Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over o.a. het fiche: Verordening identiteitskaart gebaseerde reiscredentials (Kamerstuk 22112-3981)

Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om
enkele vragen en opmerkingen voor te leggen aan de Minister van Justitie en Veiligheid,
de Minister van Asiel en Migratie, de Staatssecretaris Rechtsbescherming en de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties over de brieven d.d. 22 november 2024
«Fiche: Verordening identiteitskaart gebaseerde reiscredentials» (Kamerstuk 22 112, nr. 3981) en d.d. 22 november 2024 «Fiche: Verordening EU-reisapplicatie» (Kamerstuk 22 112, nr. 3982).

De voorzitter van de commissie,

Wingelaar

Adjunct-griffier van de commissie,

Muller

Inhoudsopgave

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van PVV-fractie

Vragen en opmerkingen van de leden van GL-PvdA-fractie

Vragen en opmerkingen van de leden van VVD-fractie

Vragen en opmerkingen van de leden van NSC-fractie

Vragen en opmerkingen van de leden van SP-fractie

Vragen en opmerkingen van de leden van ChristenUnie-fractie

II Antwoord/reactie van de bewindspersoon

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van de stukken op de agenda van het
schriftelijk overleg over de Fiche Verordening identiteitskaart gebaseerde reiscredentials
(Kamerstuk 22 112-3981) en Fiche Verordening EU-reisapplicatie (Kamerstuk 22 112-3982). Naar aanleiding hiervan hebben deze leden nog enkele vragen.

In de brief «Fiche: Verordening identiteitskaart gebaseerde reiscredentials» van 22 november
2024 lezen de leden van de PVV-fractie dat Nederland kosten maakt bij de implementatie
hiervan. De kosten, verband houdende met de technische inrichting en de aanpassingen
van gemeentebalies waar de Basisregistratie Personen (BRP)-inschrijvingen plaatsvinden,
zijn blijkens het kabinet «onmogelijk te kwantificeren». Echter, in de brief «Start
Uitvoering Digital Travel Credential (DTC) pilot» van 10 januari 2024 lezen deze leden
een geschetste praktijkweergave van de DTC waar met geen woord gerept wordt over technische
inrichtingen en aanpassingen van gemeentebalies. Deze leden vragen hoe deze brieven
zich tot elkaar verhouden en om welke aanpassingen het gaat.

Voorts merken de leden van de PVV-fractie op dat in beide fiches niet gesproken wordt
over de zorgen van de Autoriteit Persoonsgegevens (AP) die middels een brief op 11 juli
2024 richting de Europese Commissie zijn geuit met betrekking tot de wijze waarop
de Nederlandse DTC-pilot is uitgevoerd. Deze leden willen graag weten wat de reactie
is van het kabinet op deze brief.

De leden van de PVV-fractie lezen voorts in de fiches dat naast Nederland ook twee
andere lidstaten een pilot met DTC hebben uitgevoerd. Deze leden vernemen graag welke
lidstaten dit zijn en welke lessen worden getrokken uit deze pilots ten opzichte van
de Nederlandse DTC-pilot. Mede gelet op het feit dat het kabinet voornemens is om
een vervolgpilot te implementeren vernemen zij ook graag in hoeverre deze vervolgpilot
zal verschillen van de Nederlandse DTC-pilot.

Tot slot merken de leden van de PVV-fractie op dat uiterlijk vijf jaar na ingebruikneming
van de EU-reisapplicatie die het reizen met een DTC mogelijk maakt een algemene evaluatie
wordt uitgevoerd naar het gebruik hiervan (ex post). Gezien de ingrijpende wijzigingen
die de EU-reisapplicatie met zich meebrengt vragen wij waarom gekozen is voor deze uiterlijke termijn
van vijf jaar, en niet drie jaar. Ook vernemen deze leden graag waarom er geen ex
ante en ex durante evaluaties zullen plaatsvinden.

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de BNC-Fiches over
de Verordeningen «Identiteitskaart gebaseerde reiscredentials» en «EU-reisapplicatie».
Deze leden staan niet per definitie negatief tegenover beiden commissievoorstellen,
en juichen de inzet van het kabinet voor (cyber)veilige en privacyvriendelijke oplossingen
toe. Wel hebben zij enkele vragen en opmerkingen over de beide fiches en de inzet
van het kabinet.

