Informatiegestuurde grenscontrole

Informatiegestuurde grenscontrole Verkenning ten behoeve van het gebruik van selectieprofielen in het kader van grensbeheer

Dr. A.J. Hoogstrate

Dr. C.J. Veenman

6 september 2012

Kennis en Expertise Centrum voor Intelligente Data-Analyse (Kecida) Nederlands Forensisch Instituut Laan van Ypenburg 6 2497 GB Den Haag

Dit rapport is geschreven in opdracht van de programmadirectie Identiteitsmanagement en Immigratie (IDMI)

2

Management samenvatting In 2011 is de programmadirectie Identiteitsmanagement en Immigratie (IDMI) gestart om beleidsvoornemens uit te voeren op het gebied van versterkt grenstoezicht en verbeterde identiteitsvaststelling in de vreemdelingenketen. Een van de middelen waarmee verwacht wordt het grenstoezicht te kunnen verbeteren is de toepassing van risico- of selectieprofielen. Het streven is om objectieve risicoprofielen in te gaan zetten, die op basis van historische gegevens ontwikkeld en geëvalueerd zijn. Om dit mogelijk te maken moeten gegevens van passagiers verzameld worden. Voor operationele inzet van goedgekeurde profielen moet op grote schaal beschikt kunnen worden over hetzelfde type actuele reisgegevens. De vraag is of het grootschalige verzamelen van persoonsgegevens te verantwoorden is voor het gegeven doel: het opstellen en toepassen van risicoprofielen voor het verbeteren van het grenstoezicht. De afgeleide hoofdvraag die ten grondslag ligt aan dit rapport is of en hoe datagestuurde risicoprofielen toegepast kunnen worden voor grenstoezicht. Deze vraag vertaalt zich in verschillende deelvragen. Ten eerste of er a priori vast te stellen is welke gegevens nodig zijn voor een bepaald profiling doel. Ten tweede of het a priori vast te stellen is hoe goed het profiel op basis van die gegevens zou kunnen werken. En meer specifiek de vraag of datagestuurde profielen op basis van persoonsgegevens rond het grenstoezicht tot bruikbare resultaten zullen leiden. Ten derde de vraag of historische gegevens toegevoegde waarde hebben en wat de verschillende gevolgen, gevaren en tegemoetkomingen daaromtrent zijn. In het rapport wordt eerst uitgebreid ingegaan op technische aspecten van datagestuurde profiling. Datagestuurde risicoprofielontwikkeling en toepassing is een dynamisch en cyclisch proces. Zodanig tot stand gekomen profielen dienen altijd als ondersteunend ingezet te worden. Datagestuurde profielen vallen onder de beslissingsondersteunende systemen. De vraag hoe profiling voor het grenstoezicht toepasbaar is, wordt beantwoord middels een praktische invulling in de vorm van een procedurevoorstel: procedure gereguleerde profiling. Deze procedure integreert de beginselen voor het gebruik van persoonsgegevens met de alom geaccepteerde methode voor datagestuurde beslissingsondersteunende systemen (CRISP-DM). Omdat niet te voorzien is hoe effectief profielen zullen zijn, is een pilotopzet per profiel ge¨ıntegreerd in de procedure. De pilotperiode is opgenomen als ontwikkelfase. Omdat niet vooraf vaststaat welke gegevens voor een gegeven profielfenomeen nodig zijn, moeten vanuit technisch oogpunt zoveel mogelijk gegevens beschikbaar zijn voor de profielontwikkeling en -toepassing. Mede om deze technische reden is het raadzaam ook historische reisgegevens te gebruiken voor profiling. Om de risico’s van misbruik en ontvreemding van de persoonsgegevens in te perken is in dat geval een vorm van Privacy Enhancing Technology (PET) nodig. Uitgaande van het gebruik van een zo ruim mogelijke verzameling passagiersgegevens is het nog niet te voorzien hoe goed profiling zal gaan werken, maar gezien ervaringen in vele meer en minder gerelateerde domeinen zal er in ieder geval winst ten opzichte van willekeurige inspecties te verwachten zijn. Hoeveel winst is niet vooraf in te schatten. Daarvoor is een pilot project vooraf aan te bevelen op een niet te zeldzaam fenomeen, waar al een duidelijk beeld is van de doelgroeppersonen inclusief de van hen verzamelde gegevens. Ook de werkbaarheid van de voorgestelde procedure gereguleerde profiling wordt bij voorkeur eerst getoetst in een proefproject. Omdat er geen procedures met een vergelijkbaar doel bekend zijn, is er met deze voorgestelde procedure nog geen praktische ervaring.

3

4

Inhoud 1

Inleiding 1.1 Probleemstelling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Afbakening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Leeswijzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9 9 9 9

2

Wat is een profiel? 2.1 Definities en terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11 11

I

De Technische Eisen en Mogelijkheden van Profiling

13

3

Profielen ontwikkelen en toepassen 3.1 Brongegevens . . . . . . . . . . . . . . . . . . . . . . 3.2 Datagestuurde en kennisgestuurde profielontwikkeling 3.3 Het toepassen van profielen . . . . . . . . . . . . . . . 3.3.1 Scoring . . . . . . . . . . . . . . . . . . . . . 3.3.2 Selectie . . . . . . . . . . . . . . . . . . . . . 3.3.3 Inspectie . . . . . . . . . . . . . . . . . . . .

4

5

6

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

15 15 15 16 16 17 17

Het proces van datagestuurde profiel ontwikkeling 4.1 CRISP-DM methode voor het ontwikkelen van profielen 4.1.1 Business understanding . . . . . . . . . . . . . . 4.1.2 Data understanding . . . . . . . . . . . . . . . . 4.1.3 Data preparation . . . . . . . . . . . . . . . . . 4.1.4 Modeling . . . . . . . . . . . . . . . . . . . . . 4.1.5 Evaluation . . . . . . . . . . . . . . . . . . . . 4.1.6 Deployment . . . . . . . . . . . . . . . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

19 19 19 20 20 20 20 21

. . . . . . . . .

23 23 23 24 25 25 26 26 26 27

Het beheer van profielen 6.1 Profiel aanpassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Houdbaarheidsdatum van de data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29 29 30

Datagestuurde profiling 5.1 Representativiteit en relevantie van de gegevens . . . . . . . . . . . . . . . 5.2 Kwaliteit van de gegevens . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Ontwikkeling van het profiel . . . . . . . . . . . . . . . . . . . . . . . . . 5.4 Evaluatie van het profiel . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5 Operationele inzet van het profiel . . . . . . . . . . . . . . . . . . . . . . . 5.5.1 Kwaliteit van gegevens . . . . . . . . . . . . . . . . . . . . . . . . 5.5.2 Scoren op basis van het profiel . . . . . . . . . . . . . . . . . . . . 5.5.3 Selectie op basis van profielscore . . . . . . . . . . . . . . . . . . 5.5.4 Inspectie en selectie op basis van risico versus willekeurige selectie

5

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

6

INHOUD

7

Historische gegevens 7.1 Temporele profielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Bewaren van de gegevens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31 31 31

8

Eigenschappen van supervised geleerde profielen 8.1 Univariate profielen . . . . . . . . . . . . . . 8.2 Multivariate profielen . . . . . . . . . . . . . 8.3 Grenzen aan profielen . . . . . . . . . . . . . 8.4 Uitlegbaarheid . . . . . . . . . . . . . . . . .

33 33 33 36 37

II 9

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

Profielen voor Risicotaxatie aan de Grens

39

Profiling als balans tussen veiligheid en mobiliteit in het grenstoezicht 9.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Risicogebaseerde oplossingen . . . . . . . . . . . . . . . . . . . . 9.3 Enkele wetenschappelijke beschouwingen . . . . . . . . . . . . . . 9.4 De praktische gevolgen van de wetenschappelijke beschouwingen .

. . . .

41 41 41 42 43

10 Praktische ervaring met profiling 10.1 Profielen in aanverwante gebieden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Profielen voor grenstoezicht in andere landen . . . . . . . . . . . . . . . . . . . . . . . .

45 45 46

11 Datagestuurde profiling in het grenstoezicht 11.1 Gegevens voor profiling in het grenstoezicht . . . . . . . . . . . . . . . . . 11.1.1 Juridische overwegingen . . . . . . . . . . . . . . . . . . . . . . . 11.1.2 Technische overwegingen . . . . . . . . . . . . . . . . . . . . . . 11.2 Representativiteit en relevantie van de gegevens . . . . . . . . . . . . . . . 11.3 Kwaliteit van de gegevens . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4 Ontwikkeling van het profiel . . . . . . . . . . . . . . . . . . . . . . . . . 11.5 Evaluatie van het profiel . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.5.1 Statistische relevantie . . . . . . . . . . . . . . . . . . . . . . . . . 11.6 Operationele inzet van het profiel . . . . . . . . . . . . . . . . . . . . . . . 11.6.1 Scoren op basis van het profiel en selectie op basis van profiel score 11.6.2 Inspectie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . .

47 47 47 48 48 48 49 49 49 49 50 51

12 Historische gegevens in het grenstoezicht 12.1 Temporele profielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 Wel of geen langdurige opslag: keuzes en consequenties . . . . . . . . . . . . . . . . . .

53 53 54

III

57

. . . .

. . . .

. . . .

. . . .

. . . .

. . . . . . . . . . .

. . . .

. . . . . . . . . . .

. . . .

. . . . . . . . . . .

. . . .

. . . . . . . . . . .

. . . .

. . . . . . . . . . .

. . . .

. . . . . . . . . . .

. . . .

. . . . . . . . . . .

Een Voorstel voor Datagestuurde Profiling voor Grenstoezicht

13 Beheer en toezicht bij profiling 13.1 Inleiding . . . . . . . . . . . . . 13.2 Doelstelling . . . . . . . . . . . 13.3 Randvoorwaarden . . . . . . . . 13.4 Afbakening . . . . . . . . . . . 13.5 Procedure gereguleerde profiling 13.5.1 Actoren . . . . . . . . . 13.5.2 Procedure . . . . . . . . 13.5.3 Stadia van profielen . . . 13.6 Discussie . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

59 59 59 59 60 60 60 61 62 62

INHOUD

14 Samenvatting en conclusies 14.1 Samenvatting van Deel I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14.2 Samenvatting van Deel II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14.3 Conclusies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7

65 65 65 66

8

INHOUD

Hoofdstuk 1

Inleiding In 2011 is de programmadirectie Identiteitsmanagement en Immigratie (IDMI) gestart om beleidsvoornemens uit te voeren op het gebied van grenstoezicht en verbeterde identiteitsvaststelling in de vreemdelingenketen. Een van de middelen waarmee verwacht wordt het grenstoezicht te kunnen verbeteren is de toepassing van risico- of selectieprofielen. Het streven is om objectieve risicoprofielen in te gaan zetten, die op basis van historische gegevens ontwikkeld en geëvalueerd zijn. Om dit mogelijk te maken moeten gegevens van passagiers verzameld worden. Voor operationele inzet van goedgekeurde profielen moet op grote schaal beschikt kunnen worden over hetzelfde type actuele reisgegevens. De vraag is of het grootschalige verzamelen van persoonsgegevens te verantwoorden is voor het gegeven doel: het opstellen en toepassen van risicoprofielen voor het verbeteren van het grenstoezicht.

1.1

Probleemstelling

De hoofdvraag die ten grondslag ligt aan dit document is of en hoe datagestuurde risicoprofielen toegepast kunnen worden voor grenstoezicht. Deze vraag vertaalt zich in verschillende deelvragen. Ten eerste of er a priori vast te stellen is welke gegevens nodig zijn voor een bepaald profiling doel. Ten tweede of het a priori vast te stellen is hoe goed het profiel op basis van die gegevens zou kunnen werken en of het tot bruikbare resultaten zal leiden. Beide vragen gelden in het algemeen, maar in de context van dit rapport vooral ten aanzien van persoonsgegevens in het grenstoezichtdomein. De derde deelvraag is of historische gegevens toegevoegde waarde hebben en wat de verschillende gevolgen, gevaren en tegemoetkomingen daaromtrent zijn.

1.2

Afbakening

Het rapport richt zich vooral op de technische aspecten van het gebruik van profielen. Omdat er nog weinig of geen (openbaar toegankelijke) praktische ervaring mee is in het grenstoezicht, richt de verkenning zich op ervaringen uit andere aanpalende domeinen en theoretische gronden. Harde conclusies over te verwachten kosten en opbrengsten voor het grenstoezicht zijn derhalve niet te trekken. Verder ligt de nadruk op profielen die uit data geleerd worden, omdat met dit type profielen complexe relaties in grote hoeveelheden gegevens te ontwarren zijn, hetgeen met gedeeltelijk of volledige kennisgestuurde methoden vrijwel niet mogelijk is. Bovendien zijn datagestuurde profielen na constructie objectiveerbaar en evalueerbaar. Dat wil zeggen dat de verkregen profielen na het moment van gegevensverzameling en profielontwikkeling niet onderhevig zijn aan persoonlijke, maatschappelijke, of politieke voorkeuren en bovendien laat de kwaliteit van het profiel zich eenvoudig objectief vaststellen.

1.3

Leeswijzer

Het rapport is opgedeeld in drie delen. Het eerste deel richt zich op technische achtergronden, mogelijkheden en grenzen van het ontwikkelen en toepassen van profielen. Het eerste hoofdstuk van Deel I, Hoofdstuk 9

10

HOOFDSTUK 1. INLEIDING

3, maakt het onderscheidt tussen profielontwikkeling en -toepassing duidelijk. Het verschil tussen de verschillende soorten informatie die ter beschikking is om profielen op te baseren komt aan bod. Vervolgens worden de twee typen van profielontwikkeling, kennisgestuurd en datagestuurd, tegen elkaar afgezet. Het daaropvolgende Hoofdstuk 4 bespreekt het beproefde proces van datagestuurde profielontwikkeling CRISPDM, omdat de datagestuurde aanpak de focus is van deze studie. Hoofdstuk 5 is vervolgens gewijd aan de meer inhoudelijke kant van het datagestuurde profielontwikkeling en -toepassing. Hoofdstuk 6 gaat in op de houdbaarheid van gegevens en de daarop gebaseerde profielen. In Hoofdstuk 7 krijgt houdbaarheid een nieuwe dimensie, in de zin dat veranderingen op trends kunnen duiden die vastgesteld kunnen worden in temporele profielen. Mogelijke gevaren bij het bewaren van gegevens krijgt daarbij ook kort aandacht. Hoofdstuk 8 sluit Deel I af met een verkenning van de eigenschappen en grenzen van het belangrijkste type datagestuurde profielen, de supervised geleerde profielen. Hiermee geeft Deel I basiskennis voor het tweede deel dat zich specifiek richt op implicaties van risicotaxaties voor het grenstoezicht. Het tweede deel is grotendeels op zichzelf te lezen en verwijst waar nodig terug naar Deel I. Hoofdstuk 9 leidt het tweede deel in met de reden van het toepassen van profielgebaseerde risicotaxatie voor grenstoezicht. Hierin komen ook juridische, economische en technische aspecten aan bod, zowel in meer wetenschappelijke zin als in praktische zin. In Hoofdstuk 10 volgt een verkenning van ervaringen met profiling in andere vakgebieden en rond grenstoezicht in andere landen. In Hoofdstuk 11 krijgen allerlei essentiële aspecten rond datagestuurde profielontwikkeling en -toepassing, als besproken in Hoofdstuk 5, een vertaling naar consequenties in het grenstoezichtdomein. Vervolgens vult Hoofdstuk 12 de verhandeling over het gebruik van historische gegevens (Hoofdstuk 7 van Deel I ) aan met gevaren die spelen rond het langdurig opslaan van persoonsgegevens. Tenslotte rondt Deel III het rapport af met een concreet voorstel voor een procedure voor profielontwikkeling en conclusies over het gehele rapport. Het in Hoofdstuk 13 gepresenteerde procedurevoorstel vindt zijn onderbouwing in de voorgaande delen en is direct ge¨ınspireerd door de bekende CRISP-DM proces methode onder voorwaarden van de beginselen voor het gebruik van persoonsgegevens. In het laatste concluderende Hoofdstuk 14 worden de conclusies uit Deel I en II samengevat. Het hoofdstuk sluit af met een terugkoppeling in algemene conclusies naar de probleemstelling aan het begin van dit hoofdstuk.

Hoofdstuk 2

Wat is een profiel? Een profiel is een typering van een individu of een groep personen. Bij de typering van individuen gaat het om karakteristieken die het individu van alle andere onderscheidt middels een persoonlijk profiel. Hiervan is het DNA profiel het bekendste voorbeeld. Ook de vingerafdruk is een dergelijk profiel. Doordat de vingerafdruk de oudste en meest bekende karakteristiek is voor typering van mensen, wordt de term fingerprinting breed gebruikt voor de typering van individuen maar ook voor individuele voorwerpen. Een profiel voor de typering van groepen kan betrekking hebben op de karakteristieke eigenschappen van een bekende groep of gemeenschap, zoals een politieke partij of de passagiers in een bepaald arriverend vliegtuig. In dat geval lijken ze op profielen voor de typering van individuen. Een dergelijk groepsprofiel typeert een bekende groep om deze te kunnen onderscheiden van andere groepen. Als laatste zijn er groepsprofielen voor de typering van personen die a priori geen afgebakende groep vormen, maar die wel gemeenschappelijke eigenschappen hebben. Rond het grenstoezicht kan het bijvoorbeeld gaan om mensensmokkelaars of witwassers. In de context van dit rapport richten we ons op het tweede type groepsprofielen, dat wil zeggen groepen personen zonder duidelijke samenhang. Personen die hun groepslidmaatschap ontlenen aan het betrekking hebben op een bepaald fenomeen.

2.1

Definities en terminologie

We noemen alle personen samen de populatie. Binnen deze populatie bevindt zich een groep van personen die we wegens betrokkenheid bij een bepaald fenomeen willen typeren en we de doelgroep noemen, bijvoorbeeld de groep bestaande uit mensensmokkelaars. De doelgroep bestaat uit reeds bekende tegen de lamp gelopen personen en onbekende mensensmokkelaars. Een risico- of selectieprofiel is een groepsprofiel dat tot doel heeft voor een persoon de kans in te schatten dat hij behoort tot de doelgroep. De kans dat de persoon tot de (risico)doelgroep behoort is zijn/haar risico. We gaan er in dit rapport vanuit, dat profielen voor risico’s gebruikt worden. Zonder beperking der algemeenheid geldt dat de doelgroep ook juist een groep personen zonder specifiek risico kan vormen. In die gevallen mag de doelgroep juist zonder inspectie doorgelaten worden. Indien bekend is of een persoon al of niet tot de doelgroep behoort, wordt dat met een label aangegeven. Het label is ’ja’ of ’nee’ voor personen die respectievelijk wel of niet tot de doelgroep behoren. De andere gegevens die van personen bekend zijn en voor het profileren gebruikt kunnen worden, zoals leeftijd en betalingswijze van het ticket, noemen we variabelen of kenmerken. Naast risicoprofielen zijn er watchlists (ook wel blacklists genoemd), behorende bij een risicoprofiel, met bij naam genoemde personen van wie reeds bekend is dat ze een overtreding of misdrijf begaan hebben of daarmee in relatie staan en daarom automatisch geselecteerd dienen te worden. Ze zijn dus ook gelabeld met ’ja’ voor de betreffende overtreding of het misdrijf. We zullen ook white lists aan de orde laten komen. Whitelists bevatten personen van wie bekend is dat ze geen overtreding of misdrijf hebben begaan waar het profiel betrekking op heeft. Ofwel, ze behoren juist niet tot de doelgroep en hebben derhalve het label ’nee’. Met betrekking tot de bekende en onbekende leden van de doelgroep kan gesteld worden dat de bekende doelgroepspersonen, indien ze zich nog moeten verantwoorden, op een watchlist komen te staan en de onbekende personen bij een effectief profiel een hoge kans toegewezen krijgen om tot de doelgroep te behoren. Met ander woorden, voor deze doelgroeppersonen wordt een hoog risico ingeschat. We noemen een systeem, dat de mens met profielen ondersteunt bij het bepalen van risico’s ten aanzien 11

12

HOOFDSTUK 2. WAT IS EEN PROFIEL?

van personen, een beslissingsondersteunend systeem. De mens neemt de beslissing tot opvolging onder meer op basis van het door het profiel geschatte risico. Overigens wordt zowel voor het ontwikkelen van een profiel als voor het toepassen van een profiel op onbekende personen de term profiling gebruikt. Voor de duidelijkheid zullen we expliciet spreken van het ontwikkelen van profielen en het toepassen van profielen.

