Identiteitsfraude als uitdaging voor de rechtstaat1 Prof. dr mr J.H.A.M. Grijpink2 Samenvatting Dit artikel licht toe dat niet alleen het arsenaal identiteitsinstrumenten, maar ook onze werkwijze bij identiteitscontrole moet veranderen om in de toekomst opgewassen te zijn tegen identiteitsfraude. Het huidige identiteitsbeleid is ontoereikend om onze veiligheid en privacy in de informatiesamenleving te waarborgen. Door de gangbare juridisch-bestuurlijke benadering blijken verscherping van procedures en nieuwe technologie vaak averechts te werken. Dit artikel pleit daarom voor een nieuwe aanpak van identiteitscontrole en aanpassing van identiteitsbewijzen waarmee identiteitsfraude wel effectief kan worden verijdeld en bestreden. Het artikel presenteert daarvoor enkele suggesties. Het Nederlandse recht lijkt daarvoor voldoende aanknopingspunten te bieden. Trefwoorden: identiteitsfraude, identiteitsbeleid, identiteitscontrole, identiteitsbewijs, beveiliging, identificatie, verificatie, anonimiteit, semi-anonimiteit, keteninformatisering
1.
Inleiding
Sinds de gebeurtenissen van 11 september 2001 staan identiteitsvraagstukken hoog op de agenda in veel Westerse landen. Wereldwijd, en in landen met zeer uiteenlopende rechtsculturen, wordt ter vergroting van de veiligheid het beleid met betrekking tot identiteitscontroles verscherpt. Landen zonder of met een beperkte identificatieplicht zoals Nederland, overwegen nu invoering van een algemene identificatieplicht. Landen zonder wettelijk algemeen identiteitsbewijs, zoals het Verenigd Koninkrijk, treffen nu maatregelen om dit identiteitsinstrument in te voeren. In veel landen wordt overwogen om identiteitsbewijzen en reisdocumenten te voorzien van een biometrisch3 kenmerk van de houder. Alleen biometrische identiteitscontrole maakt gebruik van lichaamsgebonden kenmerken om vast te stellen of een document of voorwerp hoort bij de persoon die zich ervan bedient. Andere controles zijn gebaseerd op administratieve gegevens die geen rechtstreekse relatie hebben met een natuurlijk persoon. Het doel van een stringenter identiteitsbeleid is om in steeds meer situaties met meer betrouwbaarheid te kunnen vaststellen ófwel wie iemand is, ófwel controleren of men van doen heeft met de juiste persoon. Voor de laatste vorm van identiteitscontrole hoeft men niet te weten wie iemand precies is. Ook zonder de aanleiding van 11 september 2001 wint dit streven aan belang, naarmate in de toekomst meer transacties elektronisch en op afstand plaatsvinden zonder sociale controle of oogtoezicht. Elektronische communicatie omspant de gehele wereld en krijgt in de komende jaren extra dimensies door toenemende mobiliteit en anonimisering van de samenleving. Ook identiteitscontroles zullen steeds vaker elektronisch en op afstand plaatsvinden. Daarom zullen we voor persoonsherkenning en identiteitscontrole in de toekomst moeten kunnen beschikken over een breed arsenaal aan identiteitsinstrumenten. Naast wat we al hebben, zoals elektronisch leesbare identiteitsbewijzen, pasnummers, persoonsnummers, pincodes en wachtwoorden, zal dat bijvoorbeeld ook de elektronische handtekening en biometrie gaan omvatten. 2.
Identiteitsfraude
In de westerse wereld richt het identiteitsbeleid zich nu nog vooral op bestrijding van gebruik van vervalste identiteitsbewijzen, kortweg aan te duiden met de term ‘documentfraude’. Maar frauduleus gebruik van een geldig identiteitsbewijs van iemand anders 1
2
3
Dit artikel is gebaseerd op een reeks van eerdere publicaties, in het bijzonder Informatiestrategie voor ketensamenwerking, Sdu Uitgevers, Den Haag, 2002, ISBN 90 1209 697 9. Het is voor het eerst verschenen in Privacy en Informatie, 6e jaargang, augustus 2003, Koninklijke Vermande, Lelystad. Prof. dr mr J.H.A.M. Grijpink, econoom en jurist, is als raadadviseur werkzaam bij de directie algemene justitiële strategie van het ministerie van Justitie, met informatiestrategie als zijn speciale aandachtsgebied. Hij is als bijzonder hoogleraar verbonden aan het Instituut voor informatie en computer wetenschappen van de Universiteit Utrecht. Dit artikel is op persoonlijke titel geschreven. Met biometrie wordt bedoeld dat men kenmerken van het lichaam (bijvoorbeeld de vingerafdruk of de stem) gebruikt als digitale sleutel om toegang te krijgen of te geven tot processen en gegevens, of om iemand elektronisch te herkennen.
1
(zogenaamde lookalike fraude) drukt ons steeds vaker met de neus op het probleem van ‘identiteitsfraude’. Met identiteitsfraude bedoelen we, dat iemand met kwade bedoelingen bewust de schijn oproept van een identiteit die niet bij hem hoort, daarbij gebruik makend van de identiteit van iemand anders of van een niet-bestaande persoon. Daarvoor heeft men geen document of identiteitsbewijs nodig. Een identiteitsfraudeur kan daarvoor ook persoonsnummers, foto’s, handelingen of gebeurtenissen gebruiken, omdat ze allemaal een identiteitssuggestie bevatten waaruit mensen een conclusie trekken over wie ze tegenover zich hebben. Identiteitsfraude kan daardoor overal en op velerlei manier plaatsvinden en is niet beperkt tot specifieke situaties, procedures of documenten. Als een persoonsverwisseling eenmaal ergens is geslaagd, kan de nieuwe ‘identiteit’ daarna langs reguliere wegen doorwerken op allerlei andere situaties. Daar kan men doorgaans de voorafgaande frauduleuze persoonsverwisseling niet meer doorzien. Vaak is identiteitsfraude de eerste stap van een vervolgfraude, bijvoorbeeld een bankfraude, een paspoortfraude of een uitkeringsfraude. Toepassingsgerichte fraudeaanduidingen onttrekken echter de gemeenschappelijke noemer van al deze fraudevormen aan ons oog, namelijk dat steeds op een slimme wijze bewust een bestaande of gefingeerde identiteit wordt misbruikt. Voor bestrijding van identiteitsfraude is bestrijding van gebruik van vervalste identiteitsbewijzen (documentfraude) niet meer maatgevend. Onze focus moet niet meer alleen het identiteitsbewijs zijn, maar vooral de persoon die er zich van bedient. De kwaliteit van een identiteitsdocument is daarmee ook niet langer de doorslaggevende factor, maar de kwaliteit van het proces van identiteitscontrole zelf in een bepaalde situatie.
3.
Identiteitsfraude eist een ander identiteitsbeleid
Identiteitsfraude dwingt ons tot een nieuwe kijk op kaders, functie en gebruik van identiteitsinstrumenten in onze rechtscultuur. Instrumenten die voor bestrijding van documentfraude nuttig zijn, blijken dat voor bestrijding van identiteitsfraude meestal niet te zijn. Vaak werken ze zelfs averechts. Ook de wijze waarop wij voor identiteitscontroles informatietechnologie inzetten komt bijvoorbeeld in een ander licht te staan. Drie voorbeelden ter illustratie: a.