Fiche verordening identiteitskaart gebaseerde reiscredentials

De leden van de GroenLinks-PvdA-fractie lezen dat uit het voorstel en de impact assessment
onvoldoende duidelijk wordt hoe de beveiliging van de applicatie ingericht wordt.
Deze leden zijn het eens met het kabinet dat de (digitale) veiligheid en goede borging
van het gebruik van het systeem, bijvoorbeeld werkprocessen en personen die toegang
hebben tot het systeem, essentieel zijn voor de weerbaarheid tegen (cybersecurity)
dreigingen. In dit kader willen de leden van de GroenLinks-PvdA-fractie het kabinet
vragen om het belang van strategische autonomie voor het vormgeven van het systeem
bij de Europese Commissie te benadrukken. Deze leden wensen geen afhankelijkheden
te creëren van niet-Europese techbedrijven voor een dergelijk belangrijk systeem.
Het is hun sterke voorkeur dat het geheel zoveel mogelijk in-house door the European
Union Agency for the Operational Management of Large-Scale IT Systems in the Area
of Freedom, Security and Justice (eu-LISA), of indien noodzakelijk, in samenwerking
met Europese techbedrijven, wordt ontwikkeld. Wat is het standpunt van het kabinet
ten aanzien van dit punt en kan zij dit tevens toelichten? Kan de bewindspersoon aangeven
of er niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren
in Europa (indirect) betrokken zijn bij het ontwikkelen van het Digital Travel Credential
(DTC)? Om welke bedrijven gaat het dan? Is het Amerikaanse bedrijf Palantir betrokken
bij de ontwikkeling van de DTC en houdt het zich, voor zover bekend, aan de Europese
wet- en regelgeving? Kan de bewindspersoon ten slotte aangeven of hij het belang van
strategische autonomie voor de ontwikkeling van de DTC bij de Europese Commissie zal
benadrukken?

De leden van de GroenLinks-PvdA-fractie onderschrijven de vragen die het kabinet heeft
ten aanzien van de groei van de DTC tot een manier om veilig documentgegevens te delen
met derden, ook buiten het reisdomein. Deze leden snappen de vragen van het kabinet,
maar zijn tegelijk benieuwd naar de standpunten van het kabinet op dit vlak. Moet
een Unieburger volgens het kabinet zijn DTC kunnen gebruiken om zich bijvoorbeeld
te identificeren op straat? Vindt het kabinet dat dit ook moet kunnen met een op het
paspoort gebaseerde DTC?

De leden van de GroenLinks-PvdA-fractie willen, zoals vaker, benadrukken dat zij enorm
belang hechten aan digitale inclusie. Daarom zijn deze leden verheugd te lezen dat
het kabinet het belangrijk vindt dat het Nederlandse reisdocument, inclusief DTC,
toegankelijk is voor elke Nederlander, ook wie niet digivaardig is. Tegelijk roept
dit ook bij deze leden vragen op over het precieze uitgifteproces, de overdracht en
de opslag. Zij begrijpen dat een mobiele telefoon met Android of iOS een voorwaarde
lijkt te zijn voor de opslag van een DTC. Klopt dit? En kan het kabinet aangeven wat
er precies wordt verstaan onder de uitgifte van een DTC door verstrekkende instanties?
Hoe verschilt dit met de mogelijkheid voor gebruikers om zelf een DTC aan te maken,
waarin wordt voorzien door de verordening EU-reisapplicatie? Indien dit ook voor het
kabinet onduidelijk is, kan het kabinet haar best doen om verheldering te krijgen
bij de Europese Commissie? De leden van de GroenLinks-PvdA-fractie wensen nogmaals
te benadrukken dat zij het van belang vinden dat niet-digivaardige mensen ook een
DTC kunnen aanmaken, dan wel ontvangen van een uitgevende instantie.

De leden van de GroenLinks-PvdA-fractie lezen dat het merendeel van de lidstaten tijdens
de consultatie heeft aangegeven dat de acceptatie en facilitatie van de DTC door lidstaten
verplicht moet worden, en dat het overgrote deel van de lidstaten heeft aangegeven
dat het aanmaken van een DTC met een gemeenschappelijke EU-technische oplossing zou
moeten gebeuren. Kan de bewindspersoon aangeven welke landen in de minderheid vallen
en welke argumenten zij hebben aangedragen voor hun standpunten? Kan de bewindspersoon
aangeven wat zijn standpunt is ten aanzien van deze argumenten?

