Aanwezig namens Cie. BZ Sharon Dijksma PvdA (voorzitter) Hennis Plasschaert VVD Heijnen PvdA Schouw D66 Ortega Christen Unie Elissen PVV Van Raak SP Inleidende woorden Mevrouw de Voorzitter, dank u wel! Mijn naam is Elisabeth de Leeuw, onafhankelijk adviseur IT security. Destijds was ik werkzaam als projectleider voor het onderzoek naar de haalbaarheid van toepassing van biometrie op de reisdocumenten. Ik ben om zo te zeggen last minute geboekt, ik heb daarom helaas geen verklaring voor u kunnen uitschrijven. Overigens is alles wat ik zeg een weergave van mijn persoonlijk gevoel of perceptie. Dat geldt ook voor díe momenten waarop ik dit niet expliciet vermeld. Rondom de toepassing van biometrie zijn veel vragen, enkele belangrijke zijn:

- de performance van de biometrische technologie voor grootschalige toepassingen laat te wensen over, met name ten aanzien van gehandicapten, kinderen of waar sprake is van bijzondere omgevingsomstandigheden

- biometrie is geen key, maar dreigt wel als zodanig te worden gebruikt: namelijk als toegangssleutel tot het legitiem gebruik van een paspoort

Deze vragen hebben, ondanks de voortschrijdende technologie, hun relevantie niet verloren. Aan de toepassing van biometrie op paspoorten zijn enkele principiële bezwaren verbonden, namelijk:

- de technologie dringt binnen in de persoonlijke levenssfeer en veroorzaakt een onbalans in de verhouding tussen burger en overheid; dit is des te sterker zo wanneer biometrische kenmerken voor opsporingsdoeleinden worden opgeslagen in een centrale database

- waar de primaire doelstelling was bestrijding van fraude en dus een lage FAR is deze in de loop der tijd verschoven naar het bieden van comfort en dus een lage FRR: de raison d´etre van de toepassing van biometrie op paspoorten komt hiermee onder druk te staan

- risico´s verbonden aan identiteitsfraude in het collectieve domein worden geexternaliseerd: de burger moet zich verdedigen tegen ´conclusies´ van slecht functionerende technologie

Voorts is niet duidelijk welke risico´s de toepassing van biometrie zelf met zich meebrengt.

Het onderzoek naar de haalbaarheid van de toepassing van biometrie op paspoorten heeft deze en andere vraagstukken niet of niet voldoende weten te beantwoorden. Een onderzoek naar de performance in de grootschalige praktijk en een gedegen risico-analyse ontbreken en er is onvoldoende of niet afdoende aandacht geschonken aan de beveiliging van de infrastructuur. Mijn advies in deze aan de beleidsmakers luidt alsvolgt. Luister naar de stem van experts, in het bijzonder degenen die kennis en inzicht hebben op het raakvlak van technologie en maatschappelijke vraagstukken.

Beantwoording van vragen VRAAG 1 Hennis-Plasschaert Hoe heeft u de gang van zaken bij BZK BPR zelf ervaren, tegen welke knelpunten bent u aangelopen, hoe werd er om gegaan met kritische opmerkingen en afwijkende meningen? VRAAG 2 Schouw Wat vindt u van de conclusies van het rapport Happy Landings van de Wetenschappelijke Raad voor het Regeringsbeleid? ANTWOORD OP VRAAG 1 EN 2 Het Agentschap BPR heeft zich een gesloten vesting, welhaast een secte, getoond. Wie daarmee van buiten af contact kreeg kon niet vermoeden wat er onder het polderbrede tapijt werd verborgen: 1. Het onderzoek is van meet af aan gedreven door politieke wenselijkheid: Nederland gidsland, Europese wil is wet. En: biometrie is een panacee tegen fraude, met name in het domein van de sociale zekerheid. Dat in combinatie met het comfort van de (lucht)reiziger dat gediend moet worden. Dit heeft geleid tot een cultuur van niet-denken-maar-doen. Vragen naar zin en kwaliteit en communiceren daarover, vooral naar buiten en naar boven, werden taboe verklaard. De studie naar de haalbaalbaarheid van de toepassing van biometrie op de paspoorten verwerd zo tot een studie van de haalbaarheid. 2. Enkele externe adviesbureaus, helaas niet het meest ter zake kundig, waren boven alle kritiek verheven en vervulde een sleutelrol in het onderzoek naar de performance van de technologie. Enkele andere, kwalitatief hoogwaardige adviesbureau functioneerden als speelbal van eerder genoemde eerste adviesbureau´s. Mijn eigen rol viel aanvankelijk samen met die van projectleider. Al snel werd ik tot persona non grata bevorderd. Demotie en verandering van taakstelling werd gevolgd door pseudo non-actiefstelling en dreiging met ontslag. 3. De communicatie met het centrale ministerie verliep via en werd volledig gecontroleerd door de directeur. Na één opmerking mijnerzijds aangaande vragen inzake de performance van de technologie, bij vergadering van de stuurgroep ben ik voorgoed uit dat gremium verwijderd. Notities voor de Directeur Generaal, in mijn veld van expertise, werden door de directeur aanvankelijk herschreven en in een latere fase aan mij gedicteerd. 4. Binnen het Ministerie bevond ik mij in een vrijwel volkomen isolement, op een enkel klein gebaar van of contact met een enkele (meest externe) collega na. Een vertrouwenspersoon integriteit tenslotte waarbij ik tenslotte een toevlucht zocht verklaarde mijn verhaal uit incompabilité des humeurs, verstoorde arbeidsrelatie en wat dies meer zij. In mijn bijzijn verklaarde hij plechtig dat niemand, maar dan ook niemand, buiten de kamer waar het gesprek plaatsvond, hier ooit over zou horen.

