Het kabinet wil een centrale database maken met alle persoonsgegevens die mensen aanleveren voor een paspoortaanvraag, zoals vingerafdrukken, handtekeningen en pasfoto’s. Zo’n database met gegevens van heel veel Nederlanders brengt volgens de Autoriteit Persoonsgegevens (AP) grote privacyrisico’s mee die het kabinet niet goed meeweegt.
Ook kan er onduidelijkheid ontstaan over wie verantwoordelijk is voor de veiligheid van de gegevens. De privacytoezichthouder adviseert de plannen grondig aan te passen of in te trekken. Dat staat in een wetgevingsadvies aan staatssecretaris Alexandra van Huffelen van Koninkrijksrelaties en Digitalisering.
Nu slaat de gemeente waar iemand een paspoort of identiteitskaart aanvraagt zelf de benodigde persoonsgegevens in een eigen decentrale database op. Het kabinet wil nu met een wijziging van de Paspoortwet overgaan naar één centrale opslag. Vingerafdrukken zouden in die database worden opgeslagen totdat het identiteitsbewijs is uitgegeven, pasfoto’s en handtekeningen worden langdurig opgeslagen.
De overheid veroorzaakt daarmee een groot risico voor burgers, constateert de AP. Hoewel een centraal systeem misschien beter te beveiligen is, kunnen de gevolgen zeer ernstig zijn. ‘De pasfoto’s en handtekeningen van bijna alle Nederlanders bij elkaar, en dan ook nog eens de vingerafdrukken van de mensen die wachten op een paspoort: dat is een goudmijn voor cybercriminelen’, zegt AP-voorzitter Aleid Wolfsen. ‘In plaats van in te moeten breken in de databases van ruim driehonderd gemeenten, zijn criminelen straks met één hack klaar.’
Andere doeleinden
Biometrische gegevens kunnen bijvoorbeeld worden gebruikt om identiteitsfraude te plegen of mensen te discrimineren. Ook datalekken die bijvoorbeeld ontstaan door een menselijke fout zijn ernstiger bij zo’n centrale database, waarschuwt AP. Er liggen dan volgens de toezichthouder in één keer veel meer gevoelige privégegevens van mensen op straat dan bij een decentrale opslag.
Ook ontstaat met zo’n centrale database het risico dat de overheid die in de toekomst gaat gebruiken voor andere doeleinden dan de uitgifte van reisdocumenten. Wolfsen: ‘Je begeeft je op een hellend vlak, we kunnen met hele kleine stapjes tegelijk in zeer onwenselijke situaties terecht komen. Eerst wil de politie die vingerafdrukken gebruiken voor het oplossen van zeer ernstige misdrijven, daarna ook voor iets minder ernstige misdrijven. Waar eindigt dat? Daar moet je goed over nadenken, voordat je kiest voor een centrale database.’
Het kabinet legt in zijn ogen niet goed genoeg uit waarom de centrale opslag echt noodzakelijk is. Het noemt vooral de voordelen van een centraal systeem, maar de nadelen worden niet goed in kaart gebracht en afgewogen. ‘Je moet echt met hele goede argumenten komen als je zoiets ingrijpends wil’, zegt Wolfsen. ‘Als je die niet hebt, dan moet je het gewoon niet doen.’
Verantwoordelijkheid
Tot slot verdeelt het kabinet de verantwoordelijkheid voor de gegevens op een onduidelijke manier tussen het ministerie van BZK en de gemeenten. Daardoor is voor sommige onderdelen niet duidelijk wie er precies verantwoordelijk zal zijn. ‘Dan kunnen overheden zich achter elkaar verschuilen als er iets misgaat’, stelt AP. De privacywaakhond adviseert de volledige verantwoordelijkheid bij de minister van BZK te leggen.
Het is een lastig probleem. Een centrale DB heeft natuurlijk nadelen omdat iemand met toegang alles kan downloaden. Maar anders heb je 300 plekken waar je de veiligheid van moet garanderen. En ik neem aan dat we ook niet 300 implementaties krijgen; meestal kopen de gemeenten dit soort software in. Dus als de fout in de software zit dan zijn alle gemeenten die die software gebruiken te hacken. Dat is ook het probleem van heterogene systemen, de risico’s bij een inbraak zijn kleiner, maar de attack-surface wordt navenant verhoogd.
Misschien is het daarom handiger om 1 software implementatie te maken en dan een gedistribueerd systeem op te zetten waarvan de administratie bij de gemeente ligt. Natuurlijk is het dan wel handig om ervoor te zorgen er een mogelijkheid is om de gegevens van 1 gemeente naar een andere te transporteren, zodat distributie via mail of andere ouderwetse protocollen niet nodig is.
Bij een gedistribueerde database moeten uiteraard overal dezelfde spelregels afgedwongen worden. Ook hier geldt dat het hele systeem net zo sterk is als de zwakste schakel. Is er een node minder goed beveilig dan kan daar alles lekken. Het klink logisch het centraal te doen en dan in een keer goed. We weten echter allemaal dat er genoeg voorbeelden zijn waar dat is misgegaan. Centraal opslaan betekent ook dat er veel verbindingen zijn en dat je voor elke verbinding authenticatie en permissie levels moeten zijn.
Er is inderdaad geen “single button solution” die alles in een keer doen.
Encryptie lijkt in eerste instantie geen oplossing te zijn. Encryptie “at rest” doet eigenlijk niets. Een hacker leest de data toch via de applicatie. Je hebt er dus niets aan. De inhoud in de tabel versleutelen is geen optie omdat het niet praktisch is. Hoe tel je bijvoorbeeld het aantal patiënt record voor mannen? Los van het feit dan je eigenlijk continue bezig bent aan met encrypt/decrypt.
Er zijn echter wel manier die in de buurt komen. In de eerste instantie wordt niet de hele database versleuteld maar alleen bepaalde kolommen. Aggregeren van bepaalde data is dan nog steeds mogelijk. Daarnaast wordt er een combinatie van symmetrische en asymmetrische encryptie gebruikt. Dit betekent dat de data niet voor iedereen het zelfde wordt versleuteld. Er is dus niet één sleutel voor de hele database. Ook dan ben je er nog steeds niet helemaal. Een hacker kan doodleuk besluiten via een van de afnemers van de data heel langzaam elke record op te vragen. Daarmee hoeft er geen encryptie gebroken te worden. Er zal dus ook nog een soort SIEM nodig zijn om te kijken of het opvraag gedrag nog steeds klopt met wat men van deze data-afnemer klopt.
De vraag is of een database leverancier dit alles zal gaan implementeren of het liever aan de klant over laat.
Een zeer slecht plan omdat de overheid zich keer op keer onbetrouwbaar heeft getoond met dit soort verzamelingen. Gebruikelijke scopecreep waarop Wolfsen wijst is niet ondenkbaar, als argumentatie voor centrale opslag rammelt dan vermoed ik een andere agenda.