De leden van de GroenLinks-PvdA-fractie lezen dat voor wie de DTC vrijwillig gebruikt
een smartphone noodzakelijk is, waarbij smartphones aan bepaalde eisen moeten voldoen
om gebruikt te worden. Hierbij is ondersteuning van Android en iOS voorzien. Deze
leden vragen ten aanzien hiervan of met Android wordt bedoeld dat dit Android met
Google Services en Google Apps vereist zal worden. Wordt er ook ondersteuning voorzien
voor Android-besturingssystemen zonder Google Services en Google Apps, zoals GrapheneOS
of LineageOS? Wat is het standpunt van het kabinet ten aanzien van dergelijke vereisten?
Voorts zij of ook alternatieve besturingssystemen, zijnde niet Android of iOS, ondersteund
zullen worden. Denk hierbij aan E/os, Sailfish OS, Ubuntu Touch, PureOS, en andere
besturingssystemen. Vindt het kabinet, net als de leden van de GroenLinks-PvdA-fractie,
dat in het kader van het verminderen van afhankelijkheden van techgiganten en het
bieden van volwaardige alternatieven voor burgers, dergelijke besturingssystemen óók
ondersteund moeten worden – ook als dit extra kosten met zich meebrengt?

Kan de bewindspersoon ook een toelichting geven op de speciale parlementaire procedure
die geldt voor het voorstel van de Raad over de identiteitskaart gebaseerde DTC? Kan
de bewindspersoon in het bijzonder ingaan op welk moment de Kamer geraadpleegd wordt?
Op welke wijze zal het kabinet de Kamer tijdig informeren over een ontwerpbesluit
van de Raad? Op welke wijze kan de Kamer instemmen met het ontwerpbesluit van de Raad?

Fiche verordening EU-reisapplicatie

De leden van de GroenLinks-PvdA-fractie begrijpen dat de identiteit van gebruikers
die een DTC aanmaken in de EU-reisapplicatie geverifieerd dient te worden middels
geautomatiseerde gezichtsvergelijking. Deze leden vragen echter wel hoe dit technisch
in elkaar zal zitten. Is er bijvoorbeeld een verschil tussen het opslaan en vergelijken
van een foto, of het opslaan van een hash op basis van biometrische kenmerken en deze
vergelijken? Kan het kabinet aangeven of het reeds bekend is voor welke technische
oplossing de Europese Commissie wil kiezen? En heeft het kabinet zelf een voorkeur
voor, in het kader van het voorkomen van mogelijk misbruik van gegevens, een technische
oplossing waarbij niet de foto zelf wordt opgeslagen maar het nog steeds mogelijk
is om de vergelijking te maken? Kan de bewindspersoon het standpunt toelichten?

Ten tweede willen de leden van de GroenLinks-PvdA-fractie aandacht vragen voor het
belang van transparantie om het vertrouwen in en de cyberveiligheid van dergelijke
applicaties te vergroten. Deze leden zijn overtuigd tegenstander van «security-through-obscurity».
Kan de bewindspersoon aangeven of het al bekend is of de EU-reisapplicatie een open-source
applicatie zal worden, zodat burgers en beveiligingsonderzoekers de werking kunnen
controleren en eventuele cyberveiligheidsfouten sneller opgemerkt kunnen worden? En
kan de bewindspersoon aangeven wat het standpunt van het kabinet is ten aanzien van
wel of geen open-source applicatie en de redenen daartoe?

De leden van de GroenLinks-PvdA-fractie hebben reeds kennis genomen van de pilot die
op Schiphol heeft gedraaid en de voornemens van het kabinet om een vervolgpilot op
Schiphol te implementeren. Deze leden hebben hier echter wel opmerkingen en vragen
over. Zij vragen of het kabinet kennis heeft genomen van de brief van de Autoriteit
Persoonsgegevens (AP) over de Nederlandse DTC-pilot, waarin ook wordt gewezen op het
advies van de European Data Protection Board (EDPB) aan luchthavenexploitanten en
luchtvaartmaatschappijen om, waar mogelijk, te kiezen voor minder ingrijpende manieren
om passagiersstromen te stroomlijnen? Wat is de appreciatie van het kabinet ten aanzien
van dit advies?