Deel I

De Technische Eisen en Mogelijkheden van Profiling

13

Hoofdstuk 3

Profielen ontwikkelen en toepassen Traditioneel is profiling in de openbare orde en veiligheid vooral bekend uit dader profiling (criminal profiling). Het opstellen van het profiel gebeurt door de opsporingsbeambte, eventueel ondersteund door een forensisch psycholoog. Dit type profielen zijn voorbeelden van kennisgestuurde profielen. Sinds de opkomst van computeranalysetechnieken worden in steeds meer vakgebieden datagestuurde profielen ontwikkeld. De kennis wordt bij deze profielen automatisch uit de beschikbare gegevens geëxtraheerd. We komen daar in de volgende hoofdstukken op terug. Na het ontwikkelen van het profiel, kan het in de praktijk toegepast worden. Ook daarin is er een onderscheid in de rol die de mens speelt. Een datagestuurd profiel kan in het algemeen ook automatisch toegepast worden, omdat de gegevens waarop het gebaseerd is in informatiesystemen opgeslagen zijn. Kennisgestuurde profielen zijn minder beperkt in de gegevens waar het profiel op van toepassing is. Ook observatiegegevens, dus gegevens buiten informatiesystemen, spelen hierin vaak een rol. Daardoor is voor de toepassing van dit type profielen ook een belangrijker rol voor de mens weggelegd. Onderstaand volgt een beschouwing van de gegevens die een rol spelen als grond voor het opstellen van een profiel, belangrijke verschillen tussen kennisgestuurde en datagestuurde profielen, en de verschillende mogelijkheden rond het toepassen van profielen.

3.1

Brongegevens

Als eerste kunnen de gegevens uit informatiesystemen dienen als bron voor het genereren van het profiel. Dit kunnen in het grenstoezichtdomein bijvoorbeeld de identificerende gegevens (zoals personalia) en overige passagiersgegevens zijn (zoals bagage en vluchtgegevens). Dit type gegevens is in principe voor alle passagiers beschikbaar. Ten tweede kan bij het naderen van het inspectiepunt de informatie voor het profilen aangevuld worden met allerlei ad hoc informatie waaronder persoonsgegevens verzameld door anderen. Hierbij moet gedacht worden aan sensoren, zoals metaaldetectors, ANPR camera’s, signalen uit CCTV en menselijke visuele observaties. Deze informatie wordt als ad hoc beschouwd, omdat het in bepaalde gevallen beschikbaar is, maar zeker niet voor alle passagiers. Daarbij is de mens niet in staat tot permanente rigoureuze observatie, waardoor een beambte dezelfde situatie ook niet altijd hetzelfde beoordeelt. Dit type observatiegegevens is meestal niet gekoppeld aan de informatie uit het informatiesysteem. Dit wil zeggen dat als bijvoorbeeld op een CCTV camera vastgesteld wordt, dat een persoon zich opvallend gedraagt, zijn identiteit nog niet bekend is om te combineren met gegevens als land van herkomst en reisdoel.

3.2

Datagestuurde en kennisgestuurde profielontwikkeling

In het kader van grenstoezicht kunnen personen geselecteerd worden op basis van (de combinatie van) twee typen profiling: kennisgestuurde en datagestuurde profiling. Kennisgestuurde profielen zijn profielen die verzamelde en geconsolideerde kennis herbergen. Bij dit bekendste type profiel spelen ook de ad hoc observatiegegevens een belangrijke rol, omdat kennisgestuurde profielen ook vaak door mensen toegepast worden. Bij analyses ten behoeve van dit type profiel spelen in het algemeen empirische methoden een kleine of geen rol, waardoor die aanpak gevoelig is voor persoonlijke, 15

16

HOOFDSTUK 3. PROFIELEN ONTWIKKELEN EN TOEPASSEN

maatschappelijke en politieke voorkeuren. Het kunnen toepassen van observatiegegevens in kennisregels is een duidelijk voordeel van kennisgestuurde profielen. Een kennisregel zou bijvoorbeeld kunnen zijn, dat iemand die met een grote koffer de aankomsthal van een luchthaven inloopt, aangemerkt moet worden als een ongebruikelijke situatie. Een ander voordeel van kennisgestuurde profielen is dat gestart kan worden met dit type profiel, voordat data verzameld is en voordat bekende (gelabelde) leden van de doelgroep bekend zijn met al hun beschrijvende gegevens. Anderzijds kunnen gegevens uit informatiesystemen voor kennisgestuurde profielen minder goed benut worden. Het benutten van die gegevens is typisch het veld van de datagestuurde aanpak, die complexere relaties in grote hoeveelheden gegevens kan blootleggen. De mens heeft op dit vlak zijn beperkingen. Met name als er veel gegevens tegelijk overzien moeten worden, zowel ten aanzien van de populatie grootte als het aantal kenmerken dat van de personen bekend is. De datagestuurde aanpak is sterk afhankelijk van juist verzamelde en geselecteerde gegevens. De werkwijze is dat eerst het fenomeen en de bijbehorende doelgroep worden vastgesteld. Als het doel het vinden van bepaalde overtreders is moet voor alle bekende doelgroepsleden vastgesteld worden dat ze inderdaad die overtreding begaan hebben en alle anderen niet. Na definiëring en vaststelling van de doelgroep kan deze getypeerd worden middels een profiel. Om voor onbekende personen de kans in te kunnen schatten dat ze tot de doelgroep behoren, moeten voldoende gegevens bekend zijn die in enige mate gerelateerd of gecorreleerd zijn met het lidmaatschap van de doelgroep. In de datagestuurde aanpak kan alleen op grond van deze gegevens het risico op het groepslidmaatschap ingeschat kan worden. Zo zal alleen leeftijd, geslacht en woonplaats niet voldoende zijn om een goede typering van mensensmokkelaars te geven. Ook is het nodig dat om het profiel toe te passen dezelfde beschrijvende gegevens beschikbaar zijn als waarop het profiel gebaseerd is. Hierdoor kan allerlei ad hoc informatie in een datagestuurd profiel niet benut worden. Daarbij komt nog dat veel ad hoc gedragsinformatie niet automatisch geanalyseerd kan worden. Er zijn wel wetenschappelijke experimenten gedaan naar het automatisch vaststellen van agressie uit CCTV beelden en het vaststellen van verlaten koffers, maar uitontwikkelde systemen zijn daar nog niet van beschikbaar. Anderzijds geldt dat voor sensortypen die wel automatische analyses mogelijk maken, zoals ANPR en metaaldetectoren, dat consistent op basis van dezelfde gegevens dezelfde beoordeling gemaakt wordt.

3.3

Het toepassen van profielen

Het doel van een risico- of selectieprofiel is om het risico in te schatten dat een onbekend persoon tot de doelgroep behoort. Daarnaast kan een profiel dienen om kennis over de doelgroep te verkrijgen, doordat het profiel een beschrijving of typering van de groep geeft. Die kennis kan in de praktijk, dus ook buiten de database benut worden. Als bijvoorbeeld uit het profiel volgt dat bepaalde leeftijdsgroepen een hoger risico vormen, kunnen beambten ook hun aandacht op dergelijke personen richten. Voor het toepassen van een profiel moet informatie opgevraagd worden die het profiel nodig heeft om zijn risicoinschatting te maken. In het geval dat observatiegegevens een rol spelen in het profiel, zal de mens die veelal moeten aanleveren. De mens als observator is namelijk in veel, met name perceptuele, herkenningstaken nauwelijks te verslaan door de machine. Wel is er bij het aanleveren van (interpretaties van) observatiegegevens een risico op individuele verschillen tussen beambten en tussen beoordelingen van dezelfde beambte van dezelfde situatie. Bij gegevens uit informatiesystemen speelt dit geen rol, waardoor objectieve toetsing mogelijk is. Als de invoergegevens van een gegeven persoon voor het profiel beschikbaar zijn, kan gescoord en eventueel geselecteerd worden voor inspectie.

3.3.1

Scoring

Het toepassen van een profiel kan op verschillende manieren uitgevoerd worden. Dit hangt samen met het scoringstype van het profiel. Een voorbeeld van een kennisgestuurd profiel is het scoren van een aantal variabelen met ’ja’ of ’nee’. De totale risicoscore is dan bijvoorbeeld het aantal maal dat ’ja’ gescoord is. Datagestuurde profielen kunnen een vrij betekenisloze numerieke score hebben. Een dergelijke score geeft wel de mogelijkheid om de personen met het hoogste risico te vinden, maar een absolute schaal van het risico is niet altijd aanwezig. Anderzijds zijn er ook datagestuurde methoden die wel degelijk (een benadering van) de kans dat een persoon tot de doelgroep behoort als score opleveren.

3.3. HET TOEPASSEN VAN PROFIELEN

3.3.2

17

Selectie

In een beslissingsondersteunend systeem, waar het toe te passen profiel een onderdeel van uitmaakt, is de score een indicatie om al of niet te selecteren voor een vervolgactie. Meestal zal er eerst aanvullende informatie uit relevante databronnen ingewonnen worden. Zoals eerder besproken kan een beambte op basis van observaties afwijken van de selectiekeuze zoals aangegeven door de risicoindicatie van het profiel.

3.3.3

Inspectie

Als de beambte besluit dat er ten aanzien van een persoon een aanzienlijk verhoogd risico geldt, zal zij eerder een inspectie uitvoeren. Voor de terminologie in dit rapport gaan we ervan uit, dat een inspectie uitsluitsel geeft over het al dan niet behoren tot de doelgroep. Bij inspectie komt derhalve aan het licht of de risico-indicatie van het profiel inderdaad ondersteunend was.

18

HOOFDSTUK 3. PROFIELEN ONTWIKKELEN EN TOEPASSEN

Hoofdstuk 4

Het proces van datagestuurde profiel ontwikkeling Het ontwikkelen van voorspellingsmodellen wordt breder toegepast dan alleen voor risicoprofielen. Meestal ondersteunen de voorspellingsresultaten een beslisser bij complexe beslissingsprocessen. Dergelijke systemen worden daarom beslissingsondersteunende systemen (Decision Support Systems) genoemd. Ook bij risicoprofielen zal een menselijke beslisser op basis van het door een profiel geschat risico uiteindelijk de beslissing nemen tot al of niet handelen. Dat wil zeggen, bij een hoge risico indicatie zal de beslisser zeker eerder handelen, maar nog steeds een afweging maken. Het ontwikkelen van profielen op basis van het optimaliseren van statistieken over verzamelde gegevens wordt een datagestuurde aanpak genoemd. Het ontwikkelen wordt dan ook wel het leren van profielen uit data genoemd. Een aldus ontwikkeld systeem voor het ondersteunen van een beslisser bij complexe taken, wordt ook wel een data gestuurd beslissingsondersteunend systeem (data driven Decision Support System) genoemd. Datagestuurde profiling valt onder het gebied Knowledge Discovery in Databases (KDD) [24]. Voor dit proces bestaan verschillende gestandaardiseerde methodieken. We volgen hier de Cross-Industry Standard Process for Data Mining (CRISP-DM) methode [9], [80]. Deze methode volgt het KDD voorstel uit [24] en wordt het meest gebruikt voor verschillende toepassingen [66]. Het uitgangspunt is verbetering van een bepaald bedrijfsdoel zonder focus op techniek. De methode is bovendien algemeen toepasbaar en vrij toegankelijk [9].

4.1

CRISP-DM methode voor het ontwikkelen van profielen

De proces methode CRISP-DM onderscheidt een zestal fasen, die verschillende onderlinge afhankelijkheden hebben, zie Figuur 4.1. Het is een cyclisch proces waarin de opeenvolgende fasen vaak aanleiding zijn om terug te grijpen om hypothesen aan te scherpen, de data verzamelingen uit te breiden, of andere methoden te overwegen. Onderstaand werken we de fasen kort uit. Voor een uitgebreide beschrijving verwijzen we naar [9].

4.1.1

Business understanding

Deze begin fase is gericht op het begrip krijgen van het doel dat voor ogen staat om dit in een groepsprofileringsprobleem te kunnen vertalen. In het OOV domein is het doel in het algemeen de efficiency en effectiviteit ten aanzien van een handhavings- of opsporingstaak te verhogen. In het grensmanagement is het doel ruwweg om een hoge mobiliteit voor de passagiers die niet tot de doelgroep behoren te bereiken en een hoge trefzekerheid voor de doelgroeppassagier. Het te ontwikkelen profiel moet helpen dit te bereiken. Het streven is de verhoogde mobiliteit en veiligheid met zo scherp mogelijke risicoinschattingen te bewerkstelligen. 19

20

HOOFDSTUK 4. HET PROCES VAN DATAGESTUURDE PROFIEL ONTWIKKELING

Figuur 4.1: De zes fasen van het CRISP-DM model voor data mining onderzoeken en hun onderlinge afhankelijkheden.

4.1.2

Data understanding

In de data understanding fase wordt relevante data verzameld en verkend of er informatie in de data besloten ligt om een profiel mee te ontwikkelen. Hierbij spelen zaken als vertrouwelijkheid, privacy, eigendom, beschikbaarheid en omvang van de gegevensbronnen. In deze fase worden hypothesen gegenereerd en eerste correlaties tussen profiel hypothesen en gegevens getoetst om te zien of er relevante informatie in de gegevens besloten ligt.

4.1.3

Data preparation

In de data voorbereidingsfase wordt de data geschoond, verrijkt en gekoppeld. Voor het koppelen moeten gegevens van verschillende bronnen op elkaar afgestemd worden. De ge¨ıntegreerde bronnen noemen we meestal een data warehouse.

4.1.4

Modeling

In de modeling fase wordt op basis van de ge¨ıntegreerde gegevens een profiel geleerd. Hier moeten op basis van de aanwezige gegevens keuzes gemaakt worden over het type leerparadigma dat gevolgd kan worden, zoals unsupervised of supervised learning (zie Sectie 5.3), en welke modelleermethode het beste aansluit. De zeldzaamheid van het fenomeen en de hoeveelheid variabelen spelen hierbij een belangrijke rol.

4.1.5

Evaluation

In het algemeen worden verschillende profielmodellen geleerd en na evaluatie de best presterende geselecteerd. Voor de evaluatie moet een voor de taak geschikte prestatiemaat gekozen worden (zie Sectie 5.3).

4.1. CRISP-DM METHODE VOOR HET ONTWIKKELEN VAN PROFIELEN

4.1.6

21

Deployment

In deze fase wordt het profielmodel voorbereid op het toepassen in de praktijk situatie. Hiertoe moet aan bepaalde technische randvoorwaarden worden voldaan, maar ook aan de juridische kaders en organisatorische voorwaarden moet voldaan zijn.

22

HOOFDSTUK 4. HET PROCES VAN DATAGESTUURDE PROFIEL ONTWIKKELING

Hoofdstuk 5

Datagestuurde profiling Datagestuurde profiling heeft betrekking op meer dan alleen de systematische ontwikkeling van de profielen. Na de afronding van het ontwikkelingsproces, worden de profielen in de praktijk ingezet: de toepassing van het profiel. Dit toepassen, dat enigszins verwarrend ook profiling genoemd, is het uiteindelijke doel waarbij verschillende keuzes gemaakt moeten worden. Aan bod hierbij komen schema’s van selectie en terugkoppeling van resultaten voor evaluatie, aanscherping en aanpassing van het profiel. Onderstaand werken we het ontwikkelen van profielen uit en komen terug op toepassingsaspecten.

5.1

Representativiteit en relevantie van de gegevens

Voor het datagestuurd ontwikkelen van profielen is het nodig een dataverzameling aan te leggen met een aantal informatieve variabelen die (in principe) voor ieder persoon bekend zijn. Hierin komt zowel de bruikbaarheid van de gegevens met betrekking tot de aanwezige variabelen tot uitdrukking als de aanwezige doelgroepleden in de gegevensverzameling. Ten eerste dient het te onderzoeken fenomeen, dat de doelgroep representeert, door relevante en informatieve variabelen beschreven te worden. Is dit niet het geval dan zal een scherp profiel op basis van gegevens niet geleerd kunnen worden. Zo zal een profiel voor de herkenning van mannen en vrouwen op basis van de variabele lichaamslengte een beperkte waarde hebben. Ten tweede moeten de gegevens op grond waarvan het profiel geleerd wordt de doelgroepleden goed representeren. Dit houdt in dat de personen die tot de doelgroep horen in de breedte van de variabelen van de personen vertegenwoordigd zijn. In de praktijk is dat helaas zelden het geval. In het veiligheidsdomein worden personen aangetroffen doordat ze bijvoorbeeld opvallend gedrag vertonen, door gerichte acties van bepaalde politie eenheden of bijvoorbeeld door anonieme meldingen. Alleen door willekeurige inspecties verkregen doelgroeppersonen en door volledige inspecties (een fuik) op willekeurige plaatsen en tijdstippen kunnen representatieve steekproeven van de doelgroep verkregen worden.

5.2

Kwaliteit van de gegevens

Naast de representativiteit speelt de datakwaliteit een belangrijke rol. De data kwaliteit kent vele aspecten. Gegevens kunnen onnauwkeurig zijn, pertinent fout, verwisseld tussen personen, voor een persoon verwisseld tussen variabelen, of gegevens voor variabelen of labels kunnen ontbreken. Dit komt in veel domeinen voor, zowel incidenteel als structureel. De meeste modelleermethoden gaan ervan uit dat de gegevens, zoals ze aangeboden worden, correct zijn. Eventuele benodigde aanpassingen moeten dus vooraf uitgevoerd worden in de datapreparatie fase. Het hoeft geen betoog dat datakwaliteitsissues vrijwel altijd negatieve effecten op de geleerde profielkwaliteit hebben. Onnauwkeurigheden of ruis, fouten en verwisselingen zijn moeilijk vast te stellen als ze incidenteel zijn. Als er voor groepen verwisselingen zijn of structurele afwijkingen in de waarden kan dat vastgesteld of zelfs hersteld worden. Ten aanzien van ontbrekende waarden voor variabelen geldt dat er vele methoden ontwikkeld zijn om de waarden op grond van gerelateerde informatie te schatten (imputeren) [53]. Een enkele methode kan zonder voorbewerking uit de voeten met de ontbrekende waarden (uit data geleerde beslisbomen). Hierbij 23

24

HOOFDSTUK 5. DATAGESTUURDE PROFILING

is het van belang zich te realiseren wat de oorzaak van het ontbreken van de gegevens is. Het ontbreken van de waarde van een variabele kan namelijk afhangen van de waarde van die variabele zelf (Missing Not At Random (MNAR)) of van die van andere variabelen (Missing At Random (MAR)). Als er dergelijke relaties zijn is het adequaat invullen of anderszins omgaan met ontbrekende waarden zeer gecompliceerd. Als er geen relatie is tussen het ontbreken en de waarde van een variabele (Missing Completely At Random (MCAR)), is het eenvoudiger om ofwel de ontbrekende waarden te schatten op basis van andere informatie of zelfs ongestraft de betreffende personen buiten beschouwing te laten [53]. Onder ontbrekende gegevens behoren ook ontbrekende labels, dus het onbekend zijn of een persoon tot de doelgroep behoort. Voor dit probleem zijn verschillende methoden specifiek aangepast (zie de volgende secties).

5.3

Ontwikkeling van het profiel

Op basis van de verzamelde gegevens kan vervolgens een profiel geleerd worden. Hierbij zijn twee hoofdrichtingen mogelijk, namelijk unsupervised en supervised learning. Daarnaast bestaan er twee mengvormen om profielen te leren, semi-supervised learning en active learning. Bij active learning ligt de nadruk op interactiviteit in het leerproces. Overigens zullen we voor het vervolg van het rapport uitgaan van een supervised learning aanpak, omdat die het het meest gebruikt, succesvol en toetsbaar is.

