BELGISCHE SENAAT
________
Zitting 2017-2018
________
6 september 2018
________
SENAAT Schriftelijke vraag nr. 6-1957

de Jean-Jacques De Gucht (Open Vld)

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________
Europese Toezichthouder gegevensbescherming (EDPS) - Ontwerptekst van de Europese Commissie - Opnemen van vingerafdrukken in identiteitskaart
________
Europese Toezichthouder voor gegevensbescherming
identiteitsdiefstal
biometrie
identiteitsbewijs
eerbiediging van het privé-leven
gegevensbank
openbare veiligheid
voorstel (EU)
paspoort
________
6/9/2018Verzending vraag
9/10/2018Antwoord
________
Ook gesteld aan : schriftelijke vraag 6-1955
________
SENAAT Schriftelijke vraag nr. 6-1957 d.d. 6 september 2018 : (Vraag gesteld in het Nederlands)

De Europese Commissie presenteerde op 17 april 2018 een voorstel voor nieuwe paspoorten en identiteitskaarten waarop gegevens van gezichtskenmerken en vingerafdrukken opgeslagen moeten worden. Het beoogde doel is om terrorisme en misdaad tegen te gaan bij het vrije reizen binnen de Europese Unie (EU).

De Europese toezichthouder voor gegevensbescherming stelt in haar Opinie 7/2018 dat het niet noodzakelijk lijkt om zowel gezichtskenmerken als vingerafdrukken in het identiteitsbewijs op te nemen. Ook het verplichte vooronderzoek naar de impact van deze maatregel wijst volgens de toezichthouder niet uit dat dit noodzakelijk is.

Identiteitsfraude kan voldoende worden tegengegaan met maatregelen die minder de privacy schenden, zoals de gezichtsafbeelding die nu reeds voorhanden is.

De Europese Toezichthouder voor gegevensbescherming (EDPS) vindt het geenszins een uitgemaakte zaak dat als er biometrische gegevens in het paspoort worden opgenomen, dit dan automatisch ook voor de identiteitskaart zou moeten gelden. Identiteitskaarten worden vaak voor hele andere doelen gebruikt dan om te reizen.

De Commissie zou daarom eerst een grondige analyse moeten uitvoeren. Ook moet er vanwege de toezichthouder een expliciet verbod komen op het creëren van centrale databases met deze vingerafdrukken en zouden de gegevens alleen voor de specifiek benoemde doelen mogen worden gebruikt. Volgens artikel 10 van het voorstel van de Europese Commissie mogen de gegevens gebruikt worden voor het bepalen van de echtheid van het identiteitsbewijs en voor het verifiëren van de identiteit aan de hand van de kaart.

Wat betreft het transversaal karakter: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die worden gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016 2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik. Identiteitsfraude maakt hier deel van uit.

Ik had hieromtrent volgende vragen:

1) Bent u vertrouwd met Opinie 7/2018 van de Europese Toezichthouder voor gegevensbescherming (EDPS) over voorstel nr. 2018/0104 van de EU betreffende het opnemen van vingerafdrukken in identiteitskaarten? Kunt u aangeven of de regering en uzelf hieromtrent reeds een standpunt hebben ingenomen en kunt u dit uitvoerig toelichten? Zo neen, waarom niet?

2) Deelt u het standpunt dat gezichtsafbeeldingen en vingerafdrukken beschouwd moeten worden als gevoelige persoonsgegevens en aldus bijzondere bescherming verdienen?

3) Wat is uw reactie op de conclusie van de EDPS dat het desbetreffende EU voorstel niet voldoende rechtvaardigt waarom twee soorten biometrische data (gezichtsafbeelding en vingerafdrukken) op ID kaarten opgeslagen moeten worden, terwijl het gestelde doel ook met minder indringende middelen bereikt kan worden? Kunt u dit zeer uitvoerig toelichten?

4) Deelt u de mening dat de noodzakelijkheid en proportionaliteit van het verwerken van biometrische data zoals vingerafdrukken in deze context opnieuw tegen het licht zou moeten worden gehouden? Zo neen, waarom niet?

5) Bent u het ermee eens met het bijkomend subargument van de Europese toezichthouder dat er een expliciet verbod moet komen op het creëren van centrale databanken met deze vingerafdrukken, dat de gegevens alleen voor de voor de specifieke doelen mogen worden gebruikt en dat in casu de gegevens enkel mogen gebruikt worden voor de controle van de echtheid van het identiteitsbewijs? Kunt u dit zeer gedetailleerd toelichten?

6) Bent u zich bewust van de enorme impact op de privacy die het afnemen van de vingerafdruk inhoudt? Kunt u aangeven wat de stand van zaken is betreffende een eerder voorontwerp van wet dat afgeschoten werd door de privacycommissie?

7) Voor het internationaal paspoort zijn de vingerafdrukken reeds verplicht. Klopt het dat de in het paspoort opgeslagen vingerafdrukken nergens gebruikt worden door de controlerende instanties?

Antwoord ontvangen op 9 oktober 2018 :

1) Het ontwerp 2018-0104 betreffende het opnemen van vingerafdrukken in identiteitskaarten behoort tot de bevoegdheid van mijn collega Jan Jambon, minister van Binnenlandse Zaken en Beveiliging. Hoewel ik de onderhandelingen met betrekking tot deze tekst heb gevolgd, moet ik verwijzen naar mijn collega om te antwoorden op uw eerste vraag.

2) Ik deel de mening van de Europese Toezichthouder voor gegevensbescherming (European Data Protection SupervisorEDPS), die stelt dat gezichtsafbeeldingen en vingerafdrukken gevoelige gegevens zijn, die beschermd moeten worden. Artikel 9 van de algemene verordening gegevensbescherming (AVG) bepaalt expliciet dat het verboden is om gevoelige gegevens te verwerken, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij in dit geval de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.