De leden van de GroenLinks-PvdA-fractie maken zich ook zorgen over de vrijwilligheid
van het gebruik van de DTC tijdens de pilot en de vervolgpilot. Deze leden lezen dat
reizigers (veel) sneller door de grenscontrole heen komen bij gebruik van de DTC.
Daarbij is er naar mening van deze leden een overduidelijk nadeel voor toekomstige
reizigers die niet kiezen voor gebruik van een DTC, waardoor de vraag opgeworpen wordt
of het geven van toestemming voor de verwerking van persoonsgegevens ten aanzien van
het gebruik van DTC wel écht vrijwillig is. Dit is in lijn met de kritiek van de AP.
Kan de bewindspersoon hier uitgebreid op reflecteren?

Daarnaast lezen de leden van de GroenLinks-PvdA-fractie dat het standpunt van de AP
is dat de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met
zekerheid kan worden gesteld dat het doel van snellere grenscontroles behaald wordt.
Wat is de appreciatie van het kabinet over dit standpunt? Neemt het kabinet dit standpunt
mee in de onderhandelingen van de raad?

Ook zijn deze leden ervan op de hoogte dat er in andere landen DTC-pilots hebben plaatsgevonden.
In welke andere lidstaten zijn deze pilots uitgevoerd en wat zijn de resultaten geweest
van deze pilots? Heeft het gebruik van DTC in die pilots geleid tot tijdswinst bij
de grenspassages? Wat zijn de ervaringen en standpunten van de persoonsgegevensautoriteiten
in die landen? Is er een verschil in hoeveel reizigers gebruik hebben gemaakt van
de DTC in deze landen ten opzichte van het, naar mening van de AP te kleine, aantal
dat op Schiphol gebruik heeft gemaakt van deze optie?

Voorts zijn de leden van de GroenLinks-PvdA-fractie benieuwd of de Europese Commissie
zich heeft gebaseerd op de resultaten uit de DTC-pilots in het impact assessment bij
de keuze voor het verplichten van lidstaten om DTC’s desgewenst aan burgers te verstrekken.

Deze leden hebben ten aanzien van deze pilot in een eerder stadium vragen opgeworpen
over onbewuste bias bij gezichtsherkenningstechnologie ten aanzien van specifieke
groepen personen, waarbij bijvoorbeeld gezichtsherkenningstechnologie aantoonbaar
slechter werkt bij mensen met een donkere huidskleur (ook wel «dark-skin-bias» genoemd).
In het verslag van het schriftelijk overleg (Kamerstuk 25 764-149) is aangegeven dat gezichtsherkenningssoftware nooit perfect is, net als dat manuele
controles dat niet zijn, en dat met de juiste drempelwaarde een zeer grote nauwkeurigheid
bij het detecteren van fouten, waaronder vals positieve resultaten, te bereiken zou
zijn. Deze leden benadrukken dat zij geen perfectie vereisen of verwachten dat een
systeem honderd procent perfect zal werken. Daar zijn zij niet in geïnteresseerd.
Het punt dat de leden van de GroenLinks-PvdA-fractie wensen te maken is de vraag of
er systematische bias zit in de (resultaten van) de gezichtsherkenningssoftware, waarbij
bepaalde groepen reizigers systematisch en significant vaker te maken heeft met vals-positieven,
dan wel vals-negatieven? De bewindspersonen hebben aangegeven dat binnen de pilot
een vals-negatief ertoe leidde dat iemand geen DTC kan aanmaken en niet mee kon doen
met de pilot. Hoe vaak is dit voorgekomen? Overkomt dit bepaalde groepen vaker dan
andere? Ook werd vermeld dat non-matches in de meeste gevallen terecht waren. Kan
de bewindspersoon aangeven in hoeveel gevallen precies dat niet terecht was? En wat
waren de redenen voor een onterechte non-match? Is hier ook sprake van systematische
bias?

Verder lezen de leden van de GroenLinks-PvdA-fractie in de fiche dat als referentiemateriaal
voor de automatische gezichtsherkenning een tijdelijke «gallery» van gezichtsopnames
wordt gegenereerd. Kan het kabinet aangeven wat hiermee precies wordt bedoeld? Betreft
het hier de gezichtsopname tijdens het aanmaken van de DTC door de reiziger? Of gaat
het om de gezichtsherkenning bij het «tap-and-go» poortje op de luchthaven? Betekent
dit tevens dat er meerdere foto’s gemaakt worden ten einde de gezichtsherkenning uit
te voeren?

