Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 4-3893

van Philippe Fontaine (MR) d.d. 11 augustus 2009

aan de minister van Binnenlandse Zaken

Elektronische identiteitskaart - Uitreiking Pincode - Vertrouwelijkheid

identiteitsbewijs
eerbiediging van het privÚ-leven
gegevensbescherming
elektronisch document
elektronische overheid
vertrouwelijkheid

Chronologie

11/8/2009 Verzending vraag (Einde van de antwoordtermijn: 10/9/2009 )
19/10/2009 Antwoord

Vraag nr. 4-3893 d.d. 11 augustus 2009 : (Vraag gesteld in het Frans)

Sinds 15 september 2004 reikt de Belgische overheid alleen nog elektronische identiteitskaarten uit. De elektronische chip bevat persoonlijke gegevens op grond waarvan personen kunnen worden ge´dentificeerd.

Dit systeem moet volledig worden beveiligd. Met de digitale certificaten in de chip kunnen documenten immers elektronisch worden ondertekend, kan men van adres veranderen zonder de kaart te moeten vervangen of binnenkort het surfen op het internet veiliger maken voor bepaalde leeftijdsgroepen door middel van identificatie met een kaartlezer.

Wanneer iemand een kaart van een andere persoon bemachtigt, kan er niets gebeuren, want de eID werkt op dezelfde manier als een bankkaart met een pincode. Zonder de pincode kan niemand zich op het internet of bij een andere elektronische toepassing als iemand anders voordoen. De pincode moet uiteraard geheim blijven. Kunt u meedelen welke instructies de gemeentelijke administraties hebben gekregen inzake het naleven van de vertrouwelijkheid van de pincode? Wordt dat gecontroleerd?

De gemeenten zouden niet automatisch over terminals beschikken om de burger bij ontvangst van de identiteitskaart eigenhandig de pincode te laten inbrengen. Naar het schijnt wordt in bepaalde gemeenten de pincode door de gemeenteambtenaar ingebracht vooraleer de kaart wordt uitgereikt. Is het normaal dat de pincode al van bij het begin niet meer geheim is?

In sommige gemeenten werden op vraag van bezorgde gemeenteraadsleden cijferterminals met kaartlezer op de balie ge´nstalleerd. In een bepaalde gemeente wordt bijvoorbeeld de terminal alleen op vraag van de eigenaar van de kaart door de daartoe voorbestemde opening aangereikt. Is dit normaal?

Kunt u meedelen hoeveel terminals in de gemeenten werden ge´nstalleerd? Welke maatregelen zullen worden genomen om de totale geheimhouding inzake de eID in acht te nemen?

Antwoord ontvangen op 19 oktober 2009 :

Het geachte lid vindt hieronder het antwoord op zijn vraag.

1. Kunt u meedelen welke instructies de gemeentelijke administraties hebben gekregen inzake het naleven van de vertrouwelijkheid van de pincode? Wordt dat gecontroleerd?

Ik kan het geachte lid meedelen dat structureel alle maatregelen werden genomen om de vertrouwelijkheid van de PUK/PIN code van de burger te waarborgen.

Vooreerst verloopt de activering van een elektronische kaart (eID, Kids-ID en elektronische vreemdelingenkaart) uitsluitend via de Belpic applicatie, die geïnstalleerd is op de RA-PC’s in de gemeenten. Deze applicatie kan enkel functioneren via een beveiligde lijn (publilink) verbonden met het Rijksregister.

Om deze Belpic-applicatie te kunnen op- starten dient de daartoe gemachtigde gemeenteambtenaar zich aan te loggen met zijn elektronische Identiteitskaart in de daartoe bestemde kaartlezer. Zijn eID dient bovendien in deze kaartlezer te blijven, zoniet wordt de verbinding met het Rijksregister verbroken en kan geen enkele handeling meer uitgevoerd worden in de Belpic applicatie.