Supervised learning De meest toegepaste aanpak is de supervised learning aanpak. Bij supervised learning is vooraf de doelgroep vastgesteld. Er moet voor ieder persoon bekend zijn of het tot de doelgroep behoort of niet. Om het leren van een profiel mogelijk te maken moet de dataverzameling een omvang hebben die aansluit bij het aantal variabelen. In de statistiek wordt wel een vuistregel gehanteerd dat het aantal bekende personen in de doelgroep minstens 10 maal zo hoog moet zijn als het totaal aantal variabelen dat voor het profiel gebruikt wordt. Dit verschilt echter sterk per modelleringsmethode. Generatieve methoden die de verdeling van de dataverzameling modelleren hebben meer gegevens nodig dan discriminatieve methoden die zich puur op het onderscheiden van de doelgroep richten. Ook kunnen methoden met minder samples af als in het model specifieke maatregelen getroffen worden (zoals door middel van regularisatie van het model, e.g. [83]). Een andere bekende aanpak is, bij een tekort aan bekende doelgroepvoorbeelden of een teveel aan variabelen, de meest relevante variabelen te selecteren en en dus irrelevante variabelen te verwijderen. Dit wordt feature selectie genoemd binnen de patroonherkenning en KDD [30]. Meer algemeen is het mogelijk dimensiereductietechnieken te gebruiken, waarvoor vele methoden ontwikkeld zijn, e.g. [30], [42]. In Hoofdstuk 8 gaan we hier verder op in.

Unsupervised learning Anderzijds kan de profielinformatie gezocht worden uit de structuur in de dataverzameling. In dat geval is er vooraf nog geen doelgroep voor het profiel gedefinieerd. Er kunnen bijvoorbeeld deelgroepen waarneembaar zijn in de data. Deze deelgroepen kunnen vervolgens als doelgroep voor een profiel gekozen worden. Ook kunnen er zich sterk afwijkende personen in de data bevinden. Voor het vaststellen van deze sterk afwijkende personen kunnen ook profielen geleerd worden. Dit type onderzoek is exploratief van aard en kan leiden tot nieuwe inzichten en het signaleren van trends. Hierbij verstaan we onder trends veranderingen in het voorkomen van het fenomeen of zich aandienende nieuwe fenomenen. Het op deze manier leren van profielen wordt gerekend onder de unsupervised learning, omdat er geen a priori top-down sturing op de doelgroep is. Eisen ten aanzien van de verhouding tussen het aantal samples en variabelen worden vergelijkbaar met de supervised learning gehanteerd. Methoden om in het geval van het niet of nauwelijks voldoen aan die randvoorwaarde zijn in dit geval minder effectief, maar ook voor unsupervised learning kunnen feature selectie en andere dimensiereductietechnieken gebruikt worden.

5.4. EVALUATIE VAN HET PROFIEL

25

Alternatieven Het is ook mogelijk dat er voldoende samples in de verzameling zijn, maar dat er van weinig of geen bekend is of ze tot de doelgroep behoren. Een dergelijk geval zou zich heel goed voor kunnen doen rond het grenstoezicht. Daar kunnen fenomenen gesignaleerd worden die aandacht en een aanpak vereisen, maar waarvoor nog geen doelgroep is vastgesteld of de bijbehorende gegevens (variabelen) niet meer aanwezig zijn. Voor dergelijke situaties kan gebruik gemaakt worden van technieken als semi-supervised learning of active-learning. Semi-supervised learning Semi-supervised learning is een mengeling van supervised learning en unsupervised learning. Alle gelabelde personen worden door de methode gebruikt om een profiel te leren, waarbij de ongelabelde personen aanvullende informatie verstrekken over de verdeling van de gegevens. Active learning Bij active learning wordt het profiel gaandeweg aangescherpt in een interactief systeem. Eerst wordt op een supervised -, semi-supervised of zelfs unsupervised manier een profiel geleerd dat gebruikt wordt om de ongelabelde personen te labelen. Vervolgens wordt een aantal personen aan de gebruiker van het systeem aangeboden om ze te labelen, i.e. om hun doelgroeplidmaatschap vast te stellen. Het kiezen van de personen voor aanbieding aan de gebruiker gebeurt op basis van een maat van zekerheid die het profiel heeft over het label. In het algemeen worden de personen met de meest onzekere labels gekozen, eventueel aangevuld met willekeurige personen.

5.4

Evaluatie van het profiel

Op basis van de score die het profiel oplevert, kan geëvalueerd worden hoe goed het profiel in staat is om risico’s te bepalen op doelgroep lidmaatschap. Voor de evaluatie is het nodig een aparte verzameling met testgegevens te hebben, waarvoor ook weer per persoon bekend is of hij tot de doelgroep hoort of niet. In het algemeen worden verschillende modelleringsmethoden gebruikt om een profiel leren. De evaluatie van de profielen biedt de mogelijkheid om het ene profiel boven het ander te prefereren. Dit wordt daarom ook wel model selectie genoemd. Er zijn verschillende prestatiematen mogelijk om de kwaliteit van een profiel vast te stellen. Een veelgebruikte aanpak is om een drempel op de score te kiezen. Personen met een risico score hoger dan bijvoorbeeld 0,5 worden dan ’hoog’ risico genoemd en die onder 0,5 ’laag’ risico. De ’hoog’ risico personen worden dan verondersteld op basis van het profiel te behoren tot de doelgroep. Bij de zo ontstane risicocategorieën kunnen verschillende fouten gemaakt worden. Een persoon wordt toegekend aan de doelgroep, terwijl dat niet hoort: een false-positive. Of, een persoon wordt niet aan de doelgroep toegekend, terwijl dat wel zou moeten: een false-negative. Het totaal aan fouten is een maat voor de kwaliteit van het profiel. Anderzijds kan de keuze van een drempelwaarde uitgesteld worden. Er kan gekeken worden hoeveel false-negatives er door het profiel ge¨ıntroduceerd worden bij een afnemend aantal false-positives door de drempelwaarde op de score geleidelijk te variëren. Zo ontstaat een ROC (Receiver Operating Characteristic) curve die inzicht geeft in de ordeningscapaciteiten van het profiel [32]. Zo is bijvoorbeeld te zien hoeveel niet groepsleden (false-positives) ge¨ınspecteerd zullen moeten worden om een bepaald aantal groepsleden (true-positives) te vinden. Vooral bij zeldzame (kleine doelgroep) moeilijk onderscheidbare fenomenen kan dit aantal onnodige inspecties flink oplopen. In Figuur 5.1 wordt een voorbeeld gegeven van een situatie met e´ e´ n variabele en een profiel dat een positieve (doel)groep van de negatieven (de rest) onderscheidt.

5.5

Operationele inzet van het profiel

Wanneer het profiel goed genoeg is bevonden kan het ingezet worden in de praktijk. In de praktijk inzetten houdt in dat het profiel als een van bronnen dient om de risico’s van een persoon bij bijvoorbeeld grenspassage in te schatten ten aanzien van een bepaald fenomeen, ofwel de kans dat de persoon tot een bepaalde doelgroep behoort.

26

5.5.1


Kwaliteit van gegevens

Bij toepassen van het profiel spelen dezelfde kwaliteitsaspecten als bij het leren ervan. Alleen het ontbreken van het label is bij het toepassen van het profiel vanzelfsprekend. Voor de volledigheid, het is juist het doel van het profiel om het label, dat wil zeggen het groeplidmaatschap te bepalen. Onnauwkeurigheid, fouten, verwisselde en ontbrekende gegevens hebben ook bij het toepassen van profielen kleinere of grotere consequenties. Een consequentie kan zijn, dat een persoon op basis van verkeerde gegevens ten onrechte als hoog risico wordt aangemerkt, of omgekeerd ten onrechte als laag risico wordt aangemerkt. Ook voor het toepassen van het profiel geldt, dat alle variabelen ingevuld moeten zijn die in het profiel een rol spelen. Ontbrekende gegevens kunnen wederom geschat worden uit gerelateerde gegevens, waarbij nogmaals opgemerkt dat er in het ontbreken van gegevens informatie besloten kan liggen (zie discussie over ontbrekende gegevens in Sectie 5.2).

5.5.2

Scoren op basis van het profiel

Nadat een profiel geleerd is kunnen voor het profiel ongeziene personen aangeboden worden om het risico te bepalen dat de betreffende persoon ook tot de doelgroep behoort. Afhankelijk van de modelleringsmethode kunnen uiteenlopende scores opgeleverd worden. Sommige methoden leveren een kans op die tussen 0 en 1 ligt. Dat is veruit het eenvoudigst in het gebruik. Andere methoden leveren een afstand tot de door het model bepaalde grens tussen de doelgroep en de rest. Afhankelijk van de zijde van de grens is de afstand groter of kleiner dan 0. Hierbij kan de afstand heel groot worden. Deze scores dienen vooral als relatieve score om personen op risico te kunnen ordenen. Omdat die scores niet aan een absolute (kans)schaal refereren kan een risico score niet in absolute zin hoog of laag genoemd worden. In veel software tools voor patroonherkenning wordt, in het geval de methode een afstand oplevert, een transformatie op de score uitgevoerd. Met die transformatie wordt gestreefd de score alsnog in het bereik 0..1 te laten terechtkomen om een kans interpretatie mogelijk te maken, zie bijvoorbeeld [67]. Wanneer de gegevens voorbereid zijn kan het profiel toegepast worden om tot een profielscore te komen. De profielscore bepaalt per individu het relatieve of absolute risico op basis van zijn gegevens en het bijbehorende profiel.

5.5.3

Selectie op basis van profielscore

Er zijn vervolgens verschillende manieren mogelijk om met de risico score van het profiel om te gaan. Ten eerste, kan ook bij praktijktoepassing van het profiel een drempel gezet worden om laag/hoog categorieën te definiëren of mogelijk meer categorieën. Als dezelfde drempel gebruikt wordt als bij de evaluatie van het profiel, de vooraf ingestelde of op basis van de ROC, weet men op deze manier goed wat men van de inzet van het profiel gemiddeld gesproken kan verwachten. Er is op deze manier wel moeilijk lokaal (bijvoorbeeld per aankomend vliegtuig) te sturen op personeelscapaciteit. Er kunnen heel veel personen in de hoog categorie ingedeeld worden, waardoor congestie ontstaat. Anderzijds, kan iedereen als laag risico beoordeeld worden, terwijl er capaciteit is om een aantal (twijfel)gevallen te inspecteren. De foutschatting uitgevoerd bij het evalueren van het profiel geeft aan dat in de hoog risico categorie personen zullen zitten die na inspectie niet tot de doelgroep behoren en laag risico personen die wel tot de doelgroep blijken te behoren. Een alternatief is om een vast aantal personen te inspecteren naar gelang de personele capaciteit. Hiervoor is het nodig alle personen te ordenen op hun score door het profiel. Bijkomend voordeel is dat een nauwkeurige ijking of kalibratie van de kansschatting van het profiel niet nodig is. Tenslotte is het mogelijk ieder persoon te inspecteren met een kans die afhangt van de kans die het groepsprofiel aan de persoon toedeelt. Op die manier heeft ieder persoon op basis van het profiel een kans ge¨ınspecteerd te worden, zij het een door het risicoprofiel bepaalde kleinere of grotere kans. Een veel gebruikte vorm is om de kans op inspectie evenredig aan de door het profiel toebedeelde kans te kiezen, zie Sectie 11.6.1. Dit wordt wel proportionele steekproefname genoemd.

5.5. OPERATIONELE INZET VAN HET PROFIEL

5.5.4

27

Inspectie en selectie op basis van risico versus willekeurige selectie

Bij het proportionele steekproefname hebben ook laag risico personen kans om ge¨ınspecteerd te worden. De andere twee methoden vergen daarentegen additionele willekeurige inspecties om te voorkomen dat de laag risico personen nooit gezien worden en dus geheel aan de aandacht ontsnappen. Met proportionele steekproefname is het ook mogelijk de capaciteit in aantal inspecties verantwoord te reguleren. Wel is het nodig de kansschatting die het profiel oplevert te kalibreren, zodat die een goede weergave is van de werkelijke kans op doelgroep lidmaatschap voor een gegeven persoon.

Selectie strategie Drempel hoog/laag Score ordenen Proportionele steekproefname

Optie Inzet reguleren Nee Ja Ja

Voorwaarde Willekeurige Kans inspecties kalibratie Ja Ja Ja Nee Nee Ja

Tabel 5.1: Overzicht van de eigenschappen van verschillende selectiestrategieën. Het is belangrijk de resultaten van de inspecties terug te voeren naar het profiel door op gezette tijden het profiel te herijken op basis van de aangevulde gegevens- en labelverzameling. Hierdoor kan de doelgroep potentiëel beter herkend worden, doordat meer doelgroepleden bekend zijn. Ook kunnen fouten van het profiel (false-positives en false-negatives) aan het licht komen en kan het profiel model hiervoor gecorrigeerd worden. Dit is overigens slechts tot op zekere hoogte mogelijk. Zoals in Sectie 8.3 besproken wordt, is er een inherente grens aan de herkenningscapaciteit van profielen. De consequentie hiervan is dat er altijd een klein deel van de doelgroepleden, afhankelijk van het toegepaste profiel en selectiemethode, fout herkend zullen worden door het profiel, zelfs het best denkbare profiel. Voor praktische profielen op basis van een beperkte verzameling variabelen en voorbeelden van doelgroepleden zal dat sterker spelen, zie ook Sectie 6.1.

28


Figuur 5.1: Weergave van de doelgroep en de rest van de populatie met e´ e´ n variabele en de ROC curve behorende bij een profiel voor deze verdelingen. In de bovenste deelfiguur vormt de smalle verdeling de positieve (doel) groep en de brede verdeling de negatieven (rest van de populatie). Bij het varieëren van de drempelwaarde op de risicoschatting van het profiel, ontstaat een variërende verhouding van true- en falsepositives. De curve die deze verhoudingen tegen elkaar uitzet heet de Receiver Operating Characterisc (ROC) curve, zoals afgebeeld in de onderste deelfiguur. Figuur overgenomen van Wikipedia.org.

Hoofdstuk 6

Het beheer van profielen Op het moment dat het profiel functioneert, is het van belang ervoor te zorgen dat het profiel toegespitst blijft op de doelgroep en dus het fenomeen. Ten eerste kan het beoogde fenomeen daadwerkelijk door de aanpak afnemen in de populatie. In dat geval neemt het aantal personen af waarvoor het profiel hoog risico indiceert. Dit succes zal uiteindelijk tot gevolg hebben dat het profiel niet langer ingezet hoeft te worden. Ten tweede, kan het gedrag van de groep veranderen of de groep een andere samenstelling in personen krijgen. Beiden kunnen veroorzaakt worden, doordat de doelgroep expliciet of impliciet kennis heeft genomen van de aanwezigheid en de eigenschappen van het profiel. Expliciet doordat het profiel gepubliceerd is of impliciet, doordat opgemerkt wordt dat bepaalde personen wel en andere niet ge¨ınspecteerd worden of men zelf in het ene geval wel en het andere niet ge¨ınspecteerd wordt. Het impliciet kennis nemen van het profiel is aanzienlijk moeilijker bij het toepassen van proportionele steekproefname (zie Sectie 5.5.3), omdat er geen harde relatie voor persoon waarneembaar is tussen gedrag/eigenschappen en inspectie. Verandering van het fenomeen kan ook veroorzaakt worden doordat er zich maatschappelijke of criminele trends voordoen. Denk aan de verlegging van aanvoerroutes van drugs wegens mislukte oogsten of de overgang van de handel in drugs naar de handel in sigaretten. Als derde kunnen meer of minder gegevens van de personen beschikbaar komen. Als minder gegevens beschikbaar komen zal het profiel in ieder geval aangepast moeten worden. In het algemeen kan een profiel scherper worden met meer gegevens, dus ook als meer gegevens van de personen beschikbaar komen moet het profiel aangepast worden. Zonder toetsing is de eerste situatie niet van de tweede te onderscheiden. Dat wil zeggen, als het aantal hoogrisicoindicaties afneemt, kan dat komen door afname van het fenomeen of door verandering van het fenomeen in de vorm van gedrag of samenstelling van de doelgroep. Maar ook als er geen afname in het aantal hoogrisicoindicaties is of zelfs toename, kan het fenomeen nog steeds aan verandering onderhevig zijn. Met andere woorden, op gezette tijden moet het profiel herijkt worden om trends vast te stellen en erop te kunnen reageren. Hoe vaak dat moet gebeuren hangt onder meer af van de doelgroepsgrootte. Van een zeldzaam fenomeen kunnen moeilijk veranderingen vastgesteld worden. Het herijken kan echter nauwelijks te vaak gebeuren.

6.1

Profiel aanpassen

Naast het toepassen van verschillende modelleringsmethoden om het profiel te verbeteren, kan het profiel op twee andere manieren aangepast worden op basis van het beschikbaar komen van groepslabelinformatie. De eerste en voor de hand liggende manier om aanvullende subjectgegevens te krijgen is door de inspectieresultaten naar het profiel terug te voeren. Hierdoor leert het model van zijn eigen risico inschattingen, aangevuld met observaties van de beambten. De tweede manier is het actief op zoek blijven naar mogelijke trends. Dit sluit aan bij het eerder genoemde active learning; om bij weinig gelabelde doelgroeppersonen tot een profiel te komen (zie Sectie 5.3). Het actief zoeken naar trends kan plaatsvinden door de meest onzekere personen (bijvoorbeeld met kans rond drempelwaarde) voor inspectie door een beambte aan te dragen en het inspectieresultaat te verwerken. Ook zullen willekeurige laag risico personen voor inspectie aangewezen moeten worden om in 29

30

HOOFDSTUK 6. HET BEHEER VAN PROFIELEN

onvermoede richtingen de kwaliteit van het profiel te toetsen en eventueel aan te passen.

6.2

Houdbaarheidsdatum van de data

Als er uit het domein kennis is over veranderingen van fenomenen, zou die zeker benut moeten worden. In ieder geval kan deze kennis gebruikt worden om vast te stellen dat bepaalde gegevens verouderd zijn. Bijvoorbeeld als bekend is dat mensenhandel vanuit een bepaalde regio nauwelijks nog voorkomt, kunnen de (oude) doelgroepsleden uit die regio uit de data verwijderd worden. Tevens moet dan het profiel aangepast worden. Ook kunnen gegevens verouderen, doordat bepaalde gedragingen binnen en/of buiten de doelgroep veranderen. Hierbij valt te denken aan veranderend betaalgedrag, of vliegbestemmingen die niet langer bediend worden door een luchtvaartmaatschappij.

Hoofdstuk 7

Historische gegevens Zoals in Hoofdstuk 4 bij de beschrijving van de CRISP-DM methodiek is aangegeven, is een onderdeel van het profielontwikkelproces het verrijken van de data. De meest voor de hand liggende manier is hiervoor additionele bronnen aan te wenden. Een andere mogelijkheid is verrijking door aan de data de tijdsdimensie toe te voegen, waardoor temporele profielen gecreëerd kunnen worden. Dat is met name relevant als geen andere bronnen gekoppeld kunnen worden. Onderstaand gaan we in op de mogelijkheden van temporele profielen en de voorwaarden om ze te kunnen construeren en toepassen.

7.1

Temporele profielen

Bepaalde typen gegevens maken het mogelijk een historie rond personen op te bouwen. Een typisch voorbeeld hiervan zijn transactiegegevens, maar ook grenspassages van reizigers vallen hieronder of kunnen als transactiegegevens gezien worden. Het opbouwen van historische gegevens kan gezien worden als het verrijken van de data. Een opgebouwde historie van een persoon maakt het mogelijk een profiel te leren dat temporele aspecten en kenmerken uitbuit. Hiermee wordt gedrag zichtbaar. Zo kan bijvoorbeeld een profiel geconstrueerd worden dat de doelgroep en de rest van de populatie onderscheidt op reisgedrag in plaats van op grond van een enkele reis. Een oudere man die een keer samen met een (erg) jonge vrouw uit Thailand Nederland binnenreist is misschien niet zo opvallend. Als blijkt dat dezelfde man binnen een jaar dat al een aantal maal gedaan heeft met steeds andere jonge vrouwen, is dat een nadere controle waard.