Deze leden lezen dat bij de afgifte van een nieuw reisdocument uitgevende instanties
aanvragers op hun verzoek een DTC moeten verstrekken. Tegelijk wordt het voor reizigers
mogelijk om een DTC aan te maken op hun mobiele telefoon in de EU-reisapplicatie.
Kan het kabinet aangeven wat het verschil in beide processen is? Zijn er voor- of
nadelen verbonden aan beide mogelijkheden?

Bij het aanmaken van de DTC worden tevens biometrische gegevens vastgelegd, welke
benodigd is om de controle op de luchthavens voor elkaar te krijgen. Wat is de inzet
van het kabinet voor de bewaartermijn van biometrische gegevens? Wat is de inzet van
andere lidstaten, voor zover bekend? De leden van de GroenLinks-PvdA-fractie vragen
ook op welke wijze gebruikers van de DTC zelf controle houden over de opslag en het
gebruik van gegevens over hun eigen gezichtsopname.

Ten slotte willen de leden van de GroenLinks-PvdA-fractie de bewindspersoon vragen
de Kamer via de Geannoteerde Agenda bij de JBZ-raad en het kwartaaloverzicht van lopende
wetgevingsonderhandelingen regelmatig op de hoogte te houden van de onderhandelingen
op het voorstel van de Raad over de identiteitskaart gebaseerde DTC en over een digitale
reisapplicatie. Kunt u de Kamer informeren zodra er een Raadsakkoord op dit voorstel
in zicht is?

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de fiches
inzake de Verordening identiteitskaart gebaseerde reiscredentials en Verordening EU-reisapplicatie.
Het doel van deze verordeningen is het verhogen van de doelmatigheid en doeltreffendheid
van grenscontroles door middel van het gebruik van digitale mogelijkheden. Er kunnen
dan digitale reiscredentials (DTC) worden gecreëerd, die vervolgens kunnen worden
verzonden naar grensautoriteiten en vervoerders. De DTC kan worden opgeslagen op de
telefoon in de EU-reisapplicatie of in een Europese Digitale identiteitswallet (EDI-wallet).
Deze leden merken op dat zij, gelet op allerlei technische ontwikkelingen, de digitalisering
in dezen zien als een logische vervolgstap. Het kan reizigers helpen sneller grenscontroles
te doorlopen. Dat is een goede zaak. Maar voor deze leden is zeer zeker ook een voorwaarde
dat een en ander veilig en betrouwbaar moet kunnen worden uitgevoerd, gelet op de
vele cybersecuritydreigingen die er zijn. Overigens begrijpen de leden van deze fractie
dat met de DTC en de EU-reisapplicatie er (nog) geen sprake is van een volledig digitaal
reisdocument. Graag willen deze leden het kabinet een aantal vragen over de twee fiches
stellen.

De voorgestelde kabinetsinzet bij de onderhandelingen over de verordeningen is positief.
De leden van de VVD-fractie lezen dat het kabinet tijdens deze onderhandelingen aandacht
zal vragen voor «gegevensbescherming en privacy» en «beveiliging van de applicatie».
Deze leden achten het een goede zaak dat het kabinet zich daarvoor inzet. Zij gaan
ervan uit dat het kabinet de Kamer hierover te zijner tijd zal informeren. De leden
vragen tevens of er een Nederlands woord voor «reiscredentials» gebruikt kan worden,
zodat duidelijker is wat wordt bedoeld.

Het gebruik van de DTC zal vrijwillig zijn. Reizigers zullen dus niet worden verplicht
om van de DTC gebruik te maken. Dat achten de leden van de VVD-fractie een goede zaak.
Ook de eventuele hogere kosten voor de overheden en hogere leges voor reizigers behoeven
aandacht. Met het voorstel krijgen vervoerders de mogelijkheid om op vrijwillige basis
de DTC te integreren in hun bestaande processen. In hoeverre kunnen vervoerders straks
hun klanten verplichten tot het aanmaken van een DTC? Hoe groot is overigens de kans
dat in het algemeen een DTC en de EU-reisapplicatie voor reizigers verplicht worden?
In hoeverre is de DTC ook buiten het reisdomein te gebruiken, bijvoorbeeld door autoverhuurbedrijven?
Zouden die dat straks ook kunnen verplichten? Wat is overigens de verhouding tussen
de DTC en de EDI-wallet? Graag krijgen zij een reactie van het kabinet op de hier
gestelde vragen.