Voor de activering van een elektronische identiteitskaart is bijgevolg een volledige configuratie nodig die bestaat uit een RA-PC, een kaartlezer voor de gemeenteambtenaar en een kaartlezer voor de burger en moet de elektronische identiteitskaart van de gemeenteambtenaar gedurende gans de procedure van activering in de kaarlezer blijven zitten. Elke handeling, die door de gemeenteambtenaar op de RA-PC wordt uitgevoerd, wordt ook geregistreerd, zodat te allen tijde kan nagegaan worden wat de gemeenteambtenaar heeft ingeleid.

Op het computerscherm van de RA-PC, krijgt de ambtenaar alle stappen te zien die hij moet volgen, waaronder de te volgen procedure voor de activering van een eID, in casu, het vragen aan de burger om zijn PUK en PIN code in te leiden op de daartoe bestemde kaartlezer. In de handleiding Belpic, bestemd voor de gemeenteambtenaren, worden de stappen die moeten ondernomen worden in de procedure voor de activering van een elektronische kaart ook beschreven (zie Release note Belpic Applicatie http://www.ibz.rrn.fgov.be/fileadmin/user_upload/CI/kidscard/3%20Instructions/nl/nieuw0309/3_identiteitskaart.pdf

Om een elektronische identiteitskaart van een burger te activeren is in elke gemeente, is per een RA-PC ten minste een kaartlezer met een beveiligd PINPAD klavier aanwezig. Dit houdt in dat de PUK en PIN code, die op die kaartlezer door de burger worden ingetikt, door niemand kan getraceerd worden, ook niet door de gemeenteambtenaar.

De PUK en PIN codes zijn bovendien enkel in het bezit van de burger. Ze werden immers door de kaartproducent in een beveiligde brief (vergelijkbaar met deze die wordt gebruikt om de code van een bankkaart mee te delen) enkel op het adres van de hoofdverblijfplaats van de betrokken burger verzonden. Het staat deze steeds vrij om zijn PIN code te wijzigen, na de activering in de gemeente of later. De wijziging van de PIN code kan ofwel in de gemeente gebeuren ofwel vanuit een PC naar keuze (voorzien van een internet-verbinding en een kaartlezer). De vertrouwelijkheid van de PUK / PIN code is uitdrukkelijk opgenomen in de “Algemene Onderrichtingen betreffende de elektronische identiteitskaart” (zie http://www.ibz.rrn.fgov.be/fileadmin/user_upload/CI/eID/3%20Instructions/nl/Algemene_Onderrichtigen.pdf).

Het geheel van de voornoemde instructies werden overgemaakt aan de gemeentelijke ambtenaren en zijn vrij consulteerbaar op de website van de Federale Overheid Binnenlandse Zaken.

Alle gemeenteambtenaren, gemachtigd om te werken met de Belpic applicatie, werden eveneens op 23 september 2009 eraan herinnerd dat zij de reglementaire voorschriften inzake de activering van een elektronische identiteitskaart strikt moeten naleven. Aan de provinciale eID (adjunct) coördinatoren werd de opdracht gegeven om elke onregelmatigheid dienaangaande te signaleren.

2. Kunt u meedelen hoeveel terminals in de gemeenten werden geïnstalleerd? Welke maatregelen zullen worden genomen om de totale geheimhouding inzake de eID in acht te nemen?

Zoals onder punt 1 beschreven, zijn voor een activering van een elektronische identiteits-kaart twee kaartlezers nodig, één bestemd voor de eID van de gemeenteambtenaar en één bestemd voor de elektronische kaart van de burger. Sinds 2002, heeft de FOD Binnenlandse Zaken in totaal 4.891 volledige configuraties in de gemeenten geïnstalleerd (d.w.z. een RA-PC met een kaartlezer voor de gemeenteambtenaar en een kaartlezer voor de burger). In opdracht van de Federale Overheid, werd per RA-PC, minimum één kaartlezer met beveiligd PINPAD voor de burger geïnstalleerd in de gemeenten. Sindsdien werden evenwel RA-PC’s vervangen en konden de gemeenten, ofwel dezelfde kaartlezers installeren ofwel nieuwe/ bijkomende aanschaffen.