Vermelding van het sofi-nummer op het Nederlandse paspoort lokt fraude uit Dit is een identiteitsmaatregel uit 1996, bedoeld om het wettelijke identiteitsbewijs te kunnen gebruiken voor naam-nummer controle en zo gemakkelijker te kunnen nagaan wat iemands sofi-nummer is. Als het identiteitsbewijs deugt en de houder de juiste persoon is, snijdt deze naam-nummer controle hout. Maar dat is niet meer het geval, als het identiteitsbewijs wordt gebruikt door iemand anders die veel op de rechtmatige houder lijkt. De naam-nummer controle op basis van een identiteitsbewijs slaagt namelijk altijd, ongeacht wie zich ervan bedient. Zo kan iemand die over een identiteitsbewijs van een ander beschikt, ongemerkt diens identiteit aannemen en op dat sofinummer meeliften. In veel controlesituaties kan bovendien worden volstaan met het overleggen van kopie van dat identiteitsbewijs. Daarin kunnen gemakkelijk aanpassingen worden aangebracht. De vermelding van het sofi-nummer op een identiteitsbewijs of een paspoort maakt dus onbedoeld identiteitsfraude veel gemakkelijker.
b.
Het identiteitsbewijs verhoogt de voorspelbaarheid van de identiteitscontrole Voor identiteitsbewijzen en identiteitscontroles gelden regels die de identiteitsfraudeur onbedoeld in de kaart spelen. Hierdoor kan hij namelijk voorspellen waar, wanneer, hoe en door wie zijn identiteit zal worden gecontroleerd. Identiteitscontroles zijn volgens de geldende regelgeving bovendien vaak openbaar en kunnen ongemerkt worden geobserveerd, op zoek naar zwakke plekken in techniek, organisatie of procedures. Daardoor kan een identiteitsfraudeur met enige voorbereiding de meeste identiteitscontroles verschalken.
c.
Rechtsnormen belemmeren aanpak van identiteitsfraude Identiteitsfraude plaatst ook achterliggende rechtsnormen in een ander licht. Bijvoorbeeld de rechtsnorm dat men onschuldig is, tenzij het tegendeel bewezen is. Deze regel correspondeert met een algemene norm in onze rechtscultuur dat je voor achterdocht een gegronde reden moet hebben. Dat betekent, dat wij niet voortdurend alert mogen of kunnen zijn op identiteitsfraude. We moeten onze behoefte om iemands identiteit te controleren opzouten tot er een serieus vermoeden rijst van kwade trouw. Maar dan is 2
het meestal te laat: de identiteitsfraudeur is niet meer te vinden of moet met rust worden gelaten bij gebrek aan bewijs. Zelfs de overheid mag zich zonder wettelijke regeling niet bedienen van procedures die iedereen verplichten zich te laten controleren vanuit een algemene achterdocht. Dat is zonder een dergelijke wettelijke regeling alleen rechtmatig als die controle op basis van vrijwilligheid geschiedt. En dat betekent weer, dat betrokkene vooraf op de hoogte moet worden gebracht. Het element van verrassing staat zodoende alleen ten dienste van de identiteitsfraudeur. Deze voorbeelden onderstrepen dat alle bestaande identiteitsmaatregelen en -instrumenten moeten worden getoetst op effectiviteit voor bestrijding van identiteitsfraude. Zo krijgen we een beeld van de uitdaging waarvoor identiteitsfraude ons plaatst in een democratische rechtsstaat. Dat laat ons met andere ogen kijken naar de wijze waarop wij iemands identiteit controleren en daarvoor (informatie)technologie inzetten. Maar daar blijft het niet bij. Ook het recht blijkt uitgedaagd te worden om zich aan te passen aan de nieuwe eisen van een complexer wordende informatiesamenleving.
4.
Het wettelijk kader van het huidige Nederlandse identiteitsbeleid
Er staat in het Nederlandse privaatrecht in het algemeen geen sanctie op het verzwijgen van zijn identificerende persoonsgegevens of op het gebruik van een andere, eventueel gefingeerde identiteit. Dat is maar goed ook. Want hoe zou men anders op goede gronden anoniem kunnen blijven, bijvoorbeeld voor de eigen veiligheid op internet? Er is ook geen reden om inbreuk te maken op de vrijheid van partijen om anoniem of onder pseudoniem met elkaar zaken te doen. Een overheidsinstantie die voor een goede uitoefening van een publieke taak noodzakelijkerwijs moet weten wie iemand precies is, is wettelijk bevoegd naar iemands identificerende persoonsgegevens te vragen. Deze mag wel zwijgen, zelfs in het strafrecht, maar opgeven van valse persoonsgegevens aan het bevoegd gezag wordt aangemerkt als een overtreding (!)4 betreffende de openbare orde (Wetboek van strafrecht, art. 435). Sluitstuk van het algemene wettelijk kader vormen de Wet Bescherming Persoonsgegevens (WBP) en de Wet Openbaarheid Bestuur (WOB). De WBP regelt vanuit een oogpunt van privacybescherming wanneer overheidsinstanties persoonsgegevens mogen opvragen, gebruiken en opslaan. De WOB regelt de toegang tot relevante gegevens en documenten binnen de overheid. Naast deze algemene rechtsregels heeft het identiteitsbeleid in Nederland ook een specifiek wettelijk kader. Dat bestaat o.a. uit de Wet op de Identificatieplicht (1993) voor een beperkt aantal situaties waarin men zich moet legitimeren, de Wet op de Gemeentelijke Basisadministratie (GBA) voor het administratief beheer van identificerende persoonsgegevens en uit enkele speciale wetten die voorzien in bij wet erkende legitimatiebewijzen, zoals bijvoorbeeld de Paspoortwet. Weer andere wetten regelen de uitgifte en het gebruik van officiële persoonsnummers, zoals de Algemene Wet Rijksbelastingen voor het sofinummer. Dit wettelijk kader geeft de momenten aan waarop identiteitscontrole moet plaatsvinden, de controlerende instanties en meestal zelfs de te volgen procedure en verschaft aan enkele officiële identiteitsbewijzen een monopoliepositie bij identiteitscontrole. Het heeft tot gevolg dat identiteitscontroles in onze rechtscultuur in hoge mate voorspelbaar, uniform en observeerbaar zijn, waarbij het element van verrassing voorbehouden is aan de identiteitsfraudeur. Voorspelbaarheid, uniformiteit en openbaarheid zijn geen bezwaar voor de bestrijding van valse identiteitsdocumenten, maar vormen minder geschikte uitgangspunten voor de bestrijding van identiteitsfraude. Gelukkig blijkt het geldende recht ook aanknopingspunten te bieden voor meer variatie en verrassing voor de identiteitscontroleur, maar die mogelijkheden worden momenteel nauwelijks benut. Dat zou bijvoorbeeld wel het geval zijn als een overheidsinstantie op grond van een wettelijke regeling aan andere controle-instanties geheime instructies voor identiteitscontrole kon geven. Voor het doel van identiteitscontrole hoeft dit niet tegen de wet te zijn, omdat externe instructies volgens art. 10 lid 2 van de Wet Openbaarheid Bestuur (WOB) niet openbaar hoeven te worden gemaakt als een van de uitzonderingscriteria van toepassing is. Te denken valt aan de uitzonderingscriteria ‘de opsporing en vervolging van 4
Deze relatief lichte classificatie met dito strafsanctie vormt natuurlijk in veel gevallen geen belemmering voor iemand die zich daardoor onvindbaar kan maken. De wetgever ziet dit delict kennelijk als een op zichzelf staand strafbaar feit, en niet als aanloop tot en succesfactor voor allerlei verschillende typen, ook ernstige, criminaliteit.
3
strafbare feiten’ en ‘inspectie, controle en toezicht door bestuursorganen’. Volgens jurisprudentie door de Hoge Raad is voor het eerstgenoemde criterium niet noodzakelijk dat er van een concrete verdenking sprake is, zodat ook onder dit criterium algemene instructies kunnen vallen voor identiteitscontroles die voor de gecontroleerde minder voorspelbaar verlopen.