De leden van de VVD-fractie begrijpen dat reizigers die kiezen voor een DTC dat zelf
op afstand kunnen aanmaken, opslaan en delen. Hoe betrouwbaar en hoe veilig is het
als reizigers dat zelf kunnen doen? Zou het in dat kader mogelijk zijn de DTC aan
te maken bij de uitgifte van het paspoort en de EU-reisapplicatie? Zou dat niet veiliger
zijn?

Overigens vragen deze leden hoe het een en ander gaat met de voorgestelde EU-reisapplicatie.
Kunnen reizigers zelf die reisapplicatie installeren op hun telefoon? Of moet daar
een aanvraag voor worden gedaan? Of gaat de aanvraag daarvoor tegelijk met een nieuw
paspoort en de aanvraag van een DTC?

In de periode januari tot en met maart 2024 heeft er op Schiphol een pilot DTC plaatsgevonden.
De AP is kritisch over deze gehouden pilot, zo is gebleken. Hoe beoordeelt het kabinet
het standpunt van de AP in dezen? Deze leden vragen het kabinet ook om een reactie
op de brief d.d. 15 januari 2025 die de AP naar de Kamer heeft gestuurd. Welke andere
EU-landen hebben DTC-pilots uitgevoerd? Wat waren de uitkomsten van die pilots? In
hoeverre was er bij de pilots sprake van tijdwinst bij de grenspassages?

De leden van de VVD-fractie vragen aandacht voor de bedrijven die betrokken zijn dan
wel zullen worden betrokken bij het ontwikkelen van de DTC en de EU-reisapplicatie.
In hoeverre zijn hier bedrijven buiten de Europese Unie, bijvoorbeeld uit China of
de Verenigde Staten, bij betrokken, direct dan wel indirect? Wat deze leden betreft
mogen hier alleen Europese bedrijven aan meewerken. Ook mag er geen sprake zijn van
indirecte betrokkenheid van bedrijven van buiten de Europese Unie. Het gaat hier immers
om identiteitsgegevens van Europese burgers. Graag krijgen deze leden een reactie
van het kabinet.

Daarnaast vragen de leden van de VVD-fractie aandacht voor het tegenhouden van ongewenste
reisbewegingen. Kan het kabinet deze leden geruststellen dat alle verschillende manieren
waarop de «reiscredentials» worden geïmplementeerd toekomstbestendig zullen zijn en
ongewenste reisbewegingen, bijvoorbeeld met betrekking tot migratie, Dublin claimanten
en ongewenstverklaarden, bij de grenscontroles eruit worden gepikt?

Voor het voorstel voor een verordening met betrekking tot de DTC geldt een verzwaarde
parlementaire procedure. Voor de verordening over een digitale reisapplicatie geldt
een andere procedure. De leden van de VVD-fractie vragen het kabinet in te gaan op
het proces om in de Europese Unie tot besluitvorming te komen over de twee onderhavige
verordeningen. Wat zijn de volgende stappen en fases van het proces? Op welke momenten
komen er documenten hierover naar de Kamer, opdat de Kamer betrokken blijft bij dit
gevoelige dossier? Wanneer, zo is de verwachting, worden de ontwerpbesluiten met de
Kamer gedeeld? Deze leden vragen het kabinet de Kamer goed op de hoogte te houden.
Kan de Kamer naast de informatie via de Geannoteerde Agenda bij de JBZ-Raad ook apart
over de twee onderhavige verordeningen worden geïnformeerd?

Vragen en opmerkingen van de leden van de NSC-fractie

De leden van de NSC-fractie hebben kennisgenomen van het voorstel voor de EU-reisapplicatie
en de invoering van de digitale reiscredential (DTC). Deze leden erkennen de voordelen
van digitalisering voor effectievere en tijdbesparendere grenscontroles, maar hebben
ook enkele kritische vragen over de privacy van burgers, de uitvoerbaarheid voor gemeenten
en de mogelijke afhankelijkheid van buitenlandse techbedrijven. In het kader hiervan
hebben zij de volgende vragen en opmerkingen.

Hoe garandeert de bewindspersoon dat het gebruik van de DTC volledig vrijwillig blijft
en reizigers zonder smartphone of digitale vaardigheden niet worden benadeeld bij
grenscontroles? Welke concrete alternatieven worden bijvoorbeeld aangeboden aan deze
groep, zodat zij ook zonder beperkingen gebruik kunnen blijven maken van fysieke reisdocumenten?

