren." In eerste instantie was het de bedoeling om het e-paspoort alleen te gebruiken om te verifiëren dat reisdocument en houder bij elkaar horen. Een 'beperkte toepassing' van biometrie, noemde de verantwoordelijke minister Van Boxtel dat nog in 2002 bij de wijziging van de paspoortwet. Maar begin 2005 trad er een verschuiving in het regeringsstandpunt op. Ministers Donner en Remkes stuurden op 24 januari 2005 een brief naar de Kamer over terreurbestrijding. Daarin staat dat er een nationale databank met biometrische data van paspoorten komt met als doel 29
Anne Urai V6D
mensen te identificeren. "De mogelijkheid ontstaat om de identiteit tevens online te verifiëren. Dit veronderstelt dat de administraties van de identiteitsdocumenten met biometrische kenmerken centraal zijn georganiseerd. Aldus kan het groeiende aantal gevallen van de zogenaamde look-alike-fraude, waarvan ook terroristen gebruik kunnen maken, worden tegen gegaan," aldus de bewindslieden. De volgende stap is de brief van minister Pechtold op 18 april 2005 aan de Tweede Kamer: "De vorming van een centrale reisdocumentenadministratie waar on line de gegevens van de reisdocumenten geverifieerd kunnen worden zal in een wetsvoorstel worden geregeld." Pechtold noemt drie redenen: meer zekerheid over de identiteit van de paspoorthouder en de echtheid van het reisdocument; • controle van de echtheid van de gegevens op het paspoort; • een extra controle rond het aanvragen van paspoorten. •
De drie redenen die Pechtold noemt gaan volgens Bart Jacobs, expert in computertechniek en beveiliging aan de Radboud Universiteit van Nijmegen niet op. "Een centrale databank geeft geen extra betrouwbaarheid, want het bevat dezelfde biometrische gegevens als die op de chip op het paspoort staan. Dit gaat alleen op als de chip op het reisdocument kapot is." Volgens Jacobs kan de authenticiteit van het document ook offline worden aangetoond via de bestaande mechanismen. "Daarom zijn die nu juist ingevoerd. Als je beveiligingstechnieken kennelijk niet vertrouwt, moet je ze helemaal niet gebruiken." Ook vindt Jacobs het argument van de extra controle bij de paspoortaanvraag curieus, want die aanvraag doet de burger lokaal. "Zelfs al zou je zo'n controle willen uitoefenen, kan een lichtgewicht centrale databank bij de paspoortfabrikant die alleen abstracte biometrische data bevat, door middel van hashing, misbruik al genoeg voorkomen." 'Vragen om problemen' "Dit is vragen om problemen. Zo'n databank zal een erg aanlokkelijk doelwit zijn voor hackers die werken voor de georganiseerde misdaad. Inbraak veroorzaakt een nationale ramp. Onbegrijpelijk dat de Nederlandse overheid dergelijke risico's wil nemen." En het is een volgende stap in latente privacyschending, indien de databanken worden gekoppeld voor identificatie. "De situatie in Nederland was eerst heel redelijk, maar veranderde naar radicaal. Het argument is simpel: terrorisme", weet Jacobs. Zijn collega Jaap-Henk Hoepman, ook van de Radboud Universiteit, vindt de databank gevaarlijk: "Een centrale database schreeuwt gewoon om een function creep: de politie krijgt toegang tot de database bij het vinden van vingerafdrukken bij een zwaar misdrijf, bijvoorbeeld." "Voor het paspoort bestaan natuurlijk al centrale databanken met de gegevens," zegt Marc Witteman van het onderzoeksbureau Riscure, gespecialiseerd in de beveiliging van chips en smartcards. "Als er technisch geen goede reden voor is om dit in te voeren, dan doe je dat niet." Draadloos zwaard van Damocles 30
Anne Urai V6D
Niet alleen de databank, ook de draadloze communicatie van de chip zelf vormt een doelwit van hackers. Het was een van de verrassingen waar Amerika zich volgens Frank Moss voor geplaatst zag: "We kwamen erachter dat je draadloze communicatie van een veel grotere afstand kunt opvangen dan we hadden verwacht. Vanaf meer dan tien meter zelfs. Daardoor hebben we een betere beveiliging nodig." De RFID-chips hebben nog een probleem: ze hebben een uniek typenummer, zeg maar een IPadres. Moss: "Een chip heeft op dit moment een soort statisch IP-adres. Dat is altijd hetzelfde op de chip. Als je weet dat een chip met een bepaald nummer bij een bepaalde persoon hoort, kun je die persoon dus telkens herkennen. Je zou iemand zo kunnen volgen. Dus variëren we de ID-nummers van de chip." Voor Nederland werkt SDU aan een oplossing voor het unieke chipnummerprobleem, maar duidelijkheid is er nog niet over. "Deze problematiek is zowel binnen de Europese Unie als binnen ICAO aangekaart. Het overleg binnen deze gremia is nog gaande," antwoordde het ministerie van Binnenlandse Zaken vorige maand op vragen van Netkwesties hierover. Formule paspoortnummers gekraakt Afgelopen zomer bleek dat de versleuteling van de biometrische gegevens op de chip relatief makkelijk te kraken valt bij een lage encryptie. Het onderzoeksbureau Riscure ontdekte dat de Nederlandse