Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over o.a. het fiche: Verordening identiteitskaart gebaseerde reiscredentials (Kamerstuk 22112-3981)
22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie
Nr. 4038
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 23 april 2025
De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd
aan de Minister van Asiel en Migratie en de Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties over de brieven van 22 november 2024 over het Fiche: Verordening
identiteitskaart gebaseerde reiscredentials (Kamerstuk 22 112, nr. 3981) en over het Fiche: Verordening EU-reisapplicatie» (Kamerstuk 22 112, nr. 3982).
De vragen en opmerkingen zijn op 23 januari 2025 aan de Minister van Asiel en Migratie
en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij
brief van 23 april 2025 zijn de vragen beantwoord.
De voorzitter van de commissie, Wingelaar
Adjunct-griffier van de commissie, Muller
Inhoudsopgave
I
Vragen en opmerkingen vanuit de fracties en antwoorden van de bewindspersonen
2
Vragen en opmerkingen inzake kosten uitgifte DTC (PVV, NSC)
2
Vragen en opmerkingen inzake de brief van de Autoriteit Persoonsgegevens (AP) (PVV,
GroenLinks-PvdA, VVD, SP)
3
Vragen en opmerkingen inzake pilots van andere lidstaten (PVV, GroenLinks-PvdA, ChristenUnie,
VVD)
6
Vragen en opmerkingen inzake digitale strategische autonomie (GroenLinks-PvdA, VVD,
NSC, SP, ChristenUnie)
7
Vragen en opmerkingen inzake de digitale beveiliging (GroenLinks-PvdA)
10
Vragen en opmerkingen inzake digitale inclusie (GroenLinks-PvdA, ChristenUnie) Vragen
en opmerkingen inzake het gebruik van biometrie (GroenLinks-PvdA, ChristenUnie, NSC,
SP)
11
Vragen en opmerkingen inzake een mogelijke bias in automatische gezichtsvergelijking
(GroenLinks-PvdA)
14
Vragen en opmerkingen inzake de uitgifte van DTC (GroenLinks-PvdA, VVD)
15
Vragen en opmerkingen inzake het vrijwillig gebruik van DTC (GroenLinks-PvdA, VVD,
NSC, ChristenUnie)
16
Vragen en opmerkingen inzake de parlementaire procedure en het informeren van de Kamer
(GroenLinks-PvdA, VVD)
18
Overige vragen en opmerkingen van de leden van de PVV-fractie
20
Overige vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie
20
Overige vragen en opmerkingen van de leden van de VVD-fractie
20
Overige vragen en opmerkingen van de leden van de NSC-fractie
21
I Vragen en opmerkingen vanuit de fracties en antwoorden van de bewindspersonen
Vragen en opmerkingen inzake kosten uitgifte DTC (PVV, NSC)
In de brief «Fiche: Verordening identiteitskaart gebaseerde reiscredentials» van 22 november
2024 lezen de leden van de PVV-fractie dat Nederland kosten maakt bij de implementatie
hiervan. De kosten, verband houdende met de technische inrichting en de aanpassingen
van gemeentebalies waar de Basisregistratie Personen (BRP)-inschrijvingen plaatsvinden,
zijn blijkens het kabinet «onmogelijk te kwantificeren». Echter, in de brief «Start
Uitvoering Digital Travel Credential (DTC) pilot» van 10 januari 2024 lezen deze leden
een geschetste praktijkweergave van de DTC waar met geen woord gerept wordt over technische
inrichtingen en aanpassingen van gemeentebalies. Deze leden vragen hoe deze brieven
zich tot elkaar verhouden en om welke aanpassingen het gaat.
De leden van de NSC-fractie vragen of een inschatting gegeven kan worden van de verwachtte
structurele kosten voor gemeenten en uitvoerende instanties bij de invoering en verwerking
van DTC’s, zo vragen de leden van de NSC-fractie? Hoe wordt voorkomen dat deze kosten
worden doorberekend aan burgers, bijvoorbeeld via hogere kosten voor reisdocumenten?
Welke maatregelen worden getroffen om ervoor te zorgen dat gemeenten deze taak binnen
hun huidige capaciteit kunnen uitvoeren?
Antwoord
In de Nederlandse pilot konden deelnemers zelfstandig een DTC aanmaken via de applicatie,
zonder tussenkomst van een uitgevende instantie. In de conceptverordeningen worden
drie opties voorgesteld voor het verkrijgen van een DTC gebaseerd op een identiteitskaart
of reisdocument van een lidstaat van de EU. Documenthouders moeten bij het aanvragen
van een nieuwe identiteitskaart of reisdocument een DTC kunnen krijgen. Daarnaast
moeten houders van deze documenten een DTC gebaseerd op een reeds verstrekt document
verstrekt kunnen krijgen. Tot slot moeten houders van een identiteitskaart of reisdocument
zelfstandig een DTC kunnen aanmaken in de EU-reisapplicatie.
De kosten voor de implementatie en uitvoering van de uitgifte van een DTC bij een
nieuwe documentaanvraag of reeds verstrekt document zijn momenteel niet te kwantificeren.
Het kabinet zet zich in voor een effectief maar eenvoudig proces met zo min mogelijk
consequenties voor uitgevende instanties zoals gemeenten. Het spreekt echter voor
zich dat een dergelijk proces met kosten gepaard gaat, waarbij het uitgangspunt van
het paspoortlegesstelsel kostendekkendheid is. Het kabinet vraagt om verduidelijking
bij de Commissie. Het kabinet wil voorkomen dat voor de uitgifte van een DTC op locatie
ingrijpende nieuwe uitvoeringsprocessen moeten worden ingericht.
De PVV-leden verwijzen ook naar een passage in het fiche over BRP-inschrijvingen.
Inmiddels is duidelijk dat beide voorstellen alleen het passeren van de Schengenbuitengrenzen
met een DTC behelzen. Kosten om BRP-inschrijvingen door middel van DTC te faciliteren,
of andere kosten gerelateerd aan acceptatie van een DTC buiten het grens- en reisdomein
zijn dan ook niet langer voorzien.
Vragen en opmerkingen inzake de brief van de Autoriteit Persoonsgegevens (AP) (PVV,
GroenLinks-PvdA, VVD, SP)
Voorts merken de leden van de PVV-fractie op dat in beide fiches niet gesproken wordt
over de zorgen van de Autoriteit Persoonsgegevens (AP) die middels een brief op 11 juli
2024 richting de Europese Commissie zijn geuit met betrekking tot de wijze waarop
de Nederlandse DTC-pilot is uitgevoerd. Deze leden willen graag weten wat de reactie
is van het kabinet op deze brief.
De leden van de GroenLinks-PvdA-fractie hebben reeds kennis genomen van de pilot die
op Schiphol heeft gedraaid en de voornemens van het kabinet om een vervolgpilot op
Schiphol te implementeren. Deze leden hebben hier echter wel opmerkingen en vragen
over. Zij vragen of het kabinet kennis heeft genomen van de brief van de Autoriteit
Persoonsgegevens (AP) over de Nederlandse DTC-pilot, waarin ook wordt gewezen op het
advies van de European Data Protection Board (EDPB) aan luchthavenexploitanten en
luchtvaartmaatschappijen om, waar mogelijk, te kiezen voor minder ingrijpende manieren
om passagiersstromen te stroomlijnen? Wat is de appreciatie van het kabinet ten aanzien
van dit advies?
Daarnaast lezen de leden van de GroenLinks-PvdA-fractie dat het standpunt van de AP
is dat de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met
zekerheid kan worden gesteld dat het doel van snellere grenscontroles behaald wordt.
Wat is de appreciatie van het kabinet over dit standpunt? Neemt het kabinet dit standpunt
mee in de onderhandelingen van de raad?
De leden van de VVD hebben de volgende vragen. In de periode januari tot en met maart
2024 heeft er op Schiphol een pilot DTC plaatsgevonden. De AP is kritisch over deze
gehouden pilot, zo is gebleken. Hoe beoordeelt het kabinet het standpunt van de AP
in dezen? Deze leden vragen het kabinet ook om een reactie op de brief d.d. 1 januari
2025 die de AP naar de Kamer heeft gestuurd.
De leden van de SP-fractie maken zich zorgen over de verwerking van bijzondere persoonsgegevens
en biometrische persoonsgegevens. Deze leden vragen of de proportionaliteit en noodzakelijkheid
van de verordening wel genoeg in ogenschouw is genomen. De AP schreef hier het volgende
over: «Het is voor de AP daarnaast onduidelijk of het gebruik van digitale reisdocumenten
door internationale reizigers en nieuwe wetgeving om dit mogelijk te maken toegevoegde
waarde zal hebben ten opzichte van de bestaande verordeningen met betrekking tot reis-
en grensprocessen. De AP heeft daarmee sterke twijfels of voldaan zal worden aan de
vereisten van noodzakelijkheid en proportionaliteit wanneer dergelijke wetgeving ontwikkeld
wordt. Juist ook omdat sprake is van een verwerking van bijzondere persoonsgegevens
die ingrijpt op het fundamentele recht op de bescherming van persoonsgegevens, zoals
neergelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie.