5. Het juridisch-bestuurlijke karakter van het huidige identiteitsbeleid Identiteitsfraude kan men zien als een verschijnsel dat identiteitsbeheer en identiteitscontroles complexer maakt en dat als reactie daarop bestuurlijke maatregelen uitlokt om greep te houden op de toegenomen complexiteit. Identiteitsbewijzen, persoonsnummers en biometrie, inclusief de ermee verbonden werkwijzen, zijn hierbij relevante bestuurlijke instrumenten. Bij nieuwe ontwikkelingen worden deze weer verder verbeterd, bijvoorbeeld door op identiteitsbewijzen nieuwe beveiligingstechnieken of extra informatie toe te voegen en door bij de identiteitscontrole nieuwe technologie in te zetten. Doel van deze maatregelen is in de eerste plaats het reduceren van de toegenomen complexiteit. Deze juridischbestuurlijke aanpak wordt gekenmerkt door een uitgesproken voorkeur voor eenvoud, uniformiteit, openbaarheid en transparantie. Gezien vanuit de eisen van openbaar bestuur is daar niets mis mee. Integendeel, ordening is gebaat bij kenbaarheid en overzichtelijkheid van de informatie, eenvoudige uniforme instrumenten en voorspelbare gestandaardiseerde werkwijzen. Daar staat wel tegenover dat deze aanpak onze identiteitscontroles stap voor stap meer overzichtelijk, uniform en voorspelbaar heeft gemaakt ten faveure van de identiteitsfraude. Deze juridisch-bestuurlijke aanpak staat in schril contrast tot wat levende organismen in de natuur doen wanneer hun omgeving complexer wordt. Die kiezen niet voor reductie van complexiteit, maar juist voor het tegendeel. Ze passen zich aan door zichzelf ook complexer te maken, o.a. met behulp van toenemende interne differentiatie, meer variatie in gedrag en vooral met extra feedbackmechanismen. Kennelijk is in de natuur beter (kunnen) waarnemen het begin van beter beheersen van toegenomen omgevingscomplexiteit. Vereenvoudiging of standaardisatie van instrumenten en vergroting van voorspelbaarheid of transparantie van werkwijzen leveren voor identiteitscontroles het tegendeel op, vooral minder waarnemingsmogelijkheden en feedbackmechanismen. Drie voorbeelden om deze analyse te verduidelijken: a.
5
6
Het biometrische paspoort Ter bestrijding van een bepaalde vorm van identiteitsfraude, namelijk gebruik van een paspoort door iemand die op de houder lijkt (lookalike-fraude), is recent een wetsontwerp bij de Tweede Kamer ingediend tot wijziging van de Paspoortwet om een biometrisch template5 op het nieuwe Nederlandse paspoort te kunnen zetten, op dezelfde manier als sinds 1996 het sofi-nummer op identiteitsbewijzen wordt vermeld. Voordeel hiervan is, dat daarmee in situaties waarin een identificatieplicht geldt biometrische identiteitscontrole mogelijk wordt met het paspoort, dat te onzent het belangrijkste wettelijke identiteitsbewijs is. Daarmee wordt de paspoortbiometrie de facto de algemene standaard voor biometrische identiteitscontrole in Nederland, net zoals het sofi-nummer sinds 1996 geleidelijk de rol van algemeen persoonsnummer6 lijkt te gaan vervullen. Nadeel van de vermelding van een persoonsnummer of een biometrisch template op een document met persoonsidentificerende gegevens is, dat het de fraudeur onbedoeld gemakkelijk wordt gemaakt. Hij weet immers van tevoren dat elke nummer-naam controle slaagt, ook als hij het identiteitsbewijs van iemand anders gebruikt. Zo weet hij in de toekomst ook aan welke meetwaarde zijn biometrische meting moet beantwoorden. Daar valt meestal wel voor te zorgen. De huidige biometrische apparatuur is gemakkelijk te misleiden en de huidige biometrische technieken kan men bij grootschalige toepassing onmogelijk fraudebestendig organiseren. De Een biometrisch template is een getal dat wordt berekend uit bijzonderheden van een lichaamskenmerk, bijvoorbeeld de plaats waar in een vingerafdruk lijnen samenkomen, splitsen of onderbrekingen vertonen. Dat getal wordt bij de controle opnieuw gemeten, waarna op grond van de mate van afwijking tussen beide getallen wordt geconcludeerd dat de persoon bij het controlepunt waarschijnlijk dezelfde persoon is als bij wie de eerste meting heeft plaatsgevonden. Een algemeen persoonsnummer is een uniek nummer dat aan een persoon is toegekend om in het algemeen te worden gebruikt voor registratie en koppeling van gegevens van deze persoon. Andere persoonsnummers zijn niet algemeen, maar gebonden aan een informatiesysteem (telefoonnummer), een organisatie (klantnummer) of bijvoorbeeld een proces (verslavingsnummer, in gebruik bij de verslavingszorg).
4
identiteitsfraudeur kan met geduldige observatie de zwakke plekken in identiteitscontroles ontdekken en een werkwijze uitdenken die hem succes garandeert. Zo levert nieuwe technologie onbedoeld het omgekeerde op van wat ervan wordt verwacht: in plaats van betere identiteitscontrole, méér identiteitsfraude! b.
Het burgerservicenummer (BSN) Het tweede voorbeeld vormt het recente voornemen van de Nederlandse regering om een verplicht openbaar algemeen persoonsnummer in te voeren, het zogenaamde Burger Service Nummer (BSN). Persoonsnummers zijn geleidelijk een belangrijke rol gaan vervullen, zowel bij het administratief koppelen en afschermen van persoonsgegevens, als bij het herkennen van personen7. Dat heeft ertoe geleid dat misbruik van persoonsnummers een steeds belangrijker vorm van identiteitsfraude wordt. Vanuit de traditionele juridisch-bestuurlijke benadering ligt het voor de hand om als tegenmaatregel een algemeen openbaar persoonsnummer in te voeren dat: 9 verplicht in allerlei situaties moet worden gebruikt, ongeacht de te ondersteunen processen en ongeacht de specifieke problemen die men in een bepaalde situatie met het persoonsnummer wil oplossen (dit weerspiegelt het juridisch-bestuurlijk streven naar eenvoud, uniformiteit en voorspelbaarheid); 9 op alle wettelijke identiteitsbewijzen moet worden vermeld (dit weerspiegelt het juridisch-bestuurlijk streven naar uniformiteit, openbaarheid, en kenbaarheid). Bestrijding van identiteitsfraude eist in de toekomst eigenlijk een meer gedifferentieerd persoonsnummerbeleid, waarbij een aantal verschillende, onafhankelijk van elkaar beheerde sectornummers worden gebruikt die, indien nodig en met inachtneming van passende procedures, met elkaar kunnen worden vergeleken. Een algemeen persoonsnummer is wel nodig om sectorale persoonsnummers te koppelen om identiteitsfraude aan het licht te brengen. Daarom mag het algemene persoonsnummer de sectorale persoonsnummers niet aantasten of verdringen. Dat betekent dat een algemeen persoonsnummer niet verplicht en niet openbaar mag zijn, en niet mag worden verspreid of gebruikt voor externe communicatie. Een groot aantal verschillende sectorale persoonsnummers maakt het gemakkelijker om identiteitsfraude te ontdekken en biedt meer controlemogelijkheden en feedbackmechanismen dan een situatie met één algemeen openbaar persoonsnummer. Een sectorale benadering maakt nummerstelsels minder kwetsbaar voor vervuiling, disfunctioneren, fouten en fraude. De persoonsnummers zijn elk voor zich minder belangrijk en waardevol, en daarmee minder aantrekkelijk voor de identiteitsfraudeur. Het wordt voor hem bovendien – in vergelijking met een situatie met slechts één algemeen persoonsnummer – moeilijker te voorspellen wanneer, waar en hoe hij tegen de lamp zal lopen, omdat hij niet kan overzien welke andere persoonsnummers hij allemaal consistent met elkaar moet houden om niet op te vallen. Een verplicht algemeen gebruik van één algemeen openbaar persoonsnummer daarentegen maakt het onvermijdelijk erg waardevol, zodat dit algemene persoonsnummerstelsel kwetsbaar wordt voor oneigenlijk gebruik, fouten en fraude. Tegelijkertijd nemen controlemogelijkheden af, omdat er door het verplichte algemene gebruik minder sectornummers in stand zullen blijven. Dat is een groot nadeel omdat juist een algemeen persoonsnummer meestal moeilijk te beheren is. Dat komt omdat nummerbeheer zich eigenlijk moet richten op de risico’s in de meest kritische sector. Maar draagvlak voor de extra kosten hiervan ontbreekt vaak in andere meegebruikende sectoren, zodat per saldo met een minimale beheersinspanning moet worden volstaan. De keuze voor een verplicht algemeen openbaar persoonsnummer lijkt daarom weliswaar minder ingewikkeld en dus heel aantrekkelijk, maar daar staat tegenover dat een dergelijke benadering minder aangrijpingspunten biedt voor de bestrijding van identiteitsfraude en voor de bescherming van de persoonlijke levenssfeer in een informatiesamenleving.