paspoortnummers op volgorde van uitgifte worden bepaald. Oftewel: de persoon die na jouw een paspoort krijgt heeft één nummertje hoger. Riscure kon uiteindelijk daarmee de versleuteling kraken. Dit was volgens Riscure mogelijk geweest met de beperkte versleuteling (64bits of lager) die Nederland in de testversie van het nieuwe paspoort gebruikte. Een hacker krijgt daarmee zeer veel persoonsdata. Binnenlandse Zaken raakte in augustus na de publiciteit over Wittemans ontdekking in gesprek met Riscure, en moest antwoord op kamervragen geven. Volgens minister Pechtold wordt het uiteindelijke paspoort veiliger dan de testversie. Riscures bevindingen kwamen wel aan de orde in het zogeheten 'Comité van experts' die de Europese Commissie ondersteunt bij het opstellen van technische specificaties. De ICAO bestudeert nog welke extra beveiligingsmaatregelen er nodig zijn. Buitenkant van metaal Frank Moss over dit eventuele probleem in de VS: "Ik realiseerde me niet dat een paspoortnummer ook een potentieel probleem zou kunnen zijn, maar we hebben als voorzorg ook anti-skimming-apparaten in gebruik, om te voorkomen dat de versleutelde gegevens op korte afstand draadloos kunnen worden opgevangen." Amerika overweegt het invoeren van een metalen buitenkant van het paspoort zodat er een 'kooi van Faraday' ontstaat waardoor de draadloze signalen bijna niet meer op een afstandje op te vangen zullen zijn. In feite wordt het paspoort dan een 'contactchip' die dichtbij het leesapparaat wordt gelezen in plaats van met lopen door een poortje. Dat maakt de invoering van draadloze techniek vrij nutteloos. Riscure zegt dat de inhoud van de draadloze communicatie ook door het opvangen en meten van de elektromagnetische stralen te herleiden zou kunnen zijn. High-tech crime is tot alles in staat.
31
Anne Urai V6D
Encryptie al kwetsbaar De meest logische oplossing lijkt het opvoeren van het encryptieniveau. De sleutels zelf zullen een encryptie hebben van 224 bits 'order of base point'. Voor het tekenproces wordt door overheden gewerkt met een encryptie van 256 bits. De baas van de Duitse paspoorten, Edgar Friedrich, zei tijdens het congres in Amsterdam, dat de Duitse ePass die sinds november 2005 wordt uitgegeven, gebruikmaakt van SHA-1 (Secure Hash Algorithm). In dat algoritme, ontworpen door de Amerikaanse National Security Agency (NSA), ontdekten Chinese wetenschappers kwetsbaarheden. Het kraken van de 224- en 256-bits beveiliging is nu onmogelijk voor betaalbare computers, maar dat verandert eens. Minister Pechtold beseft dat: "Ik verwacht niet dat deze 'race', gelet op de waarde van de reisdocumenten in het maatschappelijk verkeer, ooit zal ophouden te bestaan. Mijn beleid is er daarom op gericht om in de race voor te blijven door gebruik te maken van nieuwe technieken als die bruikbaar zijn gebleken." Simpele problemen met gezichtsherkenning De technische proeven met het nieuwe paspoort zijn in Nederland nog volop gaande. Het grootste experiment hield BZK tussen september 2004 en februari 2005 met 15.000 deelnemers in zes steden. Een aantal problemen kwam aan het licht: het maken van een digitale gezichtsfoto door gemeenten zelf is ondoenlijk. Burgers moeten zelf een pasfoto die aan veel meer eisen moet voldoen inleveren. En vooral bij jonge kinderen is het vrijwel onmogelijk om goede vingerafdrukken te maken. Ook bij de gezichtscan van kinderen treden problemen op omdat het gezicht van jonge kinderen in vrij korte tijd verandert. Binnenlandse Zaken zegt Netkwesties dat het technisch testen, en overleg met externe deskundigen, een doorlopend proces is. het departement bracht experts samen in een groep, waar ook criticasters als Bart Jacobs deel van uitmaken. Onlangs hield hij deze presentatie samen met zijn collega Wichers Schreur. Volgens Jacobs heeft BZK in het experiment met het nieuwe paspoort veel te weinig aandacht voor de verificatie van de identiteit van de testpersonen. Oftewel: de aandacht lag te weinig op hoeveel mensen er niet goed door het systeem werden herkend, ofwel mensen die niet werden herkend (false negative) of mensen die ten onrechte door mochten lopen (false positive). Het totale percentage verkeerd herkende mensen ligt ongeveer rond de 10 procent. Het experiment toonde aan dat er grote problemen zijn bij het herkennen van biometrische gegevens van personen jonger dan 12 of ouder dan 60. Jacobs: "En de gezichtscans zijn niet lang genoeg getest." Ook Marc Witteman is niet positief over de proef: "In die gebruikersproef zat helemaal niks nieuws. Iemand die een beetje verstand heeft van biometrie wist van die problemen tien jaar geleden al. Een gezicht kan al binnen anderhalf jaar wezenlijk veranderen. Kinderen en ouderen veranderen gewoon snel. Je hoeft geen wiskundige te zijn om dat te begrijpen." Een overgang van 2d-foto's naar een 3d-variant kan voor verbetering zorgen. Witteman: "Bij 3dgezichtsherkenning kijkt de computer vooral naar de vorm van je hoofd en die verandert niet zo gek veel. Maar voor grootschalige toepassing zijn 3d-scans nu nog een brug te ver." In een aantal dingen lijkt nog niet te zijn voorzien, zoals het schrijven naar de chip voor bijvoorbeeld het toevoegen van kinderen of visa op hetzelfde paspoort. "Ook is er geen 32