De AP geeft aan dat aan de hand van de DTC-pilot die is uitgevoerd niet vast te stellen
valt of de invoering van een DTC leidt tot effectievere en efficiëntere grenscontroles-
en passages. Wat is de appreciatie van het kabinet over het standpunt van de AP dat
de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met zekerheid
kan worden gesteld dat het doel van snellere grenscontrole wordt behaald? En neemt
het kabinet dit standpunt mee in de onderhandelingen van de Raad?
De leden van de ChristenUnie-fractie zetten vraagtekens bij de effectiviteit en noodzakelijkheid
van de reiscredentials. Dit naar aanleiding van de zorgen van de AP over de pilot
van het Consortium met de Nederlandse Digital Travel Credential (DTC). Ze constateert
dat niet was vast te stellen of de invoering van de DTC zal leiden tot effectievere
controles en grenspassages. Ook stelt de AP dat de pilot onvoldoende representatief
was. Deze leden vragen om een reactie van het kabinet op deze zorgen, zowel op de
brief als geheel als op de punten die de leden aan de orde brengen. Voorts vragen
deze leden of het kabinet deze zorgen meeneemt in de onderhandelingen van de Raad.
Antwoord
Op 11 juli 2024 heeft de Autoriteit Persoonsgegevens (AP) een brief gestuurd aan de
Europese Commissie naar aanleiding van de uitgevoerde pilot om haar beschouwingen
te delen in relatie tot de gegevensbescherming en toekomstige wetgeving over digitale
reisdocumenten. De AP is van mening dat de pilot, door het beperkt aantal deelnemers,
onvoldoende representatief was om vast te stellen of het gebruik van digitale reiscredentials
daadwerkelijk leidt tot effectievere en efficiëntere grenscontroleprocessen.
Het kabinet heeft kennisgenomen van de brief van de AP en deze met de AP besproken,
maar deelt het standpunt van de AP niet. De eerste DTC-pilot was veelbelovend: waar
de gemiddelde grenspassage middels het geautomatiseerde grenscontrolesysteem (Self
Service Passport Controlsystem / SSPC) 30 seconden bedraagt, werd met het DTC een
gemiddelde grenspassagetijd van 14 seconden behaald, met een snelste passage van slechts
6 seconden. Dit levert voordelen op voor zowel de luchthavens, de grensautoriteit
als de reizigers zelf. De resultaten van de pilot laten dus zien dat het gebruik van
het DTC een aanzienlijke versnelling van het grensproces mogelijk maakt1. In een verderop toegelichte vervolgpilot wil het kabinet met een grotere doelgroep
deze resultaten bestendigen.
De verwerking van gegevens wordt proportioneel geacht. De verschillende stappen in
het grenscontroleproces blijven inhoudelijk ongewijzigd, alleen de manier en het moment
waarop deze stappen worden uitgevoerd veranderen met een DTC.
Wereldwijd neemt het aantal reizigers en daarmee ook de druk op de grensprocessen
toe. Vooral voor grensdoorlaatposten met hoge reizigersaantallen, zoals Schiphol,
waar de capaciteit van grenswachters beperkt is en de infrastructuur op de luchthaven
krap, zijn innovatie en digitalisering van groot belang. Door gebruik te maken van
een DTC kan de verwerkingstijd van een reiziger bij een automatische grenspoort teruggebracht
worden. Hierdoor is de doorstroom van reizigers groter. Daarnaast kan capaciteit effectief
worden ingezet en de veiligheid worden verhoogd. Bovendien waarderen reizigers ook
efficiënte en frictieloze processen tijdens hun reis. Zo heeft de terugkoppeling van
pilotdeelnemers en onderzoek aangetoond dat reizigers positief staan tegenover het
gebruik van een DTC voor het faciliteren van de reis2.
De meerwaarde van het gebruik wordt ook gezien door de Europese Commissie, vandaar
dat zij daartoe twee voorstellen hebben gepubliceerd.
Daarbij is het beperkte aantal deelnemers in de DTC-pilot niet tegenstrijdig met het
doel van de pilot, namelijk om het gebruik van DTC in praktijk te beproeven. Ook met
het beperkt aantal deelnemers is de mogelijke efficiëncywinst bij grenscontroles en
grenspassage duidelijk zichtbaar. Het beperkte aantal deelnemers was een direct gevolg
van de korte implementatieperiode, evenals de specifieke doelgroep (bepaalde nationaliteiten
en vluchten). Voor de pilot is gekozen voor een kleinschalige en voorzichtige benadering
passend bij de doelstelling van de pilot: het toetsen van de technologie in de praktijk
en het onderzoeken of het gebruik van digitale reiscredentials bijdraagt aan effectievere
en efficiëntere grenscontroles, als input voor de impact assessment voor de conceptverordening.
Voor wat betreft de beveiliging van gegevens van deelnemers golden de strenge eisen
van het Defensie Beveiligingsbeleid (DBB)3. De bewaartermijn en toegankelijkheid van data was beperkt tot het strikt minimale.
De AP heeft in haar brief aangegeven dat het voor haar onduidelijk is wat de toegevoegde
waarde van DTC is ten opzichte van de bestaande verordeningen. De AP doelt hier op
bestaande verordeningen met betrekking tot reis- en grensprocessen zoals het Entry
/ Exit System (EES)4 en European Travel Information and Authorization System (ETIAS)5. Deze bestaande verordeningen zijn nauw verbonden met het grensbeheer, maar dienen
andere doelen. Zij hebben als primair doel het vergroten van de veiligheid van de
Schengenzone en het aanscherpen van grenscontroles. Dit gebeurt met name door de registraties
van de EU-lidstaten met een gezamenlijke buitengrens rondom grenspassage te verbeteren.
DTC is een doorontwikkeling van reisdocumenten en identiteitskaarten. Het betreft
een internationale ontwikkeling. Grensautoriteiten worden met behulp van het DTC in
staat gesteld de authenticiteit en integriteit van reisdocumenten en identiteitskaarten
te verifiëren voordat reizigers de grens bereiken. Dit faciliteert het reizigersproces,
een effectievere inzet van de grenswachter en minimaliseert de wachttijden aan de
grens. Bovendien kan een DTC de bestaande verordeningen zoals het EES en ETIAS juist
ondersteunen door vooraf betrouwbare informatie te verzamelen, wat verder bijdraagt
aan een effectiever en efficiënter reisproces en de versterking van het grensbeheer.
De leden van de GroenLinks-PvdA fractie vragen of het kabinet kennis heeft genomen
van de opinie van de Europese toezichthouder voor gegevensbescherming, de European
Data Protection Board (EDPB) over het gebruik van gezichtsherkenningstechnologieën
door luchthavens en luchtvaartmaatschappijen.
Antwoord
Het kabinet heeft kennisgenomen van de opinie van de Europese toezichthouder voor
gegevensbescherming, de European Data Protection Board (EDPB), over het gebruik van
gezichtsherkenningstechnologieën door luchthavens en luchtvaartmaatschappijen, maar
meent dat deze niet rechtstreeks van toepassing is op de DTC-pilot. De opinie is expliciet
niet gericht op de uitvoering van grenscontroles op luchthavens, terwijl de pilot
zich daar juist primair op richtte. De EDPB geeft aan dat het gebruik van gezichtsherkenningstechnologie
en dus het verwerken van biometrische gegevens op luchthavens voor het verbeteren
van de passagiersstroom enkel gerechtvaardigd is als er een wettelijke basis voor
een identiteitscontrole bestaat. Luchtvaartmaatschappijen zijn wettelijk verplicht
om de identiteit van passagiers te verifiëren en te controleren of zij over de juiste
reisdocumenten beschikken om toegang te verkrijgen tot het land van bestemming of
vertrek. In de pilot is het gebruik van DTC bij het instappen van het vliegtuig beproefd
voor het uitvoeren van deze wettelijk verplichting6.
Vragen en opmerkingen inzake pilots van andere lidstaten (PVV, GroenLinks-PvdA, ChristenUnie,
VVD)
De leden van de PVV-fractie lezen voorts in de fiches dat naast Nederland ook twee
andere lidstaten een pilot met DTC hebben uitgevoerd. Deze leden vernemen graag welke
lidstaten dit zijn en welke lessen worden getrokken uit deze pilots ten opzichte van
de Nederlandse DTC-pilot. Mede gelet op het feit dat het kabinet voornemens is om
een vervolgpilot te implementeren vernemen zij ook graag in hoeverre deze vervolgpilot
zal verschillen van de Nederlandse DTC-pilot.
De leden van de Groenlinks-PvdA fractie zijn ervan op de hoogte dat er in andere landen
DTC-pilots hebben plaatsgevonden. In welke andere lidstaten zijn deze pilots uitgevoerd
en wat zijn de resultaten geweest van deze pilots? Heeft het gebruik van DTC in die
pilots geleid tot tijdswinst bij de grenspassages? Wat zijn de ervaringen en standpunten
van de persoonsgegevensautoriteiten in die landen? Is er een verschil in hoeveel reizigers
gebruik hebben gemaakt van de DTC in deze landen ten opzichte van het, naar mening
van de AP te kleine, aantal dat op Schiphol gebruik heeft gemaakt van deze optie?