c.
Identificatieplicht in ziekenhuizen Het laatste voorbeeld betreft de invoering van de identificatieplicht in de gezondheidszorg. ‘Op 17 april j.l. stemde het kabinet in met het voorstel van minister van Volksgezondheid, Welzijn en Sport (VWS) de Geus om een wettelijke identificatieplicht in te voeren in ziekenhuizen en poliklinieken, later aangevuld naar de thuiszorg, de psychiatrie, verzorgings- en verpleegtehuizen en de gehandicaptenzorg. Nu identi-
7
Persoonsnummers en privacy, in: Privacy & Informatie, 5e jaargang, 2002, nummers 2 (mei) en 3 (juni), Koninklijke Vermande, Lelystad
5
ficeren patiënten zich met het zorgpasje van de zorgverzekeraar. Hiermee wordt evenwel op grote schaal gesjoemeld.’8 Met deze maatregel wil de minister de fraude in de gezondheidszorg aanpakken. Ziekenhuizen en poliklinieken die nalaten de identiteit van hun patiënten te controleren, zullen hun kosten niet langer bij het ziekenfonds kunnen declareren. Ook in dit derde voorbeeld is sprake van een onderschatting van de fraudeproblematiek. Het gaat meestal niet om vervalste zorgpasjes, maar om identiteitsfraude. Je kunt je afvragen of het zal helpen als de pasjes beter worden gecontroleerd met gebruik van wettelijke identiteitsbewijzen. Medewerkers in de gezondheidszorg zijn op dat gebied niet deskundig. Het middel misschien wel erger dan de kwaal, als via deze identificatieplicht met het sofi-nummer op een presenteerblaadje, het sofi-nummer alsnog9 breed zou inburgeren als toegang tot het (elektronisch) medisch dossier. Dan zal dit sterk vervuilde en slecht beheerde persoonsnummer op termijn een onherstelbare chaos in de gezondheidssector teweeg brengen, met veel medische fouten en onderbehandeling als gevolg. Het is de moeite waard om iets langer stil te staan bij onze traditionele juridischbestuurlijke aanpak. Deze bevat enkele uitgangspunten die ons belemmeren bij het verijdelen en bestrijden van identiteitsfraude. Soms zorgen ze er zelfs voor dat we identiteitsfraude niet eens opmerken. a.
Elk identiteitsinstrument (identiteitsbewijs, pasje, persoonsnummer, wachtwoord) bevat een identiteitssuggestie op grond waarvan mensen zich een veronderstelling vormen over met wie ze van doen hebben. Toch kijken we bij identiteitscontroles vooral naar de vorm van het identiteitsinstrument en zien de vaak impliciete identiteitssuggestie meestal over het hoofd. Identiteitsfraude slaagt meestal omdat deze voetstoots wordt geaccepteerd. De overheid beschouwt bijvoorbeeld een sofi-nummer als een louter administratief nummer waaraan geen rechten kunnen worden ontleend, hoewel het een impliciete identiteitssuggestie bevat. Met een sofi-nummer van iemand anders kan een illegaal onder diens naam worden opgenomen in de loonadministratie van een werkgever of een uitkering krijgen zonder zelf administratief in beeld te komen. Deze identiteitsfraude wordt niet tegengegaan door een nummer-naam controle op basis van het identiteitsbewijs van de rechtmatige houder van dat sofi-nummer. Deze nummer-naam controle slaagt immers altijd, omdat het vermelde sofi-nummer echt hoort bij de houder van het identiteitsbewijs.
b.
We vertrouwen spontaan op administratieve identiteiten, hoewel deze vaak gebaseerd zijn op ongecontroleerde of oncontroleerbare gegevens. Bij de uitgifte van identiteitsbewijzen of persoonsnummers binnen en buiten de overheid kunnen ongemerkt onjuiste gegevens van brondocumenten worden overgenomen, omdat we in veel gevallen niet kunnen vaststellen of deze brondocumenten echt zijn en betrekking hebben op de persoon die ermee voor de dag komt. Een informatie-infrastructuur om een identiteitsbewijs, pasje, wachtwoord of persoonsnummer voor gebruik door derden tegen de zin van de rechtmatige houder te blokkeren ontbreekt vaak, of mag niet worden gebruikt.
c.
Bij identiteitscontrole stellen we ons spontaan de vraag ‘wie bent U?’, terwijl het meestal voldoende is om zeker te weten dat iemand de juiste persoon is. Daarvoor hoef je niet te weten wie iemand precies is. Met een biometrisch kenmerk, bijvoorbeeld, kan iemand trefzeker worden herkend als de juiste persoon, ook als je niet kunt achterhalen wie hij is. Zorgvuldig en onafhankelijk van elkaar beheerde private en publieke pseudoniemen (persoonsnummers, pincodes, wachtwoorden, elektronische handtekeningen, etc.) maken allerlei gevarieerde en minder voorspelbare identiteitscontroles mogelijk, waarmee ritualisering van identiteitscontroles effectief kan worden tegengegaan. Die kansen laten we nu vaak onbenut door de onnodige nadruk op ‘identiteit’ die ons doet vergeten dat ook anonieme en semi-anonieme identiteitscontroles mogelijk zijn10.
8 9
10
Citaat uit de NRC van vrijdag 18 april 2003 Zie J.H.A.M. Grijpink, Informatiestrategie voor ketensamenwerking, Sdu Uitgevers, Den Haag, 2002, pp. 64 e.v. en speciaal p. 77 Corien Prins en Jan Grijpink, Nieuwe rechtsregels voor anoniem elektronisch rechtsverkeer? Een verkenning van de privaatrechtelijke gevolgen van digitale anonimiteit, in: Nederlands Tijdschrift voor Burgerlijk recht NTBR, jaargang 18, nr 3, maart 2001, Kluwer, Deventer, pp. 116-127
6
Deze voor identiteitsfraude ontoereikende uitgangspunten versterken elkaar. Ze verklaren waarom we spontaan identiteitsmaatregelen treffen die de kans op identiteitsfraude onbedoeld vergroten in plaats van verkleinen. Het belangrijkste gevolg van de verscherping van het huidige identiteitsbeleid tengevolge van de 11 september-gebeurtenissen is daarom waarschijnlijk, dat de identiteitsfraudeur nog meer in de kaart wordt gespeeld en dat identiteitsfraude ondanks alle goede bedoelingen in omvang en ernst zal toenemen.