Anne Urai V6D
zekerheid dat er niet stiekem toch backdoors in het systeem zitten. Geheime toegang zou echter wel waargenomen kunnen worden als je het in de gaten zou houden," aldus Jacobs. Volgens Jacobs zijn de protocollen voor de biometrische paspoorten niet duidelijk genoeg over abnormale situaties. "De invoering is technisch niet zo moeilijk, maar er zijn veel details." Zijn conclusie: de zwakste schakel is de Basic Access Controle, mede door de problemen die Riscure aankaartte. Marc Witteman reageert op de uitspraak van nieuwe paspoortchef Sjef Broekhaar dat het e-paspoort niet te hacken zou worden: "Ik zou de discussie wel aandurven." Duitsland: grenscontrole inefficiënter Ook in Duitsland, waar het e-paspoort al is ingevoerd sinds november, kwamen bij het experiment BioP-II van de Duitse overheid (PDF) problemen naar voren: het ontwerp en de bediening van de leesapparaten moet sterk worden verbeterd. De systemen werken alleen naar tevredenheid bij mensen die extreem veel reizen, omdat die zich goed hebben ingesteld op de werking van het apparaat, zo luidde een van de andere conclusies. "Gezichtsherkenning is überhaupt nog niet in de praktijk inzetbaar," zegt Constanze Kurz. "We zien nog steeds foutmarges van tussen de 3 en 23 procent. Bij irisscans werd tijdens de experimenten vrijwel niemand herkend. Personen die weinig reizen, worden niet goed herkend." Volgens Kurz, werkzaam bij het Instituut voor Informatica aan de Humboldt Universiteit in Berlijn was de proef niet representatief omdat de testgroep alleen uit beroepsmatige reizigers bestond: daarvan is 70 procent gemakkelijk te herkennen mannen. Slechts 1 procent betrof ouderen, vaak veel moeilijker te herkennen en 30 procent van de bevolking uitmakend. Vijf procent van de Duitse testdeelnemers moest door een systeemfout voor een tweede keer geregistreerd worden: kostbaar en tijdrovend. Genomen over de hele bevolking zou dat volgens Kurz betekenen dat voor honderdduizend Duitsers een extra paspoort gemaakt moet worden omdat er iets fout is gegaan. Ook bij een kapotte chip ontstaan er problemen. Kurz meent: "Dit alles maakt de invoering van zo'n dure technologie tamelijk onzinnig. Wij hebben al een zeer veilig papieren paspoort. Die hele toevoeging van biometrie leidt tot potentiële afluisterpraktijken en had gewoon weggelaten moeten worden." Kurz en haar collega's onderzoeken momenteel op hoeveel meter de RFID-communicatie op te vangen zal zijn. "Drie meter is erg makkelijk, in laboratoria is 50 meter mogelijk. Wij zullen proberen vanuit de parkeerplaats van een vliegveld gegevens op te vangen. Wij zullen niet de enige zijn die hierin interesse hebben. Ook geheime diensten en mensen die uit zijn op geldelijk gewin willen vast graag RFID-signalen aftappen. Het e-paspoort is door de EU besloten, op een niet-democratische manier. Er is totaal geen maatschappelijk debat geweest over de invoering van RFID-paspoorten." Ook Tobias Straub, die het Duitse paspoort als medewerker van FlexSecure mede ontwikkelde en het nu aan onderzoek onderwerpt bij het Fraunhofer Instutut, uitte in onder meer Heise al de nodige kritiek. Volgens de biometriedeskundige levert het e-paspoort geen efficiëntere grenscontroles op. Omdat er twee systemen gebruikt moeten worden duurt de hele procedure nogal een tijdje. Koppelingen op til 33
Anne Urai V6D
Een centrale biometrische databank doet Maurice Wessling van Bits of Freedom huiveren: "Een centrale databank kan ook de identificatieplicht ondersteunen. Als je wordt aangehouden zonder licht en je hebt je paspoort niet bij je, dan moet je mee naar bureau om je vinger te vergeleken met de databank. Dat kan zelfs op straat als agenten mobiele vingerscanners krijgen." En hij vraagt zich af in hoeverre dit door het bedrijfsleven gebruikt kan worden. Immers, ook het burgerservicenummer, de ov-chipkaart en het elektronisch patiëntendossier wekken argwaan: "Ook daarbij is er sprake van dat het bedrijfsleven toegang zou kunnen krijgen. Minister Zalm van Financiën praat al met banken en verzekeraars zodat die gegevens die bij een burgerservicenummer horen zouden kunnen opvragen." Ook de oudgediende hacker Rop Gongrijp is pessimistisch over dit soort ontwikkelingen. "Eerst het RFID-paspoort en straks staat op de OV-chipkaart waar je geweest bent, wat komt hierna? Het volgen van alle auto's met chips in verband met rekeningrijden en cameratoezicht elke 100 meter in de straten? Het lijkt wel alsof in Nederland niks te gek is. Het moet eerst flink misgaan, willen mensen realiseren dat we te ver zijn doorgeslagen. Nederland is erger dan andere landen in veel opzichten, dat maakt het zo naargeestig. In Amerika zijn mensen mondiger. Daar zie je al langzaam het verzet tegen afluister- en spionagepraktijken op gang komen." 