Voorts vragen de leden van de Christen Unie-fractie of er, naast de DTC-1 pilot op
Schiphol, nog andere DTC-pilots zijn uitgevoerd in andere lidstaten en wat de resultaten
van deze pilots waren. Heeft het gebruik van DTC in alle pilots voor tijdswinst gezorgd
en waren deze pilots representatiever dan de Nederlandse pilot?
De leden van de VVD-fractie vragen welke andere EU-landen DTC-pilots hebben uitgevoerd?
Wat waren de uitkomsten van die pilots? In hoeverre was er bij de pilots sprake van
tijdwinst bij de grenspassages
Antwoord
Voor een nadere toelichting wordt u verwezen naar onze eerdere reactie7. Op verzoek van de Europese Commissie voerden drie lidstaten (Nederland, Kroatië
en Finland) een DTC-pilot uit om het gebruik van digitale reisdocumenten in de praktijk
te beproeven. Deze pilots dienden ter ondersteuning van het wetgevingsinitiatief en
de impact assessment voor de conceptverordening. Voor de uitvoering van de pilot hebben
de lidstaten een financiële bijdrage ontvangen van de Europese Commissie. Deze landen
hebben aan de Europese Commissie gerapporteerd conform de afgesproken richtlijnen
en randvoorwaarden. Nederland heeft het eindrapport van de DTC-pilot ook gedeeld met
uw Kamer8. De resultaten van Finland en Kroatië zijn opgenomen in de impact assessment van
de verordening9. Uit beide pilots blijken tijdswinsten voor zowel de reiziger als de grensautoriteit,
die zich daardoor op andere grenscontroletaken kan richten.
De Europese Commissie geeft lidstaten de mogelijkheid om een eerste of vervolgpilot
uit te voeren en hiervoor een voorstel in te dienen. Het kabinet is voornemens om,
met de steun van de Europese Commissie, een vervolgpilot uit te voeren en de DTC verder
in de praktijk te beproeven. Deze pilot bouwt voort op de ervaringen van de vorige
pilot, heeft een langere doorlooptijd en is beschikbaar voor een grotere doelgroep.
Dit biedt Nederland de mogelijkheid om verdere waardevolle praktijkervaring op te
doen in aanloop naar de implementatie van de Europese verordening en reizigers in
een vroeg stadium te faciliteren met soepele grensprocessen.
Vragen en opmerkingen inzake digitale strategische autonomie (GroenLinks-PvdA, VVD,
NSC, SP, ChristenUnie)
De leden van de GroenLinks-PvdA-fractie lezen dat uit het voorstel en de impact assessment
onvoldoende duidelijk wordt hoe de beveiliging van de applicatie ingericht wordt.
Deze leden zijn het eens met het kabinet dat de (digitale) veiligheid en goede borging
van het gebruik van het systeem, bijvoorbeeld werkprocessen en personen die toegang
hebben tot het systeem, essentieel zijn voor de weerbaarheid tegen (cybersecurity)
dreigingen. In dit kader willen de leden van de GroenLinks-PvdA-fractie het kabinet
vragen om het belang van strategische autonomie voor het vormgeven van het systeem
bij de Europese Commissie te benadrukken. Deze leden wensen geen afhankelijkheden
te creëren van niet-Europese techbedrijven voor een dergelijk belangrijk systeem.
Het is hun sterke voorkeur dat het geheel zoveel mogelijk in-house door the European
Union Agency for the Operational Management of Large-Scale IT Systems in the Area
of Freedom, Security and Justice (eu-LISA), of indien noodzakelijk, in samenwerking
met Europese techbedrijven, wordt ontwikkeld. Wat is het standpunt van het kabinet
ten aanzien van dit punt en kan zij dit tevens toelichten? Kan de bewindspersoon aangeven
of er niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren
in Europa (indirect) betrokken zijn bij het ontwikkelen van het Digital Travel Credential
(DTC)? Om welke bedrijven gaat het dan? Is het Amerikaanse bedrijf Palantir betrokken
bij de ontwikkeling van de DTC en houdt het zich, voor zover bekend, aan de Europese
wet- en regelgeving? Kan de bewindspersoon ten slotte aangeven of hij het belang van
strategische autonomie voor de ontwikkeling van de DTC bij de Europese Commissie zal
benadrukken?
De leden van de VVD-fractie vragen aandacht voor de bedrijven die betrokken zijn dan
wel zullen worden betrokken bij het ontwikkelen van de DTC en de EU-reisapplicatie.
In hoeverre zijn hier bedrijven buiten de Europese Unie, bijvoorbeeld uit China of
de Verenigde Staten, bij betrokken, direct dan wel indirect? Wat deze leden betreft
mogen hier alleen Europese bedrijven aan meewerken. Ook mag er geen sprake zijn van
indirecte betrokkenheid van bedrijven van buiten de Europese Unie. Het gaat hier immers
om identiteitsgegevens van Europese burgers. Graag krijgen deze leden een reactie
van het kabinet.
De leden van de NSC-fractie vragen welke stappen bent u bereid te zetten om te voorkomen
dat Nederland te afhankelijk wordt van buitenlandse technologie bij de implementatie
van de DTC? Hoe blijft nationale autonomie bijvoorbeeld geborgd, met name in het beheer
en de beveiliging van de persoonsgegevens die via deze nieuwe technologie worden verwerkt?
De leden van de SP-fractie lezen dat het kabinet heeft aangegeven dat de gebruikte
software en hardware voor de DTC-pilot binnen Europa is ontwikkeld door een Europese
organisatie. Het is echter nog niet duidelijk of ook Europese kantoren van Amerikaanse
bedrijven hierbij betrokken zijn en op die manier invloed kunnen hebben op Europese
overheidsdata en persoonlijke gegevens. Zijn niet-Europese techbedrijven via samenwerking
met Europese bedrijven of met kantoren in Europa (indirect) betrokken bij het ontwikkelen
van het digitale paspoort? Zo ja, om welke bedrijven gaat het?
De leden van de ChristenUnie-fractie zijn van mening dat digitale autonomie van groot
belang is. Hierbij is het van belang dat we als Europese Unie niet te afhankelijk
zijn van grootmachten als de VS en China. Deze leden zijn van mening dat in het belang
van onze veiligheid het digitale paspoort of de reiscredentials voor zover mogelijk
ontwikkeld wordt binnen Europa. Zij vragen of niet-Europese techbedrijven (indirect)
betrokken zijn bij het ontwikkelen van de reiscredentials of het digitale paspoort.
Zo ja, om welke bedrijven gaat het? De leden van de ChristenUnie-fractie maken zich
zorgen om de toenemende macht van grote techbedrijven en het ontstaan van digitale
monopolies. Hoe wordt voorkomen dat big tech bij deze voorstellen een dominante rol
krijgen en hoe wordt publieke regie gewaarborgd?
De leden van de GroenLinks-PvdA-fractie lezen dat voor wie de DTC vrijwillig gebruikt
een smartphone noodzakelijk is, waarbij smartphones aan bepaalde eisen moeten voldoen
om gebruikt te worden. Hierbij is ondersteuning van Android en iOS voorzien. Deze
leden vragen ten aanzien hiervan of met Android wordt bedoeld dat dit Android met
Google Services en Google Apps vereist zal worden. Wordt er ook ondersteuning voorzien
voor Android-besturingssystemen zonder Google Services en Google Apps, zoals GrapheneOS
of LineageOS? Wat is het standpunt van het kabinet ten aanzien van dergelijke vereisten?
Voorts zij of ook alternatieve besturingssystemen, zijnde niet Android of iOS, ondersteund
zullen worden. Denk hierbij aan E/os, Sailfish OS, Ubuntu Touch, PureOS, en andere
besturingssystemen. Vindt het kabinet, net als de leden van de GroenLinks-PvdA-fractie,
dat in het kader van het verminderen van afhankelijkheden van techgiganten en het
bieden van volwaardige alternatieven voor burgers, dergelijke besturingssystemen óók
ondersteund moeten worden – ook als dit extra kosten met zich meebrengt?
Antwoord
Het kabinet deelt de zorgen van de Kamerleden rondom digitale autonomie. Sommige afhankelijkheden
van technologieën en platforms zijn ongewenst, zeker wanneer het gaat om privacygevoelige
gegevens van EU-burgers. Digitale autonomie staat zowel nationaal als Europees hoog
op de agenda. De afgelopen jaren zijn diverse wetgevingsvoorstellen en beleidskaders
geïntroduceerd die gericht zijn op het versterken van de open strategische autonomie.
Onderdeel daarvan is het waar nodig mitigeren van de afhankelijkheid van niet-Europese
technologieën, terwijl tegelijkertijd de samenwerking met gelijkgestemde internationale
partners wordt gezocht. Nieuwe strategische keuzes kunnen bovendien kansen creëren
voor Europese en Nederlandse bedrijven.
Het Nederlandse beleid ten aanzien van strategische autonomie voor de digitale sector
is vastgelegd in de Agenda Digitale Open Strategische Autonomie (DOSA)10. Daarin is een centraal uitgangspunt het wegen en mitigeren van strategische afhankelijkheden
aan de hand van de impact op de nationale veiligheid, het verdienvermogen en het effect
op andere maatschappelijke belangen, naast het versterken van het Europese politiek-economische
fundament en het Europese geopolitieke handelingsvermogen. Voor wat het nemen van
maatregelen om kwetsbaarheden te adresseren betreft, wil Nederland zich richten op
het mitigeren van specifieke risico’s voor publieke belangen en door protectionisme
ingegeven grofmazige maatregelen voorkomen. Digitale autonomie en digitale weerbaarheid
is daarnaast een prioriteit van de in ontwikkeling zijnde Nederlandse Digitaliseringsstrategie.
