{"id":1362,"date":"2010-04-02T21:19:00","date_gmt":"2010-04-02T21:19:00","guid":{"rendered":"http:\/\/johnito.nl\/blog\/?p=1362"},"modified":"2012-01-28T00:39:37","modified_gmt":"2012-01-28T00:39:37","slug":"database-vingerafdrukken-en-privacy-updates","status":"publish","type":"post","link":"https:\/\/johnito.nl\/blog\/2010\/04\/02\/database-vingerafdrukken-en-privacy-updates\/","title":{"rendered":">Database vingerafdrukken en privacy updates"},"content":{"rendered":"

>\"\"<\/a>Het is even geleden dat ik aandacht besteedde aan de kwestie rond de opslag van vingerafdrukken<\/a>.<\/span><\/p>\n

SP-Kamerlid Ronald van Raak heeft inmiddels antwoord<\/a> gekregen op de vragen <\/a>die hij stelde over de opslag van vingerafdrukken in een database bij het commerci\u00eble bedrijf Sagem Identification.
<\/p>\n

<\/span><\/p>\n

Vragen van het lid Van Raak (SP) aan de minister van Binnenlandse Zaken en <\/span>Koninkrijksrelaties over de centrale opslag van vingerafdrukken. (Ingezonden 16 maart <\/span>2010) <\/span><\/p>\n

<\/span>Vraag 1 <\/span> Is het waar dat de digitale vingerafdrukken, gemaakt bij de aanmaak van een nieuw <\/span> paspoort, opgeslagen worden in het Reisdocumenten Aanvraag en Archief Station (RAAS) <\/span> en dat dit beheerd wordt door Sagem Identification?1 <\/span> Vraag 2 <\/span> Waarom is ervoor gekozen om het beheer van dit systeem onder te brengen bij een <\/span> commercieel bedrijf? <\/span> Vraag 3 <\/span> Deelt u de opvatting dat dergelijke belangrijke en privacygevoelige gegevens enkel en <\/span> alleen in het beheer van de overheid mogen zijn? Zo nee, waarom niet? <\/span><\/p>\n

<\/span>Antwoord <\/span><\/p>\n

Het is juist dat de opgenomen vingerafdrukken digitaal worden opgeslagen in het RAAS.
Het Reisdocumenten Aanvraag en Archief Station (RAAS) is de apparatuur en
programmatuur waarmee de uitgevende instanties de aanvraaggegevens digitaal kunnen
verzenden aan de producent van de reisdocumenten. Elke uitgevende instantie van de
reisdocumenten heeft een of meerdere RAAS-en. Thans zijn er ca 700 RAAS-en.
Het RAAS wordt door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)
al sinds 2001 beschikbaar gesteld aan de instanties die de reisdocumenten uitgeven.
Sinds oktober 2001 worden in het RAAS digitaal alle aanvragen voor Nederlandse
reisdocumenten opgeslagen.<\/p>\n

Het RAAS is een uitvloeisel van de Europese aanbesteding die in 1999 is uitgevoerd met
het doel een leverancier te vinden voor de:
\u2022 ontwikkeling, productie en personalisatie van de Nederlandse reisdocumenten;
\u2022 ICT-ondersteuning (inclusief levering, installatie en onderhoud van apparatuur en
programmatuur);
\u2022 Fysieke distributie van de Nederlandse reisdocumenten.<\/p>\n

Over de Europese aanbesteding van 1999 en de uitkomsten daarvan is de Tweede Kamer
toentertijd ge\u00efnformeerd. Ik verwijs hierbij onder meer naar de lijst van vragen en
antwoorden (TK 1998-1999, 25764 nr 11) inzake de nieuwe generatie reisdocumenten.
Enkele van deze vragen (en antwoorden) gaan over de systemen die zullen worden
ingevoerd voor het digitaal verlopen van het aanvraagproces. Ook bij de recente
wijziging van de Paspoortwet is, onder meer in de memorie van toelichting, ingegaan op
de opslag van de aanvraaggegevens in het RAAS.<\/p>\n

De producent van de Nederlandse reisdocumenten onderhoudt in technische zin de
apparatuur en de programmatuur van RAAS. Het ministerie van Binnenlandse Zaken en
Koninkrijksrelaties is verantwoordelijk voor de wijze waarop de producent dat doet.<\/p>\n

1 Sagem Identification http:\/\/www.sdu-identification.nl\/index2.html<\/span> <\/p>\n

<\/span>Vraag 4 <\/span> Welke afspraken zijn er gemaakt met Sagem Identification over het beheer, de opslag en <\/span> de beveiliging van de vingerafdrukken en andere persoonsgebonden gegevens? <\/span> Vraag 5 <\/span> Hoe is de verzending van privacygevoelige gegevens van gemeenten naar de centrale <\/span> database beveiligd? Worden deze gegevens versleuteld? Zo ja, is deze versleuteling <\/span> 100% veilig en dus niet te kraken? Zo nee, waarom niet? <\/span><\/p>\n

<\/span>Antwoord <\/span>
De aanvraaggegevens worden door de uitgevende instanties van de Nederlandse
reisdocumenten digitaal verzonden naar de producent. De verzending vindt versleuteld
plaats. Daarenboven wordt er ook nog een digitale handtekening gezet over het
versleutelde aanvraagbericht. De aanvraagberichten worden verstuurd via besloten
netwerken. Absolute garanties zijn natuurlijk niet te geven, maar naar mijn mening is de
beveiliging van de verzending van de digitale gegevens in orde.<\/p>\n

