De nieuwe opzet van de reisdocumentenadministratie met biometrische kenmerken heeft tot doel identiteitsfraude tegen te gaan door middel van een aanvraag- en uitgifteproces van reisdocumenten dat betrouwbaar is en voldoet aan de eisen van deze tijd. Het CBP mist in de toelichting bij het wetsvoorstel doorslaggevende argumenten voor het inrichten van een centrale administratie. Waarom is het niet mogelijk om een decentraal stelsel met een centrale verwijsindex in te richten om dezelfde doelstelling te halen?
De keuze van de minister voor een centrale databank waardoor 24 uur per etmaal en zeven dagen per week de identiteit van personen online kan worden geverifieerd, lijkt volgens het CBP ook te zijn ingegeven door andere doelen dan een soepel verlopend aanvraag- en uitgifteproces. Een van de veel genoemde doeleinden in dit verband is het opsporen van strafbare feiten, waaronder begrepen het bestrijden van terrorisme. Het CBP wijst erop dat dit wetsvoorstel voor deze doeleinden weer een extra is bovenop alle andere maatregelen die in de afgelopen periode al zijn genomen, zoals de verplichting om verkeersgegevens te bewaren en de uitbreidingen van strafvorderlijke bevoegdheden. Nu de officier van justitie de biometrische gegevens kan ontvangen bij bepaalde misdrijven, krijgt de reisdocumentenadministratie in feite ook de functie van een opsporingsregister. Deze consequentie vormt een ernstige inbreuk op de persoonlijke levenssfeer omdat ook de gegevens van niet verdachte burgers in het register zijn opgenomen. Het CBP mist in de toelichting bij het conceptwetsvoorstel een nadere beschouwing over de verenigbaarheid van beide doelen.
Het wetsvoorstel bevat een lijst van personen en organisaties waaraan persoonsgegevens kunnen worden verstrekt. Dat zijn er al veel. Wanneer een centrale reisdocumentenadministratie eenmaal is gerealiseerd zullen er, zo leert de praktijk, nieuwe soorten doelen en gebruikerswensen ontstaan. De gegevens die eens werden opgeslagen voor specifieke doeleinden, zullen de belangstelling krijgen van andere personen en organisaties, waardoor de doelbinding in gevaar komt. Het risico van breder gebruik - function creep - is niet denkbeeldig. Zeker nu op grond van een Europese Verordening in de reisdocumenten biometrische gegevens worden opgenomen, is het van belang de wettelijk verankerde doelbinding niet in gevaar te laten komen.
De verordening verplicht niet tot het opnemen van deze gegevens in een administratie, centraal of decentraal. Biometriegegevens voor identificatie- of verificatiedoeleinden zijn uitstekend bruikbaar door deze op te slaan in het document zelf, zonder deze gegevens op te nemen in een (centrale) database.
Het CBP heeft waardering voor de in de Memorie van Toelichting beschreven beveiligingsmaatregelen. De infrastructurele voorzieningen die echter internationaal nodig zijn om gegevens verantwoord uit te wisselen, zijn zeer ingrijpend en brengen beveiligingsrisico's mee. Er wordt naar het oordeel van het CBP onvoldoende stilgestaan bij de gevolgen van het hacken van het systeem.
Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt - onder de Wet bescherming persoonsgegevens (Wbp) - toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.
Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zo nodig gevolgen verbinden
.