Het kabinet draagt dit uit in de relevante gremia en zal, zoals aangegeven in het
BNC-fiche, ook voor DTC het belang benadrukken van de naleving van de wet- en regelgeving
om de strategische autonomie, veiligheid en betrouwbaarheid te waarborgen. Het kabinet
pleit in Europees verband al langer voor meer aandacht voor een reëel en robuust autonomiebeleid,
onder meer door middel van doorlopende dialoog met de Europese Commissie en door dit
onderwerp actief onder de aandacht te brengen in samenwerkingsverbanden als de D9+11. Ook zal het kabinet hier in de onderhandelingen voor de DTC-verordeningen maximaal
aandacht voor blijven vragen.
Een belangrijke rol voor de ontwikkeling en het beheer van de EU-reisapplicatie en
de achterliggende technologie is weggelegd voor eu-LISA. Dit technologische agentschap
is verantwoordelijk voor het beheer van grootschalige IT-systemen die de EU-lidstaten
ondersteunen op het gebied van grensbeheer, migratie en veiligheid. Dit omvat onder
andere de slimme grenssystemen, zoals EES, ETIAS, evenals de DTC-applicatie. eu-LISA
moet ervoor zorgen dat de systemen en netwerken die het beheert voldoen aan de noodzakelijke
cybersecuritystandaarden en risicobeheermaatregelen, zoals vastgelegd in relevante
Europese regelgeving. Onderdeel daarvan is de onlangs in werking getreden «Europese
Cyber Resilience Act», die ervoor zorgt dat alle digitale producten en diensten die
op de Europese markt worden aangeboden voldoen aan essentiële cyberveiligheidstandaarden.
eu-LISA mag bovendien beperkt particuliere entiteiten inzetten bij de uitvoering van
zijn taken12. eu-LISA ontwikkelt de EU-reisapplicatie voor de meest gebruikte besturingssystemen.
Daarbij zal het kabinet scherp blijven op eventuele risicovolle strategische afhankelijkheden
in lijn met de Kabinetsaanpak Strategische afhankelijkheden. Met de ontwikkeling van
de applicatie en achterliggende technologie door eu-LISA blijft de regie van het gebruik
van DTC, dat op grote interesse van grote techgiganten kan rekenen, in Europese handen.
Alhoewel het DTC-concept technologieonafhankelijk is ontwikkeld, ligt het voor de
hand dat deze applicatie op de veelgebruikte mobiele platforms draait. Op Europees
niveau zal aandacht gevraagd worden voor de optie van een alternatieve applicatie:
opensource of voor een alternatief platform. Overigens zijn zowel Google als Apple
al aan een strenger regime onderworpen via de Digital Markets Act, omdat zij als poortwachters
met hun mobiele besturingssystemen «core platform services» aanbieden13. Het kabinet blijft op Europees niveau aandacht vragen voor dergelijke marktconcentraties
in het digitale domein.
De diverse genoemde wetgevingen en strategieën ondersteunen de bredere doelstellingen
van Nederland en de EU voor digitale open strategische autonomie en dragen bij aan
het versterken van de veiligheid en veerkracht van de digitale infrastructuren die
essentieel zijn voor grensbeheer en migratie.
Vragen en opmerkingen inzake de digitale beveiliging (GroenLinks-PvdA)
De leden van de GroenLinks-PvdA-fractie willen aandacht vragen voor het belang van
transparantie om het vertrouwen in en de cyberveiligheid van dergelijke applicaties
te vergroten. Deze leden zijn overtuigd tegenstander van «security-through-obscurity».
Kan de bewindspersoon aangeven of het al bekend is of de EU-reisapplicatie een open-source
applicatie zal worden, zodat burgers en beveiligingsonderzoekers de werking kunnen
controleren en eventuele cyberveiligheidsfouten sneller opgemerkt kunnen worden? En
kan de bewindspersoon aangeven wat het standpunt van het kabinet is ten aanzien van
wel of geen open-source applicatie en de redenen daartoe?
Antwoord
De DTC is een door de International Civil Aviation Organization (ICAO) vastgestelde
platformonafhankelijke technische standaard. Afspraken over de werking van de DTC
worden gemaakt binnen ICAO – met deelname van Nederland.
Zoals in de vraag inzake digitale autonomie is aangegeven, is eu-LISA verantwoordelijk
voor de ontwikkeling van de DTC-applicatie en -technologie. De ontwikkeling van technologie
die onder de verantwoordelijkheid valt van eu-LISA is aan strikte Europese regels
gebonden14. eu-LISA voert wanneer nodig zelf aanbestedingen uit die onderhevig zijn aan Europese
regels. De keuzes die hieruit voortvloeien vallen onder de Europese verantwoordelijkheid.
eu-LISA draagt zorg dat de DTC vanuit een centrale Europese router verzonden wordt
naar de relevante lidstaten. Dit agentschap is ook verantwoordelijk voor de systemen
en netwerken dat het beheert en dat deze voldoen aan de noodzakelijke cybersecuritystandaarden
en risicobeheermaatregelen, zoals vastgelegd in relevante Europese wetgeving. Zo stelt
de Digital Operational Resilience Act (DORA)15 strenge eisen aan de beveiliging van kritieke systemen en de verwerking van persoonsgegevens
binnen EU-jurisdictie. Zoals hierboven al aangegeven zal het kabinet de Europese Commissie
verzoeken te onderzoeken of een opensource-applicatie reëel is.
De exacte technische specificaties worden bepaald bij het vaststellen van de uitvoeringshandelingen.
De Commissie bepaalt daarbij, met hulp van experts uit de lidstaten, via technische
specificaties de kernstructuur en digitale infrastructuur. De EU-Router van eu-LISA
slaat geen gegevens op maar is een doorvoerluik van de (individuele) DTC’s van passagiers
naar de lidstaten. De lidstaten zijn verantwoordelijk voor de ontvangst, verwerking
en tijdelijke opslag van de DTC om de grenspassage van de reiziger te kunnen faciliteren.
In Nederland betekent dit dat de bescherming van persoonsgegevens wordt gewaarborgd
conform de relevante wet- en regelgeving en richtlijnen16. Daarbij geldt dat gegevens niet langer bewaard worden dan strikt noodzakelijk en
niet gebruikt worden voor andere doeleinden dan grenspassage.
Vragen en opmerkingen inzake digitale inclusie (GroenLinks-PvdA, ChristenUnie)
De leden van de GroenLinks-PvdA-fractie willen, zoals vaker, benadrukken dat zij enorm
belang hechten aan digitale inclusie. Daarom zijn deze leden verheugd te lezen dat
het kabinet het belangrijk vindt dat het Nederlandse reisdocument, inclusief DTC,
toegankelijk is voor elke Nederlander, ook wie niet digivaardig is. Tegelijk roept
dit ook bij deze leden vragen op over het precieze uitgifteproces, de overdracht en
de opslag. Zij begrijpen dat een mobiele telefoon met Android of iOS een voorwaarde
lijkt te zijn voor de opslag van een DTC. Klopt dit? En kan het kabinet aangeven wat
er precies wordt verstaan onder de uitgifte van een DTC door verstrekkende instanties?
Hoe verschilt dit met de mogelijkheid voor gebruikers om zelf een DTC aan te maken,
waarin wordt voorzien door de verordening EU-reisapplicatie? Indien dit ook voor het
kabinet onduidelijk is, kan het kabinet haar best doen om verheldering te krijgen
bij de Europese Commissie? De leden van de GroenLinks-PvdA-fractie wensen nogmaals
te benadrukken dat zij het van belang vinden dat niet-digivaardige mensen ook een
DTC kunnen aanmaken, dan wel ontvangen van een uitgevende instantie.
Voorts benadrukken de leden van de ChristenUnie-fractie dat deze verordeningen gevolgen
zullen hebben voor toegankelijkheid en digitale inclusie. Wat is de insteek van het
kabinet hierbij, en hoe kan toegankelijkheid van het digitale paspoort geborgd worden?
Antwoord
De Europese Commissie stelt in de impact assessment bij het EU-reisapplicatievoorstel
dat een applicatie voor Android en iOS voorzien is. Deze besturingssystemen hebben
een marktaandeel van 99,5%17. Andere besturingssystemen zijn doorgaans juist in gebruik bij technisch onderlegde gebruikers. Eerder ben ik al ingegaan op uw vragen
over de gevolgen voor digitale autonomie. Het kabinet is er beducht op de bedrijven
achter iOS en Android, Apple en Alphabet in de zin dat zij geen inzage mogen verkrijgen
in de gegevensverwerking door de applicatie.
In de conceptverordeningen is opgenomen dat reisdocumenten en identiteitskaarten op
verzoek van de aanvrager vergezeld worden van een DTC. In de lopende onderhandelingen
wordt verduidelijking gevraagd over de betekenis van deze bepalingen in de praktijk.