'Biometrie is overschat' Jacobs vindt sowieso dat biometrie wordt overschat. "Het is een domme aanpak: hetzelfde paspoort wordt overal gebruikt. Op grootschalig gebruik van biometrie is nog niemand op voorbereid. Ik verwacht substantiële aantallen foutieve identificaties. Het doel, het identificeren van mensen, wordt door biometrie ondermijnd als de e-paspoorten worden gebruikt in andere diensten en als veel ongehoorzame burgers hun vingerafdrukken op internet zouden zetten uit protest tegen privacyschending." Paspoortfraude zal door het nieuwe paspoort wel moeilijker worden, maar terrorisme of slimme hackers houdt het niet tegen. "De weinigen die erin slagen het systeem te kraken, zullen ook meer macht dan ooit tevoren krijgen, misschien zelfs hun eigen passen kunnen uitgeven? Terrorisme zal het niet stoppen, want terroristen gaan altijd voor de makkelijke doelen. En ze reizen gewoon op geldige paspoorten. Het e-paspoort zal hooguit helpen om domme criminelen te pakken of af te schrikken." Vingerafdrukken te fingeren Als over ongeveer twee jaar de vingerafdrukken ook op het e-paspoort komen, speelt ook een ander probleem op: vingerafdrukken zijn gemakkelijk na te maken. Ton van der Putte van Atos Origin vervalst al meer dan tien jaar alle vingerafdrukscanners op simpele wijze, zelfs als de vingerafdrukken zijn achtergelaten op een glas, kan Van der Putte met goedkope materialen een nepvingerafdruk maken. Die plakt hij met een laagje kunststof op zijn echte vinger. Van der Putte kan ook vingerafdrukken fysiek namaken van een digitale afbeelding. Met behulp van een printer is een goede kopie te maken van de vingerafdrukken, zo toonde Van der Putte afgelopen zomer al op What The Hack. Dus ontstaat het risico, indien de vingerafdruk wel als enige of zwaarste bewijslast geldt, dat een onschuldige verdachte voor de taak staat om zijn onschuld te bewijzen. Een gehackt paspoort maakt dat probleem van omgekeerde bewijslast reëel, aldus Constanze Kurz. "Zo'n 34
Anne Urai V6D
scenario klinkt nu nog vergezocht. Maar dat klonk de gedachte dat de politie overal op afstand kan controleren welke naam er bij een vingerafdruk hoort ooit ook..." [Tonie van Ringelestijn, 6 januari 2006] http://www.netkwesties.nl/editie138/artikel1.html Paspoortgegevens zijn niet langer privé Renske Huysing Vijf vragen Het biometrische paspoort komt eraan en de Kamer praat over een voorstel voor centrale opslag van paspoortgegevens. Matt Poelmans is directeur van
[email protected], een onafhankelijk forum dat de digitale overheid kritisch volgt. 1 Maakt het biometrische paspoort de wereld veiliger? Het heeft een chip met de persoonsgegevens en een digitale foto. Het zijn toevoegingen waardoor het document niet zo eenvoudig is na te maken. Paspoortcontrole met behulp van biometrie is een nieuwe methode waar we weinig ervaring mee hebben. En niet iedereen die kwaad wil, gebruikt een valse pas. Met de technologie kun je aanslagen dan ook niet voorkomen. 2 Wat gaat er in de praktijk veranderen? Bij een pascontrole worden de gegevens op de chip vergeleken met de foto en de kenmerken van de persoon die aan de balie staat. Bij een strenge controle worden veel onschuldigen tegengehouden, dat is gebleken tijdens proeven op Schiphol. De overheid wil alle paspoortgegevens opslaan in een centraal bestand. Wij zijn niet overtuigd dat dat noodzakelijk is om de veiligheid van burgers te garanderen. Sterker: het risico dat hun gegevens voor andere doeleinden worden gebruikt, neemt toe. De politie in Apeldoorn gebruikte beveiligingscameras om parkeerboetes uit te delen. 3 Waarom dan die maatregelen? Sinds elf september 2001 is de druk om veiligheid te garanderen toegenomen. Regeringen vragen meer bevoegdheden en krijgen die ook. Ze treffen maatregelen om veiligheid te waarborgen, maar daarmee neemt ook het risico op misbruik toe. In 2004 besloot de EU dat er een biometrisch paspoort moest komen. Ook de Verenigde Staten zien het als noodzakelijk. Het is een ingrijpende verandering terwijl we in Nederland beter een grootschalige proef met het biometrisch paspoort kunnen doen, om de kinderziektes uit het systeem te halen. 4 U heeft een brief aan de parlementariërs geschreven. Wat stond er in? We roepen op tot een fundamentele discussie over de komst van een centraal bestand met persoonsgegevens. En als die er komt, is het van belang dat burgers kunnen inzien welke gegevens de overheid opslaat. Ook moeten ze kunnen nagaan waarvoor de overheidsinstanties hun gegevens gebruiken en wie er toegang tot hebben. Als de informatie niet klopt, moeten burgers weten waar ze terecht kunnen om die gegevens te corrigeren en bovendien moeten ze ergens terecht kunnen met klachten.