6.
Nieuwe oplossingsrichtingen voor effectieve identiteitscontroles
Identiteitsfraude moet in het Nederlandse identiteitsbeleid het uitgangspunt zijn voor nieuwe oplossingsrichtingen voor betere identiteitscontroles. We concluderen dat het geldende wettelijke kader aan enkele officiële identiteitsbewijzen een wettelijke monopoliepositie heeft gegeven en identiteitscontroles in hoge mate voorspelbaar heeft gemaakt. Die constateringen moeten leiden tot kritische herbezinning op wat men eigenlijk controleert bij een gestandaardiseerde identiteitscontrole met als enige basis een wettelijk identiteitsbewijs. Kan dat meer zijn dan controle op de deugdelijkheid van het identiteitsbewijs? Als men alleen beschikt over de persoonsgegevens die op het identiteitsbewijs staan, hoe kan men dan eigenlijk ontdekken dat iemand niet de rechtmatige houder van dat identiteitsbewijs is? Die persoonsgegevens hebben de identiteitsfraudeur juist in staat gesteld om van tevoren een passend verhaal te bedenken. De Wet bescherming persoonsgegevens (WBP) laat meestal niet toe dat een controle-instantie het getoonde identiteitsbewijs zomaar vergelijkt met andere persoonsgegevens. Dat kan wel wanneer men dit in overeenstemming met de WBP van tevoren structureel regelt. Maar dan behoort dat stuk extra controle weer tot het voorspelbare ritueel. Tenzij de voorspelbaarheid wordt weggenomen door gerichte controle-instructies die onder de werking van art 10 lid 2 van de Wet Openbaarheid Bestuur (WOB) geheim blijven! Voorlopig concluderen we daarom dat identiteitsfraude grotendeels valt binnen ‘blinde vlek’ van het ritueel van onze identiteitscontroles. Bestrijding van identiteitsfraude vereist dus een grote omslag in denken. Meer van hetzelfde helpt niet, we moeten het ook anders gaan doen. De vereiste omslag van denken kan worden getypeerd met de vereiste aandachtsverschuiving van het identiteitsbewijs naar: 9 de persoon die er zich van bedient; De kwaliteit van een identiteitsbewijs is niet onbelangrijk, maar voor bestrijding van identiteitsfraude niet meer maatgevend. De identiteit van een persoon kan ook worden gecontroleerd met andere gegevens dan die vermeld staan op het identiteitsbewijs. Controlegegevens kunnen overal vandaan komen, mits ze voor derden met kwade bedoelingen maar niet van tevoren voorspelbaar en bekend zijn. Dit kan rechtmatig binnen de normen van onze privacybescherming en doelmatig geautomatiseerd plaatsvinden op de wijze die ik in mijn publicaties over keteninformatisering uitvoerig heb beschreven11. De op een identiteitsbewijs vermelde gegevens zijn in ieder geval niet bruikbaar voor identiteitscontrole. 9 het proces van identiteitscontrole; Elke situatie van identiteitscontrole is anders, afhankelijk van de context waarin deze plaatsvindt12. Per situatie vertegenwoordigt een geslaagde identiteitsfraude een andere sociale en economische waarde, zijn andere aanvullende controlegegevens het meest geëigend en zijn de kansen op preventie van identiteitsfraude verschillend. In elke controlesituatie blijven op wisselende wijze (soms in het geheel niet) sporen van de identiteitscontrole in een controlesysteem of aanpalende informatiesystemen achter (men noteert bijvoorbeeld een paspoortnummer). Elke situatie heeft bovendien eigen fall back procedures voor gevallen waarin de standaardcontrole niet werkt. Omdat deze doorgaans lichter uitvallen, hebben ze voor kwaadwillenden een aanzuigende werking. Meestal neemt de identiteitscontroleur genoegen met ongecontroleerde of oncontroleerbare documenten of gegevens die de gecontroleerde bij zich heeft. Een identiteitscontrole is dus maatwerk. Voorspelbare uniforme procedures tasten de doeltreffendheid van elke identiteitscontrole aan. 11
12
Zie vooral Informatiestrategie voor ketensamenwerking, Sdu Uitgevers, Den Haag, 2002, ISBN 90 1209 697 9 In dit verband is het nuttig een helder onderscheid te maken tussen de vele maatschappelijke ketens die vanuit identiteitsfraude gezien een grote verscheidenheid aan krachtenvelden, kansen en risico’s vertonen. Zie vooral Informatiestrategie voor ketensamenwerking, Sdu Uitgevers, Den Haag, 2002, ISBN 90 1209 697 9
7
9
geschikte controlegegevens; Geschikte controlegegevens kunnen overal vandaan komen, mits ze voor derden met kwade bedoelingen maar niet van tevoren voorspelbaar en bekend zijn. De op een identiteitsbewijs vermelde identificerende persoonsgegevens en persoonsnummers zijn daarom in ieder geval niet geschikt voor identiteitscontrole omdat deze bij de identiteitsfraudeur bekend zijn. 9 de waarde van identiteitsinstrumenten. Door gestandaardiseerde uniforme, openbare en algemeen bruikbare identiteitsbewijzen en persoonsnummers en vermelding van een algemeen persoonsnummer op de identiteitsbewijzen zijn onze identiteitsinstrumenten voor de identiteitsfraudeur zeer waardevol geworden. We dienen in de toekomst manieren te vinden om die waarde te verkleinen, bijvoorbeeld door de bruikbaarheid van een identiteitsinstrument voor nietrechthebbenden te beperken (bijvoorbeeld door toevoeging van een PIN-code) of door ook andere identiteitsinstrumenten in de identiteitscontrole te betrekken. Met deze analyse wordt ook de weg naar effectieve oplossingsrichtingen duidelijk. De grootste hefboomwerking mag verwacht worden van verrassingseffecten, ingebouwd in een gevarieerder stelsel van private en publieke identiteitscontroles met een goede onderlinge samenhang, zonder verlies van privacy. Effectieve bestrijding van identiteitsfraude vereist dat identiteitscontroles in de toekomst aan een aantal extra voorwaarden gaan voldoen: 9 de voorspelbaarheid van identiteitscontroles moet drastisch worden verminderd, bijvoorbeeld door verschillende controleprocedures met wisselende onderdelen met steeds weer andere persoonsgegevens afkomstig uit een aantal onafhankelijke bronnen; 9 de wettelijke identiteitsbewijzen moet hun monopoliepositie worden ontnomen, bijvoorbeeld door ook andere publieke of private identiteitsinstrumenten (persoonsnummers, biometrie, elektronische handtekening) op een gevarieerde wijze in de controle te betrekken, eventueel in combinatie met controle van een belangrijk gegeven op afstand door een andere instantie; 9 identiteitscontroles moet men bijvoorbeeld de ene keer door de ene en een andere keer door een andere controle-instantie laten doen, elk met eigen variatie van procedures en instrumenten; 9 voorkomen moet worden dat algemene persoonsnummers ketengebonden persoonsnummers en andere indicatoren verdringen zodat we op termijn onvoldoende controlegegevens overhouden die ten opzichte van elkaar onafhankelijk zijn (eigen bron, eigen beheer, etc); 9 het unieke documentnummer van identiteitsdocumenten moet beter worden benut, want dat kan in veel gevallen het gebruik van een zichtbaar persoonsnummer overbodig maken; 9 op identiteitsdocumenten mogen geen persoonsnummers worden vermeld; deze persoonsnummers kunnen natuurlijk wel dienen als controlegegeven op de achtergrond, zo mogelijk afkomstig uit een onafhankelijke bron elders; dus: zorg voor persoonsnummers die wel koppelen maar niet worden verspreid; 9 met geheime controle-instructies moeten identiteitscontroles gevarieerder en voor de identiteitsfraudeur minder voorspelbaar worden gemaakt. In de toekomst mogen identiteitsfraudeurs dus niet meer van tevoren kunnen weten waar, wanneer en hoe ze tegen de lamp zullen lopen.