3) & 4) De EDPS verleent advies aan de Europese instellingen over de implicaties van hun beleid inzake gegevensbescherming. De EDPS is van oordeel dat het voorstel op bepaalde essentiële punten voor verbetering vatbaar is, teneinde de naleving van de beginselen inzake gegevensbescherming te waarborgen. Ik ben van mening dat de wetgever zoveel mogelijk rekening moet houden met de opmerkingen en adviezen van een onafhankelijke instelling als deze. Dit maakt deel uit van een verantwoord besluitvormingsproces. Hierdoor zal de Europese wetgever worden aangespoord om zijn voorstel voor verordening te heroverwegen rekening houdend met het advies van de EDPS, en om over te gaan tot een grondigere analyse van de gevolgen van de maatregelen genomen in functie van de beginselen van noodzakelijkheid en evenredigheid. Dit zijn grondbeginselen wanneer de rechten van personen worden beperkt. Het Handvest van de grondrechten van de Europese Unie bepaalt dat beperkingen niet alleen bij wet moeten worden gesteld, maar ook de wezenlijke inhoud van het recht in kwestie moeten eerbiedigen en, met inachtneming van het evenredigheidsbeginsel, noodzakelijk moeten zijn en daadwerkelijk moeten beantwoorden aan door de Unie erkende doelstellingen of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

5) Om te weten of het nuttig is om een verbod in te stellen op de opmaak van databanken met dit soort biometrische gegevens, moeten de beginselen van noodzakelijkheid en evenredigheid toegepast worden. De beoogde doeleinden en de rechten van personen moeten tegenover elkaar afgewogen worden om te beslissen of een degelijk verbod op zijn plaats is. Een ander hoofdbeginsel inzake gegevensbescherming is de gegevensminimalisering. Dit beginsel stelt dat de persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. Het lijkt er inderdaad op dat dit niet het doel is van de voorstel voor verordening. De Groep Artikel 29, die bestaat uit de Europese gegevensbeschermingsautoriteiten, heeft in zijn advies 3/2005 een voorbehoud gemaakt bij een nationale databank van paspoorten met biometrische elementen. De groep meent immers dat de opmaak van een gecentraliseerde databank met persoonsgegevens, en in het bijzonder met biometrische gegevens van alle burgers, zou kunnen indruisen tegen het evenredigheidsbeginsel.

Passende en specifieke technische en organisatorische maatregelen moeten zeker ingesteld worden om de fundamentele rechten en belangen van de betrokken personen te vrijwaren. Bijgevolg worden andere waarborgen, zoals de waarborg dat biometrische gegevens die verwerkt zijn in hun context onmiddellijk moeten worden gewist nadat ze in de chip geïntegreerd zijn en niet verder mogen worden verwerkt voor andere doeleinden dan die welke uitdrukkelijk in het voorstel zijn genoemd, beschouwd als passende en specifieke technische en organisatorische maatregelen om de fundamentele rechten en belangen van de betrokken persoon te vrijwaren.

6) Ik ben me terdege bewust van de impact op de privacy die het afnemen van de vingerafdruk inhoudt. De waarborg dat biometrische gegevens onmiddellijk moeten verwijderd worden nadat ze in de chip van de e-ID zijn geïntegreerd en dus niet verder kunnen verwerkt worden in een centrale databank en / of voor andere doeleinden werd bekrachtigd binnen de regering op de superministerraad van mei 2017. In lijn met deze beslissing werd binnen de wet diverse bepalingen van collega Jan Jambon, minister van Binnenlandse Zaken, een bepaling opgenomen die de integratie van vingerafdrukken op de chip van de identiteitskaart voorziet. Dit ontwerp valt onder de bevoegdheid van mijn collega Jan Jambon, minister van Binnenlandse Zaken, die specifiekere antwoorden zal kunnen geven op vragen over de stand van zaken van het ontwerp.

7) De wet van 10 februari 2015 met betrekking tot geautomatiseerde verwerkingen van persoonsgegevens die noodzakelijk zijn voor de Belgische paspoorten en reisdocumenten voorziet in artikel 10 dat de gegevens op de chip van het paspoort uitsluitend worden gebruikt door het personeel van de federale overheidsdienst (FOD) Buitenlandse Zaken dat werkt bij de dienst die deze geautomatiseerde verwerking verricht, alsook door het hieronder vermelde personeel dat belast is met de aanvragen van Belgische paspoorten en reisdocumenten of de controle ervan :

1° het personeel dat binnen de FOD Buitenlandse Zaken belast is met de toepassing van de regelgeving inzake paspoorten en reisdocumenten, en dat daartoe persoonlijk gemachtigd is door de minister of door het personeel dat de minister daarvoor heeft aangesteld ;

2° het gemeente- en provinciepersoneel dat belast is met de afgifte van paspoorten en reisdocumenten, dat daartoe persoonlijk gemachtigd is door de burgemeester of de gouverneur ;

3° het diplomatiek en consulair personeel dat belast is met de afgifte van paspoorten en reisdocumenten, dat daartoe persoonlijk gemachtigd is door de ambassadeur of de consul ;

4° het personeel dat binnen het ministerie van Defensie belast is met de afgifte van diplomatieke en dienstpaspoorten, dat daartoe persoonlijk gemachtigd is door de minister van Defensie of door het personeel dat de minister van Defensie hiertoe heeft aangesteld ;

5° de firma die belast is met de productie van de paspoorten en reisdocumenten en de personen binnen die firma die een strikt omschreven machtiging hebben gekregen, uitsluitend voor de doeleinden van de productie en het afgeven van paspoorten en reisdocumenten ;

6° het personeel dat belast is met de grenscontrole, zowel in België als in het buitenland.