Inzet van het kabinet is dat minder digivaardigen fysiek ondersteund worden bij het
aanmaken van het DTC in de applicatie. Het kabinet wil mogelijke extra uitvoeringslasten
voor de uitvoering en de uitgevende instanties van reisdocumenten en identiteitskaarten
(zoals gemeenten) niet uit het oog verliezen. Het kabinet neemt hierbij de zorgen
van de Vereniging van Nederlandse Gemeenten (VNG), die onder andere hierop zien, serieus.
Het kabinet wil voorkomen dat ingrijpende nieuwe uitvoeringsprocessen moeten worden
ingericht.
Het kabinet zal zich inzetten voor toegankelijke en inclusieve nieuwe processen. Applicaties
zullen aan gangbare toegankelijkheidseisen moeten voldoen. Tegelijkertijd is het uitgangspunt
van de voorstellen vrijwilligheid, waarbij het fysieke document en reguliere processen
blijven bestaan.
Vragen en opmerkingen inzake het gebruik van biometrie (GroenLinks-PvdA, ChristenUnie,
NSC, SP)
De leden van de GroenLinks-PvdA-fractie begrijpen dat de identiteit van gebruikers
die een DTC aanmaken in de EU-reisapplicatie geverifieerd dient te worden middels
geautomatiseerde gezichtsvergelijking. Deze leden vragen echter wel hoe dit technisch
in elkaar zal zitten. Is er bijvoorbeeld een verschil tussen het opslaan en vergelijken
van een foto, of het opslaan van een hash op basis van biometrische kenmerken en deze
vergelijken? Kan het kabinet aangeven of het reeds bekend is voor welke technische
oplossing de Europese Commissie wil kiezen? En heeft het kabinet zelf een voorkeur
voor, in het kader van het voorkomen van mogelijk misbruik van gegevens, een technische
oplossing waarbij niet de foto zelf wordt opgeslagen maar het nog steeds mogelijk
is om de vergelijking te maken? Kan de bewindspersoon het standpunt toelichten?
Verder lezen de leden van de GroenLinks-PvdA-fractie in de fiche dat als referentiemateriaal
voor de automatische gezichtsherkenning een tijdelijke «gallery» van gezichtsopnames
wordt gegenereerd. Kan het kabinet aangeven wat hiermee precies wordt bedoeld? Betreft
het hier de gezichtsopname tijdens het aanmaken van de DTC door de reiziger? Of gaat
het om de gezichtsherkenning bij het «tap-and-go» poortje op de luchthaven? Betekent
dit tevens dat er meerdere foto’s gemaakt worden ten einde de gezichtsherkenning uit
te voeren?
De leden wijzen erop dat bij het aanmaken van de DTC tevens biometrische gegevens
worden vastgelegd, welke benodigd is om de controle op de luchthavens voor elkaar
te krijgen. Wat is de inzet van het kabinet voor de bewaartermijn van biometrische
gegevens? Wat is de inzet van andere lidstaten, voor zover bekend? De leden van de
GroenLinks-PvdA-fractie vragen ook op welke wijze gebruikers van de DTC zelf controle
houden over de opslag en het gebruik van gegevens over hun eigen gezichtsopname.
Tevens hebben de leden van de ChristenUnie zorgen over de verschillende privacyaspecten
van de DTC en samenhangende verordeningen, waar ook de AP op wijst. Zo introduceert
het voorstel een systeem waarin biometrische gegevens digitaal worden opgeslagen en
gedeeld. Hierbij wordt het risico op datalekken die betrokken kunnen worden bij identiteitsfraude
vergroot. Deze leden vragen hoe de veiligheid van biometrische en persoonlijke gegevens
voldoende wordt gewaarborgd en datalekken en misbruik zoals identiteitsfraude kan
worden voorkomen. Tevens vragen zij wat de gevolgen zouden zijn van een datalek, hoe
groot de risico’s zijn en hoe hierop geacteerd kan worden.
Voortbordurend op het gebruik van biometrische gegevens vragen de leden van de ChristenUnie-fractie
wat de bewaartermijn van biometrische gegevens gaat zijn. Wat is de inzet van het
kabinet hierin, en wat is – voor zover bekend – de inzet van andere lidstaten?
De leden van de NSC-fractie vragen welke specifieke maatregelen worden genomen om
de veiligheid van gevoelige persoonsgegevens, zoals biometrische gegevens, te waarborgen
en hoe het risico op cyberaanvallen en datalekken geminimaliseerd wordt, zo vragen
de leden van de NSC-fractie? Kunt u bijvoorbeeld toelichten welke voorzorgsmaatregelen
en technische standaarden worden gehanteerd om te voorkomen dat deze gegevens in verkeerde
handen vallen?
De leden van de SP-fractie maken zich zorgen over de verwerking van bijzondere persoonsgegevens
en biometrische persoonsgegevens. Bij grootschalige gegevensverwerkingen kunnen risico’s
van beveiligingsincidenten, inclusief gegevensverlies nooit volledig worden uitgesloten.
Door eventuele datalekken van biometrische persoonsgegevens kunnen betrokkenen voor
een lange tijd nadelige gevolgen hiervan ondervinden, bijvoorbeeld vanwege (identiteits)fraude.»
Graag ontvangen deze leden een reactie hierop van het kabinet.
Antwoord
Het is momenteel onduidelijk of de verantwoordelijkheid voor de document- en de identiteitscontrole
in de EU-reisapplicatie bij eu-LISA, of bij de lidstaten komt te liggen. Dit is onderdeel
van de gesprekken met de Europese Commissie. Het is dan ook nog niet bekend hoe de
technische inrichting hiervan er uit zal zien. Het kabinet zet zich in voor een technische
oplossing waarbij vanaf de ontwerpfase van het systeem passende beveiligingsmaatregelen
worden geïntegreerd, zodat de gegevensbescherming voldoet aan de principes van «privacy
en security by design». Daarbij is het uitgangspunt dat reizigers controle houden
over hun eigen DTC, inclusief de gezichtsopname, omdat die wordt bewaard op de smartphone.
Het moet ook mogelijk zijn om de DTC in te trekken.
Een aantal Kamerleden stelt vragen rondom de inzet van automatische gezichtsvergelijking.
Allereerst wordt bij het aanmaken van een DTC een gezichtsopname gemaakt en vergeleken
met de gezichtsopname die is opgeslagen in de paspoort- of identiteitskaartchip. Met
deze gezichtsvergelijking wordt geverifieerd dat de rechtmatige houder van het document
degene is die de DTC aanmaakt. Hiermee wordt voorkomen dat iemand met het document
van een ander een DTC aanmaakt en verstuurt. De gezichtsopname wordt direct na de
vergelijking verwijderd.
Als de reiziger succesvol een DTC heeft aangemaakt, kan deze gedeeld worden met de
bevoegde grensautoriteit om het grenscontroleproces te faciliteren. De DTC is een
digitale weergave van het reisdocument of de identiteitskaart en bestaat uit de biografische
gegevens en de gezichtsopname in het document, aangevuld met de digitale echtheidskenmerken
om de integriteit en authenticiteit te waarborgen.
Het verifiëren van de identiteit van de reiziger is een belangrijk onderdeel van de
grenscontrole. Dat wordt gedaan door te controleren of de documenthouder overeenkomt
met de persoon die het document aanbiedt. Aan de balie wordt de identiteitscontrole
visueel door de grenswachter uitgevoerd. Bij de «tap & go»-poort wordt dat geautomatiseerd
gedaan door het gelaat van de reiziger te matchen met de eerder verzonden DTC, waarvan
de gezichtsopname op het document een onderdeel is. Om dit proces te kunnen faciliteren
wordt de DTC inclusief de gezichtsopname door de grensautoriteit de DTC tijdelijk
opgeslagen in een «gallery».
De met de DTC verstrekte gegevens worden door de grensautoriteit niet langer bewaard
dan noodzakelijk en proportioneel, waarbij aansluiting zal worden gezocht met de huidige
bewaartermijnen ten aanzien van de grenscontroles. Hierbij is de Algemene Verordening
Gegevensbescherming (AVG) van toepassing. De praktische uitvoering daarvan kan per
lidstaat verschillen op basis van nationale wetgeving en beleid.
Het kabinet erkent dat gegevens in het reisdocument en de identiteitskaart, waaronder
de biometrie, gevoelig zijn. Daarbij is er, zoals genoemd in de vragen, een verschil
tussen het opslaan en vergelijken van een gezichtsopname en het opslaan van een hash.
De Commissie is hier in de impact assessment niet specifiek op ingegaan. Een juiste
afweging tussen privacybescherming en veiligheid staat voorop. Het kabinet volgt de
ontwikkelingen op dit vlak nauwgezet.
Mocht er ondanks alle voorzorgsmaatregelen onverhoopt een datalek optreden, dan blijft
de impact naar verwachting beperkt. Dit komt doordat er geen centrale database wordt
aangelegd met DTC’s. Een DTC wordt pas gedeeld op het moment dat de reiziger dit zelf
doet, en dit kan slechts een bepaald aantal uur voor de verwachte grenspassage. Daarnaast
is er altijd een onderliggend fysiek document dat ongeldig verklaard kan worden en
niet meer gebruikt kan worden voor frauduleuze doeleinden, bijvoorbeeld wanneer het
documentnummer is opgenomen in internationale signaleringssystemen zoals de Stolen
and Lost Travel Documents-databank (STLD) van Interpol. Het DTC is vervolgens ook
niet meer bruikbaar voor grenspassage.