35
Anne Urai V6D
5 Vinden mensen veiligheid niet belangrijker dan hun privacy? Veiligheid is op dit moment een belangrijk thema en veel mensen redeneren dat ze toch niets te verbergen hebben. Maar als veiligheid betekent dat mensen op steeds meer fronten in de gaten gehouden worden, gaat dat ten koste van de vrijheid in dit land. Het is aan de politiek om de juiste balans te vinden. Trouw, 24-08-2006
Centrale opslag paspoortgegevens doelwit vriminelen David Davidson De overheid wil een centrale database voor de digitale foto en vingerafdrukken van het nieuwe biometrisch paspoort. Dat wordt een doelwit van kwaadwillenden, voorspellen experts. Dit najaar komt minister Pechtold (bestuurlijke vernieuwing) met een wetsvoorstel waarin de centrale opslag van persoonsgegevens geregeld wordt. Pechtold vindt dat nodig om altijd na te kunnen gaan of persoon en paspoort bij elkaar horen, ook als er met het paspoort gerommeld wordt. Bovendien komen valse paspoorten niet in de landelijke database voor. Zodoende valt de echtheid van het paspoort te controleren. Volgens Jaap-Henk Hoepman, onderzoeker computerbeveiliging aan de Nijmeegse Radboud Universiteit, zijn dit valse argumenten. Een centrale opslag is een absurd idee, dat niets te maken heeft met het beveiligen van het paspoort. De gegevens op de chip zijn volgens hem niet zomaar te veranderen door fraudeurs: Over de persoonsgegevens wordt bij uitgifte een digitale handtekening gezet door de overheid. Gegevens veranderen in de chip zonder deze handtekening teniet te doen, of er zelf een plaatsen is niet mogelijk. De beveiliging op de chip is afdoende en maakt een centrale opslag van persoonsgegevens overbodig. Hij vermoedt dat de aanleg van de database een voorbereiding is op een volgende stap, namelijk gebruik voor identificatie. Met een centrale database wordt het mogelijk om achter iemands identiteit te komen, zonder dat diegene een paspoort bij zich heeft. Een scan van gezicht of vingertop is voldoende. Verder is onduidelijk wie allemaal toegang tot het systeem krijgt. Doet de politie straks ook een beroep op de database bij zware misdrijven? In de toekomst is zelfs identificatie en opsporing van mensen door camera's mogelijk. Behalve dat de privacy in het geding is, is het volgens Hoepman gevaarlijk om een centrale database aan te leggen en deze voor identificatiedoeleinden te gebruiken. Een systeem dat vanaf veel plekken te raadplegen is, is kwetsbaar voor hackers. Hoe meer koppelingen, hoe meer plekken er zijn waar vandaan ingebroken kan worden in het systeem. Bemachtigen van deze gegevens kan iemand een identiteit verschaffen. De verwachting is dat biometrische gegevens in de toekomst ook gebruikt zullen worden voor het beveiligen van online bankieren, of het aanvragen van een uitkering. Terroristen en criminelen zal er alles aan gelegen zijn om de gegevens te bemachtigen. Als dat lukt dan is de database de grootst mogelijke bron van fraude, in plaats van dat hij fraude voorkomt.
36
Anne Urai V6D
Marc Witteman van onderzoeksbureau Riscure zegt dat de centrale database moet voorkomen dat mensen de scan ontlopen. Zijn bureau legde vorig jaar tekortkomingen in de beveiliging van het nieuwe Nederlandse paspoort bloot. Een kwaadwillende kan de gelaatsscan ontlopen door simpelweg de RFID-chip op zijn paspoort kapot te maken. Douaniers zijn dan verplicht om pasfoto en persoon op de aloude manier met elkaar te vergelijken: op het oog. biometrisch paspoort naar centrale database In 2002 werd aangekondigd dat het Nederlandse paspoort een chip zou krijgen, met daarop biometrische gegevens. Een scan van gezicht of vingertop moet overeen komen met de digitale foto van gelaat of vingerafdrukken op de chip van het paspoort. De kenmerken zouden decentraal worden opgeslagen en verspreiding zou worden tegengegaan. Oftewel: de gegevens op de chip zijn enkel bekend in de Gemeentelijke Basis Administratie, waar ze ook moeten blijven. In januari 2005 lieten de ministers Remkes en Donner in hun terrorismebrief aan de Tweede Kamer voor het eerst weten dat er wel degelijk plannen voor een centrale opslag bestaan. In februari gaf Pechtold aan dit najaar met een wetsvoorstel te komen. Het paspoort met digitale persoonskenmerken komt voort uit een eis van de Verenigde Staten. Criminelen en terroristen komen volgens de Amerikanen te makkelijk weg met 'look-a-like fraude'. Trouw, 27-04-2006
37
Anne Urai V6D
Deel 2 Samenvattingen en feitenlijstje
38
Anne Urai V6D
Nr 1
Titel Terugstaren naar het oog van de douane
2
Grote problemen nieuw paspoort Een bolle toet is biometrisch niet handig
3
4
Nooit meer Cheese!