Welke specifieke maatregelen neemt u om de veiligheid van gevoelige persoonsgegevens,
zoals biometrische gegevens, te waarborgen en hoe wordt het risico op cyberaanvallen
en datalekken geminimaliseerd, zo vragen de leden van de NSC-fractie? Kunt u bijvoorbeeld
toelichten welke voorzorgsmaatregelen en technische standaarden worden gehanteerd
om te voorkomen dat deze gegevens in verkeerde handen vallen?

Kan de bewindspersoon toelichten hoe wordt gewaarborgd dat burgers inzicht kunnen
krijgen in wie toegang heeft gehad tot hun reisgegevens. Welke mogelijkheden worden
er ingericht om bezwaar te maken wanneer blijkt dat deze gegevens onrechtmatig zijn
geraadpleegd of gebruikt en hoe wordt ervoor gezorgd dat deze procedures eenvoudig
en laagdrempelig blijven?

Kunt u een inschatting geven van de structurele kosten die worden verwacht voor gemeenten
en uitvoerende instanties bij de invoering en verwerking van DTC’s, zo vragen de leden
van de NSC-fractie? Hoe wordt voorkomen dat deze kosten worden doorberekend aan burgers,
bijvoorbeeld via hogere kosten voor reisdocumenten? Welke maatregelen worden getroffen
om ervoor te zorgen dat gemeenten deze taak binnen hun huidige capaciteit kunnen uitvoeren?

Tot slot vragen deze leden: Welke stappen bent u bereid te zetten om te voorkomen
dat Nederland te afhankelijk wordt van buitenlandse technologie bij de implementatie
van de DTC? Hoe blijft nationale autonomie bijvoorbeeld geborgd, met name in het beheer
en de beveiliging van de persoonsgegevens die via deze nieuwe technologie worden verwerkt?

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de SP-fractie hebben het BNC-fiche over de verordening EU-reisapplicatie
en het BNC-fiche over de verordening Identiteitskaart gebaseerde reiscredentials (DTC)
gelezen. Deze leden hebben hier nog enkele vragen over.

De AP geeft aan dat aan de hand van de DTC-pilot die is uitgevoerd niet vast te stellen
valt of de invoering van een DTC leidt tot effectievere en efficiëntere grenscontroles-
en passages. Wat is de appreciatie van het kabinet over het standpunt van de AP dat
de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met zekerheid
kan worden gesteld dat het doel van snellere grenscontrole wordt behaald? En neemt
het kabinet dit standpunt mee in de onderhandelingen van de Raad?

De leden van de SP-fractie maken zich zorgen over de verwerking van bijzondere persoonsgegevens
en biometrische persoonsgegevens. Deze leden vragen of de proportionaliteit en noodzakelijkheid
van de verordening wel genoeg in ogenschouw is genomen. De AP schreef hier het volgende
over: «Het is voor de AP daarnaast onduidelijk of het gebruik van digitale reisdocumenten
door internationale reizigers en nieuwe wetgeving om dit mogelijk te maken toegevoegde
waarde zal hebben ten opzichte van de bestaande verordeningen met betrekking tot reis-
en grensprocessen. De AP heeft daarmee sterke twijfels of voldaan zal worden aan de
vereisten van noodzakelijkheid en proportionaliteit wanneer dergelijke wetgeving ontwikkeld
wordt. Juist ook omdat sprake is van een verwerking van bijzondere persoonsgegevens
die ingrijpt op het fundamentele recht op de bescherming van persoonsgegevens, zoals
neergelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie.
Bij grootschalige gegevensverwerkingen kunnen risico’s van beveiligingsincidenten,
inclusief gegevensverlies nooit volledig worden uitgesloten. Door eventuele datalekken
van biometrische persoonsgegevens kunnen betrokkenen voor een lange tijd nadelige
gevolgen hiervan ondervinden, bijvoorbeeld vanwege (identiteits)fraude.» Graag ontvangen
deze leden een reactie hierop van het kabinet.

Het kabinet heeft aangegeven dat de gebruikte software en hardware voor de DTC-pilot
binnen Europa is ontwikkeld door een Europese organisatie. Het is echter nog niet
duidelijk of ook Europese kantoren van Amerikaanse bedrijven hierbij betrokken zijn
en op die manier invloed kunnen hebben op Europese overheidsdata en persoonlijke gegevens.
Zijn niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren
in Europa (indirect) betrokken bij het ontwikkelen van het digitale paspoort? Zo ja,
om welke bedrijven gaat het?