Vragen en opmerkingen inzake een mogelijke bias in automatische gezichtsvergelijking
(GroenLinks-PvdA)
De leden de GroenLinks-PvdA-fractie hebben ten aanzien van deze pilot in een eerder
stadium vragen opgeworpen over onbewuste bias bij gezichtsherkenningstechnologie ten
aanzien van specifieke groepen personen, waarbij bijvoorbeeld gezichtsherkenningstechnologie
aantoonbaar slechter werkt bij mensen met een donkere huidskleur (ook wel «dark-skin-bias»
genoemd). In het verslag van het schriftelijk overleg (Kamerstuk 25 764-149) is aangegeven dat gezichtsherkenningssoftware nooit perfect is, net als dat manuele
controles dat niet zijn, en dat met de juiste drempelwaarde een zeer grote nauwkeurigheid
bij het detecteren van fouten, waaronder vals positieve resultaten, te bereiken zou
zijn. Deze leden benadrukken dat zij geen perfectie vereisen of verwachten dat een
systeem honderd procent perfect zal werken. Daar zijn zij niet in geïnteresseerd.
Het punt dat de leden van de GroenLinks-PvdA-fractie wensen te maken is de vraag of
er systematische bias zit in de (resultaten van) de gezichtsherkenningssoftware, waarbij
bepaalde groepen reizigers systematisch en significant vaker te maken heeft met vals-positieven,
dan wel vals-negatieven? De bewindspersonen hebben aangegeven dat binnen de pilot
een vals-negatief ertoe leidde dat iemand geen DTC kan aanmaken en niet mee kon doen
met de pilot. Hoe vaak is dit voorgekomen? Overkomt dit bepaalde groepen vaker dan
andere? Ook werd vermeld dat non-matches in de meeste gevallen terecht waren. Kan
de bewindspersoon aangeven in hoeveel gevallen precies dat niet terecht was? En wat
waren de redenen voor een onterechte non-match? Is hier ook sprake van systematische
bias?
Antwoord
Door de beperkte schaal van de pilot, met enkele honderden deelnemers, is het niet
mogelijk om op statistisch verantwoorde wijze uitspraken te doen over vooringenomenheid
(bias) bij gezichtsherkenningstechnologie ten aanzien van specifieke groepen personen.
Daarnaast vindt de gezichtsvergelijking in de applicatie niet in een gecontroleerde
omgeving plaats, waardoor hier geen zinvolle conclusies over getrokken kunnen worden.
Onderzoek naar een eventuele vooringenomenheid van de biometrische algoritmen was
dan ook geen onderdeel van de pilot.
In de pilot mislukten 6 van de 1461 pogingen tot gezichtsvergelijking in de applicatie.
De toedracht daarvan is niet vast te stellen. Het is mogelijk dat de mislukte pogingen
te wijten waren aan personen die probeerden een DTC aan te maken met een document
dat niet bij hen hoorde.
Uit de registratie van het boardingpoortje met automatische gezichtsvergelijking blijkt
dat het overgrote deel van de passanten niet kon worden gematcht. Dit komt onder andere
doordat passanten die zich niet hadden aangemeld in de buurt van het poortje kwamen.
Voor een verdere toelichting over de vooringenomenheid van de ingezette biometrische
algoritmen wordt u verwezen naar onze eerdere reactie18. Zoals daar toegelicht blijkt uit onafhankelijk onderzoek van het «National Institute
of Standards and Technology» (NIST), dat gezichtsherkenningssoftware op nauwkeurigheid
en rechtvaardigheid toetst, dat de algoritmes van de technische leverancier tot de
best presterende algoritmen op de markt horen. Het ligt overigens niet voor de hand
dat de algoritmes die werden gebruikt in de pilot, opnieuw zullen worden ingezet bij
invoering van DTC, zoals die in de nieuwe EU-voorstellen is voorzien. Hiervoor gaan
ontwikkelingen in de markt te snel. In toekomstige implementaties van DTC zal uiteraard
sterk ingezet worden op de inzet van een hoogwaardige biometrische software-oplossing
die rechtvaardig en nauwkeurig presteert, zowel in de applicatie als bij grenspassage.
Vragen en opmerkingen inzake de uitgifte van DTC (GroenLinks-PvdA, VVD)
Deze leden van de GroenLinks-PvdA-fractie lezen dat bij de afgifte van een nieuw reisdocument
uitgevende instanties aanvragers op hun verzoek een DTC moeten verstrekken. Tegelijk
wordt het voor reizigers mogelijk om een DTC aan te maken op hun mobiele telefoon
in de EU-reisapplicatie. Kan het kabinet aangeven wat het verschil in beide processen
is? Zijn er voor- of nadelen verbonden aan beide mogelijkheden?
De leden van de VVD-fractie begrijpen dat reizigers die kiezen voor een DTC dat zelf
op afstand kunnen aanmaken, opslaan en delen. Hoe betrouwbaar en hoe veilig is het
als reizigers dat zelf kunnen doen? Zou het in dat kader mogelijk zijn de DTC aan
te maken bij de uitgifte van het paspoort en de EU-reisapplicatie? Zou dat niet veiliger
zijn?
Overigens vragen deze leden hoe het een en ander gaat met de voorgestelde EU-reisapplicatie.
Kunnen reizigers zelf die reisapplicatie installeren op hun telefoon? Of moet daar
een aanvraag voor worden gedaan? Of gaat de aanvraag daarvoor tegelijk met een nieuw
paspoort en de aanvraag van een DTC?
Antwoord
Zoals al eerder aangegeven zijn er reeds vragen aan de Commissie gesteld over de aard
van de uitgifte van een DTC bij uitgevende instanties. Er zijn geen grootschalige
implementaties van een dergelijk systeem bekend. Een dergelijk systeem is mogelijk
een uitkomst voor minder digitaalvaardigen. In algemene zin is te stellen dat het
zelf creëren van een DTC met een mobiele telefoon enige digitale vaardigheden vereist:
er moet een «selfie» gemaakt worden voor de gezichtsvergelijking en met de Near Field
Communication (NFC)-lezer moet de chip uitgelezen worden. De chip moet bovendien ontgrendeld
worden door de identiteitskaart of de houderpagina van het paspoort te fotograferen.
Dit proces is vergelijkbaar met het verificatieproces van sommige banken.
Het zelf creëren van een DTC wordt als zeer betrouwbaar gezien. Met een gezichtsopname,
gemaakt op de eigen telefoon, met «livenessdetectie» wordt vastgesteld dat de houder
bij het document hoort, en dat de beelden niet gemanipuleerd zijn. Daarbij geldt dat
automatische gezichtsvergelijking inmiddels technisch zeer geavanceerd is. Doordat
de chip bij het aanmaken op korte afstand van de telefoon moet zijn, en de houderpagina
gefotografeerd moet worden om toegang tot de chip te krijgen, kunnen anderen zeer
lastig toegang tot de chip krijgen. Met behulp van actieve, passieve en chipauthenticatie
is bovendien op afstand vast te stellen of de chip niet gemanipuleerd of gekopieerd
is. Het uitgeven van een DTC op locatie is daarom niet per se veiliger: weliswaar
vindt de uitgifte dan in een gecontroleerde omgeving plaats, maar mensen blijken niet
beter in gezichtsvergelijking dan softwaresystemen, en bovendien is met de reeds beschreven
veiligheidsmechanismen goed vast te stellen dat het document authentiek is. Hierbij
moet bovendien opgemerkt worden dat DTC vooralsnog primair ingezet wordt bij het overschrijden
van de Schengenbuitengrenzen en het onderliggende fysieke document nog altijd nodig
is.
Hoe de uitgifte van de reisapplicatie eruitziet is nog niet exact bekend, maar het
ligt in de lijn der verwachting dat deze door gebruikers zelf te downloaden en te
installeren is. De reisapplicatie is pas bruikbaar wanneer er een DTC in staat, zelf
aangemaakt of via de uitgevende instantie.
Vragen en opmerkingen inzake het vrijwillig gebruik van DTC (GroenLinks-PvdA, VVD,
NSC, ChristenUnie)
De leden van de GroenLinks-PvdA-fractie maken zich ook zorgen over de vrijwilligheid
van het gebruik van de DTC tijdens de pilot en de vervolgpilot. Deze leden lezen dat
reizigers (veel) sneller door de grenscontrole heen komen bij gebruik van de DTC.
Daarbij is er naar mening van deze leden een overduidelijk nadeel voor toekomstige
reizigers die niet kiezen voor gebruik van een DTC, waardoor de vraag opgeworpen wordt
of het geven van toestemming voor de verwerking van persoonsgegevens ten aanzien van
het gebruik van DTC wel écht vrijwillig is. Dit is in lijn met de kritiek van de AP.
Kan de bewindspersoon hier uitgebreid op reflecteren? Voorts zijn de leden van de
GroenLinks-PvdA-fractie benieuwd of de Europese Commissie zich heeft gebaseerd op
de resultaten uit de DTC-pilots in het impact assessment bij de keuze voor het verplichten
van lidstaten om DTC’s desgewenst aan burgers te verstrekken.
