De AP waarschuwt de Nederlandse regering tegen het centraal opslaan van paspoortgegevens. Door een wijziging van de Paspoortwet wordt straks alle informatie over paspoortaanvragen, waaronder vingerafdrukken, centraal bewaard. Dat brengt veel risico's met zich mee.
De Nederlandse privacytoezichthouder heeft een brief geschreven aan staatssecretaris Alexandra van Huffelen van Digitalisering. De brief gaat over een voorgenomen wijziging van de Paspoortwet met betrekking tot het centraal opslaan van de gegevens die burgers achterlaten bij het aanvragen van een identiteitsbewijs. Gemeenten slaan gegevens zoals pasfoto's, handtekeningen en vingerafdrukken nu zelf op. In de nieuwe Paspoortwet wil de overheid al die gegevens centraal op één plek opslaan. De vingerafdrukken worden direct verwijderd als het paspoort is uitgegeven, maar de andere gegevens blijven langer bewaard.
Volgens de overheid heeft dat verschillende voordelen, ook op het gebied van veiligheid. Zo kan fraude makkelijker worden gespot en worden aanvragen niet meer door gemeenten onderling uitgewisseld via e-mail. Dat gebeurt nu nog wel vaak, omdat er geen koppeling is tussen de verschillende systemen. Ook zou de vergelijking van pasfoto's betrouwbaarder worden.
De Autoriteit Persoonsgegevens waarschuwt nu echter voor het systeem, juist vanwege de veiligheid. Door de centrale opslag zou de impact van een datalek juist veel groter zijn. "Hoewel een centraal systeem misschien beter te beveiligen is, kunnen de gevolgen zeer ernstig zijn", waarschuwt de toezichthouder, die de centrale opslag 'een goudmijn voor cybercriminelen' noemt. "In plaats van in te moeten breken in de databases van ruim driehonderd gemeenten, zijn criminelen straks met één hack klaar", zegt AP-voorzitter Aleid Wolfsen. Vooral het feit dat het gaat om biometrische gegevens vindt de AP kwalijk.
Daarnaast is de noodzaak van de centrale opslag niet goed duidelijk gemaakt, zegt de AP. De voordelen worden wel genoemd, maar het kabinet zou de nadelen niet goed hebben afgewogen en zelfs maar voor ogen hebben. De AP zegt verder dat niet duidelijk is wie verantwoordelijk blijft voor de gegevens. Op 'sommige onderdelen' is namelijk niet helder of dat het ministerie van Binnenlandse Zaken is, of juist de gemeente. De AP raadt de overheid aan de volledige verantwoordelijkheid bij het ministerie te leggen.
De toezichthouder waarschuwt daarnaast voor een 'hellend vlak'. De AP vreest dat de overheid een dergelijke database in de toekomst voor 'andere doeleinden' kan gebruiken. Zo zou bijvoorbeeld de politie de vingerafdrukgegevens kunnen gaan gebruiken bij kleine vergrijpen.
Een waarschuwing van de AP heeft juridisch geen directe waarde. Het kabinet kan dat advies overnemen, maar ook naast zich neerleggen. In theorie kan de AP in dat geval een onderzoek beginnen en mogelijk de regering dwingen de wet te veranderen. Ook kan de AP een boete geven als de wet in strijd is met de AVG. Zo'n overtreding kan bestaan uit verschillende van de kritiekpunten die de AP nu noemt, waaronder een slechte risicoafweging.
Update 12.35: in het artikel is toegevoegd dat vingerafdrukken worden verwijderd op het moment dat een paspoort wordt uitgegeven.