7.2

Bewaren van de gegevens

Zoals al eerder is opgemerkt, geldt dat voor het leren en het toepassen van een profiel dezelfde gegevens van personen beschikbaar moeten zijn. Uitgaande van het supervised learning paradigma, is het enige verschil tussen leer- en toepasfase dat tijdens het leren van het profiel voor (een deel van) de personen bekend is of ze tot de doelgroep behoren. Om een beheersbaar profiel te hebben is het nodig dat de leerverzameling kan blijven groeien, tenzij gegevens als verouderd kunnen worden beschouwd vanwege vastgestelde trends of incidentele individuele veranderingen. Een andere reden om (oude) gegevens te verwijderen is, omdat de leerverzameling groot genoeg is. Als de gegevens al representatief zijn, wordt het profiel niet meer beter met meer personen in de gegevensverzameling. Met de te verwachten beperkte doelgroepomvang in het veiligheidsdomein, zal dit niet snel het geval zijn. Als de noodzaak er is om gegevens langer te bewaren, kunnen er Privacy Enhancing Technologies (PET), zie [49] worden toegepast. Zo kan bijvoorbeeld zonder verlies aan leervermogen van de profielmodellen het identificerende deel van de gegevens verwijderd worden, nadat het risicoprofiel eenmaal op de persoon toegepast is, eventuele opvolging heeft plaatsgevonden en het resultaat hiervan is toegevoegd aan de data. Het verwijderen van indentificerende gegevens heet anonimiseren. Voor het maken van temporele profielen is het echter nodig dat een historie van personen bijgehouden wordt. In het grensdomein houdt dat in dat een reisgeschiedenis voor een langere periode verzameld en per persoon gekoppeld wordt. Met betrekking tot het leerproces van het profiel geldt de gehele reisgeschiedenis van een persoon als een verzameling gegevens van die persoon. Het resulterend profiel bevat 31

32

HOOFDSTUK 7. HISTORISCHE GEGEVENS

dan bijvoorbeeld een variabele die het aantal reizen in het laatste jaar telt of de gemiddelde reisafstand. Om een temporeel profiel op personen te kunnen toepassen is het vanzelfsprekend noodzakelijk dat ook van deze personen vergelijkbare historie bewaard is. Dit betekent dat indien temporele profielen ingezet worden, de gegevens van personen niet direct na profieltoepassing geanonimiseerd kunnen worden. Het is wel mogelijk dat de identificerende gegevens uniek versleuteld worden, zodat de historie van personen gekoppeld kan worden. Dit wordt pseudonimisering genoemd. Hierbij zijn er twee mogelijkheden. Ofwel, er blijft een sleutel achter bij een vertrouwde partij om, indien de noodzaak zich voordoet, toch nog identificerende gegevens te kunnen achterhalen. Ofwel, er wordt geen vertrouwde partij met sleutel gebruikt, waardoor wel gekoppeld kan worden, maar identificerende gegevens verloren zijn. We laten in dit verband brute force aanvallen buiten beschouwing. Het College bescherming persoonsgegevens heeft aanwijzingen gegeven over de juiste toepassing van pseudonimisering, zodat na pseudonimisering niet langer sprake is van verwerking van persoonsgegevens [11].

Hoofdstuk 8

Eigenschappen van supervised geleerde profielen Deze studie richt zich voornamelijk op supervised geleerde profielen. In dit hoodstuk gaan we in op de eigenschappen van dit type modellen. Een profiel van een groep stelt de kans vast dat een individu tot de groep behoort. Dit gebeurt op basis van voor alle personen vastgelegde gegevens.

8.1

Univariate profielen

Als slechts e´ e´ n gegeven of variabele als voorspellend gebruikt kan worden spreken we van een univariaat profiel. Er moet dan een relatie bestaan tussen dat gegeven en het fenomeen waar de groep betrekking op heeft. Een eenvoudige manier om de sterkte van de relatie te meten is door middel van het berekenen van de correlatie coëfficiënt. Andere manieren zijn het berekenen van kenmerkselectie criteria als het Fisher criterium [30]. Hiermee wordt vastgesteld in hoeverre de doelgroep te onderscheiden is op basis van een gegeven variabele.

8.2

Multivariate profielen

Als er meer gegevens en dus variabelen beschikbaar zijn die gebruikt kunnen worden als predictor voor het voorspellen van personen uit de doelgroep, wordt de situatie complexer. Ten eerste is het mogelijk dat een aantal variabelen individueel voorspellend is. Dit is evenals bij de univariate situatie vast te stellen met correlatie coëfficiënten of andere kenmerkselectie criteria [30]. Anderzijds kan de bijdrage van variabelen indirect zijn, doordat er afhankelijkheden zijn tussen de variabelen onderling. Het is dan mogelijk dat individuele variabelen niet correleren met het fenomeen, terwijl het geheel aan predictievariabelen hier wel voorspellend voor is. In het voorbeeld in Figuur 8.1 wordt dit verduidelijkt. Stel de lengte van de mannelijke bevolking is gemiddeld 181 cm en de vrouwelijke bevolking meet gemiddeld 169 cm (Dataset ’Internationaal’, Populatie ’Noord Europa’). De voetlengte is voor mannen gemiddeld 26 cm en voor vrouwen 25 cm. Als er geen afhankelijkheid is tussen de lichaamslengte en voetlengte zijn deze kenmerken beperkt bruikbaar om op basis daarvan te concluderen dat we met een man of vrouw te maken hebben. Zo is er in het fictieve voorbeeld (dat wil zeggen, fictieve data gegenereerd volgens de gegeven gemiddelden) in het figuur een man (’+’) van ongeveer 186 cm met voetmaat 13 cm en een vrouw (’*’) van 168 cm met voetmaat 37 cm. In werkelijkheid is er wel afhankelijkheid tussen lichaams- en voetlengte. Deze afhankelijkheid is niet gegeven bij de betreffende dataset. Als we de afhankelijkheid als volgt aannemen: bij mannen (’+’) is de voetlengte gelijk aan de lichaamslengte gedeeld door de ratio van de gemiddelden is (181/26=)7,0, bij vrouwen (’*’) is de voetlengte gelijk aan de lichaamslengte gedeeld door de ratio van de gemiddelden is (169/25=)6,8 (met een kleine afwijking N (0, 0, 5)). Bij deze (sterke fictieve) afhankelijkheid zijn er dus geen kleine mannen meer met grote voeten of grote vrouwen met kleine voeten. Als deze kenmerken dan tegelijk beschouwd worden, blijkt dat mannen en vrouwen zeer goed van elkaar te onderscheiden zijn op basis van hun lichaams- e´ n voetlengte. Hiermee is een scherp profiel te maken, zie Figuur 8.2. 33

34

HOOFDSTUK 8. EIGENSCHAPPEN VAN SUPERVISED GELEERDE PROFIELEN

Figuur 8.1: Fictieve verdeling van lichaams- en voetlengte van een groep mannen en vrouwen. Er is in dit voorbeeld geen afhankelijkheid tussen lichaams- en voetlengte. De zwarte doortrokken lijn is een scheiding van mannen en vrouwen, waar het profiel een kans 0,5 aangeeft. De gestippelde lijn geeft de richting aan waarin volgens het profiel de kans van vrouw naar man toeneemt op basis van de lichaams- en voetlengtegegevens. Figuur 8.3 toont voorbeeldprofielen behorende bij de twee situaties met getoonde lichaams- en voetlengte van een groep mannen en vrouwen. In het eerste fictieve geval zijn voetlengte en lichaamslengte volledig onafhankelijk van elkaar en in het tweede geval zeer sterk afhankelijk. Overigens zijn beide situaties niet realistisch. Er is afhankelijkheid tussen lichaams- en voetlengte, maar niet zo sterk als in dit voorbeeld.

Typen multivariate profielen Er zijn vele manieren om de relatie tussen de predictievariabelen en het beoogde risico vast te stellen en te modelleren. Factoren als de hoeveelheid data samples, de hoeveelheid variabelen en het bekend zijn van (de afwezigheid van) afhankelijkheden tussen variabelen, zijn bepalend voor het prefereren van de ene modelleringsmethode boven de ander. Dan nog is het niet te voorzien welke methode zal leiden tot het beste profiel voor een gegeven doelgroep. Ook zijn positieve resultaten ten aanzien van het ene fenomeen (doelgroep) niet te extrapoleren naar een ander fenomeen. Hier zijn vele voorbeelden van te geven. In [85] bijvoorbeeld zijn predictiemodellen geleerd voor verschillende fenomenen in het medische domein. De gebruikte gegevens voor de verschillende fenomenen waren vergelijkbaar. Per fenomeen is de kwaliteit van het model echter zeer uiteenlopend en ook de best presterende methode verschilt per fenomeen. Kortom, het is altijd van belang een evaluatie van verschillende profielen uit te voeren om de meest geschikte te kiezen, zie onder meer het ’no free lunch theorema’ for machine learning [88]. Stapsgewijs univariaat Een veelgebruikt type profiel is uitgedrukt in de vorm van een beslisboom. Per stap kiest de methode de variabele waar een deel van de data het best op gescheiden kan worden. In onderstaand voorbeeld is de vraag een risicoprofiel op te stellen dat iemands tuin verdroogd en dus gesproeid zou moeten worden. De beschikbare informatie bestaat uit verzamelde gegevens over een langere periode, waarin steeds bijgehouden is hoe lang het niet geregend heeft, hoe lang geleden de buurman zijn

8.2. MULTIVARIATE PROFIELEN

35

Figuur 8.2: Fictieve verdeling van lichaams- en voetlengte van een groep mannen en vrouwen. Er is in dit voorbeeld een sterke afhankelijkheid tussen lichaams- en voetlengte. De zwarte doortrokken lijn is een scheiding van mannen en vrouwen, waar het profiel een kans 0,5 aangeeft. De gestippelde lijn geeft de richting aan waarin volgens het profiel de kans van vrouw naar man toeneemt op basis van de lichaams- en voetlengtegegevens. tuin (mogelijk wat kwistig) gesproeid heeft, en of de tuin daadwerkelijk verdroogd was. De dataset heeft dus twee variabelen en een label dat aangeeft of de tuin verdroogd was bij de gegeven toestand. De gegevens omtrent regen en het sproeien van de buurman vormen de variabelen en de bijbehorende informatie omtrent het al of niet verdrogen van de tuin de labels. In het profiel in Figuur 8.4 kiest de beslisboom in deze gegevens eerst de variabele ’geregend’ om daarop te scheiden tussen wel en niet verdroogd. Wanneer ’geregend’ kleiner is dan 6 dagen geldt dat de grond nog niet verdroogd is. Dit geldt onafhankelijk van de sproei-activiteiten van de buurman. Voor de situatie dat het langer dan 6 dagen niet geregend heeft, kiest de methode de variabele ’buren gesproeid’ om de gegevens verder te scheiden. Als het dan langer dan 4 dagen geleden is dat de buren gesproeid hebben, is in het algemeen de grond zo droog dat er gesproeid zou moeten worden. Multivariaat lineair Een andere veelgebruikte methode om profielen mee te modelleren is met een multivariaat lineair model. In dat geval is het profiel uitgedrukt als een lineaire combinatie van de predictievariabelen en beschrijft een scheidingslijn als in Figuur 8.5. We spreken dan van een lineair profiel. Er zijn vele methoden die op basis van verschillende criteria leiden tot een lineair profiel, zoals Fisher’s Linear Discriminant (Linear Discriminant Analysis), Logistic Classifier, Naive Bayes Clasifier, Nearest Mean Classifier (Euclidian Distance Classifier), Linear Support Vector Machine, en Linear Perceptron (Linear Feed Forward Neural Network) [6], [20]. Die profielen zijn in het algemeen niet hetzelfde, omdat andere modelaannamen gedaan worden en dus andere criteria geoptimaliseerd worden. Ofwel, die methoden resulteren in andere lineaire combinaties van de predictievariabelen en dus andere scheidslijnen dan in een figuur als Figuur 8.5. Niet-lineaire profielen Naast beslisbomen en lineaire profielen zijn er vele andere typen profielen, die gebruik maken van niet lineaire combinaties van predictievariabelen. Deze methoden variëren van generatieve methoden die multimodale distributies modelleren [20] tot neurale netwerken [37], en kernel gebaseerde methoden als de Support Vector Machine [13]. Deze typen profielen modelleren complexe interacties tussen de variabelen. Dit is overigens alleen dan verantwoord als er voldoende samples zijn, in ons geval personen, waardoor de vastgestelde interacties niet gebaseerd zijn op toevalligheden.

36


Figuur 8.3: Voorbeeld scoreverloop langs de profielen uit Figuur 8.1 (gelijdelijk oplopende lijn) en Figuur 8.2 (stijl oplopende lijn) die de kans op een man aangeven op basis van de lichaams- en voetlengtegegevens. Het scoreverloop is langs de gestippelde lijn in de respectievelijke figuren. De verticale as geeft de profielscore voor een man aan en de horizontale as een gecombineerde lengteafstand.

Figuur 8.4: Voorbeeld van een stapsgewijs univariaat profiel. De lijnen in de figuur, die de rechter bovenhoek afscheiden van de rest, geven aan waar de kans op ’grond droog’ volgens het profiel 0,5 is.

8.3

Grenzen aan profielen

Het aan het begin van de sectie over multivariate profielen genoemde ’no free lunch theorema’ voor machine learning [88] geeft al aan dat het niet vooraf vaststaat welke profileringmethode voor een voorliggend fenomeen het beste zal zijn. Hierdoor is het selecteren en valideren van de geschiktste modelleringsmethode voor iedere situatie steeds opnieuw nodig. Bovendien geldt dat er ook een ondergrens is aan het aantal fouten dat het best mogelijke profiel zal maken. Voor de supervised learning aanpak wordt deze ondergrens de Bayes error rate genoemd, e.g. [32]. In Figuur 8.6 stelt bijvoorbeeld de linker verdeling de doelgroep (C1) voor en de rechter verdeling de rest van de populatie (C2). In dit voorbeeld is er e´ e´ n variabele (x) bekend van de personen. Op basis van deze variabele zal het aantal fouten als x > 10 nagenoeg 0 kunnen worden. Daaronder is een substantieel aantal fouten onvermijdbaar. Zo is in het voorbeeld voor het herkennen van mannen en vrouwen op basis van lichaams- en voetlengte, zonder afhankelijkheid (Figuur 8.1), een substantiële Bayes error rate te verwachten. In het geval er afhankelijkheid is, als in Figuur 8.2, is de Bayes error rate daarentegen minimaal. Het is goed zich bewust te zijn van deze ondergrens, maar het in praktische situaties bepalen ervan is in het algemeen moeilijk.

8.4. UITLEGBAARHEID

37

Figuur 8.5: Voorbeeld van een lineair profiel. De doortrokken lijn in de figuur geeft aan waar de kans op ’grond droog’ volgens het profiel 0,5 is.

Figuur 8.6: Illustratie van de Bayes error rate voor het onderscheiden van de doelgroep (C1) van de rest (C2). Het gearceerde deel geeft de (minimale) fractie van samples aan, die door het best mogelijke profiel aan de verkeerde categorie toebedeeld zullen worden.

8.4

Uitlegbaarheid

Naast de capaciteit van een methode om tot een kwalitatief goed voorspellend risicoprofiel te komen, is het in bepaalde situaties gewenst om te kunnen doorzien hoe de risico-inschatting door het profiel tot stand komt. Dit wordt ook de uitlegbaarheid van het profiel genoemd. De beslisboom is met name om dit aspect bekend. Deze kan direct gelezen en weergegeven worden in een stapsgewijs beslisproces zoals in Figuur 8.7 weergegeven. Lineaire profielen maken ook een zekere mate van uitlegbaarheid mogelijk. Afhankelijk van de gebruikte methode kunnen de gewichten per variabele een directe statistische interpretatie hebben, zoals bij de logistic classifier [32].

38


Figuur 8.7: Beslisboom voor het automatisch vaststellen van verdroogde grond op basis van gegevens van de laatste regenbui en laatste sproeiactiviteit van de buurman.

Deel II

Profielen voor Risicotaxatie aan de Grens

39

Hoofdstuk 9

Profiling als balans tussen veiligheid en mobiliteit in het grenstoezicht 9.1

Inleiding

Met de omvangrijke internationale luchthaven Schiphol als belangrijkste buitengrens heeft Nederland te maken met tientallen miljoenen grensoverschreidingen op een geconcentreerde locatie [76]. Op een dergelijke luchthaven komen verschillende veiligheidsrisico’s samen, variërend van veiligheidsrisico’s waarbij vliegtuigen het doelwit vormen, tot smokkel en illegale immigratie. Om de veiligheidsrisico’s en de risico’s geassocieerd met grensmanagement in te perken is een heel spectrum van mogelijke ingrepen denkbaar. Het inperken van de risico’s mag echter de mobiliteit en doorstroom van personen en goederen niet te veel hinderen of inperken. Aan het ene uiterste van het spectrum kan gekozen worden om iedere vliegpassagier aan een uitgebreide inspectie bloot te stellen. Hierdoor kan waarschijnlijk elk risico geminimaliseerd worden, maar dit is niet werkbaar bij de schaal waarop op Schiphol passagiers, baggage en cargo bewegingen plaatsvinden. Enerzijds, omdat het te veel personeel en kosten zou vergen, maar ook omdat het voor de passagiers te veel overlast en vertraging oplevert. Bovendien wordt ervan uitgegaan dat het aantal vliegbewegingen verder zal blijven toenemen. Het andere uiterste is geen inspecties uitvoeren en vooral reactief op te treden, ofwel wachten tot er iets misgaat en dan ingrijpen. Bij normale omstandigheden, dat wil zeggen naast incidenten, zal de passagierdoorvoer maximaal zijn. Het zoeken naar manieren om het uitvoeren van de taken veiligheid en grensbeheer enerzijds en de economische en maatschappelijke gevolgen daarvan voor individuen en bedrijven anderzijds te balanceren, is de belangrijkste drijfveer voor de invoering van een risicogebaseerde aanpak van controles op Schiphol.

9.2

Risicogebaseerde oplossingen

Er wordt al enige tijd gepleit voor het introduceren van risico gebaseerde controle methoden voor het verbeteren van de veiligheids- en grenscontroles op vliegvelden, zie bijvoorbeeld [69],[68]. De theoretische aantrekkelijkheid van het concept, dat mogelijk een oplossing kan bieden voor het handhaven van een zeker veiligheidsniveau en tegelijkertijd de economie en burgers niet al te zwaar te belasten door veel controles, heeft de aanzet gegeven tot het ontwikkelen van risico gebaseerde controle methoden. Op dit moment zijn de meeste voorgesteld methoden nog in het ontwikkelstadium. Hierop is echter e´ e´ n uitzondering, de zogenaamde ’Israelische’ aanpak. Deze is echter een van de meer extreme aanpakken in de zin dat veiligheid de top prioriteit heeft. De methode bestaat naast de standaard inspecties op verboden voorwerpen met behulp van scanners uit het houden van interviews met alle passagiers. Op basis van achtergrondinformatie en de reactie van de passagier op vragen van de interviewer wordt de inspectie eenvoudig of uitgebreid. Deze methode heeft het nadeel dat deze erg arbeidsintensief is en als erg indringend en belastend wordt ervaren. Hierdoor is de methode voor grote vliegvelden als Schiphol niet haalbaar. Zie voor een uitgebreidere bespreking onder meer [26]. 41

42

HOOFDSTUK 9. PROFILING ALS BALANS TUSSEN VEILIGHEID EN MOBILITEIT

Een alternatieve aanpak die mogelijk een betere balans kan geven tussen beheersing van risico’s, doorvoer van passagiers en omvang van personeelsinzet is een aanpak op basis van risicoprofielen. In verschillende landen en de Europese Unie wordt deze aanpak daarom onderzocht ten behoeve van de veiligheid rondom toegangscontroles en het grenstoezicht, zie bijvoorbeeld [69], [68], [34], [26] en de referenties hierin. Voor meer theoretische analyses van mogelijke effectiviteit en mogelijkheden verwijzen we naar o.a. [51], [26], [70] [71] en [36]. Deze partiële onderzoeken geven aan dat, onder voorwaarden, met behulp van profiling het veiligheidsniveau gehandhaafd en zelfs verbeterd kan worden. Een brede groep van onderzoekers, vliegtuigmaatschappijen, vliegveldoperators en overheden onderzoekt nu hoe op risico gebaseerde inspectiestrategieën in te zetten. De hoop is dat met behulp van profiling en pro-actief acteren het grenstoezicht efficiënter kan worden ingericht en de (transport)veiligheidsrisico’s kunnen worden verlaagd. Opgemerkt moet worden dat het totale veiligheidsniveau met betrekking tot passagiers bepaald wordt door, naast het gebruik profiling, het volledige arsenaal aan instrumenten, sensoren en menselijke observatie, zie ook Hoofdstuk 3.

