Nog even over dat massale data vergaren in het kader van ‘je hebt toch niets te verbergen’ (spoiler: wel dus). Heb je ooit voor de Amerikaanse overheid gewerkt? Dikke kans dat je vingerafdrukken dan nu in de verkeerde handen zijn beland. In Juni werd een database van de Office of Personell Management gehacked, waarmee de persoonsgegevens van 21,5 miljoen werknemers en voormalig werknemers van de Amerikaanse overheid zijn gelekt.
Nu is de schatting van het aantal vingerafdrukken dat daarbij gestolen is aangepast van 1,1 miljoen naar 5,6 miljoen. Wordt het niet eens tijd om te gaan kijken naar de veiligheid van onze eigen gegevens die hier, daar en overal in databases door onze eigen overheid worden bijgehouden? Tenslotte weten we dat onze overheid en ICT ook niet bepaald een model vormen voor succesverhalen.
Nou hoeven we ons misschien niet meteen zorgen te maken over onze vingerafdrukken. Vorig jaar werd namelijk bepaald dat de overheid die niet in een centrale database mag opslaan. Die rechtszaak was overigens geen paranoïde preventie door Privacy First, het afnemen van vingerafdrukken voor het paspoort en de ID-kaart had wel degelijk tot doel om een landelijke opslag van vingerdrukken te creëren. Ook nadat toenmalig Minister Donner had besloten dat de techniek er nog niet klaar voor was. Het is ook niet voor het eerst dat de rechter een overheidsinstelling terugfluit omdat ze wel heel erg makkelijk mogen grasduinen in databases die daar niet voor bedoeld zijn. Daarbij is de procedure voor vingerafdrukken in paspoorten erg schimmig maar worden uw vingerafdrukken dus minimaal bij de gemeente en Sagem Identification verwerkt – en dus op z’n minst tijdelijk opgeslagen. Sagem Identification werd trouwens in 2012 nog veroordeeld tot een half miljoen boete voor actieve corruptie in Nigeria. Saillant detail: het OM had geen veroordeling geëist tegen het Franse Safran (Sagem), dat voor 30% eigendom is van de Franse staat.
De gemeentes zelf werden overigens tot voor kort regelmatig aan verplichte audits onderworpen met betrekking tot de veiligheid van GBA-gegevens. Omdat dat systeem goed werkte, is dat nu ‘vanzelfsprekend’ in 2014 vervangen door een zelfevaluatie, waar het woord ‘vingerafdruk’ niet in voorkomt. Al met al is er heel weinig informatie over hoe er met de geregistreerde vingerafdrukken omgegaan wordt.
Hetzelfde geldt voor het uitlezen van vingerafdrukken. Dat gaat via een certificaatbeleid, waarbij beveiliging en controleerbaarheid van grote waarde zijn. Minister Plasterk schreef over dit certificaatbeleid, dat door de Europese Commissie wordt vastgelegd, het volgende:
Nederland heeft ingezet op een zo hoog mogelijk niveau van beveiliging voor het kunnen en mogen uitlezen van de vingerafdrukken uit de Nederlandse reisdocumenten. Uiteraard zijn ook de andere lidstaten er van overtuigd dat beveiliging essentieel is. Het vinden van overeenstemming over de formulering van de eisen aan de beveiliging in het certificaatbeleid vergt echter tijd. Nederland heeft zich bereid getoond om die tijd te nemen. De andere lidstaten wilden de vaststelling van het certificaatbeleid daarvoor echter niet uitstellen.
Daarbij is het van belang dat het certificaatbeleid op een eenduidige wijze aangeeft hoe de lidstaten uitvoering moeten geven aan de audit die moet worden uitgevoerd om vast te stellen of aan het certificaatbeleid wordt voldaan. De inzet vanuit Nederland is geweest dat de lidstaten elkaar volledig inzicht geven in de resultaten van de audit. Dit punt heeft helaas geen bijval van de andere lidstaten gekregen
Het certificaatbeleid eist wel dat er niets gelogd of doorgestuurd wordt en dat vingerafdrukken direct na vergelijking worden verwijderd, maar daarvoor bent u dus afhankelijk van hoe goed dit beleid wordt nageleefd in het EU-land naar keuze, Groot-Britannië uitgezonderd (want die doet niet mee). Hoe veilig uw vingerafdrukken dus zijn? Dat kan waarschijnlijk niemand u vertellen.
Mooi stukje. Vingerafdrukken zijn overigens te repliceren met een 3D printer.