De leden van de VVD-fractie merken op dat het gebruik van de DTC zal vrijwillig zijn.
Reizigers zullen dus niet worden verplicht om van de DTC gebruik te maken. Dat achten
de leden van de VVD-fractie een goede zaak. Ook de eventuele hogere kosten voor de
overheden en hogere leges voor reizigers behoeven aandacht. Met het voorstel krijgen
vervoerders de mogelijkheid om op vrijwillige basis de DTC te integreren in hun bestaande
processen. In hoeverre kunnen vervoerders straks hun klanten verplichten tot het aanmaken
van een DTC? Hoe groot is overigens de kans dat in het algemeen een DTC en de EU-reisapplicatie
voor reizigers verplicht worden? De VVD-fractie vraagt verder in hoeverre de DTC ook
buiten het reisdomein te gebruiken is, bijvoorbeeld door autoverhuurbedrijven? Zouden
die dat straks ook kunnen verplichten? Daarnaast vraagt de fractie naar de verhouding
tussen de DTC en de EDI-wallet.
De leden van de NSC-fractie vragen hoe de bewindspersoon garandeert dat het gebruik
van de DTC volledig vrijwillig blijft en reizigers zonder smartphone of digitale vaardigheden
niet worden benadeeld bij grenscontroles? Welke concrete alternatieven worden bijvoorbeeld
aangeboden aan deze groep, zodat zij ook zonder beperkingen gebruik kunnen blijven
maken van fysieke reisdocumenten?
De ChristenUnie-fractie vraagt hoe wordt gegarandeerd dat mensen zonder smartphone
of digitale vaardigheden niet worden benadeeld in hun recht op vrij verkeer. Deze
leden merken op dat op dit moment de inzet is om gebruik van het digitale paspoort
optioneel en vrijwillig te houden, maar dat niet zeker is dat dat altijd zal blijven.
Een mogelijke ontwikkeling waarin private partijen gebruik van de Europese Digitale
Identiteit kunnen eisen of het gebruik dermate genormaliseerd is dat de (impliciete)
verplichting tot gebruik toch ontstaat vinden deze leden niet wenselijk. Ziet het
kabinet hierin een risico? En hoe wordt voorkomen dat dit realiteit wordt? Kan er
een garantie komen dat de Europese digitale identiteit volledig vrijwillig blijft,
en hoe wordt dit gewaarborgd?
Antwoord
Momenteel kan een groot deel van de reizigers kiezen tussen het passeren van de grens
via een handmatige controle uitgevoerd door de grenswachter en een geautomatiseerde
controle middels het SSPC. Met de implementatie van DTC ontstaat er een additionele
mogelijkheid om de grens te passeren. Het gebruik van DTC biedt voordelen in de vorm
van snellere frictieloze processen, maar dit zal wel op basis van vrijwilligheid zijn
en blijven. Daarbij geldt dat het gebruik van DTC op luchthavens ook voordelen biedt
voor reizigers die geen DTC gebruiken, doordat er kortere rijen zullen ontstaan bij
de manuele balie en SSPC. Het is daarbij belangrijk om nogmaals te benadrukken dat
het gebruik van DTC geen extra gegevens vereist. Alleen de wijze en het moment waarop
de controles worden uitgevoerd veranderen. Met een DTC kunnen controles grotendeels
worden uitgevoerd voordat de reizigers arriveert aan de grens. In de pilot konden
deelnemers bij aankomst naar een «tap & go» poortje waar de reiziger gematcht werd
met de DTC en het paspoort en de authenticiteit van het document werd gecontroleerd.
Een fysiek paspoort was nog altijd nodig. De KMar houdt toezicht op het DTC-proces
en kan ingrijpen wanneer nodig. De vrijwilligheid van het gebruik van DTC geldt eveneens
voor vervoerders. Momenteel kunnen passagiers voor andere processen, zoals het inchecken
voor de vlucht en inchecken van bagage, ook kiezen tussen een manueel proces waarbij
een luchtvaartmedewerker de handelingen uitvoert, of een geautomatiseerd proces middels
een zelfbedieningskiosk.
In de impact assessment beschrijft de Commissie dat gekozen is voor de verplichte
uitgifte en acceptatie wanneer reizigers daarvoor kiezen. Hiermee wordt volgens de
Commissie gekozen voor een uniforme, efficiënte en veilige implementatie binnen de
EU. Daarmee wordt verzekerd dat alle EU-onderdanen toegang hebben tot de mogelijke
voordelen die een DTC biedt ten aanzien van frictieloze grensprocessen. Daarnaast
zorgt een geharmoniseerde aanpak ervoor dat het systeem optimaal wordt geïntegreerd
met bestaande en toekomstige EU-grensbeheerinitiatieven. Een vrijwillig systeem zou
volgens de Commissie leiden tot fragmentatie, waarbij sommige lidstaten DTC’s wel
accepteren en anderen niet, wat de interoperabiliteit en het wederzijds vertrouwen
tussen lidstaten zou kunnen ondermijnen.
DTC is primair bedoeld voor het faciliteren van grenscontroleprocessen. Daarnaast
zal het mogelijk worden voor gebruikers om hun DTC in een EDI-wallet te laden voor
gebruik voor andere doeleinden, ook buiten het reisdomein. De nadere uitwerking van
dit laatste, zoals de relatie tussen de verordening en de eIDAS-verordening19, die ziet op de EDI-wallet, is nog onderwerp van gesprek in de onderhandelingen.
Zoals eerder aangegeven20 is het gebruik van de EDI-wallet volledig vrijwillig, en kan de toegang tot publieke
en private diensten, toegang tot de arbeidsmarkt en ondernemingsvrijheid niet op enige
wijze beperkt of belemmerd worden voor natuurlijke personen en rechtspersonen die
geen EDI-wallet gebruiken. Hier vloeit uit voort dat bedrijven die een EDI-wallet
accepteren altijd een alternatief moeten bieden. Dit kan zowel een digitaal als een
niet-digitaal alternatief zijn. De eIDAS-verordening schrijft ook voor dat het gebruik
van andere bestaande identificatie- en inlogmiddelen mogelijk blijft. Het is daarmee
uitgesloten dat dienstverleners het gebruik van een DTC via een EDI-wallet kunnen
verplichten.
Vragen en opmerkingen inzake de parlementaire procedure en het informeren van de Kamer
(GroenLinks-PvdA, VVD)
De leden van de GroenLinks-PvdA fractie vragen of de bewindspersoon een toelichting
kan geven op de speciale parlementaire procedure die geldt voor het voorstel van de
Raad over de identiteitskaart gebaseerde DTC? Kan de bewindspersoon in het bijzonder
ingaan op welk moment de Kamer geraadpleegd wordt? Op welke wijze zal het kabinet
de Kamer tijdig informeren over een ontwerpbesluit van de Raad? Op welke wijze kan
de Kamer instemmen met het ontwerpbesluit van de Raad?
Ten slotte willen de leden van de GroenLinks-PvdA-fractie de bewindspersoon vragen
de Kamer via de Geannoteerde Agenda bij de JBZ-raad en het kwartaaloverzicht van lopende
wetgevingsonderhandelingen regelmatig op de hoogte te houden van de onderhandelingen
op het voorstel van de Raad over de identiteitskaart gebaseerde DTC en over een digitale
reisapplicatie. Kunt u de Kamer informeren zodra er een Raadsakkoord op dit voorstel
in zicht is?
De voorgestelde kabinetsinzet bij de onderhandelingen over de verordeningen is positief.
De leden van de VVD-fractie lezen dat het kabinet tijdens deze onderhandelingen aandacht
zal vragen voor «gegevensbescherming en privacy» en «beveiliging van de applicatie».
Deze leden achten het een goede zaak dat het kabinet zich daarvoor inzet. Zij gaan
ervan uit dat het kabinet de Kamer hierover te zijner tijd zal informeren. De leden
vragen tevens of er een Nederlands woord voor «reiscredentials» gebruikt kan worden,
zodat duidelijker is wat wordt bedoeld.
De leden van de VVD merken op dat voor het voorstel voor een verordening met betrekking
tot de DTC, een verzwaarde parlementaire procedure geldt. Voor de verordening over
een digitale reisapplicatie geldt een andere procedure. De leden van de VVD-fractie
vragen het kabinet in te gaan op het proces om in de Europese Unie tot besluitvorming
te komen over de twee onderhavige verordeningen. Wat zijn de volgende stappen en fases
van het proces? Op welke momenten komen er documenten hierover naar de Kamer, opdat
de Kamer betrokken blijft bij dit gevoelige dossier? Wanneer, zo is de verwachting,
worden de ontwerpbesluiten met de Kamer gedeeld? Deze leden vragen het kabinet de
Kamer goed op de hoogte te houden. Kan de Kamer naast de informatie via de Geannoteerde
Agenda bij de JBZ-Raad ook apart over de twee onderhavige verordeningen worden geïnformeerd?
