^
Gemeente
*Z} IJsselstein postadres Postbus 26, 3400 AA IJsselstein
bezoekadres Overtoom 1 3401 BK IJsselstein
Gemeenteraad IJsselstein Postbus 26 3400 AA IJSSELSTEIN
betreft
t 14 030 f 030 6884350 e
[email protected]
Beantwoording schriftelijke vragen op grond van artikel 41
uw kenmerk uw brief van behandeld door
zaaknummer
107213
datum 20 januari 2015 blad 1 van 4 bijlagen
Geachte raadsleden, Op 14 december 2014 heeft raadslid de heer J.N.M. van Well namens de SP-fractie schriftelijke vragen gesteld op grond van artikel 41 van het "Reglement van orde voor de vergaderingen en andere werkzaamheden van de raad der gemeente IJsselstein 2008". Deze vragen gaan over aanvraag reisdocument en iet-systemen. Hierbij ontvangt u ons antwoord met een kopie van de schriftelijke vragen van de heer J.N.M. van Well. Hoogachtend, BURGEMEESTER EN WETHOUDERS VAN IJSSELSTEIN, de s de burgemeester.
orren
De gemeente IJsselstein gebivllit uw !)ersoonsgegeveiis uitsluitend voor het (Soei wsarvoor zij zijn ver&tr&ht. OMÊnUtt BNG Voor meer inforwstie daarover kunt ti contact opnemen met de behêndelenó ambtenaar van onze gemeente. NL7SBMQHCK&90.09.SS8
datum ons kenmerk blad 2 van
20 januari 2015 107213 4
Beantwoording schriftelijke vragen op grond van artikel 41 d.d. 14 december 2014 door raadslid de heer J.N.M. van Well namens de SP-fractie over aanvraag reisdocument en ietsystemen.
Vraag 1: Waarom werken applicaties van de overheid die gevoelige informatie versturen met niet geldige, danwel verlopen certificaten? Voorbeeld: aanvraag reisdocument Antwoord vraag 1: Het gaat hier niet om verlopen certificaten (verlopen pas op 1-1-2016) maar om certificaten die niet geverifieerd kunnen worden, de uitgever van de certificaten, in dit geval sagem (leverancier van de systemen) word door Microsoft niet gezien als trusted issuer (vertrouwde uitgever). Dit heeft voor de werking of veiligheid van de gegevens geen invloed of gevolgen, omdat de systemen geïsoleerd in ons netwerk staan en niet vanaf buiten te benaderen zijn en niet naar internet kunnen.
Vraag 2: Waarom wordt het personeel opgedragen de meest onveilige optie te kiezen bij een certificaat melding van de betreffende sites? ^
Antwoord vraag 2: Je moef wel op "Doorgaan naar deze website" klikken om vervolgens in het systeem te komen en te gebruiken, het is in geen geval een security probleem om door te gaan.
Vraag 3: Maakt de gemeente van meer diensten gebruik die gebruik maken van ongeldige of verlopen certificaten? ^
Antwoord vraag 3: Al onze certificaten die wij gebruiken voor externe communicatie met de diverse diensten zijn in orde en niet verlopen en voldoen we aan de standaard (2048bit encryptie) die gesteld word door de verschillende diensten.
Vraag 4: Heeft de gemeente al stappen ondernomen om dit te laten verhelpen? Zo ja; welke? Zo neen, waarom niet? Antwoord vraag 4: We hebben nog geen stappen ondernomen om de melding te verhelpen, omdat het niet om een security issue gaat, maar om een melding die geen invloed heeft op de werking of gebruik van de systemen.
Vraag 5: Waarom is er geen duidelijkheid bij het personeel over wat er met de biometrische gegevens van de aanvrager van een reisdocument gebeurt? Antwoord vraag 5: Het personeel wordt regelmatig bijgepraat over nieuwe ontwikkelingen en deze zaken worden tevens op de intranetsite gepubliceerd zodat iedereen het ook nog kan nalezen. De gang van zaken rondom de biometrische gegevens was vooral in 2012/2013 een hot-item. Er zijn echter
datum
20 januari 2015
ons kenmerk blad 3 van
107213 4
heel veel nieuwe ontwikkelingen op het burgerzakenvakgebied waardoor de informatie misschien niet meer bij iedere medewerker als parate kennis aanwezig is. Wij zullen het opnieuw onder de aandacht brengen.
