Na een grondige voorbereiding is deze week de dagvaarding (pdf) van Stichting Privacy First gepresenteerd. Daarbij zijn 22 burgers meteen al aangehaakt. Ze hebben wel reden tot klagen. Kijk met een ict-bril en zie de zwakheden in het centraal opslaan van alle vingerafdrukken in een centrale database.

Het is een haastklus

De wetgeving om een centrale database te maken, is al door politici in het parlement als “niet voldragen” bestempeld. Dat komt niet zomaar uit de lucht vallen. Zo zijn er nog steeds geen harde regels rond de beveiliging van de database. Nogal opmerkelijk voor een systeem dat al draait. De gemeenten hebben elk al computers staan waar deze informatie is opgeslagen. Of en hoe die gegevens straks ook te gebruiken zijn, blijft onduidelijk. Er wordt immers nog gewerkt aan het centrale systeem dat uiteindelijk de bedoeling is.

En het is niet eens echt nieuw dat dit een haastklus is. Op 30 maart 2007 was het College Bescherming Persoonsgegevens (CBP) in een advies al vernietigend over de centrale opslag van vingerafdrukken van alle burgers. Ook al ziet het CBP geen heil in het bewaren van vingerafdrukken, toch adviseert het om dan op z'n minst te werken met decentrale opslag.

Dat betekent dat gemeentes de informatie bewaren en dat er vanuit een landelijk systeem naar de informatie wordt verwezen. Zo'n verwijsindex is volgens de overheid echter te ingewikkeld, blijkt uit de toelichting op de Paspoortwet. Vreemd genoeg is het ministerie van Volksgezondheid, Welzijn en Sport wel in staat precies zo'n index te bouwen voor het - ook omstreden - Elektronisch Patientendossier (EPD).

Eindstation onbekend

Omdat de haast zo groot is, kan niemand nu precies zeggen wat er nu eigenlijk voor database in elkaar geknutseld wordt. Het CBP verwijt het ministerie van Binnenlandse Zaken in dezelfde brandbrief dat de voors en tegens onvoldoende tegen elkaar zijn afgezet. En of de leden van de Tweede Kamer weten wat ze nou precies hebben goedgekeurd.

En gevolg is bijvoorbeeld dat we nog steeds niet weten wie er zoal door onze vingerafdrukken mag snuffelen en met welk doel. Voor een ict-systeem is dat wel een belangrijk detail, want het maakt voor het ontwerp nogal wat uit. Mag er bijvoorbeeld slechts één organisatie bij de informatie en kan dat dus op de interne authenticatie-architectuur? Of blijken er straks honderdduizenden ambtenaren bij de informatie te kunnen?

In dat laatste geval moeten de verantwoordelijkheden toch anders worden aangepakt. Dan blijkt bij de invoering dat een goed beveiligd toegangssysteem nogal wat gedoe is, en goed ontwerp vooraf vereist.

Beveiligingsnachtmerrie in spé

Een centrale database, met in dit geval dus vingerafdrukken, is pas echt nuttig om mee te spelen als dat systeem online toegankelijk is. Dat betekent dat er een groot netwerk moet zijn waar veel gebruikende diensten op aan kunnen sluiten. Zover bekend is er nog geen plan voor een overheidsomvattend privénetwerk. Dus waarschijnlijk wordt er met bestaande infrastructuur gewerkt, lees: het internet. Dat roept veel beveiligingsvragen op.

“De infrastructurele voorzieningen die internationaal nodig zijn om gegevens verantwoord uit te wisselen, zijn zeer ingrijpend en brengen beveiligingsrisico’s met zich. Er wordt onvoldoende stilgestaan bij de vraag wat de gevolgen zijn wanneer er wordt ‘ingebroken’ in het systeem”, concludeert het CBP dan ook.

De privacywaakhond waardeert de inzet rond beveiliging wel, maar kraakt harde noten: “Evenwel, bij elke vorm van beveiliging van grootschalige collecties zullen er onvoorzienbaar veel mogelijkheden tot onterechte toegang bestaan.” Hoe groter, hoe complexer en hoe meer zwakke plekken en dus inbraak- of lekkagemogelijkheden er zijn. Weten we al jaren van veelgebruikte, grote systemen en softwarepakketten.

Privacy First stelt dan ook in de dagvaarding tegen de staat: “Evenmin wordt een oplossing gegeven voor de enorme risico's van misbruik en onjuist gebruik, en kan de regering aangeven waarom de voordelen van het door haar gewenste systeem opwegen tegen deze risico's.”

Function creep

De bouw van dit systeem ontbeert elke grondslag. Europa heeft weliswaar bepaald dat er een vingerafdruk en gelaatsscan in het paspoort moeten staan. Maar daaruit volgt niet automatisch centrale opslag. Dat heeft het Europees Parlement al snel verduidelijkt: de Europese regels zijn alleen bestemd voor het vaststellen van de echtheid van het paspoort en de identiteit van de drager. Een centrale database was nooit de bedoeling.

Ook vraagt Europa om slechts twee vingers op het paspoort op te slaan. Dat gebeurt ook in Nederland braaf, maar in de centrale opslag komen vier vingers. Dat is meer data, waarbij het systeem dus niet voor alleen het paspoort is. De opslag is dan ook voor andere doelen bestemd. Daar is een term voor: function creep.

Waar het ging om bewijzen dat je bent wie je zegt te zijn, lijkt er nu een opsporingsregister te zijn gekomen voor alle burgers. Precies dát valt Privacy First nu op heel veel gronden aan. Daarbij beroepen ze zich ook op hoger recht en verzoeken daarom de rechtbank meteen Europese rechters in te schakelen.

De function creep is niet onopgemerkt gebleven. Zo weet het ministerie van Binnenlandse Zaken (BZK) met de vingerafdrukdatabase, al voordat die klaar is, een prijs in de wacht te slepen: de Big Brother Award 2010. Op zich niet vreemd, want bijvoorbeeld in Duitsland heeft de wetgever function creep onmogelijk gemaakt.

Nederland lijdt aan opslaghysterie

We bewaren als Nederlanders nog wel eens wat. In de strijd tegen criminalteit en terreur komt register na register in de lucht. In een open brief duiden kritische wetenschappers dat aan als “opslaghysterie”.

We hebben de laatste jaren nogal wat nieuwe databases de revue zien passeren. Een greep uit de vele voorbeelden: de bewaarplicht verkeersgegevens, een database om namen te koppelen aan IP-adres of telefoonnummer, een DNA-databank voor kinderen, een elektronisch patiëntendossier, een elektronisch kinddossier, diverse databases bij de politie met kentekens van auto's die langs portalen komen, een Amerikaanse database met passagiersgegevens van ook Nederlandse luchtvaartmaatschappijen, een database met reisbewegingen van reizigers in het openbaar vervoer, een voorgestelde database met criminele Antillianen, een centraal register van persoonsgegevens (gemeentelijke basisadministratie, GBA), een database met oud-journalisten, een verwijsindex met risicojongeren, enzovoorts.

Het is nu de vraag wat er eerder beschikbaar is: de vingerafdrukdatabase na alle vertragingen die 'horen' bij grote ict-projecten van de overheid, of het vonnis van de rechter dat de invoering ervan verbiedt.