9.3

Enkele wetenschappelijke beschouwingen

Het gebruik van profiling om risico’s te beperken is een voorbeeld van een actuariële methode, zie bijvoorbeeld [31]. Deze methoden worden steeds uitgebreider toegepast in handhaving, opsporing en preventie in de justitiële context. Het theoretische model hiervoor staat bekend als ’actuarial justice’, zie bijvoorbeeld [62]. Het toepassen van deze methoden voor grenstoezicht en veiligheid is een logische verdere stap in de steeds uitgebreidere introductie van het model in de praktijk. Er zijn echter wel enige discussiepunten rondom het toepassen van deze methoden. Deze gelden ook ten aanzien van grenstoezicht en veiligheid rondom vliegverkeer en vliegvelden. Wij zullen de discussiepunten hier kort aanstippen. Gezien de omvang van de literatuur op dit terrein kunnen we helaas niet volledig zijn, we hebben hier een beperkte selectie gemaakt. De discussies concentreren zich rondom drie thema’s: juridisch, economisch of bedrijfskundig en statistisch.

Juridische analyses Het meest besproken morele aspect is het begrip etnisch profileren. Etnisch profileren kent vele definities, zie [10], wij volgen hier die uit [71], [2]: ’any actuarial method that conditions an individual’s prior probability of criminal behaviour explicitely on his or her race, ethnicity, nationality or religion’. Zie voor voorbeelden en introductie [31] en [71] en in de Nederlandse context [52] en [22]. Het is in de praktijk vrijwel onmogelijk profielen te ontwikkelen die niet direct of indirect leiden tot enige vorm van racial profiling, zie bijvoorbeeld [71]. Op morele gronden wordt racial profiling onwenselijk geacht en daarom in vele nationale- en internationale wetgeving en afspraken verboden. Er is ook omvangrijke literatuur omtrent de vraag of profiling wel legaal is [72], [25] en [81]. Naast racial profiling worden er ook vragen gesteld omtrent de aantasting van andere aspecten van burgerrechten, zoals privacy door uitbreiding van mogelijkheden van doorzoekingen en visitaties. Ook zijn er studies naar de vraag wat door het publiek als acceptabel gezien wordt als inperking van burgerrechten in de strijd tegen terrorisme en de vergroting van veiligheid [89].

Economische en bedrijfskundige analyses Ten tweede zijn er voor- en tegenargumenten die op economische of bedrijfskundige analyses berusten. Profiling gecombineerd met selectieve inspecties wordt voorgesteld om (i) het probleem van de lage frequentie van voorkomen van doelgroep subjecten te reduceren, (ii) de overlast voor gewone passagiers te beperken, (iii) de effectiviteit van de inspecties te verbeteren en (vi) de totale kosten voor veiligheid te reduceren. Enkele voorbeelden hiervan zijn [89], [4], [33], [59]. In [7] wordt aanvullend het effect van het toepassen van verschillende combinaties van profiling en inspecties op het sociale welzijn geanalyseerd. Ook wordt in deze studie de nadruk gelegd op het feit dat het effect van profiling niet geanalyseerd kan worden zonder tegelijkertijd de selectiemechanismen voor inspectie en de inspectiekarakteristieken mee te nemen. Meer macro-economisch georienteerde analyses zijn bijvoorbeeld [31] die beargumenteert dat de directe initiële winsten op termijn overschaduwd worden door de additionele kosten in sociaal kapitaal. In de

9.4. DE PRAKTISCHE GEVOLGEN VAN DE WETENSCHAPPELIJKE BESCHOUWINGEN

43

economische literatuur is verder onderzocht of profiling aanleiding geeft tot discriminatoire inspecties van personen. Manski [54] geeft een overzicht van literatuur naar de effectiviteit van profiling voor het vinden van overtredingen tijdens inspecties zoals verkeerscontroles of fouilleeracties, [46], [55], [65], [19] and [21]. Een meer op grenscontrole en immigratie gerichte analyse in de Canadese context is [18] en [17], zie ook het Canadese overheidsactieplan ”Beyond the Border: A Shared Vision For Perimeter Security and Economic Competitiveness”. Naast analyses strikt gericht op de controle van passagiers zijn er ook bedrijfskundige analyses richten zich met name op de totale kosten voor vliegveldbeheerders, de luchtvaartmaatschappijen voor het uitvoeren van de grenscontroles en veiligheidchecks op passagiers en bagage en de veiligheid van het vliegveld in het algemeen. Hierbij wordt het beveiligen van het vliegveld en passagiers als een bedrijfskundig operationeel risico gezien. Enkele studies die we noemen zijn [5], [47], [39], [40], [38], [58], [86] en [87].

Statistische analyses Ten derde en laatste zijn er statistische studies die analyseren onder welke omstandigheden profiling wel of niet werkt door het garanderen van een zeker veiligheidsniveau en het effectief detecteren van risico’s. In deze context noemen we [57], [58],[3], [41], [70], [71], [56], [36], [51]. Deze studies zijn helaas nog partiëel en gebaseerd op vrij strikte aannamen. De algemene voorlopige conclusie is, dat veiligheid gebaseerd op het inschatten van risico’s met behulp van profiling en het vervolgens op basis van het risico selecteren van passagiers theoretisch haalbaar is. Echter de theoretische extra effectiviteit ten opzichte van bijvoorbeeld steekproefsgewijze controles zonder profiling kan in praktijk mogelijk niet gerealiseerd worden als de profielen niet onderscheidend genoeg zijn of goed genoeg geschat kunnen worden [71]. Zie ook Sectie 8.3.

9.4

De praktische gevolgen van de wetenschappelijke beschouwingen

In dit rapport worden de ethische en economisch, bedrijfskundige analyses niet verder besproken. We richten ons vooral op de vraag hoe te profilen en in mindere mate op de mogelijke effectiviteit. Zonder praktische ervaring met relevante gegevens is er namelijk geen uitspraak te doen over de mogelijke effectiviteit van profielen. Hoe het profilen uit moet worden gevoerd is rond het grenstoezicht en ten behoeve van de veiligheid al een complex onderwerp door het totaal aan randvoorwaarden. Ook moeten we opmerken dat het in deze zin ook moeilijk is om op voorhand te toetsen of het toepassen van profiling wel aan het proportionaliteitsbeginsel zal voldoen. Als profiling niet het gevraagde veiligheidsniveau kan garanderen is het opslaan en gebruiken van gegevens en het gebruiken voor profiling waarschijnlijk niet proportioneel. Dit brengt ons in een vicieuze cirkel: Om te kunnen profilen is eerst toestemming nodig, maar om die toestemming gemotiveerd te kunnen verlenen moet je eerst profilen. Een oplossing is het uitvoeren van een pilot. Omdat het voor ieder fenomeen en iedere doelgroep opnieuw bepaalt moet worden of profiling effectief is, is een pilot in principe voor ieder fenomeen opnieuw nodig. Zie ook [88] en Sectie 8.3.

44

HOOFDSTUK 9. PROFILING ALS BALANS TUSSEN VEILIGHEID EN MOBILITEIT

Hoofdstuk 10

Praktische ervaring met profiling Er is over het praktische gebruik van profielen voor grenstoezicht en gecombineerd met veiligheid op en rond vliegvelden weinig literatuur beschikbaar. De praktische effectiviteit van het gebruik van profielen blijft voorlopig dan ook onduidelijk. Ook over het construeren van profielen is weinig publieke informatie beschikbaar. Deze informatie wordt van belang voor de nationale veiligheid gezien en is daarom meestal niet openbaar. Het is daardoor ook onduidelijk welke landen nu al van profiling gebruikmaken. Wel zijn er statistische kengetallen bekend over de performance uit pilotstudies voor de introductie van Advanced Passenger Information en Passenger Name Record gegevens als veiligheids- en grenstoezichtinstrument zoals bijvoorbeeld in de notitie [15]. Het betreft dan vooral kengetallen als het totaal aantal geprofilede passagiers, het aantal extra inspecties, en het aantal arrestaties naar aanleiding van profieltoepassing. De resultaten betreffen meestal het geheel aan instrumenten die beschikbaar komen indien API en PNR gegevens gebruikt kunnen worden voor grenstoezicht, opsporing, handhaving en veiligheid. De cijfers worden echter niet uitgesplitst naar de verschillende instrumenten zoals, naslag, watchlists en profiling. De meeste gepresenteerde succescasussen zijn niet door het gebruik van profiling maar meestal ten gevolge van de mogelijkheden tot naslag en het gebruik van watchlists. Er is uitgebreide literatuur over meer fundamentele legitimiteitsvraagstukken rondom het gebruik van profielen en watchlists en het verzamelen van gegevens hiervoor, zie bijvoorbeeld [72], [25], [10]. Verder is er een aanzienlijke hoeveelheid wetenschappelijke- en beleidsevaluatiepublicaties. Beide voor de Verenigde Staten dat op reguliere basis prescreening of risicoprofiling toepast. Enkele voorbeelden [23] [27], [50] en [78]. Andere landen als het Verenigd Koninkrijk, Canada en Australië gebruiken al wel de API/PNR gegevens maar zijn nog bezig met het opzetten van reguliere prescreening of profiling programma’s en er wordt in deze landen minder open over gepubliceerd en gediscussieerd. Daarnaast is er omvangrijke literatuur over de voors en tegens van prescreening, profiling en watchlists op basis van incidenten. De focus is op de voor het publiek zichtbare aspecten van de uitvoering van controles op basis van profiling en watchlists. Hieronder valt ook de informele literatuur op internet blogs en - fora, kranten en tijdschriften, waarin profiling voor vliegveldveiligheid wordt besproken en geanalyseerd. Een bekende wetenschapper die regelmatig over dit onderwerp schrijft is Bruce Schneier. Zijn analyses zijn te vinden op ”http://www.schneier.com/blog”. In de volgende sectie worden enkele referenties gegeven naar domeinen waar profiling en soortgelijke technieken gebruikt worden. In het kort geven we enkele van de belangrijkste praktische resultaten weer voor het gebruik van profielen voor grenstoezicht en vliegveiligheid.

10.1

Profielen in aanverwante gebieden

Profielen worden al op vele plaatsen in het bedrijfsleven en in de wetenschap gebruikt [44]. De meest in het oog springende gebieden zijn in de marketing [79], sales support [63], verzekeringen, de financiële industrie [43], de medische wereld [48], veiligheidsdomein [77] en de wetenschap in het algemeen. In die domeinen of publicaties wordt zeker niet altijd de profiling terminologie gehanteerd, maar de methodieken en doelstellingen komen overeen met de in dit rapport bedoelde. Wat steeds duidelijk wordt is dat de behaalde resultaten in termen van true-positives en true-negatives steeds sterk verschillen per probleemstelling en type data. Bovendien blijken foutloze profielen in niet-triviale praktijk situaties niet te bestaan, zie ook 45

46

HOOFDSTUK 10. PRAKTISCHE ERVARING MET PROFILING

Sectie 8.3. Binnen de Nederlandse overheid wordt steeds vaker geëxperimenteerd met actuariële methoden voor de opsporing van criminelen, criminele activiteiten en fraude. De resultaten hiervan worden echter maar zelden gerapporteerd of de experimenten zijn niet kwantitatief getoetst. Enkele wel gepubliceerde experimenten geven aan dat het gebruik van risicoprofielen voor het opsporen van fraude bij WWB-uitkeringen weinig bemoedigende resultaten gaf [73], [64]. Een ander voorbeeld zijn de projecten uitgevoerd in het kader van het project ”Black Box”door de Inspectie Sociale Zaken en Werkgelegenheid. Binnen de ”Black Box”gebruikt deze dienst kennisgestuurde risicoprofielen om personen en bedrijven te selecteren voor gerichte controles. Voor de gemeentelijke sociale diensten ontwikkelt deze Inspectie datagestuurde profielen op basis van bij de betreffende gemeente aanwezige gegevensbronnen. Alhoewel de resultaten van deze profiling projecten niet openbaar zijn, zijn er aanwijzingen dat deze resultaten positiever zijn. Concluderend is het rond profiling in het grenstoezicht dan ook onduidelijk welke resultaten geboekt kunnen worden. De verwachting is echter dat er met aanzienlijke foutmarges rekening gehouden moet worden. Vooral omdat de relevante databronnen voor een gegeven risicofenomeen niet naar keuze bepaald kunnen worden. Anderzijds, kan ook geconcludeerd worden dat ten aanzien van de trefkans in uiteenlopende domeinen profiling resultaten bereikt worden die aanmerkelijk beter zijn dan door willekeurige inspectie bereikt zouden worden.

10.2

Profielen voor grenstoezicht in andere landen

In dit rapport worden vliegtuigtoegangscontroles meegenomen als onderdeel van grenstoezicht, omdat het verwante problematiek betreft. In de Nederlandse context kan het echter wel betekenen dat niet altijd dezelfde gegevens gebruikt mogen worden voor de analyse van de verschillende fenomenen. De juridische eis van doelbinding stelt deze beperking. In een aantal landen, waaronder de USA, de UK, Canada en Australië, wordt gestudeerd op en gewerkt aan het opzetten van risicoprofiling of prescreening systemen voor grenstoezicht. Over het gebruik van profiling en prescreening is de USA het meest open. In de USA zijn er twee organisaties verantwoordelijk voor de combinatie grenstoezicht en transportveiligheid. Allereerst is er de US Customs and Border Protection ter bescherming van de grenzen. Ten tweede is er de Transport Security Administration (TSA) ter bescherming van de transport systemen in de USA. Beide maken gebruik van profiling om risicovolle passagiers of vracht te identificeren. Bekende TSA programma’s zijn de Computer Assisted Passenger Prescreening Systemen, CAPPS I en CAPPS II en het meer recente Secure Flight. Voor meer informatie verwijzen we naar de website van TSA http://www.tsa.gov/. Helaas is er geen informatie over hoe profielen worden gemaakt en nog minder over de effectiviteit van het gebruik ervan. Verder wordt in EU verband nagedacht over prescreening en profiling. Verschillende landen echter hebben thans nog verschillende visies. Op dit moment lijkt niemand actief regulier risicoprofiling of prescreening te gebruiken. Zo is bijvoorbeeld in de UK het e-Borders programma nog in opbouw. Het e-Borders pilot project Semaphore dat gebruik maakte van API en PNR gegevens heeft de volgende macro-gegevens vrijgegeven [35], zie ook [16]. Gebaseerd op 38.000.000 passagiersbewegingen werden 17.000 alerts getriggerd voor verdere inspectie en daarvan leidden 1 op 12 tot een arrestatie, 1300 in totaal. Onduidelijk is echter welk gedeelte van de alerts tot stand kwam op basis van profiling en welke op basis van het toepassen van watchlists. Bij de motivatie voor het gebruik van PNR gegevens zoals bijvoorbeeld in [12] worden vaak wel getallen genoemd, maar het is onduidelijk of deze gelden voor profiling, watchlists of voor andere toepassingen. Hieruit kan niet afgeleid worden of profiling op zich wel of niet als effectief middel gekwalificeerd kan worden.

Hoofdstuk 11

Datagestuurde profiling in het grenstoezicht In het eerste deel van dit rapport zijn verschillende aspecten betreffende het ontwikkelen en toepassen van (risico)profielen besproken. Dit tweede deel richt zich geheel op profiling ten behoeve van het grenstoezicht en veiligheidsaspecten rondom de grens- en vliegtuiginstap controles. De mogelijkheden, randvoorwaarden en grenzen die in de voorgaande secties aan de orde zijn gekomen, krijgen hier handen en voeten in het grenstoezichtdomein. Ten aanzien van de eerder behandelde fasen rond profielontwikkeling en -toepassing, onderscheiden vooral de ontwikkelingsfase en de selectiefase op basis van een ontwikkeld profiel zich van andere domeinen. In het kort komen de verschillen hier op neer; In het grenstoezicht is de verzameling te gebruiken gegevens voor de ontwikkeling van een zo goed mogelijk profiel niet vrijelijk te kiezen. De wetgever bepaalt de variabelen die ingezet kunnen worden. Verder is de selectie van personen voor inspectie op basis van een profielscore in het grenstoezicht veel minder direct en vanzelfsprekend dan in andere domeinen. Zonder meer de passagiers met het hoogste risico selecteren voor inspectie biedt kwaadwillenden de mogelijkheid het profiel te testen. Bij een dergelijke deterministische selectiestrategie kunnen passagiers namelijk verschillende parameters variëren (zoals reisroute, betalingswijze, soort bagage) om te achterhalen hoe het profiel werkt, zie [8] en [56]. Naast statistische aspecten spelen ook organisatorische aspecten, observaties ter plaatse en controlecapaciteit een belangrijke rol bij vertaling van het risico gebaseerd op profielen tot de selectie van de individuele passagier. In de navolgende secties en hoofdstukken werken we deze en andere aspecten rond grenstoezicht uit en behandelen de verschillende fasen van profielontwikkeling en -toepassing vanuit dit perspectief, zijnde ontwikkeling, scoring, selectie en inspectie.

11.1

Gegevens voor profiling in het grenstoezicht

Op dit moment wordt er zowel op Europees als Nationaal niveau gewerkt aan wet- en regelgeving betreffende het verzamelen, opslaan en gebruiken van Advance Passenger Information (API) en Passengers Name ´ en van de gebruikstoepassingen is het profilen om proactief Record (PNR) gegevens, zie [12], [14], [16]. E´ risicopassagiers te selecteren voor nadere inspectie. Indien de PNR gegevens gebruikt mogen worden voor profilen wordt de vraag actueel welke variabelen gebruikt kunnen en/of moeten worden. Wij zullen hier nu nader op ingaan.

11.1.1

Juridische overwegingen

In de toepassingen voor de douanetaak, Schengengrenscode, handhaving, opsporingscontroles op EU burgers en Vreemdelingenwetgeving moeten de beperkingen ten aanzien van dataminimalisatie, proportionaliteit, doelbinding, bescherming van de persoonlijke levenssfeer en, meer algemeen de legitimiteit worden meegewogen. Uit die afweging volgt direct dat bijvoorbeeld variabelen betreffende ras, etnische herkomst, godsdienst, levensovertuiging, politieke mening, lidmaatschap van een vakbond, gezondheid of seksueel leven niet mogen worden gebruikt. Zo betekent ook doelbinding een beperking. Doelbinding betekent dat het doel waarvoor persoonsgegevens worden verzameld of verkregen, bepalend is voor het verdere gebruik 47

48

HOOFDSTUK 11. DATAGESTUURDE PROFILING IN HET GRENSTOEZICHT

van deze gegevens. Hierdoor kan men alleen variabelen gebruiken die voor dat doel verzameld zijn. Bovenstaande beperkingen zijn allen van juridische aard en zullen in het algemeen het onderscheidend vermogen van profiling negatief be¨ınvloedden ten opzichte van het op basis van alle beschikbare gegevens construeren van profielen.

11.1.2

Technische overwegingen

Uit statistisch-technisch oogpunt is het adagium in het algemeen hoe meer gegevens hoe beter, mits de kwaliteit van de gegevens gegarandeerd blijft. In de praktijk zijn de kosten, de beschikbare gegevens, analysetijd en de analysemogelijkheden de belangrijkste redenen die voor een beperking van het aantal variabelen zorgen. Ook is het in de praktijk vaak moeilijk de datakwaliteit van grote dataverzamelingen te blijven garanderen, het voorkomen van datavervuiling is lastig. Een keuze op voorhand voor welke variabelen noodzakelijk zijn voor een bepaald profilingdoel is niet mogelijk. Bovendien zullen voor de verschillende doeleinden verschillende deelverzamelingen van de variabelen gereserveerd worden. Zie ook Sectie 8.2.

11.2

Representativiteit en relevantie van de gegevens

Om profielen te ontwikkelen zijn relevante gegevens nodig. Met betrekking tot de relevantie van de gegevens schuilt hier een beperking in het grenstoezicht. Als een bepaald fenomeen aangepakt gaat worden met risicoprofielen, is in theorie en praktijk de beste aanpak om gegevensbronnen te selecteren die vermoedelijk informatie over het fenomeen in zich dragen, zie Hoofdstuk 4. In het grenstoezicht is het voorstel om gebruik te maken van identificerende gegevens (zoals personalia) en overige passagiersgegevens (zoals bagage en vluchtgegevens) als basis voor profiling. Andere mogelijkheden om gegevens over passagiers te verkrijgen zijn bijvoorbeeld via de frequent flyer programma’s en programma’s als Privium, maar ook geheel andere bronnen zouden nuttig kunnen zijn. Die laatsten worden a priori uitgesloten, waardoor het beoogde fenomeen in beschrijvende variabelen waarschijnlijk beperkt gerepresenteerd kan worden. Dit zal de effectiviteit van het profilen beperken. Ten aanzien van representativiteit van de gegevens in termen van beschikbaarheid van gegevens van bekende leden van de doelgroep gelden de opmerkingen als gemaakt in Sectie 5.1.