7.
Met het oog op de toekomst
Dat betekent dat het wettelijke kader van het identiteitsbeleid moet worden herijkt. Zolang er een openbaar algemeen persoonsnummer op door de wet voorgeschreven identiteitsbewijzen staat die een monopoliepositie bij identiteitscontrole hebben, kan een dergelijke benadering gericht op variatie en onvoorspelbaarheid slechts moeizaam terrein winnen. Die belemmeringen moeten worden weggenomen. Het wettelijke kader van het Nederlands identiteitsbeleid lijkt verder goede aanknopingspunten te bieden voor de nieuwe benadering. Indien achterliggende rechtsnormen toch een hinderpaal blijken te vormen, zullen we ons ook op dat niveau moeten aanpassen. Dat is dan de prijs die we moeten betalen voor het behoud van onze rechtsorde in een internationaliserende informatiesamenleving. Uitwerking van concrete maatregelen voor een dergelijke identiteitsstrategie valt buiten het bestek van dit artikel. Maar wel kan gesignaleerd worden dat enkele recent door de Nederlandse overheid genomen of binnenkort te nemen maatregelen in ieder geval heroverweging 8
verdienen, omdat ze waarschijnlijk averechts zullen werken en ook haaks staan op de hierboven geschetste nieuwe strategie voor identiteitscontrole ter verijdeling en bestrijding van identiteitsfraude. Dat betreft dan bijvoorbeeld voor Nederland: a. de huidige vermelding van het sofi-nummer op de wettelijke identiteitsbewijzen; b. de invoering van een verplicht openbaar algemeen persoonsnummer, het zogenaamde burgerservicenummer (BSN) en de voorgenomen vermelding hiervan op identiteitsbewijzen; c. de voorgenomen verplichte algemene uniforme overheidstoepassing van biometrie met de voorgenomen vermelding op het paspoort van een onveranderlijk biometrisch template (met name van de vingerafdruk); d. de voorgenomen algemene uniforme overheidstoepassing voor de elektronische handtekening (de zogenaamde PKI, de public key-infrastructure); e. de invoering van een identificatieplicht in de gezondheidszorg. Voor de hier bepleite nieuwe aanpak van identiteitsfraude is een algemene identificatieplicht alleen interessant, als die onderdeel is van een gevarieerd stelsel van minder voorspelbare publieke en private identiteitscontroles. Van het huidige identiteitsbeleid mag helaas niet worden verwacht dat het onze veiligheid en privacy in de toekomst afdoende waarborgt.
8.
Toetsingskader voor preventie van identiteitsfraude
Uitgangspunten: Begrip identiteitsfraude Met identiteitsfraude bedoelen we hier, dat iemand met kwade bedoelingen bewust de schijn oproept van een identiteit die niet bij hem hoort, daarbij gebruik makend van de identiteit van iemand anders of van een niet-bestaande persoon. Daarvoor heeft men geen document of identiteitsbewijs nodig. Een identiteitsfraudeur kan daarvoor ook persoonsnummers, foto’s, handelingen of gebeurtenissen gebruiken, omdat ze allemaal een identiteitssuggestie bevatten waaruit mensen een conclusie trekken over wie ze tegenover zich hebben. Identiteitsfraude kan daardoor overal en op velerlei manier plaatsvinden en is niet beperkt tot specifieke situaties, procedures of documenten. Als een persoonsverwisseling eenmaal ergens is geslaagd, kan de nieuwe ‘identiteit’ daarna langs reguliere wegen doorwerken op allerlei andere situaties. Daar kan men doorgaans de voorafgaande frauduleuze persoonsverwisseling niet meer doorzien. Dit begrip identiteitsfraude is ruimer dan het traditionele begrip identiteitsfraude dat gebruikt wordt voor allerlei fraudevormen met identiteitsbewijzen.
Waterdichte identiteitscontroles Identiteitscontroles zijn nooit geheel waterdicht. Daarom wordt hieronder aangegeven, dat voor identiteitsfraudebestendige meer dan één identiteitsinstrument nodig is, ook andere controlegegevens uit een voor de gecontroleerde niet te beheersen, onafhankelijke bron en onvoorspelbaarheid van het proces van identiteitscontrole. Op die manier wordt de slaagkans van identiteitsfraude geminimaliseerd.
Identiteitsfraude tegenover documentfraude Het huidige identiteitsbeleid gericht op bestrijding van documentfraude moet in principe van kracht blijven en in zijn uitvoering sterk verbeteren. Identiteitsfraude voegt hieraan een ander perspectief toe met eigen oplossingen.
Proportionaliteitsbeginsel Identiteitscontrole en de daarbij in te zetten identiteitsinstrumenten en controlegegevens moeten voor het doel noodzakelijk zijn.
Subsidiariteitsbeginsel Als het doel van een minder belangrijke of riskante identiteitscontrole kan worden gerealiseerd met een identiteitsinstrument dat voor een niet-gerechtigde een geringer maatschappelijk belang of economische waarde vertegenwoordigt, dat moet dat minder waardevolle identiteitsinstrument worden gebruikt); onder dit beginsel valt de richtlijn dat gegevens die 9
van een identiteitsbewijs verwijderd kunnen worden zonder het doel aan te tasten, daarvan dan ook moeten verwijderd worden, of zó verminkt dat wel herkenning mogelijk is maar geen misbruik (bijvoorbeeld de voorlaatste drie posities van het sofi-nummer in plaats van het gehele sofi-nummer op een identiteitsdocument).
Wet bescherming persoonsgegevens Uitwisseling van specifieke gegevens ten einde de identiteit van de personen van wie gegevens worden verwerkt te beschermen tegen identiteitsfraude, is in beginsel toelaatbaar, mits dat voor de betrokkenen duidelijk kenbaar is en deze daaraan vrijwillig meewerkt.
Algemene aspecten: Karakteristiek van het verschijnsel ‘identiteitsfraude’ a.
b.
c.
d.
e.
Bij een geslaagde identiteitsfraude verschuilt de identiteitsfraudeur zich achter de identiteit van iemand anders, zodat sporen naar het slachtoffer leiden en niet naar de dader; meeliften valt meestal pas achteraf op, een repressieve aanpak achteraf is dan niet effectief; Identiteitsfraudebestrijding wordt pas effectief als een identiteitsfraudeur in onzekerheid verkeert waar, wanneer en hoe hij tegen de lamp zal lopen; dat vereist een grote mate van onvoorspelbaarheid van het verloop van een identiteitscontrole en de daarbij gebruikte controlegegevens; Het gaat in eerste instantie om het beschermen van Nederlandse identiteiten tegen misbruik en oneigenlijk gebruik door Nederlanders én buitenlanders; controlegegevens die identiteitsfraude in Nederland moeten ontmaskeren, zijn dus gegevens over Nederlandse en in Nederland geregistreerde niet-Nederlandse identiteiten; Anders dan in de traditionele analoge omgeving kan in een gedigitaliseerde omgeving de gecontroleerde zelf door zijn gedrag bewerkstelligen dat hij in een noodprocedure (een z.g. fall back procedure) terecht komt; Identiteitsfraude eist wegens zijn bijzondere karakter (zie a) eigen regels voor afwikkeling en schadevergoeding;
Huidige situatie f.
g. h.
i.
