Lang niet iedereen in België is ervan overtuigd dat het opslaan van vingerafdrukken op de eID een goed idee is.
Half november kwam de (Belgische) Kamer samen om te stemmen over het nieuwe wetsontwerp, voorgesteld door voormalig minister van Binnenlandse Zaken Jan Jambon, met betrekking tot het opslaan van vingerafdrukken op de elektronische identiteitskaart. Vanaf voorjaar 2019 zou de overheid nieuwe identiteitskaarten verstrekken met een chip waarop de vingerafdruk van de burger is opgeslagen. Dit zou toelaten de strijd tegen identiteitsfraude met meer slagkracht te kunnen aanpakken, identiteitscontrole door politiediensten te vergemakkelijken en een gelijkwaardigheid met het (internationaal) paspoort te bekomen. Aan te moedigen doelstellingen, althans op het eerste zicht. De keerzijde van de medaille: een disproportionele inbreuk op de privacy van de burger.
Privacy, what does it mean?
Ondanks een negatief advies van de Gegevensbeschermingsautoriteit en een luide kreet van de publieke opinie, werd het ontwerp toch goedgekeurd. 74 stemmen voor, 40 tegen en 16 onthoudingen. Een verontrustend resultaat of gewoon een gebrek aan interesse? Dit laatste is althans het beeld gegeven door de bijzonder beperkte opkomst bij de bespreking in de kamer. Een debat werd niet gevoerd, van protest was geen sprake.
Nochtans gaat het ontwerp in tegen de geldende Europese regelgeving inzake privacy en gegevensbescherming, de GDPR (in Nederland bekend onder de AVG, Red). Deze gaat immers uit van een proportionaliteitsbeginsel.
Een gelijkwaardigheid met het internationaal paspoort is in ieder geval niet noodzakelijk aangezien het om twee verschillende documenten gaat. Het ene bestaat al, waarom zou het andere dan hetzelfde moeten zijn?
Identiteitscontrole vindt plaats op basis van het andere biometrische gegeven op onze eID: de foto. De toegevoegde waarde van een vingerafdruk is niet omvangrijk genoeg om als verantwoording in aanmerking te komen. De GDPR beschouwt een dergelijk biometrisch gegeven immers als een gevoelig persoonsgegeven. Een verwerking hiervan is in principe verboden. Mits motivatie die aantoont dat de verwerking noodzakelijk is voor redenen van zwaarwegend algemeen belang en dat gepaste beveiligingsmaatregelen ter bescherming van de grondrechten van de burger genomen zijn, kan ze toch plaatsvinden.
Wat dit laatste betreft uiten zich sterke twijfels over de veiligheid van het voorgestelde systeem. De eID zou gebruikmaken van de zogenoemde RFID-chip, een technologie die toelaat om de identiteitskaart contactloos te lezen. Hoewel dit mogelijks de gebruikservaring verhoogt, brengt dit aanzienlijke beveiligingsproblemen met zich mee. Zo is het signaal makkelijk te verstoren, maar ook relatief eenvoudig te onderscheppen. Iemand die beschikt over een lezer kan van op een zekere afstand de gegevens van de kaart scannen zonder dat de gebruiker ervan kennis heeft. Met andere woorden: de identiteit van de gebruiker kan achterhaald worden, met inbegrip van zijn vingerafdruk, zonder enig fysiek contact. De vraagt die zich opdringt: is dit wel een maatregel ter preventie van identiteitsfraude of faciliteert het potentiële misbruiken?
Fraudebestrijding zou efficiënter kunnen aangepakt worden, alleen blijken er geen statistische gegevens over te bestaan. Een dergelijke verregaande maatregel lijkt dan ook moeilijk te rechtvaardigen. Voor de bestrijding van 100 zaken dienen geen 11 miljoen vingerafdrukken te worden opgeslagen. De Liga voor Mensenrechten spreekt dan ook van een ‘symbooldaad’, als een foto kan worden nagemaakt, dan kan dit ook voor een vingerafdruk. Daarenboven zou het aantal gevallen van effectieve identiteitsfraude verwaarloosbaar zijn.
Bovendien kwam de Wetgever er nog niet toe om de verplichte gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren, en ja, ook zij moet de regels respecteren.
Tot slot een woord over de manier waarop het wetsontwerp de bevindingen van de Gegevensbeschermingsautoriteit naast zich neerlegt. De letterlijke bewoordingen luiden als volgt: “De argumenten die de Gegevensbeschermingsautoriteit aanhaalt, met name het feit dat de identiteitskaart reeds over een biometrisch element beschikt, namelijk de foto van de houder, en het feit dat de Europese verordening eIDAS de vingerafdrukken niet vermeldt bij de minimale persoonsidentificatiegegevens, lijken dan ook niet relevant”. Kortom: allesbehalve een (juridisch) onderbouwde weerlegging.
Enkele paragrafen verder wordt de stelling aangenomen dat het voorontwerp in overeenstemming is met de aanbevelingen van de Europese Commissie. De Europese Commissie wil inderdaad inzetten op een verbetering van de beveiligingselementen van identiteitskaarten van Europese burgers in de strijd tegen fraude. Biometrische gegevens kunnen daarbij helpen. Maar laat ons niet vergeten dat er vandaag reeds een biometrisch gegeven is opgenomen in onze eID. Bovendien, is het nu juist die Europese Wetgever niet die snoeihard inzet op privacy en gegevensbescherming? De GDPR was HET instrument om hieraan tegemoet te komen. Het zou dan ook verbazen mocht zij een verregaande inbreuk op precies die rechten steunen, een goed half jaar nadat de GDPR in werking trad.
Stop de vingerafdruk
Einde verhaal? Zeker en vast niet. Zoals aangekondigd, leggen enkele partijen zich niet zo makkelijk neer bij deze beslissing. De campagne stopvingerafdruk.be, opgezet door Matthias Dobbelaere-Welvaert van deJuristen Gent, verzekert dat ook het Grondwettelijk Hof zich over de zaak moet buigen. De hangende vraag blijft of een dergelijke ingrijpende identificatiemaatregel belangrijker is dan de privacy van de burger, of in andere woorden: staat vermeende veiligheid boven vrijheid? Wij menen, in dit geval, alvast van niet.
Laurens Nijs is stagiair bij deJuristen Gent
Deze bijdrage is eerder geplaatst op de website van deJuristen Gent.