11.3

Kwaliteit van de gegevens

Ten aanzien van de kwaliteit van de gegevens gelden de opmerkingen die in het algemeen gemaakt zijn in Sectie 5.2. In aanvulling moet hierop ten aanzien van datakwaliteit van gegevens in de context van grenstoezicht de volgende opmerking gemaakt worden. Gezien de mogelijke negatieve gevolgen voor een persoon als de gegevens foutief geregistreerd zijn, moet er een procedure zijn om deze te laten corrigeren. Indien de gegevens van een persoon deels foutief zijn, kan hij of zij in de verkeerde risico categorie terecht komen (zie Sectie 5.5.1). Dit heeft een negatief effect op het veiligheidsniveau. Immers er is een kans dat iemand met een hoog risico niet ge¨ınspecteerd wordt. Andersom kan iemand met grote kans onnodig ge¨ınspecteerd worden, hetgeen overlast geeft en de doorstroming belemmert. Het corrigeren van dergelijke gegevensfouten is een belangrijk aandachtspunt. Het vaststellen van gegevensfouten is voor een individuele passagier moeilijk, omdat het profiel zoveel mogelijk geheim moet blijven. Kwaadwillenden als terroristen en andere criminelen moeten namelijk zo min mogelijk de gelegenheid krijgen te anticiperen op de profileringinstrumenten. Ten aanzien van herkende false-positives van een profiel zou een whitelist ingesteld kunnen worden. Dat wil zeggen, een lijst met bekende laag risico passagiers ten aanzien van het fenomeen waar het profiel het risico voor bepaalt. In het geval een ’trusted travelers’ programma bestaat, kunnen de passagiers gestimuleerd worden daarvan deel uit te gaan maken. De kanttekening hierbij is, dat dit een indirecte vorm van prijsgeven van profieleigenschappen is, zie ook Secties 5.5.1 en 5.5.3. Verder is het duidelijke dat het corrigeren van gegevens die voor langere tijd worden opgeslagen uiteraard eenvoudiger te organiseren is dan voor vluchtige data die bijvoorbeeld hooguit e´ e´ n dag gebruikt worden en pas kort voor het gebruik beschikbaar komen.

11.4. ONTWIKKELING VAN HET PROFIEL

11.4

49

Ontwikkeling van het profiel

Ten aanzien van technische aspecten van de ontwikkeling van het profiel gelden de opmerkingen die in het algemeen gemaakt zijn in Sectie 5.3 en Hoofdstuk 4. Specifieke karakteristieken van fenomenen in het grenstoezicht zijn 1) een beperkte doelgroepomvang, 2) een beperkt aantal bekende personen uit de doelgroep en 3) van de meeste personen uit de populatie is het label onbekend. Omdat de doelgroep vaak klein is geldt voor de ongelabelde personen, dat ze vrijwel geen van allen tot de doelgroep behoren [84]. In een dergelijke situatie kan een profielmodel de voorkeur hebben, dat stuurt op ordening van personen naar waarschijnlijkheid. Dat wil zeggen dat het profiel er naar streeft de meest waarschijnlijke doelgroepleden bovenin een lijst te zetten. Hiervoor moeten passagiers in batches aangeboden worden aan het profilingsysteem. Of dat mogelijk is hangt af van de gekozen inpassing van het profilingsysteem in de algehele logistiek van passagiersstromen. Een gebrek aan gelabelde doelgroepleden kan aangepakt worden door gedurende de profielontwikkelperiode een active learning strategie toe te passen, zie Sectie 5.3.

11.5

Evaluatie van het profiel

Voor de algemene opmerkingen over het evalueren van profielen zie sectie 5.4. Hierbij dient nog opgemerkt te worden dat de evaluatie op verschillende manieren kan gebeuren zoals aangegeven in sectie 5.4, maar dat deze evaluatie dient te gebeuren in combinatie met de gekozen selectie en inspectie strategie. Gezamenlijk moeten profiling, selectie en performance van de inspecties geëvalueerd worden ten aanzien van de gestelde operationele, tactische en strategische doelen van het grenstoezicht en de veiligheid. Het evalueren van het profiel alleen is niet alleen suboptimaal maar ook niet voldoende om te beoordelen of profiling helpt bij het grenstoezicht en/of bevorderen van veiligheid.

11.5.1

Statistische relevantie

Bij het ontwikkelen van profielen op basis van PNR gegevens wordt in de brief van de Minister van Veiligheid en Justitie [14] als criterium voor het gebruik van een profiel geëist dat het profiel aantoonbaar statistisch in verband gebracht moet kunnen worden met specifieke strafbare feiten. Dit kan op verschillende manieren gedaan worden. De klassieke methode is die van hypothese testen. Deze heeft echter als nadeel dat minieme in de praktijk irrelevante verschillen statistisch aangetoond kunnen worden. Een alternatieve, en in deze context meer praktische maat is dat een profiel een aanzienlijke voorspellende waarde moet hebben. Dit is eenvoudig implementeerbaar als bijvoorbeeld het totaal aantal personen dat ge¨ınspecteerd moet worden om een persoon te vinden die in verband kan worden gebracht met specifieke strafbare feiten. Dit kan eventueel nog aangevuld worden met gegevens als frequentie van voorkomen van personen die geassocieerd kunnen worden met betrekking tot het strafbaar feit in de populatie (de doelgroepomvang). Deze eisen zijn zwaarder en relevanter dan die van statistisch aantoonbaar en kunnen ook eenvoudig gerelateerd worden aan performance van het profiel. Bijvoorbeeld in termen van false-positives en falsenegatives, zie Sectie 5.4. Statistische significantie of een aantoonbare relatie tussen variabelen en doelgroep is een voldoende maar zeker niet noodzakelijke voorwaarde voor praktisch gebruik. Hierop zijn namelijk twee aanvullingen. De eerste doet zich voor als er zeer betrouwbare infomatie binnengekomen is dat iemand met een bepaald profiel een terroristische aanslag zou willen uitvoeren. In een dergelijk geval moet het mogelijk zijn het statistische relevantie criterium niet van toepassing te verklaren. Een tweede aanvulling is het geval van een heel zeldzaam fenomeen, waarbij het missen van gezochte personen grote negatieve effecten kan hebben. Ook in een dergelijk geval is er onvoldoende informatie om het profiel statistische te onderbouwen en is het toch verstandig om het profiel te kunnen gebruiken.

11.6

Operationele inzet van het profiel

Zoals in secties 5.5 en 11.5 aangegeven spelen bij de operationele inzet van de profielen meerdere factoren een rol. In Figuur 11.1 worden deze aspecten schematisch weergegeven. Merk op dat er geen watchlists zijn meegenomen in het schema. Dit is met opzet, omdat verondersteld wordt dat watchlists onafhankelijk van het profiel tot standkomen. Op basis van de aard van de watchlist hit kan dan de geëigende actie

50


ondernomen worden. Uiteraard zal een voor profiling ingericht informatiesysteeemook de effectiviteit van watchlists verbeteren.

Gegevens Id: variabelen

Tijdelijke opslag

Anonimiseer / pseudonimiseer

Profiling

Beambte

(her)ontwikkel profiel

Profileer

Observeer

Selecteer? nee ja

Integreer inspectie

Inspecteer

Langdurige opslag

Hit? nee ja

Figuur 11.1: Stroomschema van een profiling systeem voor grenstoezicht. Voordat het profiling systematisch, transparant en gecontroleerd operationeel ingezet kan worden moeten er nog veel verschillende keuzes gemaakt worden. Deze keuzes hebben allemaal invloed hebben op de performance van het systeem ten aanzien van geformuleerde operationele, tactische en strategische doelen.

11.6.1

Scoren op basis van het profiel en selectie op basis van profiel score

Ten aanzien van het scoren op basis van het profiel gelden de algemene opmerkingen in Sectie 5.5.2. Op basis van de profielscore moet er gekozen worden voor een selectiestrategie. Dit is conform het volgende citaat [16] van belang: Profiling mag alleen beperkt plaatsvinden, binnen duidelijke kaders. Dit betekent dat gevoelige gegevens niet mogen worden verzameld noch gebruikt. Verder mag profiling uitsluitend als indicatiemiddel worden gebruikt voor het doen van gerichte controles (als beoordelingsmiddel welke passagiers worden gecontroleerd en welke niet). Daarnaast geldt dat profiling nooit automatisch mag leiden tot de inzet van ingrijpende (strafvorderlijke) dwangmiddelen.

11.6. OPERATIONELE INZET VAN HET PROFIEL

51

Hoewel de Minister daarbij niets zegt over het doel van het gebruik van profiling is het duidelijk dat het veiligheidsniveau zo hoog mogelijk gehouden moet worden, waarbij tegelijkertijd het totale aantal inspecties zo laag mogelijk moet blijven. Het achterliggende idee is om alleen hoog-risico passagiers te identificeren en inspecteren en laag-risico passagiers alleen zeer beperkt te inspecteren. Er zijn verschillende manieren om dit te realiseren. Er kan bijvoorbeeld gekozen worden om categorieën van risiconiveaus te vormen en individuen in deze categorieën in te delen. In de Verenigde Staten onderzoekt men het invoeren van een drie categorieënsysteem: ’hoog risico’, ’laag risico’ en ’onbekend risico’ [26]. De categorie waarin de passagier valt, bepaalt het inspectieniveau (behandelprofiel) bij grenscontrole. Een alternatief kan zijn geen risicocategorieën te vormen, maar de individuele risicoscore als wegingsfactor te gebruiken om het inspectie niveau aan de grens te bepalen, zogenaamde proportionele steekproefname. Verschillende opties zijn hier mogelijk, zie hiervoor onder meer [70], [61], [36], [56], [26]. De verschillende opties hebben allemaal hun eigen manier van het afwegen van benodigde resources tegenover de kans op het vinden van de doelgroepleden. Uit alle analyses blijkt dat de selectie voor inspectie voor een deel ook stochastisch moet plaatsvinden, waarbij er gewogen wordt naar grote van het risico en de schade indien het risico zich materialiseert. Een van de redenen voor het gebruik van willekeurige selecties is dat het profielsysteem anders erg eenvoudig uit te testen is door een kwaadwillenden, zie [8] en [56]. Hierdoor zou de totale kans op het detecteren van doelgroepleden juist afnemen [26], [70], zie ook Sectie 5.3.

11.6.2

Inspectie

Een persoon zal geselecteerd worden voor inspectie op basis van de selectiestrategie gebaseerd op de risico inschattingen gemaakt aan de hand van het toepassen van de verschillende profielen voor de verschillende doelgroepen, de observaties ter plekke bij de controle en de beschikbare controle capaciteit. In het algemeen zal een inspectie uitsluitsel geven over het al dan niet behoren tot de doelgroep. Bij inspectie komt derhalve aan het licht of de risico-indicatie van het profiel inderdaad ondersteunend was. In de praktijk zullen er bepaalde doelgroepen of fenomenen zijn, waarbij het herkennen van doelgroepleden door inspectie moeilijker is. Ook kan de inspectie uit meerdere sequentiele componenten bestaan om op die manier de kans op herkenning te vergroten. In de literatuur over veiligheid rondom vliegvelden wordt hierop ingegaan door onder andere [60], [70]. Deze problematiek is verwant aan kwaliteits- en procescontrole [75], auditing [29] en de meer algemene steekproeftheorie [82]. Aantal inspecties Een belangrijk aspect van het gebruik van risicoprofielen als selectiemiddel voor inspectie is gegeven het verlangde veiligheidsniveau, bijvoorbeeld de eis dat 95% van de individuen van een bepaalde doelgroep met kans 0,95 worden ge¨ınspecteerd, de vraag hoeveel individuen moeten er geselecteerd en ge¨ınspecteerd worden om het veiligheidsniveau te bereiken? Hierbij moet eerst het aantal inspecties op basis van de watchlists beschouwd worden, omdat deze ook beslag op de inspectiecapaciteit leggen. Het kan zijn dat de watchlist subjecten ook op basis van een risicoprofiel geselecteerd zouden worden. Anderzijds kunnen eventuele personen op de whitelist buiten beschouwing gelaten worden. De vraag die rest is hoeveel inspectiecapaciteit nodig is voor het vinden van de betreffende passagiers gebaseerd op profielen. Het streven is zo min mogelijk onterechte inspecties uit te voeren. Dit kost geld en is belastend voor passagiers. Tegelijkertijd is het streven een zo hoog mogelijk veiligheidsniveau te handhaven en dus zoveel mogelijk van de doelgroep passagiers te vinden. Doordat er nog geen ervaring is met de specifieke data en de doelgroepen nog niet gedefiniëerd zijn, is het nog niet mogelijk goede schattingen te geven van te verwachte aantallen benodigde inspecties. Wel is het duidelijk welke de ingrediënten zijn, die van belang zijn bij het bepalen van het benodigde aantal inspecties, namelijk: 1. Het vereiste veiligheidsniveau in de vorm van een acceptabele lage kans dat een doelgroeplid een vliegtuig kan instappen (de false-negatives). 2. Het toegestane overlastniveau in de vorm van de acceptabele kans voor een individu om ge¨ınspecteerd te worden die niet tot de doelgroep hoort (de false-positives). 3. De frequentie van voorkomen van het beoogde fenomeen, ofwel de omvang van de doelgroep. 4. De kwaliteit van het best haalbare profiel, ofwel de Bayes error rate, zie Sectie 8.3.

52


Als we de ingrediënten beschouwen zien we dat 1) en 2) gekozen kunnen worden. De overheid zou hier criteria voor kunnen vastleggen. Hierin zou ook per fenomeen kunnen worden gevariëerd: een risico waar bij realisatie een enorme schade optreedt zal volgens andere criteria behandeld moeten worden dan bijvoorbeeld een risico op illegale immigratie. 3) is een gegeven, maar kan sterk verschillen per fenomeen, weinig terroristen, maar veel meer drugskoeriers. De doelgroepomvang is meestal maar bij benadering bekend. De kwaliteit van het profiel 4) is op dit moment nog de grote onbekende, immers er is nog geen of sporadisch ervaring met het gebruik van profielen gebaseerd op passagiers- en bagagegegevens. Voor risico’s met een extreem lage frequentie van voorkomen zal een heel goed onderscheidend profiel nodig zijn om 1) en vooral 2) op acceptabele niveaus te houden. Het zou kunnen blijken dat er uit de beschikbare gegevens geen voldoende onderscheidende profielen (met relatief hoge Bayes error) ontwikkeld kunnen worden en tegelijkertijd 1) en 2) realiseerbaar te houden. Echter voor meer frequent voorkomende risico’s is dat mogelijk wel haalbaar. Je kunt dan mogelijk niet iedereen detecteren, maar de kans op detectie kan dan voldoende zijn om afschrikwekkend te werken.

Hoofdstuk 12

Historische gegevens in het grenstoezicht In de brief [16]van de Minister van Veiligheid en Justitie aan de Tweede Kamer schrijft de Minister over het mogelijke gebruik van API en PNR gegevens: De bewaartermijn mag niet langer zijn dan nodig is. Voor het gebruik van passagiersgegevens in de grenscontrole ten behoeve van het opsporen van ernstige strafbare feiten (mensenhandel, drugssmokkel, e.d.) volstaat in het algemeen een bewaartermijn van een aantal dagen. Voor specifieke onderzoeken (bv in een strafzaak) is een bewaartermijn van minimaal twee jaar noodzakelijk en in incidentele gevallen langer. Voor het vaststellen van trends en analyses is ook een langere termijn gewenst, maar daarvoor volstaan het gebruik van gegevens die niet tot het individu herleidbaar zijn. Na vijf jaar moeten de gegevens in ieder geval worden gewist. Hiermee geeft de Minister grenzen aan voor de bewaarduur. Het voorstel [12] van de Europese Commissie spreekt in Artikel 9 van een bewaarperiode van minimaal 30 dagen. In beide notities wordt niet expliciet gemaakt voor welke taken deze gegevens gedurende die perioden bruikbaar zijn. Het is ook onduidelijk wat de bewaarperiode wordt voor het gebruik van de API en PNR gegevens voor profiling. Men zou ervoor kunnen kiezen de gegevens wel een langere periode beschikbaar te houden voor naslag van bijvoorbeeld zware criminaliteit maar veel korter voor profiling. Gezien de op dit moment nog onbekende bewaarduur van de gegevens voor profiling bespreken we hier enkele voor- en nadelen die samenhangen met een korte of een lange bewaarduur. Een korte bewaarduur van opslag variëert in deze context van e´ e´ n tot enkele dagen en lange bewaarduur betekent een maand of langer.

12.1

Temporele profielen

Voor algemene informatie over temporele profielen zie Hoofdstuk 7. Het (bijna) realtime beschikbaar hebben en mogen analyseren van de geschiedenis van gegevens van iedere persoon voor het maken van profielen maakt het mogelijk om temporele patronen te ontdekken. Zo kan men individuele- en groepstrends herkennen, voorspellingen doen voor individueel- en groepsgedrag op basis van tijdreeksanalysemodellen. Dergelijke modellen kunnen leiden tot veel effectievere profielen, omdat het gedrag van personen die betrokken zijn bij criminaliteit en terrorisme zich over de tijd ontwikkelt, zie bijvoorbeeld [45]. Ook betekent het dat men veel meer observaties per persoon beschikbaar heeft in plaats van alleen maar de huidige reisgegevens. Het niet kunnen gebruiken van de geschiedenis van een persoon betekent statistisch gezien het inleveren van nauwkeurigheid en dientengevolge verlies van effectiviteit van de profiling-, selectie- en inspectie systeem. Uiteraard leidt het gebruik van de persoonlijke gegevensgeschiedenis tot een aanzienlijke verhoging van de potentiële privacy risico’s in vergelijking met de situatie dat alleen de actuele reisgegevens gebruikt mogen worden. De afweging tussen privacy en potentiële profilingmogelijkheden wordt door de politiek binnen de kaders van de privacy- en dataprotectiewet- en regelgeving gemaakt. 53

54

12.2

HOOFDSTUK 12. HISTORISCHE GEGEVENS IN HET GRENSTOEZICHT

Wel of geen langdurige opslag: keuzes en consequenties

De rijkere temporele profielen die mogelijk worden door langdurige opslag van gegevens al dan niet met identificerende variabelen hebben ook een prijs. In deze context introduceren we de begrippen ‘contextvervreemding’, ‘function creep’ en ‘ontvreemding’. Contextvervreemding Contextvervreemding staat voor het anders interpreteren van gegevens, doordat zij uit hun context zijn gehaald of de context door de tijd veranderd is. Zo kunnen verkeerd ge¨ınterpreteerde oudere gegevens door bijvoorbeeld ’context vervreemding’, zowel vervelende situaties voor de passagier opleveren als een verlaagd veiligheidsniveau, omdat men tijd verdoet aan een passagier met in werkelijkheid een relatief laag risico. Dit kan natuurlijk ook andersom gebeuren, feitelijk passagiers met een hoog risico die gezien de geschiedenis toch als laag risico worden gezien en niet worden gecontroleerd. Function creep Een andere bedreiging is de zogenaamde ’function creep’ of ’mission creep’ [77]. ’Function creep’ wil zeggen dat partijen na verloop van tijd de data gaan gebruiken voor andere doelen dan ze eigenlijk bedoeld zijn. Een voorbeeld zijn gegevens die voor terrorrismebestrijding verzameld ’mogen’ worden en na verloop van tijd gebruikt worden om vast te stellen dat ontvangers van een sociale uitkering het land voor langere tijd verlaten. Voor een uitgebreider exposé over function creep zie [28] en [74]. Ontvreemding Als laatste bespreken we de mogelijke ’ontvreemding’ van de opgeslagen gegevens. Ontvreemding is het feit dat iemand of een organisatie erin slaagt om gegevens te kopiëren of te stelen. Omdat de waarde van de gegevens aanzienlijk is, is het risico dat pogingen hiertoe ondernomen worden zeer reëel. De volledige identiteit inclusief credit card gegevens is al gauw een tot enkele tientallen euro’s waard. Verder levert een gestolen identiteit, indien gebruikt, al gauw schade op van enkele duizenden euro’s. De risico’s ’contextvervreemding’, ’function creep’ en ’ontvreemding’ spelen een rol in de afweging om wel of geen langdurige opgeslagen gegevens voor profiling te gebruiken. Een kwantitatieve afweging is echter onmogelijk. Wel kan er aangegeven worden in welke richting het effect gaat en soms is er wel een grove classificatie van het effect mogelijk. Daarom geven we hieronder twee tabellen die helpen bij het afwegen van de mogelijkheden van het al of niet gebruiken en/of langdurig opslaan van gegevens en de effecten. Tabel 12.1 toont de verschillende mogelijkheden onder de verschillende beperkingen op de gegevens. We verkennen de mogelijkheden van het al dan niet gebruiken en/of langdurig opslaan van gegevens in combinatie met het al dan niet toepassen van anonimisering of pseudonimisering (zie Sectie 7.2) tijdens het construeren en toepassen van profielen. In Tabel 12.2 hebben de wegingen onder ’Kortdurende opslag’ alleen nog betrekking op de recente vluchtgegevens. Onder ’Langdurige opslag’ betreft het ook de historische dataverzameling. Op grond van dataminimalisatie en de bovenstaande risico’s moet altijd eerst goed onderzocht worden, of het opslaan van persoonsgegevens echt noodzakelijk is. Indien de conclusie is dat zij noodzakelijk zijn, kunnen deze privacy risico’s met Privacy Enhancing Technologies (PET) ingeperkt worden. Hierdoor kunnen de gegevens beschikbaar blijven voor analyse. Twee technieken die hier onderdeel van uit kunnen maken zijn anonimiseren en pseudonimiseren van persoonsgegevens [1], zie Sectie 7.2. Onder persoonsgegevens worden gegevens verstaan die herleidbaar zijn tot een individuele natuurlijke persoon. Denk hierbij onder meer naam, adres, geboorte datum en creditcard nummer.