5. In het kader van mijn studie aan TIAS Nimbas Business School heb ik een scriptie geschreven over de vraagstukken die in het kader van de haalbaarheidsstudie bleven liggen. Door enkele beroepsverenigingen is deze scriptie bekroond met de Joop Bautz Security Award. Het Agentschap heeft nooit belangstelling voor deze scriptie getoond. En van het feit dat ik met deze scriptie een prijs had gewonnen gingen bij mijn latere manager ´de nekharen overeind staan´. Ik heb nooit echt begrepen waarom. 6. Na vier jaar ambtenaarschap bij het Ministerie heb ik mijn loopbaan voortgezet als consultant bij een commercieel bureau. Mijn hart ligt overigens nog steeds bij de bijzonder boeiende vragen waar het overheidsdomein ons voor stelt. VRAAG 3 Heijnen Wat vindt u van de verschuivende doelstelling, van verificatie naar identificatie? Is dit noodzakelijk, zijn er alternatieven? ANTWOORD OP VRAAG 3 Nee, deze verschuiving is niet nodig. Dat wil zeggen, niet haalbaar. We hebben gezien dat bij 1 op 1 verificatie van biometrische kenmerken de foutmarges hoog kunnen oplopen. Dit is des te sterker zo wanneer we 1 op N zoekopdrachten naar biometrische kenmerken lanceren. De kans dat dit fout gaat is zeer groot en de schade voor degenen die door de technologie ´gematcht´ worden is aanzienlijk. Immers, meestal zijn we niet op zoek naar Pietje Puk of de koninging, meestal gaat het om mensen die we ergens van verdenken, die iets op hun kerfstok hebben. VRAAG 4 Heijnen Biometrie is geen key. Kennelijk is de technologie nog niet volwassen. Kunt u dit nader toelichten? VRAAG 5 Elissen Biometrie is geen key maar wordt kennelijk wel als zodanig gebruikt of misbruikt. Kunt u dit nader toelichten? ANTWOORD OP VRAAG 4 EN 5 Het ligt niet zozeer aan de stand van de technologie maar het het beveiligingstechnische concept van een key. Een echte key voldoet aan de volgende eisen: zij is uniek (uw buurman heeft een andere huissleutel dan u), zij is vervangbaar (als uw sleutel is vermist of gestolen gaat u naar de winkel voor een nieuwe sleutel met bijpassend slot), zij is stabiel (u wilt morgen óók uw voordeur openmaken met dezelfde sleutel) en zij is willekeurig (ik kan niet op

grond van uw blauwe ogen en blond haar type en vorm van uw sleutel voorspellen. Biometrische kenmerken voldoen aan geen van deze vier criteria en zijn dus geen key in de logische zin van het woord. VRAAG 6 Ortega Kunt u toelichten hoe het zit met de positie van bijzondere groepen in het kader van grootschalige toepassing van biometrie? ANTWOORD OP VRAAG 6 Het is bekend dat kinderen, ouderen, leiders aan bepaalde ziekten en bepaalde beroepsgroepen verhoudingsgewijs veel problemen ondervinden bij het afnemen en verifiëren van biometrische kenmerken. De onbalans tussen overheid en burger en de omkering van bewijslast waar ik eerder over sprak geldt daarom in het bijzonder voor deze groepen. VRAAG 7 Ortega Wat is uw mening over centrale versus locale opslag van biometrische gegevens? ANTWOORD OP VRAAG 7 Ik heb de discussie zojuist over grote versus kleine gemeenten met belangstelling gevolgd. Ik woon zelf in Amsterdam en zou het niet willen meemaken dat mensen op Schiermonnikoog beter af zijn qua privacy dan ik. Daarom, ik denk even hardop, zou het beter zijn om gebruik te one way encryption dan wel cryptographic hash, zoals dat ook goed gebruik is met opslag van passwords: deze kunnen aan de hand van een hashcode wel geverifieerd worden maar kunnen hieruit niet worden gereconstrueerd.

Slotopmerkingen Ik zou graag willen benadrukken, met respect en erkenning voor wat er eerder over Duitsland is gezegd, dat het van belang is in deze kwestie ook naar het buitenland te kijken. In het Verenigd Koninkrijk zijn twee interessante studies verricht door respectievelijk ATOS en London School of Economics. Deze bevestigen wat ik in mijn thesis op behoudende wijze voorspelde, namelijk dat de foutpercentages veel hoger liggen dan verwacht. Dit is consistent met de resultaten van een praktijktoets op 7 november 2009 ingesteld door de NVVB bij een gemeente (448 deelnemers, foutpercentage 21%). Verder wordt er gesproken van een wapenwedloop inzake beveiliging en fraudebestrijding. De vraag is, kunnen we deze wapenwedloop winnen? En kunnen we winnen met het wapen dat we kiezen, namelijk biometrie? Tenslotte ben ik van mening dat we ons op het meest fundamentele niveau moeten afvragen welke koers we varen. In laatste instantie draait het bij identiteitsmanagement om een hoognodig vertrouwen, in elkaar en in de samenleving. We zouden ons moeten afvragen of een wapenwedloop de beste wijze is om deze doelstelling van vertrouwen te realiseren, of dat er andere wegen en middelen zijn om dit vertrouwen te herstellen of zelfs te creeeren. In de pers http://www.tweedekamer.nl/vergaderingen/commissievergaderingen/vandaag/details.jsp?parlisnummer=2011A01516&dayofweek=Woensdag&his=0 http://news.google.com/news/story?pz=1&cf=all&ned=nl_nl&hl=nl&ncl=d0KsiIL-QhQzIlMVROr-o1PMP9D2M&cf=all&scoring=d