5
'Overheid tast privacy onnodig aan' Nicolaï: Eisen pasfoto niet versoepeld Het nieuwe identificeren
6 7 8
9 10
Schiphol voert strengere paspoortcontrole in 'Lachen mag best, geen gekke bekken' Scans nieuw paspoort mislukken
11
2006: het jaar van het biometrisch paspoort
12
Paspoortgegevens zijn niet langer privé 'Centrale opslag paspoortgegevens doelwit criminelen'
13
Schrijver Menno Steketee
Bron NRC
Datum 30-012003
Strekking Privium, toepassingen
Wrd 768
NRC
02-092006 31 augustu s 2006
Problemen fotos, foute paspoorten Problemen foto’s
424
Ron Meerhof
VK
Michael Persson en Jeroen Trommelen Wilco Dekker
VK
19 juli 2006
Veel twijfel, fraudegevoelig, privacy, duur
1819
VK
26 mei 2005
Privacy komt in gevaar meldt CBP
353
Carina van Aartsen
Elsevier
1 09 2006
Paspoorteisen gewoon wennen
560
Robert Stiphout
Elsvier
16 08 2004
1507
Ingrid van der Chijs
Elsevier
14 juli 2006
Privium, veel mogelijkheden, toegang publiek, veilig, tegen terrorisme, Nieuw paspoort zorgt voor veiligere grenzen
Yvonne Wiggers
AD
01-092006
Interview Nicolai: niks aan de hand met foto’s
362
Olof van Joolen en Axel Veldhuijzen Tonie van Ringelestijn
AD
01-092006
Sommige paspoorten kunnen in bepaalde landen niet gelezen worden
304
http:// www.ne tkwesti es.nl/ed itie138/ artikel1 .html Trouw
6 01 2006
Voors en tegens, experts
3864
24-082006
Interview Matt Poelmans,
[email protected] -> veel risico
460
Trouw
27-042006
Centrale database is fraudegevoelig
635
Renske Huysing David Davidson
39
783
311
Anne Urai V6D
1. Bij Privium kunnen luchthavenbezoekers een irisscan laten maken, die alleen op een pasje komt te staan. Op Schiphol worden deze gegevens gecombineerd met een snelle irisscan, en kunnen luchthavenbezoekers sneller inchecken. Er zijn vele toepassingen van biometrie: vinger, handafdrukken, gezichtsscan, typritme; niks is in theorie waterdicht. Toch zal biometrie op grote schaal gebruikt gaan worden, als back-up voor de twijfelende marechaussee. 2. Gemeenten krijgen paspoorten binnen van producent SDU Identification die niet voldoen aan de wettelijke normen. Deze worden volgens de Nederlandse Vereniging voor Burgerzaken (NVVB) toch overhandigd aan de burger, waardoor mogelijk toegang tot de USA wordt geweigerd. Het gaat om opstartproblemen met foto’s. 3. Veel problemen met foto’s voor het nieuwe paspoort zijn te wijten aan de combinatie van eisen, die soms niet kunnen worden toegepast. Bij baby’s of ronde hoofden is het vaak onmogelijk een goede foto te maken. Fotografen moeten wennen, maar ambtenaren interpreteren de regels ook fout of verzinnen er zelf nieuwe bij. Dat de voorbeeld foto’s op de site van het ministerie niet aan alle regels voldoen, helpt ook niet. 4. Onder druk van de VS voert Europa het biometrisch paspoort in, maar een gelaatsscan is niet zo geschikt om iemand te herkennen. Vingerafdrukken kunnen look-alike-fraude beter tegengaan. Om te voorkomen dat gegevens ongemerkt worden afgelezen, worden ze versleuteld met een unieke code. Omdat hackers erin zijn geslaagd deze te kraken wordt de beveiliging extra verscherpt. Bij vingerafdrukken wordt de beveiliging beter. Er is veel protest tegen de opslag van biometrische gegevens in een centrale database. Deze kan 24 uur per dag door oa het openbaar ministerie en de politie worden geraadpleegd. De USA zal biometrische gegevens gebruiken in hun strijd tegen terrorisme, waardoor privacy ernstig wordt aangetast. Ook gegevens van buitenlandse bezoekers zullen worden opgeslagen en onderzocht. AH overweegt een nieuwe bonuskaart, waarop veel persoonlijke gegevens worden opgeslagen. Winkelgedrag en aankopen die nu al worden opgeslagen kunnen gebruikt worden door andere instanties dan AH, bijvoorbeeld door opsporingsinstanties. 5. Volgens bestuurders en politici moeten de privacyregels worden aangepast om effectief te kunnen optreden tegen onder meer terrorisme en fraude. Maar dat is volgens het CBP vaak een schaamlap om de eigen onkunde - zoals het gebrek aan samenwerking tussen overheidsinstanties - te maskeren. 6. Sdu geeft een foute biometrische scan terug aan de gemeente, die deze kan vernietigen of toch verstrekken met het risico op geweigerde toegang tot sommige landen. De Nederlandse Vereniging Voor Burgerzaken wil een versoepeling van de eisen voor de foto’s, maar het ministerie denkt dat gemeenten gewoon nog moeten wennen aan het nieuwe paspoort. 