12.2. WEL OF GEEN LANGDURIGE OPSLAG: KEUZES EN CONSEQUENTIES

Identificering Identificerende gegevens Pseudonimisering

Anonimisering

Kortdurende opslag Geen analyses mogelijk die gebruik maken van longitudinale analyses (analyses van meerdere registratie van e´ e´ n persoon over de tijd). Alleen multi-travel analyses als deze plaatsvinden binnen de tijd van de eerste bewaartermijn. Alleen algemene trends, gebaseerd op cohort analyse.

55

Langdurige opslag Alle analyses mogelijk

Identificatie Ja

Alle analyses mogelijk, alleen geen directe koppeling met recente gegevens. Geen analyses mogelijk die gebruik maken van longitudinale analyses. Geen multitravel analyses. Alleen algemene trends, gebaseerd op cohort analyses.

Nee, tenzij*.

Nee

Tabel 12.1: De tabel geeft de verschillende analysemogelijkheden onder de verschillende voorwaarden. In de kolom identificatie wordt aangegeven of gegevens nog te koppelen zijn aan een identificeerbaar individu. *Nee, tenzij er een sleutel in handen is van een vertrouwde derde partij die in geval van nood de sleutel beschikbaar kan stellen.

Identificering Identificerende gegevens Pseudonimisering

Anonimisering

Function creep Ontvreemding Contextvervreemding Function creep Ontvreemding Contextvervreemding Function creep Ontvreemding Contextvervreemding

Kortdurende opslag Risico Effect middel middel laag middel laag laag middel middel laag laag laag laag laag laag laag laag laag laag

Langdurige opslag Risico Effect hoog hoog hoog hoog hoog hoog middel hoog hoog middel middel hoog laag laag hoog middel middel middel

Tabel 12.2: Risico en impact inschatting van de privacy variablen ’contextvervreemding’, ’function creep’ en ’ontvreemding’. Risico’ s en effectinschattingen van de auteurs.

56

HOOFDSTUK 12. HISTORISCHE GEGEVENS IN HET GRENSTOEZICHT

Deel III

Een Voorstel voor Datagestuurde Profiling voor Grenstoezicht

57

Hoofdstuk 13

Beheer en toezicht bij profiling 13.1

Inleiding

De voorgaande hoofdstukken richtten zich op technische randvoorwaarden, mogelijkheden en beperkingen voor datagestuurde profiling. Daarnaast zijn beschouwingen van specifieke ervaringen elders en eisen rond profiling voor het grenstoezicht aan bod gekomen. Op basis hiervan zal dit hoofdstuk op hoofdlijnen invulling geven aan een praktische procedure om profiling voor het grenstoezicht te implementeren. Omdat er geen procedure bekend is, ook niet uit aanverwante gebieden, doen we een voorstel voor een procedure voor de invoer en ontwikkeling van datagestuurde beslissingsondersteunende profielen onder de randvoorwaarden voor het omgaan met persoonsgegevens.

13.2

Doelstelling

Het doel is een procedure voor het ontwikkelen, evalueren, invoeren en onderhouden van datagestuurde profielen uit te werken voor het zo goed mogelijk ondersteunen van personeel bij selecties en inspecties voor veiligheid rond grenstoezicht.

13.3

Randvoorwaarden

De belangrijkste randvoorwaarden worden ontleend aan de beginselen van de Richtlijn nr. 95/46/EG, zie Leidraad afstemmen wetgeving op WBP. Dit zijn beginselen voor het gebruik van persoonsgegevens, die bij een datagestuurde profiling procedure een noodzakelijk onderdeel vormen. • Doelbinding Het beoordelen van de doelbinding moet per profiel opnieuw plaatsvinden. Omdat beoogde fenomenen wijzigen in de tijd, al of niet onder invloed van profieltoepassing, moet doelbinding voortdurend gemonitord worden. Dit geldt ook ten aanzien van de aspecten proportionaliteit en subsidiariteit. Bij afname van een bepaald fenomeen is toepassing van een profiel mogelijk niet proportioneel meer. • Non-discriminatie Het beginsel non-discriminatie zal vooraf geregeld moeten zijn. Dat wil zeggen dat bepaalde persoonsgegevens a priori buiten beschouwing gelaten zullen worden om profielen voor grenstoezicht mee te ontwikkelen. Het non-discriminatie beginsel is in die zin onafhankelijk van het doel van het profiel. • Transparantie Het doel om een expliciete procedure uit te werken is een directe tegemoetkoming aan het beginsel transparantie. Hierin moeten derhalve naar voren komen wie welke verantwoordelijkheden heeft en waar welke persoonsgegevens verwerkt worden. 59

60

HOOFDSTUK 13. BEHEER EN TOEZICHT BIJ PROFILING

• Zelfregulering Het beginsel zelfregulering duidt op het werken met gedragscodes per sector en de aanstelling van een functionaris gegevensbescherming. Bij het uitwerken van een procedure voor profiling ten behoeve van het grenstoezicht moet een functionaris voor gegevensbescherming een plaats krijgen. • Rechten van de betrokkene Het recht van personen om hun gegevens in te zien en te laten wijzigen. • Positie derde landen Ook het beginsel positie derde landen, dat afdwingt dat persoonsgegevens alleen onder voorwaarden met landen buiten de EU gedeeld worden, zal vooraf geregeld moeten zijn. Ofwel, het zal voor de procedure geen nadere invulling vergen. • Onafhankelijk toezicht Het beginsel onafhankelijk toezicht verwijst naar de rol van het CBP. Naast randvoorwaarden ten aanzien van het gebruik van persoonsgegevens is een randvoorwaarde dat de bewaartermijn van persoonsgegevens per doel expliciet vastgelegd moet worden. Verder moet de procedure aansluiten bij best practices uit de Knowledge Discovery in Databases (KDD), zie Hoofdstuk 4. Dit geeft houvast voor correcte uitvoer van de technisch inhoudelijke aspecten van het profilen. Omdat bij datagestuurde profiling exploratie en aanpassing onontkoombaar zijn en het profiling proces in een dynamische wereld plaatsvindt, is de cyclische natuur van het beschreven CRISP-DM (zie Hoofdstuk 4) noodzakelijk voor de uit te werken procedure.

13.4

Afbakening

De procedure richt zich op de beheersing van profielontwikkeling, -evaluatie, -invoering en -onderhoud. Aspecten die vooral rond de operationele inzet spelen, worden buiten beschouwing gelaten. Hierbij valt te denken aan het verloop van het selectie- en inspectieproces, de integratie van profilingresultaten met watchlists en observaties, conflicten tussen profielen en de uitwerking van de opvolging op basis van profilingresultaten. Dit zijn zonder meer niet-triviale processen, die nadere studie vergen en hun eigen specifieke lokale randvoorwaarden en interacties hebben.

13.5

Procedure gereguleerde profiling

De procedure moet het ontwikkelen, evalueren, invoeren en onderhouden van profielen mogelijk maken onder de gestelde voorwaarden van best practices en de beginselen uit de Leidraad afstemmen wetgeving op WBP. Om overlast te minimaliseren voor de reiziger die niet tot de doelgroep behoort en de veiligheid te maximaliseren, is vereist dat het best mogelijke profiel uit de gegevens voor het betreffende doel ontwikkeld wordt. Vanuit technisch oogpunt volgt daaruit de noodzaak om zoveel mogelijk gegevens te gebruiken voor profielontwikkeling en toepassing. Omdat dat kan conflicteren met de beginselen rond doelbinding en proportionaliteit, is het van belang dit conflict een duidelijk plaats voor afweging te geven. Ook de grens van het best haalbare profiel (zie Sectie 8.3) speelt hierin een rol, want wanneer de effectiviteit van een profiel beperkt is zal het persoonsgegevensgebruik voor inzet van het profiel eerder disproportioneel zijn.

13.5.1

Actoren

Voor het het ontwikkelen, evalueren, invoeren en onderhouden van profielen en het zorgen voor de juiste afwegingen in wetten, regels en profieleisen spelen er vier actoren een rol in de voorgestelde procedure. A De Opdrachtgever wil een bepaald fenomeen bestrijden. B De Onderzoeker ontwikkelt een bijbehorend hoogwaardig profiel en geeft daarmee invulling aan het minimaliseren van de overlast voor reizigers buiten de doelgroep. Hierdoor wordt proportionaliteit zoveel mogelijk nagestreefd.

13.5. PROCEDURE GEREGULEERDE PROFILING

61

C De Instellingscommissie bewaakt het proces en legt verantwoording af. De Instellingscommissie maakt de afweging van doelbinding, proportionaliteit, impact en omvang van het fenomeen, de benodigde gegevens en effectiviteitseisen aan het profiel. De Instellingscommissie maakt de afweging zoals voorgesteld tussen technische eisen, doelbinding en proportionaliteit en geeft daarmee inhoud aan het beginsel zelfregulering. D De Auditor controleert het proces en behandelt in opdracht van een bevoegde autoriteit klachten en vragen van de burger. Deze Auditor is het directe contact van de burger met betrekking tot vragen over de van hem opgeslagen gegevens. De burger kan verzoeken de gegevens in te zien en eventueel te laten verbeteren. De Auditor draagt derhalve zorg voor het beginsel rechten van de betrokkene en onafhankelijk toezicht.

13.5.2

Procedure

De voorgestelde procedure bestaat uit een aantal stappen zie Figuur 13.1. Deze omvatten het ontwikkelen, evalueren, invoeren en onderhouden van een profiel. De procedure bevat verschillende terugkoppellussen om het voorstel voor invoering van het profiel aan te scherpen en om in te kunnen spelen op veranderingen in het te bestrijden fenomeen. 1. Definitie Profielvoorstel De Opdrachtgever benoemt het fenomeen, het belang, de impact en risico’s, de verwachte frequentie van voorkomen (de doelgroepomvang) van het fenomeen, en de verwachte effectiviteit van een in te zetten profiel. We noemen dit geheel het Profielvoorstel. Het belang van het te bestrijden fenomeen kan onder meer gekwantificeerd worden in het aantal potentiële slachtoffers, economische impact en geprioriteerde fenomeenbestrijding, zoals mensenhandel. Deze fase beslaat de eerste twee stappen van het CRISP-DM proces model van Business understanding en Data understanding. De verwachte effectiviteit van een in te zetten profiel kan geschat worden door verkenningen op een profiel ontwikkeld uit verwante data, resultaten gerapporteerd over verwante fenomenen met vergelijkbare passagiersgegevens of anderszins indicatieve informatie. 2. Toetsing en opstelling effectiviteitseisen De Instellingscommissie bepaalt op grond van het Profielvoorstel effectiviteitseisen aan het profiel. De eisen hebben betrekking op de selectie-eigenschappen van het profiel. De interactie met observaties en de beoordeling van beambten daarvan maken geen onderdeel van de effectiviteitseisen uit. De effectiviteitseisen aan het profiel zijn: a) Maximaal te accepteren overlast door inspecties van reizigers buiten de doelgroep (maximum percentage false-positives van het profiel). b) Minimaal aantal daadwerkelijk geselecteerde doelgroepreizigers (minimum percentage true-positives van het profiel). c) Maximaal aantal gemiste doelgroepreizigers (maximum percentage false-negatives van het profiel). Omdat het aantal true-positives tezamen met de false-negatives gelijk is aan het totaal aan positives, i.e. de doelgroepomvang, kan b), c) ook gelezen worden als het monitoren van de omvang van de doelgroep. De effectiviteitseisen kunnen scherper zijn dan de reeds initëel behaalde resultaten en zelfs scherper dan haalbaar. De grenzen van de haalbaarheid zijn in deze fase echter nog niet bekend. Verder zal het aantal benodigde inspecties in overeenstemming moeten zijn met de beschikbare inspectiecapaciteit van de Opdrachtgever. Indien er ondercapaciteit is, zullen de gevolgen voor het veiligheidsniveau en de effectiviteit opnieuw gewogen moeten worden. Verder stelt de Instellingscommissie een Ontwikkelfase in, waarin de Onderzoeker data mag verzamelen om een effectief profiel te ontwikkelen. De duur van de Ontwikkelfase wordt bepaald door de doelgroepomvang en impact. Voor zeldzame fenomenen moet langer data verzameld worden om doelgroepleden in de data aan te kunnen treffen.

62


3. Ontwikkeling profiel De Onderzoeker doorloopt de drie CRISP-DM processtappen Data preparation, Modeling en Evaluation op de verzamelde data, zie Hoofdstuk 4. De evaluatieresultaten legt de Onderzoeker aan de Instellingscommissie voor ter controle. 4. Toetsing en opstelling operationele eisen Na afloop van de Ontwikkelfase vindt controle van de evaluatieresultaten door de Instellingscommissie plaats. Als het profiel aan de vereiste effectiviteitseisen voldoet, kan het profiel regulier ingezet worden door de Opdrachtgever en gaat de Operationele fase in. Tevens bepaalt Instellingscommissie de frequentie waarin de Opdrachtgever effectiviteitsindicatoren moet rapporteren tijdens de Operationele fase. Deze rapportagefrequentie is mede ingegeven door indicaties over te verwachte snelheid van verandering in het beoogde fenomeen. Voldoen de resultaten van de Onderzoeker niet aan de effectiviteitseisen, dan is bijsturing nodig, dat wil zeggen terug naar 1). 5. Operationele inzet De operationele fase is de laatste CRISP-DM processtap Deployment. Gedurende deze fase zet de Opdrachtgever het profiel in voor zijn handhavings- of opsporingspraktijk. De onderzoeker blijft betrokken bij dit proces om op regelmatige basis effectiviteitsindicatoren aan de Instellingscommissie te rapporteren en eventueel het profiel aan te passen. Indien er te grote afwijkingen zijn ten opzichte van de aan het profiel gestelde eisen gaat de procedure terug naar 3).

13.5.3

Stadia van profielen

Bij het doorlopen van de procedure bevinden profielen zich in verschillende opeenvolgende stadia. Wegens het cyclische karakter van de procedure kan een profiel naast het doorgaan naar een volgend stadium ook terugkeren naar een eerder stadium. 1. Het Exploratiestadium. De Onderzoeker doet een exploratie of verkenning van het profiel op basis van domeinkennis en een dataverzameling die het best aansluit bij de behoeften van de Opdrachtgever. Het in dit stadium ontwikkelde profiel levert onderbouwende informatie voor het Profielvoorstel aan de Instellingscommissie. 2. Het Ontwikkelstadium. Na het Exploratiestadium verkeert het profiel in het Ontwikkelstadium, waarin het op basis van te verzamelen data ontwikkeld wordt om aan de door de Instellingscommissie gestelde eisen te voldoen. Het profiel komt ook terug in dit stadium als het in het Operationele stadium niet langer voldoet. 3. Het Operationele stadium. Het profiel wordt regulier gebruikt voor selectie bij inspecties. Evaluatieresultaten worden bijgehouden en verwerkt om het profiel bij te sturen. Verder worden effectiviteitsindicatoren gerapporteerd aan de Instellingscommissie om te kunnen monitoren of het profiel aan de gestelde eisen blijft voldoen.

13.6

Discussie

De bovenstaande procedure tracht zo volledig mogelijk aan de randvoorwaarden te voldoen en verantwoordelijkheden te verdelen. De procedurestappen zoals ook zichtbaar in Figuur 13.1 volgen een stramien dat mede is ingegeven door de CRISP-DM methodiek, zie Hoofdstuk 4. De stappen en beslispunten daarin zijn noodzakelijk om tot profielen te komen die aan vooraf te stellen effectiviteitseisen voldoen en gedurende een langdurige Operationele fase daaraan ook blijven voldoen. Ten aanzien van de actoren in de procedure geldt dat er een belangrijke functiescheiding ligt tussen de belanghebbende Opdrachtgever, de Instellingscommissie en de onafhankelijke Auditor. De rol van de Instellingscommissie kan variëren van betrokken bij de Handhaver tot een meer onafhankelijke commissie. In geval de Instellingscommissie een heel taakgebied vertegenwoordigt, zoals risico’s rond passagiers in het grensverkeer, is de onafhankelijkheid tussen de Opdrachtgever en de Instellingscommissie sterker. Aan de andere kant kan de Instellingscommissie ook onderdeel van de organisatie van de Opdrachtgever uitmaken en meer betrokken zijn. Bij een onafhankelijke Instellingscommissie is er eerder sprake van kennisopbouw in wetten, regels en een evenwichtige vertaling van impact en risico’s naar profieleisen. In zo’n situatie

13.6. DISCUSSIE

63

wordt de rol van de Auditor kleiner. De rol van de Auditor als procescontroleur zal bescheidener zijn, doordat het behandelen van Profielvoorstellen van verschillende organisaties door e´ e´ n Instellingscommissie regulerend werkt. Omdat verschillende behandeling bij vergelijkbare verzoeken snel zichtbaar is, wordt een uniforme behandeling afgedwongen. Met een onafhankelijke Instellingscommissie is het derhalve gemakkelijker mogelijk de rol van Auditor door een bestaande institutie te laten vervullen als het CBP.

64


Definieer Profielvoorstel Toets en stel profieleisen

Akkoord? nee ja Ontwikkel en evalueer profiel Toets en stel operationele eisen

Eisen voldaan?

nee

ja Zet profiel operationeel in

ja

Eisen voldaan?

nee

Figuur 13.1: Overzicht van voorgestelde procedure.

Hoofdstuk 14

Samenvatting en conclusies Dit rapport bevat een uiteenzetting van meer algemeen technische aspecten van profiling in Deel I tot een bredere context rond profiling ten behoeve van het grenstoezicht in Deel II. Onderstaand vatten we eerst beide delen van het rapport samen. Daarna volgen algehele conclusies die de vragen uit de probleemstelling uit Hoofdstuk 1 beantwoorden.