Het opgeven van onjuiste identiteitsgegevens aan het bevoegde gezag is slechts een overtreding van openbare orde; deze strafsanctie schrikt daders niet af en maakt het tegelijkertijd niet mogelijk zwaardere opsporings- en bewijsmiddelen in te zetten, zoals DNA, vingerafdrukken, etc. Wie meewerkt aan fraude met identiteitsbewijzen en persoonsnummers wordt momenteel zelden daarop aangesproken; Identiteitsinstrumenten worden slordig beheerd zonder dat rechtmatige houders daar veel invloed op kunnen uitoefenen; mogelijkheden om gebruik van identiteitsbewijzen en persoonsnummers (eventueel tijdelijk) te blokkeren zijn meestal niet aanwezig of werken vertragend (proces-verbaal van vermissing paspoort); daarmee is een actieve betrokkenheid van de houder bij het beschermen van zijn eigen identiteit nauwelijks mogelijk; Met geheime controle-instructies kunnen identiteitscontroles gevarieerder en voor de identiteitsfraudeur minder voorspelbaar worden gemaakt, maar de bestaande mogelijkheden tot afscherming van art. 10 lid 2 van de Wet Openbaarheid Bestuur (WOB) met toepassing van het criterium ‘inspectie, controle en toezicht door bestuursorganen’ worden in de controlepraktijk nauwelijks benut.
Specifiek toetsingskader: Persoon van de gecontroleerde 1. 2.
Identiteitsbewijzen en persoonsnummers moeten geblokkeerd kunnen worden tegen onrechtmatig gebruik door derden; is hierin voorzien? In een concreet identiteitscontroleproces moeten personen apart worden gecontroleerd met in die situatie geschikte controlemiddelen, onafhankelijk van het door hen getoond identiteitsbewijs; is hierin voorzien?
10
3.
4.
5.
Voor identiteitscontrole gericht op de persoon van de gebruiker van een identiteitsbewijs zijn de op het getoonde identiteitsbewijs vermelde gegevens van de rechtmatige houder niet geschikt om identiteitsfraude te constateren omdat ze bij de identiteitsfraudeur bekend zijn; is voorzien in andere, van de gecontroleerde onafhankelijke controle-instrumenten? Aan de persoon van de rechtmatige houder ontleende zogenaamde ‘intieme kennis’ (favoriete huisdier, roepnaam van een familielid, etc.) biedt veel mogelijkheden om een identiteitsfraudeur te ontmaskeren; wordt hiervan gebruik gemaakt? Met betrekking tot gecontroleerde personen dienen uitwendige verkeersgegevens over de identiteitscontrole (plaats, datum/tijd, documentnummer en controleresultaat) te worden bijgehouden om later of elders voor controledoeleinden te gebruiken; is hierin voorzien? Zie ook 22
Proces van identiteitscontrole 6.
7.
8.
9.
10.
11.
12.
13.
Identiteitscontroles waarbij alleen gebruik wordt gemaakt van één identiteitsbewijs of één technologie (biometrie) zijn niet bestand tegen identiteitsfraude; wordt hier rekening mee gehouden? Een identiteitsfraudebestendige identiteitscontrole is situatie- of ketenspecifiek; het gaat dus om het proces van identiteitscontrole in elke concrete maatschappelijk belangrijke of riskante controlesituatie; dit proces van identiteitscontrole moet in de desbetreffende specifieke situatie (keten) in belangrijke mate onvoorspelbaar zijn; is dat het geval? Met geheime controle-instructies kunnen identiteitscontroles gevarieerder en voor de identiteitsfraudeur minder voorspelbaar worden gemaakt, door afscherming onder art. 10 lid 2 van de Wet Openbaarheid Bestuur (WOB) (bijvoorbeeld onder de werking van het criterium ‘inspectie, controle en toezicht door bestuursorganen’); wordt van deze mogelijkheid gebruik gemaakt? Identiteitscontroles kan men bijvoorbeeld nu eens door de ene dan weer door de andere controle-instantie laten doen, elk met een eigen variatie in procedures en instrumenten; is hierin voorzien? Uitzonderingsprocedures bij identiteitscontrole moeten minstens even zwaar zijn dan de hoofdprocedure, ter voorkoming van aanzuigende werking en uitlokking; als een noodprocedure zwakker is dan de (deels) gedigitaliseerde hoofdprocedure, is de hoofdprocedure erg kwetsbaar, omdat in principe de gecontroleerde zelf door zijn gedrag kan bewerkstelligen dat hij in de noodprocedure terecht komt, bijvoorbeeld door het identiteitsbewijs te vergeten, het pasje van een ander te gebruiken of een chip met een controlegegeven onklaar te maken; wordt hier rekening mee gehouden? Bij een biometrische verificatie moet ter plaatse steeds datacommunicatie mogelijk zijn voor biometrische verificatie op afstand en in fraudegevoelige situaties moeten uitwendige verkeersgegevens van deze biometrische verificatie voor controledoeleinden worden gelogd; gegevens over biometrische verificaties worden op dit moment nauwelijks breder benut voor fraudepreventie (twee herkenningen op grote geografische afstand van elkaar met een kort tijdsverschil duiden bijvoorbeeld op fraude); is hierin voorzien? Als in een specifieke situatie de echtheid en geldigheid van het identiteitsbewijs niet kan worden getoetst of beoordeeld, moet een alternatief gevonden worden door een wel deskundige instantie deze controle te laten doen, eventueel op afstand en met gebruikmaking van controlegegevens die deze put uit eigen bestanden of daartoe opvraagt van elders (bijvoorbeeld geboortedatum jongste kind, etc.); is hierin voorzien? Omdat technologie vaak ten onrechte teveel wordt vertrouwd of door controleurs gewoon niet goed wordt doorzien, moeten aan technologie voor tweedelijns controle minstens even strenge eisen worden gesteld dan aan technologie die wordt ingezet voor eerstelijns controle; is hieraan voldaan?