7. Op Schiphol kunnen gebruikers rijen omzeilen door gebruik te maken van de biometrische Privium-pas. Biometrie wordt ook gebruikt bij bedrijven, in havens en in de verslavingszorg. In Europa wordt een biometrisch paspoort ingevoerd, met vele toepassingen. Er komt een vingerafdruk en een gelaatsscan op. Een irisscan is nog betrouwbaarder, maar volgens internationale afspraken komen er eerst vingerafdrukken en een gelaatsscan op. In enkele Nederlandse steden zijn al testen met het biometrisch paspoort. Het huidige paspoort is te fraudegevoelig, en SDU verklaart dat de privacy onaangetast blijft. Dit paspoort kan terrorisme voorkomen, omdat terroristen moeilijker onder een valse identiteit kunnen reizen en mensensmokkel wordt tegengegaan. Het Nationaal Bureau Documenten - het expertisecentrum op het terrein van bestrijding van fraude met reisdocumenten - ontdekt ongeveer 3 op de tien valse documenten tussen alle aangevraagde. Het vervalsen van ‘normale’ paspoorten is te makkelijk. Om dit tegen te gaan, heeft biometrie de toekomst. Ook lookalike-fraude kan beter worden bestreden. Toch kan biometrie de criminaliteit nooit volledig tegengaan, en moet er altijd gekeken worden naar de echtheidskenmerken van reisdocumenten. 8. Op Schiphol zijn nieuwe apparaten ingevoerd waarmee paspoorten snel kunnen gecontroleerd op echtheidskenmerken. Ook kan de pasfoto worden uitvergroot, zodat er beter kan worden vergeleken met de persoon. De wachttijd bij de douane kan zo worden verkort. 40
Anne Urai V6D
9. Nicolaï zegt dat maar 1,5 van de pasfoto’s door SDU wordt afgekeurd, en dat de problemen met de foto’s gewoon wat kinderziekten zijn. Gemeenten moeten nog wennen aan het nieuwe paspoort. 10. Veel mensen krijgen een fout paspoort mee naar huis, waarmee ze mogelijk problemen krijgen aan sommige grenzen. Ook zijn de wachttijden te lang en weten sommige mensen niet dat ze een fout paspoort hebben. 11. Vanaf 2006 laat Amerika alleen nog reizigers toe met een biometrisch paspoort. In augustus begint Nederland met de invoering van het paspoort met gelaatsscan en communicatie-chip. Frank Moss, baas over de Amerikaanse paspoorten, vindt dat biometrie-leveranciers teveel beloven en te weinig doen. De beveiliging bestaat uit: basis acces control (computer krijgt toegang als paspoortvariabelen kloppen), hash-codes die een sleutel van het land bevatten, en in Nederland een extra hash-code. Er is een certificaat van SDU, een plublieke sleutel, de hashcodes en een elektronische handtekening nodig om een paspoort te kunnen lezen en maken. Amerika wil paspoorten ook gebruiken bij opsporingen. Door de nieuwe eisen worden er meer paspoorten uitgegeven. Sinds 1994 is er een digitale datbank met paspoortgegevens. Privacy wordt beschermd door een strenge beveiliging. Nederland wil een centrale databank voor paspoortgegevens, om de identiteit en de echtheid van het paspoort te controleren. Volgens experts is dit niet nodig, want de gegevens zijn dezelfde als op de pas. Dit kan echter een makkelijk te frauderen databank worden. Ook wordt privacy ernstig geschonden omdat de databank wordt gebruikt voor identificatie. De chip heeft zelf een uniek nummer dat je van grote afstand kunt opvangen, je zou zo mensen dus overal kunnen volgen. Onderzoeksbureau Riscure kon de beveiligingscode kraken. In Amerika overwegen ze een metalen buitenkant om zo draadloze techniek tegen te gaan, maar high-tech crime kan veel. Het encryptieniveau moet worden opgevoerd om de criminaliteit telkens voor te blijven met nieuwe technologie. Volgens experts zijn er te weinig tests met biometrische foto’s, waardoor ongeveer 10 procent van de mensen verkeerd wordt herkend. 3D-foto’s kunnen een oplossing bieden maar zijn nu nog te moeilijk. Er kunnen gaten in het systeem zitten waardoor fraude makkelijker wordt. In Duitsland werkt de apparatuur alleen goed bij frequente reizigers, en door een systeemfout moeten 5% van de mensen opnieuw worde geregistreerd. Er wordt nu getest vanaf welke afstand biometrische gegevens zijn af te tappen. Nederland slaat op hol, want met nieuwe ontwikkelingen kunnen mensen overal worden gevolgd en blijft er niet veel privacy meer over. We zijn nog niet voorbereid op een grootschalige gebruik van biometrie. Terrorisme en hackers worden niet tegengehouden, en hackers die slagen in het kraken van databanken hebben veel meer macht dan voorheen. Vingerafdrukken die over een poosje ook op het paspoort komen, brengen nog een probleem met zich mee; ze zijn makkelijk na te maken. Zo kan een onschuldige opdraaien voor een misdrijf. 12. Matt Poelmans is directeur van
[email protected], een onafhankelijk forum dat de overheid kritisch volgt. Er worden meer onschuldigen aangehouden op vliegvelden, en een centrale database is niet noodzakelijk voor de veiligheid. Er moet een discussie komen over een centrale database met persoonsgegevens. Te veel veiligheid gaat ten koste van de vrijheid. 13. Een centrale database met paspoortgegevens kan helpen de echtheid te controleren. Maar de gegevens op een paspoort kunnen niet zomaar worden veranderd en men vreest voor gebruik als identificatiemiddel. Ook wordt zo’n centrale database een makkelijk doelwit voor hackers, criminelen en terroristen. Als een kwaadwillende de chip op zijn paspoort kapotmaakt, moet de douane gewoon weer op het oog identificeren.