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van de
fiches over de Verordening identiteitskaart gebaseerde reiscredentials en de Verordening
EU-reisapplicatie. Deze leden hebben nog een aantal vragen.

De leden van de ChristenUnie-fractie zetten vraagtekens bij de effectiviteit en noodzakelijkheid
van de reiscredentials. Dit naar aanleiding van de zorgen van de AP over de pilot
van het Consortium met de Nederlandse Digital Travel Credential (DTC). Ze constateert
dat niet was vast te stellen of de invoering van de DTC zal leiden tot effectievere
controles en grenspassages. Ook stelt de AP dat de pilot onvoldoende representatief
was. Deze leden vragen om een reactie van het kabinet op deze zorgen, zowel op de
brief als geheel als op de punten die de leden aan de orde brengen.

Ook vragen de leden van de ChristenUnie-fractie of het kabinet deze zorgen meeneemt
in de onderhandelingen van de Raad. Voorts vragen deze leden of er, naast de DTC-1
pilot op Schiphol, nog andere DTC-pilots zijn uitgevoerd in andere lidstaten en wat
de resultaten van deze pilots waren. Heeft het gebruik van DTC in alle pilots voor
tijdswinst gezorgd en waren deze pilots representatiever dan de Nederlandse pilot?

Tevens hebben de leden van de ChristenUnie zorgen over de verschillende privacyaspecten
van de DTC en samenhangende verordeningen, waar ook de AP op wijst. Zo introduceert
het voorstel een systeem waarin biometrische gegevens digitaal worden opgeslagen en
gedeeld. Hierbij wordt het risico op datalekken die betrokken kunnen worden bij identiteitsfraude
vergroot. Deze leden vragen hoe de veiligheid van biometrische en persoonlijke gegevens
voldoende wordt gewaarborgd en datalekken en misbruik zoals identiteitsfraude kan
worden voorkomen. Tevens vragen zij wat de gevolgen zouden zijn van een datalek, hoe
groot de risico’s zijn en hoe hierop geacteerd kan worden.

Voortbordurend op het gebruik van biometrische gegevens vragen de leden van de ChristenUnie-fractie
wat de bewaartermijn van biometrische gegevens gaat zijn. Wat is de inzet van het
kabinet hierin, en wat is – voor zover bekend – de inzet van andere lidstaten?

De leden van de ChristenUnie-fractie zijn van mening dat digitale autonomie van groot
belang is. Hierbij is het van belang dat we als Europese Unie niet te afhankelijk
zijn van grootmachten als de VS en China. Deze leden zijn van mening dat in het belang
van onze veiligheid het digitale paspoort of de reiscredentials voor zover mogelijk
ontwikkeld wordt binnen Europa. Zij vragen of niet-Europese techbedrijven (indirect)
betrokken zijn bij het ontwikkelen van de reiscredentials of het digitale paspoort.
Zo ja, om welke bedrijven gaat het? De leden van de ChristenUnie-fractie maken zich
zorgen om de toenemende macht van grote techbedrijven en het ontstaan van digitale
monopolies. Hoe wordt voorkomen dat big tech bij deze voorstellen een dominante rol
krijgen en hoe wordt publieke regie gewaarborgd?

Voorts benadrukken de leden van de ChristenUnie-fractie dat deze verordeningen gevolgen
zullen hebben voor toegankelijkheid en digitale inclusie. Wat is de insteek van het
kabinet hierbij, en hoe kan toegankelijkheid van het digitale paspoort geborgd worden?
Hoe wordt gegarandeerd dat mensen zonder smartphone of digitale vaardigheden niet
worden benadeeld in hun recht op vrij verkeer? Deze leden merken op dat op dit moment
de inzet is om gebruik van het digitale paspoort optioneel en vrijwillig te houden,
maar dat niet zeker is dat dat altijd zal blijven. Een mogelijke ontwikkeling waarin
private partijen gebruik van de Europese Digitale Identiteit kunnen eisen of het gebruik
dermate genormaliseerd is dat de (impliciete) verplichting tot gebruik toch ontstaat
vinden deze leden niet wenselijk. Ziet het kabinet hierin een risico? En hoe wordt
voorkomen dat dit realiteit wordt? Kan er een garantie komen dat de Europese digitale
identiteit volledig vrijwillig blijft, en hoe wordt dit gewaarborgd?

II Antwoord/reactie van de bewindspersoon