De producent bewaart alle persoonsgegevens uit de aanvraag 30 dagen. De naam van de
aanvrager wordt 90 dagen bewaard op zogenaamde geleidelijsten die worden gebruikt
voor controle van de te verzenden reisdocumenten.<\/p>\n

Sinds de invoering van de vingerafdrukken in de Nederlandse reisdocumenten worden de
aanvraaggegevens in RAAS versleuteld opgeslagen. Dat geldt ook voor de back-ups die
de uitgevende instanties maken van de gegevens die in RAAS zijn opgeslagen.<\/p>\n

<\/span>Vraag 6 <\/span> Kunt u uitsluiten dat onbevoegden toegang kunnen verkrijgen tot deze database? Zo <\/span> nee, waarom niet? <\/span> Vraag 7 <\/span> Wie hebben er bij Sagem Identification toegang tot de opgeslagen gegevens? Zijn deze <\/span> personen vooraf gescreend? Welke afspraken zijn er met deze personen gemaakt? Welke <\/span> maatregelen zijn er genomen om bedrijfsspionage tegen te gaan? <\/span> Vraag 8 <\/span> Houdt u toezicht op het beheer van de gegevens door Sagem Identification? Zo ja, hoe is <\/span> dit toezicht geregeld? Zo nee, waarom niet? <\/span><\/p>\n

<\/span>Antwoord <\/span>
Aangenomen wordt dat met \u201cdatabase\u201d de productiesystemen van Sagem Identification
worden bedoeld. Bij de producent van de Nederlandse reisdocumenten gelden stringente
beveiligingseisen. Het bedrijf beschikt vanzelfsprekend over een beveiligingsplan. Het
bedrijf is verdeeld in zones. Per zone is bepaald welke medewerkers daar toegang toe
hebben. Er is ook cameratoezicht en het personeel kan bij het verlaten van het gebouw
worden gevisiteerd. De producent van de Nederlands reisdocumenten mag op grond van
het Besluit justiti\u00eble gegevens het personeel screenen. Alle nieuwe medewerkers worden
ook daadwerkelijk gescreend. De producent is gecertificeerd volgens de ISO-27001
standaard (zie ook www.27000.org\/iso-27001.htm) voor informatiebeveiliging. Jaarlijks
wordt er ook een audit uitgevoerd.<\/p>\n

Het ministerie van BZK heeft het recht om bij de producent van de Nederlandse
reisdocumenten controles uit te voeren. Dat wordt ook gedaan. Zo worden er controles
uitgevoerd naar de kwaliteit van de reisdocumenten, maar ook worden er broncode-
analyses uitgevoerd naar de systemen die de producent gebruikt.<\/p>\n

Ik wil er tenslotte op wijzen dat ten tijde van de verkoop van de aandelen van de Staat
der Nederlanden in Sdu Identification er een zogenaamde \u201cChange of Control Agremeent\u201d
is overeen gekomen. De Tweede Kamer is hierover door de minister van Financi\u00ebn
ge\u00efnformeerd (TK 2006-2007, 27044, nr 4). Over de verkoop aan Sagem S\u00e9curit\u00e9 S.A.
(een onderdeel van Groupe Safran) is de Tweede Kamer ge\u00efnformeerd op 19 juni en 11
juli 2008. In de laatste brief (TK 2007-2008, 28 165, nr 86) is expliciet aangegeven dat
er garanties zijn gegeven onder meer met betrekking tot de bescherming van de
persoonsgegevens die worden verwerkt.
<\/span> Vraag 9 <\/span> Wat gebeurt er met de opgeslagen gegevens bij een faillissement van Sagem <\/span> Identification? <\/span><\/p>\n

<\/span>Antwoord <\/span>
De gegevens waarover Sagem ten behoeve van de personalisatie tijdelijk de beschikking
krijgt, zijn eigendom van de Staat der Nederlanden en vallen derhalve buiten het
eventuele faillissement van Sagem.
<\/span><\/p><\/blockquote>\n

Ronald van Braam<\/a>, voormalig SP-raadslid, nu steunfractielid voor dezelfde partij in Zaanstad, en tevens de man aan wie de hernieuwde aandacht<\/a> voor privacygerelateerde<\/a> onderwerpen, zoals de opslag van vingerafdrukken grotendeels hebben te danken<\/a><\/span>, vindt de beantwoording van Hirsch Ballin niet bevredigend, aldus een artikel op de lokale SP-website<\/a>:<\/span><\/p>\n

Een vreemde beantwoording want de opslag hoort voor 100% in handen te zijn van een publieke dienst en niet in handen van een commercie\u00ebl bedrijf. Onze fractie is van mening dat het opslaan van privacy gegevens op welk onderdeel dan ook sowieso niet moet gebeuren.
Ondertussen word van elke burger zijn gegevens vastgelegd bij diens bank, arts enz\u2026
Nederlanders denken vaak dat het niet uitmaakt omdat ze niets te verbergen hebben.
Maar bij toilet gebruik sluit je toch ook de deur en je bankafschriften\/medisch dossier hang je ook niet aan een prikbord in de supermarkt ?
Het lijkt wel een verzameldrift te worden van de overheid om alles te weten te komen van ons.
En daar kleven risico\u2019s aan , zoals misbruik en dat gegevens op straat komen te liggen.<\/p><\/blockquote>\n

Naar aanleiding van de kwestie heeft de Zaanse SP-fractie een nieuwe set vragen opgesteld, <\/span>(waarvan je zou kunnen zeggen dat deze best ook in andere gemeenten als voorbeeld zouden kunnen worden gebruikt-hint!)<\/span>:<\/span><\/p>\n