41
Anne Urai V6D
• Privium sinds 2001 op Schiphol in gebruik, in 2003 5000 gebruikers • Privium vanaf 100 euro per jaar: 2x kijken in irisscan, snellere passage • NVVB: Nederlandse vereniging van burgerzaken • SDU Identification, producent van paspoorten • ‘Fotomatrix Model 2006’ heeft richtlijnen voor pasfoto’s • Uiterlijk 28 juni 2009 komen er ook 2 vingerafdrukken op paspoort • Begin 2005 besloot Europese Commissie dat paspoorten er binnen 18 maanden moesten zijn • Hackersfestijn What the Hack erin geslaagd paspoort te lezen • RFID = identificatie-chip • Vanaf 18 augustus wordt alleen nog biometrisch paspoort uitgegeven • Vanaf 26 augustus worden de biometrische data opgeslagen in de gemeentelijke basisadministratie die 24 uur per dag on-line kan worden geraadpleegd door alle bevoegde instanties, waaronder politie en het Openbaar Ministerie. • Vingerafdrukken krijgen een Extended Access Control, landen hebben een certificaat van het land nodig om pas te lezen • College Bescherming Persoonsgegevens (CBP) • De foto-eisen zijn vastgelegd in internationale richtlijnen die zijn opgesteld door de International Civil Aviation Organisation. • Cees Meesters, woordvoerder van de Nederlandse Vereniging Voor Burgerzaken is het daar niet mee eens: 'Dertig tot 40 procent van de burgers wordt bij het loket teruggestuurd omdat hun foto niet goed is. • Onder de naam 2B or not 2B begint een test voor de invoering van gelaatsherkenning en vingerafdruk in het paspoort in Almere, Apeldoorn, Eindhoven, Groningen, Rotterdam en Utrecht. • Bij het Nationaal Bureau Documenten (NBD) van de Koninklijke Marechaussee op Schiphol het expertisecentrum op het terrein van bestrijding van fraude met reisdocumenten – controleren ze veel valse passen • Het gevolg: de 2.600 reizigers die de marechaussee op Schiphol het afgelopen jaar arresteerde vanwege fraude met reisdocumenten, werden niet vervolgd. • Amerika laat alleen nog reizigers zonder visa toe uit landen die op 25 oktober 2006 zijn begonnen met het invoeren van biometrische paspoorten. • België (november 2004) en Duitsland (november 2005) geven al paspoorten met chips uit. • De VS tellen nu ook 661.000 nummers van paspoorten die verloren of gestolen zijn, 10 procent van de totale database op dit gebied van Interpol. Volgens Moss heeft de VS ook 50.000 namen van vermisten of andere personen die gezocht worden door opsporingsdiensten. • In Amerika is de controle van look-a-like fraude nog moeilijker vanwege de kwetsbaarheid van de Amerikaanse grenzen, die jaarlijks 129 miljoen keer worden overgestoken. • De uitgifte van nieuwe paspoorten in de VS stijgt door de nieuwe vereisten: in 2005 10,5 miljoen nieuwe paspoorten, in 2006 12 miljoen, in 2007 14 miljoen en mogelijk 17 miljoen in 2008, zo vertelde Moss. • In Amerika heeft deze databank, het Passport Records Imaging System Management, volgens Moss ingescande foto's van paspoortaanvragen sinds 1994. • Moss blijkt vol vertrouwen over een goede afloop. "Ik zal een volledig werkend biometrisch paspoort hebben voor 30 miljoen mensen tegen aanstaande oktober 2006. Als alles goed gaat," zei Moss tegen Netkwesties. • "Gezichtsherkenning is überhaupt nog niet in de praktijk inzetbaar," zegt Constanze Kurz. "We zien nog steeds foutmarges van tussen de 3 en 23 procent.
42
Anne Urai V6D
Nawoord Ik heb veel geleerd van het maken van dit dossier, vooral het zoeken naar geschikte bronnen was niet altijd even makkelijk. Er is veel onzin te vinden op internet. Er wordt een groot beroep gedaan op je praktische vaardigheden zoals samenvatten en selecteren. Ik denk dat ik deze voldoende beheer en heb redelijk tevreden over mijn dossier. Alle stadia heb ik redelijk vlot doorlopen. Ik had vrij snel een onderwerp gekozen en ben niet in tijdnood gekomen aan het einde. Ik hoop dat mijn dossier goed genoeg is om een mooi betoog of mooie beschouwing over te schrijven met Kerst.
Voorbeeldstellingen Betogende stellingen: • Het aanleggen van een centrale databank met paspoortgegevens is een slecht idee • Biometrie heeft veel toepassingen en zal in de toekomst voor verschillende doeleinden gebruikt worden Beschouwende stelling: • Wat zijn de mogelijkheden en de gevaren van de invoering van het biometrisch paspoort?
43
Anne Urai V6D