Vraag 6: Is de gemeente op de hoogte van wat er met de biometrische gegevens gebeurt? Antwoord vraag 6: De baliemedewerker brengt de pasfoto aan op het Foto- en handtekeningformulier, waarna het formulier wordt getekend door de aanvrager. De foto en de handtekening worden vervolgens door de Documentlezer van een Aanvraagstation gedigitaliseerd. Indien het een aanvraag voor een reisdocument met vingerafdrukken betreft worden tenslotte de vingerafdrukken van de aanvrager gedigitaliseerd. De resultaten van het Aanvraagstation worden automatisch via het lokale computernetwerk verzonden naar het RAAS in de backoffice. De baliemedewerker voert de aanvraag op in de reisdocumentenmodule (RDM) van het BRP en maakt daarbij gebruik van het nummer van het Foto- en handtekeningformulier. In de backoffice wordt op het RAAS de door het Aanvraagstation gedigitaliseerde pasfoto, handtekening en vingerafdrukken die vanuit de frontoffice via het lokale computernetwerk zijn verstuurd naar het RAAS, automatisch samengevoegd met de aanvraaggegevens uit het elektronisch aanvraagbestand van de BRP-reisdocumentenmodule. Het volledige aanvraagbestand wordt opgeslagen op het RAAS. Na deze samenvoeging is de aanvraag gereed voor verzending naar de producent. Na de goedkeuring van de volledige aanvraag door een geautoriseerde persoon wordt door het RAAS een aanvraagbericht gegenereerd en verzonden naar de producent. Dit aanvraagbericht wordt voor verzending door het RAAS automatisch versleuteld zodat het beveiligd zal worden verzonden. Voor de verzending van de aanvraag wordt gebruik gemaakt van GemNet dat ook wordt gebruikt voor het elektronische berichtenverkeer van de BRP. De producent Identiteit & Diensten BV (tot 1-1-15 Sagem Identification genaamd) controleert bij binnenkomst of het aanvraagbestand kan worden verwerkt. Wanneer het reisdocument is gepersonaliseerd wordt het geleverd aan de uitgiftelocatie. Voor de distributie van de reisdocumenten naar de uitgiftelocaties van gemeenten wordt gebruik gemaakt van een combinatie van waardetransport en een speciale verzendservice van TNT Post, het zogeheten aangetekend verzenden met identificatie. Dat betekent onder meer dat de ontvangstbevoegde van de uitgiftelocatie zich moet legitimeren bij de aflevering van de documenten. De vingerafdrukken worden in de reisdocumentenadministratie en bij Identiteit & Diensten BV opgeslagen totdat het aangevraagde document is uitgegeven danwel de betreffende aanvraag in de administratie vervallen is verklaard. Zolang de vingerafdrukken in de reisdocumentenadministratie zijn opgeslagen worden de vingerafdrukken daarin versleuteld opgeslagen.
Vraag 7: Worden biometrische gegevens ook lokaal opgeslagen? ^
Antwoord vraag 7: De vingerafdrukken worden in de decentrale reisdocumentenadministratie opgeslagen tot dat het aangevraagde document is uitgegeven danwel de betreffende aanvraag in de administratie vervallen is verklaard. Zolang de vingerafdrukken in de reisdocumentenadministratie zijn opgeslagen worden de vingerafdrukken daarin versleuteld opgeslagen.
datum ons kenmerk blad 4 van
20 januari 2015 107213 4
Vraag 8: Hoe wordt er op toegezien dat de scans van de vingerafdrukken daadwerkelijk niet op de PC's achterblijven? Antwoord vraag 8: Hef College bescherming persoonsgegevens (CBP) heeft na onderzoek geconstateerd dat gemeenten de vingerafdrukken in de reisdocumentenadministraties niet langer bewaren dan wettelijk is toegestaan. Dat heeft het CBP de minister van Binnenlandse Zaken en Koninkrijksrelaties per brief laten weten. De minister kondigde in 2011 mede op verzoek van de Tweede Kamer aan de opslag van vingerafdrukken van aanvragers van een reisdocument in de reisdocumentenadministratie van gemeenten stop te zetten. Het CBP heeft de minister begin 2013 verzocht om inlichtingen over de stand van zaken met betrekking tot de reeds opgeslagen vingerafdrukken. De minister heeft daarop aangegeven dat er updates zijn geïnstalleerd op de programmatuur van de reisdocumentenadministraties van alle gemeenten ter verwijdering van de vingerafdrukken. In 2014 zijn de back-uptapes en apparatuur met eventuele restsporen van vingerafdrukken vervangen. Het CBP constateert op basis van deze informatie dat de vingerafdrukken niet langer worden opgeslagen dan is toegestaan, te weten tot de uitreiking van het document. Ook zijn de eerder opgeslagen vingerafdrukken vernietigd.
Aan: Het College van Burgemeester en Wethouders van IJsselstein Van : J.N.M. van Well, Fractievoorzitter SP IJsselstein
IJsselstein, 14 december 2014
Geacht college.
Hierbij stuur ik u enkele vragen over de werking van de iet in IJsselstein. Deze vragen zij opgekomen n.a.v. een bezoek aan het loket in IJsselstein bij het aanvragen van een nieuw reisdocument. In afwachting van uw antwoord verblijf ik.
Artikel 41 vragen over aanvraag reisdocument en iet-systemen Vragen: • • • • • • • •
Waarom werken applicaties van de overheid die gevoelige informatie versturen met niet geldige, danwel verlopen certificaten? Voorbeeld: aanvraag reisdocument Waarom wordt het personeel opgedragen de meest onveilige optie te kiezen bij een certificaat melding van de betreffende sites? Maakt de gemeente van meer diensten gebruik die gebruik maken van ongeldige of verlopen certificaten? Heeft de gemeente al stappen ondernomen om dit te laten verhelpen? Zo ja; welke? Zo neen, waarom niet? Waarom is er geen duidelijkheid bij het personeel over wat er met de biometrische gegevens van de aanvrager van een reisdocument gebeurt? Is de gemeente op de hoogte van wat er met de biometrische gegevens gebeurt? Worden biometrische gegevens ook lokaal opgeslagen? Hoe wordt er op toegezien dat de scans van de vingerafdrukken daadwerkelijk niet op de PC's achterblijven?
Met vriendelijke groet. Joop van Well SP