Geschikte controlegegevens 14. Identiteitscontrole die uitsluitend gebruik maakt van één identiteitsbewijs, één persoonsnummer of één technologie (bijvoorbeeld biometrie) is meestal niet bestand tegen identiteitsfraude; meerdere instrumenten en onafhankelijke controlegegevens, eventueel in combinatie met controle op afstand door andere instanties, zijn noodzakelijk om identiteitsfraudeurs te ontmaskeren; is hierin voorzien? 11
15. Bij identiteitscontroles kunnen ook andere publieke of private identiteitsinstrumenten, zoals persoonsnummers, biometrie, elektronische handtekening, op een gevarieerde wijze worden betrokken; is hierin voorzien? 16. Het unieke documentnummer van identiteitsdocumenten kan in veel gevallen het gebruik van een zichtbaar persoonsnummer overbodig maken; worden die mogelijkheden benut? 17. Identificerende persoonsgegevens en persoonsnummers op een identiteitsbewijs zijn voor identiteitscontrole niet te beschouwen als controlegegevens afkomstig van een onafhankelijke tweede bron; dit geldt in beginsel ook voor eventueel op het identiteitsbewijs voorkomende biometrische getallen; wordt hier rekening mee gehouden? 18. Gegevens betreffende Nederlandse identiteiten en haar rechtmatige houders mogen niet onnodig ter kennis van derden worden gebracht (niet het gehele sofinummer op het identiteitsbewijs, bijvoorbeeld); wordt aan dit uitgangspunt voldaan? 19. Men moet in een specifieke controlesituatie gebruik maken van geschikte gegevens die niet van een getoonde (identiteits)document kunnen worden afgeleid; deze controlegegevens moeten uit vanuit de gecontroleerde gezien onafhankelijke bron komen, via een kanaal buiten beinvloedingsmacht van de gecontroleerde; is hierin voorzien? 20. Persoonsgegevens op een identiteitsbewijs kunnen zó worden verminkt, dat wel herkenning mogelijk is maar geen misbruik (bijvoorbeeld de voorlaatste drie posities van het sofi-nummer in plaats van het gehele sofi-nummer op een identiteitsdocument); zo kan dit persoonsnummer toch dienen als controlegegeven, mits ontleend aan een andere onafhankelijke bron; wordt van deze mogelijkheid gebruik gemaakt? 21. Biometrische persoonscontrole in fraudegevoelige situaties vergt gelijktijdig gebruik van meerdere van elkaar onafhankelijke biometrische kenmerken van dezelfde persoon, zo dit mogelijk is op uiteenlopende wijze beschikbaar gemaakt op de plaats van controle, bijvoorbeeld met gebruik van datacommunicatie; is hierin voorzien? 22. Uitwendige verkeersgegevens van identiteitscontroles moeten worden vastgelegd om later te kunnen gebruiken voor controledoeleinden (bijvoorbeeld controletijdstip en nummer van een getoond identiteitsbewijs); is hierin voorzien? 23. Een gegeven uit een eerdere fase van het desbetreffende proces kan voor belangrijke identiteitscontroles additionele controle op meeliften mogelijk maken, bijvoorbeeld een treinreis, een betaling, het passeren van een andere controle; wordt van deze mogelijkheid gebruik gemaakt?
Waarde van identiteitsinstrumenten 24. Belangrijke persoonsnummerstelsels en identiteitsbewijzen moeten goed worden beheerd; kwaliteitsborging is noodzakelijk en grensoverschrijdende informatieuitwisseling met het doel om het bestand schoon te maken of te houden; is daarin voorzien? 25. Hoe hoger de maatschappelijke waarde van een identiteitsinstrument in de ogen van een niet-gerechtigde, hoe meer tegenwicht moet worden gerealiseerd; bijvoorbeeld door onvoorspelbaarheid van het proces van identiteitscontrole en gebruik van additionele controlegegevens, beperking van de bruikbaarheid voor anderen (bijvoorbeeld door toevoeging van een PIN-code) of door de controleprocedures uit te breiden of te verzwaren met voormelding, terugmelding of controle door meerdere instanties; zijn waarde en tegenwicht voldoende in balans? 26. Uitgifte van een persoonsnummer of een ander controlegegeven is vaak in twee gedeelten mogelijk; een deel wordt dan aan de feitelijke of rechtmatige houder meegegeven om bij een controle te tonen, een ander deel wordt rechtstreeks aan de controlerende instantie gezonden; wordt van zulke dubbele sleutelconstructies gebruik gemaakt?
12
Item: (kort omschrijven)
Nr
Score (positief 1; negatief 0; geen gegevens -- )
persoon 1. 2. 3. 4. 5.
Blokkeren tegen gebruik mogelijk? Persoonsgerichte controlemiddelen? Wordt het identiteitsbewijs gerelativeerd? Wordt gebruik gemaakt van intieme kennis? Worden verkeersgegevens van identiteitscontroles opgeslagen en voor controle gebruikt?
proces 6. 7. 8. 9. 10. 11. 12. 13.
Meer dan één identiteitsbewijs of één technologie? Is de identiteitscontrole onvoorspelbaar in riskante controlesituatie? Wordt gebruik gemaakt van art. 10 lid 2 van de Wet Openbaarheid Bestuur (WOB) voor geheime controle-instructies? Meer dan één controle-instantie, elk met eigen variatie? Is noodprocedure zwakker dan hoofdprocedure? Worden uitwendige verkeersgegevens van biometrische controles opgeslagen en gebruikt? Kan echtheid en geldigheid van het identiteitsbewijs worden getoetst of is er een alternatief? Gelden even strenge eisen voor tweedelijns controle?
controlegegevens 14. meerdere instrumenten en onafhankelijke controlegegevens, eventueel in combinatie met controle op afstand? 15. andere publieke of private identiteitsinstrumenten, zoals persoonsnummers, biometrie, elektronische handtekening? 16. unieke documentnummer gebruikt om een zichtbaar persoonsnummer te vervangen? 17. worden op een identiteitsbewijs voorkomende gegevens gebruikt voor identiteitscontrole? 18. worden gegevens betreffende Nederlandse identiteiten en rechtmatige houders ter kennis van derden gebracht? 19. controlegegevens uit vanuit de gecontroleerde gezien onafhankelijke bron, via een kanaal buiten beinvloedingsmacht van de gecontroleerde? 20. persoonsgegevens gedeeltelijk vermelden op een identiteitsbewijs, zodat herkenning mogelijk is maar misbruik door derden niet; volledige gegeven kan toch dienen als controlegegeven? 21. biometrische persoonscontrole in fraudegevoelige situaties met gelijktijdig gebruik van meerdere van elkaar onafhankelijke biometrische kenmerken? 22. is voorzien in vastlegging van verkeersgegevens van identiteitscontroles om later te kunnen gebruiken voor controledoeleinden? 23. een gegeven uit een eerdere fase van het desbetreffende proces als additionele controle voor belangrijke identiteitscontroles?
waarde van identiteitsinstrumenten 24. is voorzien in goed beheer met kwaliteitsborging en grensoverschrijdende informatie-uitwisseling om het bestand schoon te maken of te houden? 25. balans tussen waarde van het identiteitsinstrument en tegenwicht in de vorm van onvoorspelbaarheid van het proces, gebruik van controlegegevens, beperking gebruik en verzwaring van de controle? 26. worden dubbele sleutelconstructies gebruikt, zoals uitgifte in twee gedeelten, een deel voor de houder, een ander deel voor de controlerende instantie?
13
Literatuurverwijzingen: Dr mr J.H.A.M. Grijpink, Identiteit als kernvraagstuk in een informatiesamenleving, in: Handboek Fraudepreventie, hoofdstuk Fraude en integriteit, nr E 4010, november 1999, Samson, Alphen aan den Rijn Dr mr J.H.A.M. Grijpink, Biometrie en privacy, in: Privacy & Informatie, nr. 6, december 2000, Koninklijke Vermande Dr mr J.H.A.M. Grijpink, Checklist Preventie van risico’s van chipkaarttoepassingen, in: Checklisten Informatiemanagement, Ten Hagen Stam, Den Haag, november 2000, rubriek 1.F.14 Dr mr J.H.A.M. Grijpink, Checklist Biometrische Persoonsherkenning, in: Checklisten Informatiemanagement, Ten Hagen Stam, Den Haag, aflevering 34, december 2000, rubriek 1.F.15. Dr mr J.H.A.M. Grijpink, Checklist Persoonsnummers en andere nummerstelsels, in: Checklisten Informatiemanagement, Ten Hagen Stam, Den Haag, aflevering 39, december 2001, rubriek 2.1.15. Dr mr J.H.A.M. Grijpink, Informatiestrategie voor ketensamenwerking, Sdu Uitgevers, Den Haag, 2002, ISBN 90 1209 697 9 Dr mr J.H.A.M. Grijpink, Identiteitsfraude als uitdaging voor de rechtstaat, in: Privacy & Informatie, 2003, 6e jaargang, nummer 4 (augustus), pp. 148-153, Koninklijke Vermande, Lelystad, ISSN 1388-0241
14