14.1

Samenvatting van Deel I

• Een selectie van relevante variabelen voor het profilen van een bepaalde doelgroep is a priori niet te maken, zie Sectie 8.2. • Voor ieder fenomeen en dus doelgroep moet opnieuw een geschikte profilingmethode ontwikkeld worden. Er is geen modelleringsmethode die voor alle doelgroepen het beste zal werken, zie Sectie 8.3. • Om reisgedrag in de tijd te kunnen typeren is de beschikking over historische gegevens noodzakelijk, zowel voor de ontwikkeling van het profiel als voor de toepassing in de praktijk. Pseudonimisering van identificerende gegevens kan gebruikt worden om de identificerende gegevens onzichtbaar te maken. Zie Hoofdstuk 7. • Om te voorkomen dat bepaalde doelgroepleden structureel gemist worden bij inspecties (false-negatives), is het nodig ook willekeurig te selecteren voor inspecties. Dit kan door proportionele steekproefname toe te passen op basis van de profiel score, of door willekeurige inspecties naast het profiel uit te voeren, zie Sectie 5.5.4. • Om te voorkomen dat kennis over een profiel bekend wordt, is het noodzakelijk te voorkomen dat het profiel door kwaadwillenden uitgeprobeerd kan worden. Ook hiervoor is willekeurige selectie voor inspecties nodig, zie Sectie 11.6.1. • Profielen moeten regelmatig getoetst worden om fenomeentrends vast te kunnen stellen en de legitimiteit van het toepassen van het profiel te kunnen rechtvaardigen, zie Hoofdstuk 6.

14.2

Samenvatting van Deel II

• Omdat ten behoeve van profielfenomenen in het grenstoezicht de databronnen niet naar wens gekozen kunnen worden, dient met aanzienlijke foutenmarges rekening gehouden te worden. Anderzijds is ook te verwachten dat resultaten haalbaar zijn die beter zijn dan met willekeurige inspecties bereikt zouden worden. Onduidelijk is echter nog of het genoeg is om de beoogde doelen van voldoende veiligheid en behoud van mobiliteit te halen, zie Hoofdstuk 10. • Om te kunnen beoordelen of profiling in het kader van risicogestuurde controles voor grenstoezicht effectief en efficiënt is, is het noodzakelijk om het geheel van profiling-, selectie- en inspectiestrategie te evalueren. In de huidige analyses ligt de aandacht te nadrukkelijk op profiling en worden selectie 65

66

HOOFDSTUK 14. SAMENVATTING EN CONCLUSIES

en inspectie nauwelijks meegenomen. Een slechte selectie- en/of inspectiestrategie zou de potentiële winst van profiling volledig teniet kunnen doen, zie Hoofdstuk 11. • Het is onduidelijk of de passagiersgegevens voldoende informatie bevatten om de beoogde doelen van voldoende veiligheid en mobiliteitsbehoud te halen. Indien dit niet het geval blijkt te zijn en men toch vast wil houden aan risicogestuurde controle zal er uitgekeken moeten worden naar andere databronnen. Het gebruik van individuele historische gegevens kan hierbij een uitkomst bieden, zie Hoofdstuk 12. • De langdurige opslag en het gebruik van individuele historische gegevens kent een aantal risico’s zoals ’function creep’, ’contextvervreemding’ en ’ontvreemding’ en een hoge mate van privacy gevoeligheid, zie Hoofdstuk 12.

14.3

Conclusies

De hoofdvraag van deze studie was of en hoe datagestuurde profiling voor grenstoezicht toepasbaar is. In Deel I van het rapport is datagestuurde profiling als dynamisch cyclisch proces beschreven. Nogmaals dient benadrukt te worden dat risico- of selectieprofielen altijd als ondersteunend ingezet dienen te worden. Datagestuurde profielen vallen onder de beslissingsondersteunenende systemen. De vraag hoe profiling voor het grenstoezicht toepasbaar is, is beantwoord middels een praktische invulling in de vorm van een procedurevoorstel. Deze procedure integreert de wet en regelgeving met betrekking tot het gebruik van persoonsgegevens, waaronder legaliteit, proportionaliteit en noodzakelijkheid, met de alom geaccepteerde methode voor datagestuurde beslissingsondersteunende systemen (CRISP-DM). Omdat a priori de kwaliteit van profielen niet te voorzien is, is een pilot opzet per profiel ge¨ıntegreerd in de procedure door middel van een Ontwikkelfase. Omdat niet vooraf vaststaat welke gegevens voor een gegeven profielfenomeen nodig zijn, moeten vanuit technisch oogpunt zoveel mogelijk gegevens beschikbaar zijn voor de profielontwikkeling en -toepassing. Mede om deze technische reden is het raadzaam historische gegevens te gebruiken voor profiling. Om de risico’s van misbruik en ontvreemding van de gegevens in te perken is in dit geval een vorm van Privacy Enhancing Technology (PET) aanbevolen. Uitgaande van het gebruik van een zo ruim mogelijke verzameling gegevens is het nog niet te voorzien hoe goed profiling zal gaan werken, maar gezien ervaringen in vele meer en minder gerelateerde domeinen zal er in ieder geval winst ten opzichte van willkeurige inspecties te verwachten zijn. Hoeveel winst is niet te voorzien. Daarvoor is een pilot project vooraf aan te bevelen op een niet te zeldzaam fenomeen waar al een duidelijk beeld van doelgroeppersonen is inclusief van hen verzamelde gegevens. Ook de werkbaarheid van de voorgestelde procedure gereguleerde profiling wordt bij voorkeur eerst getoetst in een proefproject. Omdat er geen procedures met een vergelijkbaar doel bekend zijn, is er met deze voorgestelde procedure nog geen praktische ervaring.

Dankbetuiging De auteurs bedanken mr. dr. Quirine Eijkman, senior onderzoeker bij het Centrum voor Terrorisme en Contraterrorisme van de Universiteit Leiden, voor het kritisch lezen van het rapport vanuit haar expertise in privacy en mensenrechten.

Bibliografie [1] Wet bescherming persoonsgegevens. http://wetten.overheid.nl/BWBR0011468/, September 2001. [2] American Civil Liberties Union: Campaign against Racial Profiling. http://www.aclu.org, 2008. [3] Babu, V., R. Batta, en L. Lin: Passenger grouping under constant threat probability in an airport security system. European Journal of Operations Research, 168(2):633–644, 2006. [4] Barnett, A.: CAPPS II: The foundation of aviation security? Risk Anal., 24(4):909–916, 2004. [5] Barnett, A. en M. Higgins: Airline safety: The last decade. Management Science, 35(1):1–21, 1989. [6] Bishop, C.: Pattern Recognition and Machine Learning. Springer, 2006. [7] Cavusoglu, H., B. Koh, en S. Raghunathan: An Analysis of the Impact of Passenger Profiling for Transportation Security. Operations Research, 58(5):1287–1302, September-October 2010. [8] Chakrabarti, S. en A. Strauss: Carnival Booth: An Algorithm for Defeating the Computer-Aided Passenger Screening System. First Monday, 7(10), oct 2002. http://firstmonday.org/htbin/ cgiwrap/bin/ojs/index.php/fm/article/view/992/913. [9] Chapman, P., J. Clinton, R. Kerber, T. Khabaza, T. Reinartz, C. Shearer, en R. Wirth: CRISP-DM 1.0 Step-by-step data mining guide. Technisch Rapport, The CRISP-DM consortium, Augustus 2000. http://www.crisp-dm.org/CRISPWP-0800.pdf. [10] Cleary, J.: Racial Profiling Studies in Law Enforcement: Issues and Methodology. Information Brief, Minnesota House of Representatives, Research Department, 2000, ISBN 0226316149. [11] College bescherming persoonsgegevens (CBP): Pseudonimisering risicoverevening. College bescherming persoonsgegevens, 2005. [12] Commissie, Europese: Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit. Nummer COM(2011) 32 ,definitief. 2011. [13] Cortes, C. en V. Vapnik: Support-Vector Networks. Machine Learning, 20(3):273–297, 1995. [14] De Minister van Veiligheid en Justitie: EU-PNR richtlijn (5698045/11/NCTb). Brief aan de Voorzitter van de Eerste Kamer der Staten-Generaal, 30 mei 2011. [15] De Minister van Veiligheid en Justitie: Notitie Europees PNR-systeem; bijlage bij Kamerstuk 32317 nr. 107. Tweede Kamer de Staten-Generaal, 2012. [16] De Minister van Veiligheid en Justitie: Onderhandelingen EU-PNR richtlijn (5725256/12/NCTV). Brief aan aan de Voorzitter van de Tweede Kamer Der Staten-Generaal, 29 februari 2012. [17] DeVoretz, D.J.: Deflection at the border: Immigration and Security after 9/11. RIMM Working Paper 05-02, Vancouver Centre of Excellece, Burnaby BC, 2005. http://www.riim.metropolis. net. 67

68

BIBLIOGRAFIE

[18] DeVoretz, D.J.: Profiling at the Canadian Border: An Economists Viewpoint. Discussion Paper 2536, IZA, 2006. [19] Dominitz, J. en J. Knowles: Crime minimization and racial bias: What can we learn from police search data? The Economic Journal, 116(515):368–384, 2006. [20] Duda, R.O., P.E. Hart, en D.G. Stork: Pattern Classification. John Wiley and Sons, Inc., New York, 2001. [21] Durlauf, S.: Assessing racial profiling. The Economic Journal, 116(515):402–426, 2006. [22] Eijkman, Q.A.M.: Has the Genie been let out of the Bottle?: Ethnic profiling in the Netherlands. Public Space: the Journal of Law and Social Justice, 5:1–22, December 2010. [23] Elias, B., W.J. Krouse, en E. Rappaport: Homeland Security: Air Passsenger Prescreening and Counterterrorism. CRS Report for Congress, Congressional Research Service, 2005. [24] Fayad, U., G. Piatetsky-Shapiro, en P. Smyth: From Data Mining to Knowledge Discovery in Databases. AI Magazine, 17(3):37–54, 1996. [25] Fisher, J.: What price does society have to pay for security? A look at the aviation watch lists. Willamette Law Review, 44:573–614, 2008. [26] Fletcher, K. C.: Aviation Security: A Case for Risk-Based Passenger Screening, 2011. [27] GAO: Avaiation Security, TSA Has Completed Key Activities Associated with Implementing Secure Flight, but Additional Actions Are Needed to Mitigate Risks. Report to Congressional Committees GAO-09-292, United States Government Accountability Office (GAO), 2009. [28] Graaf, B.A. de en Q. Eijkman: Terrorismebestrijding en securitisering: een rechtssociologische verkenning van de neveneffecten. Justitiële Verkenningen, 37(8):33–52, 2011. [29] Guy, Dan M., D. R. Carmichael, en O. Ray Whittington: Audit Sampling: An Introduction. Wiley, 2001, ISBN 047137590X. [30] Guyon, I. en A. Elissee: An Introduction to Variable and Feature Selection. Journal of Machine Learning Research, 3:1157–1182, 2003. [31] Harcourt, B.E.: Against Prediction: Profiling, Policing, and Punishing in an Actuarial Age. University Of Chicago Press, 2006, ISBN 0226316149. [32] Hastie, T., R. Tibshirani, en J. Friedman: The Elements of Statistical Learning: Data Mining, Inference, and Prediction (II). Springer, 2009. [33] Hawley, K.: Secure flight Opportunity knocks. Transportation Security Administration: Kip Hayley’s J., November 1 2007. http://www.tsa.gov/press/joumal/secure_flight.shtm. [34] Hert, P. De en R. Bellanova: Transatlantic Coorporation on Travelers’ Data Processing: From Sorting Countries to Sorting Individuals. Technisch Rapport, Washington DC, DC: Migration Policy Institute, 2011. [35] Hillier, M.: Personal Letter to Vice President Mr. Franco Frattini. European Commission, November 2007. [36] Hoogstrate, A.J. en C.A.J. Klaassen: Minimizing the Average Number of Inspections for Detecting Rare Items in Finite Populations. In Memon, N. en D. Zeng (redactie): IEEE Proceedings of the European Intelligence and Security Informatics Conference, pagina’s 203–208, Athens, Greece, Nov. 2011. [37] Hopfield, J. J.: Neural networks and physical systems with emergent collective computational abilities. Proceedings of the National Academy of Sciences, 79:2554–2558, April 1982.

BIBLIOGRAFIE

69

[38] Jacobson, S., T. Kamani, en J. Kobza: Assessing the impact of deterrence on aviation checked baggage screening strategies. International Journal of Risk Assessment and Management, 5(1):1–15, 2005. [39] Jacobson, S., J. Kobza, en A. Easterling: A detection theoretic approach to modeling aviation security problems using the knapsack problem. IIE Transactions, 33(9):747–759, 2001. [40] Jacobson, S., J. Virta, J. Bowman, J. Kobza, en J. Nestor: Modeling aviation baggage screening security systems: A case study. IIE Transactions, 35(3):259–269, 2003. [41] Jenkins, B.M. en B. R. Butterworth: Selective screening of rail passengers. Report, 2007. [42] Jolliffe, I.T.: Principal Component Analysis. Springer, 2002, ISBN 0387954422. [43] Kirkos, E., C. Spathis, en Y. Manolopoulos: Data Mining techniques for the detection of fraudulent financial statements. Expert Systems with Applications, 32:995–1003, 2007. [44] Kitts, B., G. Melli, en K. Rexer (redactie): Data Mining Case Studies. IEEE, 2005. [45] Kleemans, E.R. en C.J. Poot: Criminal Careers in Organized Crime and Social Opportunity Structure. European Journal of Criminology, 5(69), 2008. [46] Knowles, J., N. Persico, en P. Todd: Racial bias in motor-vehicle searches: Theory and evidence. Journal Political Economy, 109(1):203–229, 2001. [47] Kobza, J. en S. Jacobson: Probability models for access security system architectures. The Journal of the Operational Research Society, 48(3):255–263, 1997. [48] Koh, H.C. en G. Tan: Data mining applications in healthcare. Journal of Healthcare Information Management, 19(2):64–72, 2005. [49] Koorn, R., H. van Gils, J. ter Hart, P. Overbeek, R. Tellegen, en J. Borking: Privacy Enhancing Technologies. Witboek voor beslissers. Ministerie van Binnenlandse Zaken, DIIOS, 2004. [50] Krouse, W.J. en B. Elias: Terrorist Watchlist Checks and Air Passsenger Prescreening. CRS Report for Congress, Congressional Research Service, 2009. [51] Lee, A.J. en S.H. Jacobson: Addressing Passenger Risk Uncertainty for Aviation Security Screening. Transportation Science, 46(2):189–203, Mei 2012. [52] Leun, J.P. van der en M.A.H. van der Woude: Ethnic profiling in the Netherlands? A reflection on expanding preventive powers, ethnic profiling and a changing social and political context. Policing & Society, 21(4):444–455, 2011. [53] Little, R. J. A. en D. B. Rubin: Statistical Analysis with Missing Data. Wiley, September 2002. [54] Manski, C.: Profiling: Introduction to the feature. The Economic Journal, 116(515):347–350, 2006. [55] Manski, C.: Search profiling with partial knowledge of deterrence. 116(515):385–401, 2006.

The Economic Journal,

[56] Martonosi, S.E. en A. Barnett: How Effective Is Security Screening of Airline Passengers? Interfaces, 36:545–552, December 2006. [57] McLay, L., S. Jacobson, en J. Kobza: Making skies safer. OR/MS Today, 32(5):24–31, 2005. [58] McLay, L., S. Jacobson, en J. Kobza: A multilevel passenger screening problem for aviation security. Naval Research Logistics, 53(3):183–197, 2006. [59] McLay, L., S. Jacobson, en J. Kobza: The tradeoff between technology and prescreening intelligence in checked baggage screening for aviation security. 2008. [60] McLay, L. A., S. H. Jacobson, en A. G. Nikolaev: A sequential stochastic passenger screening problem for aviation security. IIE Trans., 41:575–591, 2009.

70

BIBLIOGRAFIE

[61] McLay, L.A., A.J. Lee, en S.H. Jacobson: Risk-Based Policies for Airport Security Checkpoint Screening. Transportation Science, 44(3):333–349, Augustus 2010. [62] M.M, Feeley en J. Simon: Actuarial justice: The emerging new criminal law. In D. Nelkin (ed.) The future of criminology, pagina 172201. Thousand Oaks, CA: Sage Publications, 1994. [63] Ngai, E., L. Xiu, en D. Chau: Application of datamining techniques in customer relationship management: A literature review and classification. Expert Systems with Applications, 36(2):2592–2602, 2009. [64] Ooms, D. en M. Spijkerman: Fraudegevallen in WWB boven de Aangiftegrens. Technisch Rapport, SEOR, Erasmus Universiteit Rotterdam, 2012. [65] Persico, N. en P. Todd: Generalising the hit rates test for racial bias in law enforcement, with an application to vehicle searches in Wichita. The Economic Journal, 116(515):351–367, 2006. [66] Piatetsky-Shapiro, G.: Data Mining Methodology. Technisch Rapport, 2007. [67] Platt, J.C.: Probabilistic outputs for support vector machines and comparison to regularized likelihood methods. In Smola, A., P. Bartlett, B. Schölkopf, en D. Schuurmans (redactie): Advances in Advances in Large Margin Classifiers, pagina’s 61–74, Cambridge, MA, 1999. MIT Press. [68] Poole, R.W.: Airport Security: Time for a New Model. Policy Study 340, Reason Foundation, may 2003. [69] Poole, R.W.: A Risk-Based Airport Security Policy. Policy Study, Reason Foundation, may, 2003. [70] Press, W.H.: Strong profiling is not mathematically optimal for discovering rare malfeasors. Proceedings of the National Academy of Sciences, 46:1716–1719, 2009. [71] Press, W.H.: To catch a terrorist: can ethnic profiling work? Significance, 7(4):164–167, 2010. [72] Ravich, T.M.: Is airline Passenger Profling Necessary? University of Miami Law Review, 62(1):1–58, oct 2007. [73] Reelick, N.F.: Risicoprofielen en het opsporen van fraude bij een wwb-uitkering. Journal of Social Intervention, Theory and Practice, 2010. [74] Scheepmaker, M.P.C. (redactie): Function creep en privacy, volume 37. Wetenschappelijk Onderzoeken Documentatiecentrum (WODC), 2011. [75] Schilling, E. G. en D. V. Neubauer: Acceptance Sampling in Quality Control, Second Edition (Statistics: A Series of Textbooks and Monographs). Chapman and Hall/CRC, 2009, ISBN 1584889527. [76] Schiphol Group: Feiten & Cijfers, 2011. [77] Seifert, J.: Data Mining and Homeland Security: an Overview. Technisch Rapport, CRS Report for Congres, 2007. [78] Shaver, R. en M. Kennedy: The Benefit of Positive Passenger Profiling on Baggage Screening Requirement. Technisch Rapport. [79] Shaw, M., C. Subramaniam, G. Tan, en M. Welge: Knowledge management and datamining for marketing. Decision Support Systems, 31(1):127–137, 2001. [80] Shearer, C.: The CRISP-DM model: the new blueprint for data mining. Journal Data Warehousing, 5:13–22, 2005. [81] Steinbock, D.J.: Data Matching, Data Mining, and Due Process. Georgia Law Review, 40(1):1–84, Fall 2005. [82] Thompson, Steven K.: Sampling (Wiley Series in Probability and Statistics). ISBN 0470402318.

Wiley, 2012,

BIBLIOGRAFIE

71

[83] Tibshirani, R.: Regression Shrinkage and Selection via the LASSO. Journal of the Royal Statistical Society B, 58(1):267–288, 1996. [84] Veenman, C.J.: Data Base Investigation as a Ranking Problem. In Proceedngs of the European Intelligence and Security Informatics Conference (EISIC), Odense, Denmark, August 21-24 2012. [85] Veenman, C.J. en D.M.J. Tax: LESS: a Model-Based Classifier for Sparse Subspaces. IEEE Transactions on Pattern Analysis and Machine Intelligence, 27(9):1496–1500, September 2005. [86] Virta, J.S., S. Jacobson, en J. Kobza: Analyzing the cost of screening selectee and non-selectee baggage. Risk Analysis, 23(5):897–908, 2003. [87] Weiss, W.E.: Dynamic Security: An agent-based model for airport defense. In Mason, S.J., R.R. Hill, L. Mönch, O. Rose, T. Jefferson, en J.W. Fowler (redactie): Proceedings of the 2008 Winter Simulation Conference, pagina’s 1320–1325, 2008. [88] Wolpert, D.H.: The Lack of A Priori Distinctions Between Learning Algorithms. Neural Computation, 8(7):1341–1390, December 2010, ISSN 0899-7667. [89] Zeckhauser, W. Viscusiand R.: Sacrificing civil liberties to reduce terrorism risks. Risk Uncertainty, 26(2/3):99–120, 2003.

Informatiegestuurde grenscontrole

Recommend Documents