Belgische opslag van vingerafdrukken in het voordeel van criminelen en terroristen
In november 2018 keurde de Kamer een wetsvoorstel goed met betrekking tot de opslag van vingerafdrukken op Belgische identiteitskaarten. Onder impuls van toenmalig minister van Binnenlandse zaken Jan Jambon, besloot de regering niet te wachten op een Europese verordening die de identificatie door middel van vingerafdrukken voor de hele EU zou regelen.
Vandaag blijkt dat ook kinderen vanaf 12 jaar hun vingerafdrukken moeten afstaan voor de identiteitskaart, wat de zaak nog veel gevoeliger maakt.
Volgens de huidige regering werd rekening gehouden met de opmerkingen van verschillende instanties, waaronder de Gegevensbeschermingsautoriteit en onderzoeksgroep COSIC van de KU-Leuven. Dit klopt niet.
Dat de ministers op zoek gaan naar efficiënte en sluitende manieren om de identiteit van burgers te kunnen controleren, is begrijpelijk. Maar dan moet het systeem technisch sluitend zijn en ervoor zorgen dat de identiteit van elke Belg en zeker die van minderjarigen veilig is. Momenteel is er nog geen enkele garantie van de regering dat onze biometrische gegevens op identiteitskaarten veilig zullen zijn. Zo brengt ze de veiligheid, de rechten en de privacy van burgers mogelijk in gevaar, in plaats van deze te beschermen.
Omdat de manier waarop de regering vingerafdrukken wil verwerken helemaal niet sluitend is, verzet Liberales zich tegen de huidige gang van zaken. Momenteel bestaan er namelijk twee opties: één sluitende en één risicovolle technische uitwerking.
a. Uitleesbare vingerafdrukken zijn opgeslagen in de chip van de kaart en kunnen door ‘bevoegde personen’ bekeken en vergeleken worden. Deze manier van werken is vergelijkbaar met een pasfoto waarbij de ambtenaar het gezicht van de persoon vergelijkt met de pasfoto. Bij dergelijke systemen is het makkelijker (bewust, of via hacking door criminelen) de vingerafdruk naar een andere drager te kopiëren, af te drukken, te fotograferen … en dus te stelen voor misbruik.
b. Niet-uitleesbare vingerafdrukken zijn opgeslagen op de chip van de identiteitskaart, maar kunnen niet uitgelezen worden. Niemand kan ze afdrukken, kopiëren, fotograferen of zelfs zien. In dit geval is de vingerafdruk vergelijkbaar met een pincode die de eigenaar bij het afhalen van de kaart ingeeft. Deze vorm van biometrische controle is dus veiliger en minder fraudegevoelig. Spanje doet het nu al op deze manier.
De regering gaf eerder al aan gebruik te willen maken van de bestaande chip op de elektronische identiteitskaart en hoewel de ministers volhouden dat er geen sprake is van gegevensopslag, worden de vingerafdrukken drie maanden in een tijdelijke databank bewaard om ze daarna te wissen. Er is dus wel degelijk sprake van gegevensopslag, ook al is het maar drie maanden, én makkelijk uitleesbare data. We dringen er bij de regering dan ook op aan om af te zien van deze methode en te opteren voor het match-on-card-systeem zoals dat in Spanje het geval is.
Het aanleggen van een (tijdelijke) databank met vingerafdrukken door de overheid is ronduit gevaarlijk en hoogst onwenselijk omwille van de fraudegevoeligheid. In het verleden zijn er bij cyberaanvallen al meermaals gevoelige data van de overheid gestolen. In plaats van burgers te beschermen tegen identiteitsfraude, presenteert de overheid de identiteit van 10 miljoen Belgen, ouder dan 12, op een zilveren schoteltje aan criminelen.
Daarnaast bestaat er een mogelijke function creep waarbij de tijdelijke opslag van vingerafdrukken door wetswijzigingen en achterpoortjes wordt verlengd of de overheid de tijdelijke databank zal gebruiken voor andere doeleinden dan identificatie, tegen alle adviezen in.
Kortom, zijn nog niet alle adviezen door de Belgische regering de Belgische wet op identificatie door vingerafdrukken ernstige gebreken en houdt hij grote risico’s in met betrekking tot de nationale veiligheid en de bescherming van individuen.
Tot slot roepen we het parlement op om de regering op dit vlak terug te fluiten en rekening te houden met onderstaande aanbevelingen:
1. De opslag van vingerafdrukken van elke burger en zeker die van minderjarigen moet verboden worden. De regering moet alle adviezen, zeker de technische, van de Gegevensbeschermingsautoriteit en COSIC volgen. Dat is nu niet het geval.
2. De opslag van vingerafdrukken in een definitieve of tijdelijke databank is onaanvaardbaar. De overheid moet alternatieven (bv. match-on-card) gebruiken die deze handeling overbodig maken.
3. De overheid mag enkel gebruik maken van identiteitskaarten waarmee de vingerafdrukken van volwassenen niet uitleesbaar zijn.
4. Vingerafdrukken mogen niet in hun geheel opgeslagen worden op de nieuwe niet-uitleesbare identiteitskaarten. Slechts delen ervan mogen worden gebruikt voor de identificatie van een persoon, dit om fraude zoveel mogelijk tegen te gaan.
5. Vingerafdrukken gelinkt aan een identiteitskaart mogen voor geen ander doel worden gebruikt dan identificatie.
6. De regering dient experten in te schakelen voor de verdere uitwerking.
Liberales benadrukt dat de opslag van vingerafdrukken van volwassenen en minderjarigen een schending is van de privacy. Het recht op privacy staat in art. 8 van het EVRM en het wordt dringend tijd dat we dit recht heroveren.
David Van Turnhout
Voorzitter Liberales
Koert Van Espen
Information security & privacy expert, Kernlid Liberales
Magali Feys
IP, IT & Data Protection Lawyer