Antwoord
De bijzondere wetgevingsprocedure – die geldt voor het voorstel voor een identiteitskaart
gebaseerde DTC – houdt in dat de Raad (de lidstaten) de enige wetgever is, in plaats
van medewetgever op gelijke voet met het Europees parlement (EP). Het EP zal wel een
advies uitbrengen, en de Raad kan het wetgevingsvoorstel pas goedkeuren nadat het
EP dat advies heeft uitgebracht. In het advies kan het EP het voorstel goedkeuren,
verwerpen of wijzigingen voorstellen, maar de Raad hoeft dit niet op te volgen. Het
voorstel over een EU-reisapplicatie wordt via de gewone wetgevingsprocedure behandeld.
Hierbij moeten uiteindelijk zowel het Europees parlement als de Raad instemmen met
een (gekwalificeerde) meerderheid. Dit verschil komt doordat beide voorstellen op
andere rechtsgronden zijn gebaseerd21.
Lidstaten zullen de komende maanden suggesties doen om de tekst aan te passen. Nederland
doet dat op basis van het kader zoals geschetst in de BNC-fiches. Wanneer lidstaten
op werkniveau het eens worden over een aangepaste tekst, kan via de JBZ-Raad formeel
de positie van de Raad worden vastgesteld. Voor de bijzondere wetgevingsprocedure
geldt daarbij dat eerst op de positie van het EP gewacht zal worden, om deze ook in
de overwegingen van de Raad te betrekken. Waar het de gewone wetgevingsprocedure betreft,
verloopt dit tegelijkertijd: zowel de lidstaten als het EP zullen een positie innemen
en daarin wijzigingsvoorstellen doen. Nadat zowel het EP als Raad hun positie hebben
vastgesteld zullen trilogen volgen, om zo te komen tot een eindakkoord. Hier moeten
zowel het EP als Raad dan weer mee instemmen. Hoe lang dit duurt hangt af van de snelheid
waarmee zowel de Raad als het EP de voorstellen behandelt. Met uitgebreide voorstellen
als deze kan dat geruime tijd in beslag nemen.
Het kabinet zal uw Kamer cf. de gebruikelijk procedures op de hoogte houden over het
verloop van de onderhandelingen. Nu de onderhandelingen net gestart zijn, zal dat
vooralsnog via het kwartaaloverzicht gaan. Hierin wordt uw Kamer elk kwartaal geïnformeerd
over de stand van zaken van lopende EU-wetgeving. Wanneer het voorstel geagendeerd
wordt op de JBZ-Raad en een akkoord in zicht is ontvangt uw Kamer daar via de geannoteerde
agenda en verslagen van de JBZ-Raad informatie over.
Er is geen gangbare, volledig Nederlandse term voor reiscredentials. De begrippen
DTC en reiscredentials zullen gebruikt blijven worden, omdat Engelse termen gezien
het sterk internationaal georiënteerde karakter van reisdocumenten, de luchtvaart
en bijhorende technologie de standaard zijn. Dit zorgt voor eenduidigheid, voorkomt
verwarring en maakt het mogelijk om consistent te communiceren over deze technologie.
Overige vragen en opmerkingen van de leden van de PVV-fractie
De leden van de PVV-fractie merken op dat uiterlijk vijf jaar na ingebruikneming van
de EU-reisapplicatie die het reizen met een DTC mogelijk maakt een algemene evaluatie
wordt uitgevoerd naar het gebruik hiervan (ex post). Gezien de ingrijpende wijzigingen
die de EU-reisapplicatie met zich meebrengt vragen wij waarom gekozen is voor deze
uiterlijke termijn van vijf jaar, en niet drie jaar. Ook vernemen deze leden graag
waarom er geen ex ante en ex durante evaluaties zullen plaatsvinden.
Antwoord
De Europese Commissie heeft gekozen om de DTC na vijf jaar te evalueren. Deze tijdslijn
komt overeen met het evaluatieproces van andere verordeningen, zoals het EES en ETIAS.
Een evaluatie na vijf jaar biedt voldoende tijd voor de implementatie en adaptatie
van de applicatie om een representatief overzicht van de werking en de effectiviteit
van de applicatie te verkrijgen.
Bij een ex ante of ex durante evaluatie is er geen volledig beeld van de werking en
impact van het systeem waardoor het niet mogelijk is om een grondige beoordeling te
maken. Een ex ante of ex durante evaluatie lijken bovendien niet noodzakelijk en zinvol,
omdat de pilot en de impact assessment er al op gericht waren om de benodigde inzichten
over de voorstellen en de uitvoering te verkrijgen.
Overige vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie
De leden van de GroenLinks-PvdA-fractie lezen dat het merendeel van de lidstaten tijdens
de consultatie heeft aangegeven dat de acceptatie en facilitatie van de DTC door lidstaten
verplicht moet worden, en dat het overgrote deel van de lidstaten heeft aangegeven
dat het aanmaken van een DTC met een gemeenschappelijke EU-technische oplossing zou
moeten gebeuren. Kan de bewindspersoon aangeven welke landen in de minderheid vallen
en welke argumenten zij hebben aangedragen voor hun standpunten? Kan de bewindspersoon
aangeven wat zijn standpunt is ten aanzien van deze argumenten?
Antwoord
De impact assessment beschrijft verschillende argumenten voor de verplichting van
lidstaten om DTC te accepteren wanneer reizigers daar gebruik van wensen te maken.
Daarmee wordt een uniforme en consistente aanpak binnen de EU gewaarborgd. Daarnaast
bevordert dit de acceptatie en integratie van DTC. Een gemeenschappelijke EU-technische
oplossing zorgt voor een standaardisatie van de systemen in de lidstaten waarmee reizigers
maximaal gefaciliteerd worden met een consistent proces. Bovendien levert een gemeenschappelijke
technische oplossing kostenefficiëntie op voor de lidstaten en de EU.
In de impact assessment is beschreven dat het merendeel van de lidstaten de verplichte
acceptatie en de gemeenschappelijke technische oplossing van DTC ondersteunt. Er wordt
hierbij niet expliciet vermeld welke lidstaten dit betreft.
Overige vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie vragen aandacht voor het tegenhouden van ongewenste reisbewegingen.
Kan het kabinet deze leden geruststellen dat alle verschillende manieren waarop de
«reiscredentials» worden geïmplementeerd toekomstbestendig zullen zijn en ongewenste
reisbewegingen, bijvoorbeeld met betrekking tot migratie, Dublin claimanten en ongewenstverklaarden,
bij de grenscontroles eruit worden gepikt?
Antwoord
Het aantal reizigers en daarmee ook de druk op de grensprocessen neemt wereldwijd
toe. Innovatie zoals DTC is noodzakelijk voor toekomstbestendig grensbeheer. Ook reizigers
verwachten efficiënte, en frictieloze processen. De inhoudelijke grenscontroles zelf
blijven ongewijzigd voor reizigers die gebruik maken van een DTC, alleen het moment
waarop bepaalde stappen in het grenscontroleproces worden uitgevoerd verandert. Met
de DTC kan de grenswachter een groot deel van de controle al uitvoeren, op basis van
betrouwbare informatie, voordat de reiziger de grens bereikt. Dit draagt bij aan het
vroegtijdig identificeren van potentiële risico’s, zoals ongewenste reisbewegingen.
Bovendien kan met de introductie van DTC consequenter en consistenter EU-breed controle
van de documentchip plaatsvinden, waarmee toekomstige nieuwe vormen van digitale fraude
juist sneller op te sporen zijn.
Overige vragen en opmerkingen van de leden van de NSC-fractie
Kan de bewindspersoon toelichten hoe wordt gewaarborgd dat burgers inzicht kunnen
krijgen in wie toegang heeft gehad tot hun reisgegevens? Welke mogelijkheden worden
er ingericht om bezwaar te maken wanneer blijkt dat deze gegevens onrechtmatig zijn
geraadpleegd of gebruikt en hoe wordt ervoor gezorgd dat deze procedures eenvoudig
en laagdrempelig blijven?
Antwoord
De EU-reisapplicatie maakt het slechts mogelijk om documentgegevens te delen met de
betrokken grensautoriteit. In Nederland is dit de Koninklijke Marechaussee, die deze
gegevens nu ook al verwerkt bij het passeren van de grens. Reizigers die gebruik willen
maken van de DTC worden duidelijk geïnformeerd over welke autoriteiten voor welke
doeleinden toegang kunnen krijgen tot hun reis- en persoonsgegevens. Voorafgaand aan
het delen van de gegevens moeten reizigers hiertoe expliciet toestemming verlenen,
die via de applicatie ook elk moment weer kan worden ingetrokken. Het gebruik van
DTC is op vrijwillige basis. Reizigers die geen gebruik willen van DTC kunnen gebruik
maken van het reguliere grenscontroleproces.
De conceptverordening vereist daarnaast dat elke lidstaat een verwerkingsverantwoordelijke
instantie aanwijst, naast eu-LISA als verwerkingsverantwoordelijke voor de backend
van de applicatie. Elke verwerkingsverantwoordelijke dient op nationaal niveau toe
te zien op naleving van regelgeving inzake privacy, waaronder de Algemene Verordening
Gegevensbescherming (AVG). Daaruit volgt dat reizigers onder andere het recht op inzage
en bezwaar hebben en dat daartoe effectieve, transparante informatievoorziening en
procedures dienen te worden gerealiseerd.
In deze fase is voor DTC nog niet bepaald hoe dit in Nederland exact zal worden vormgegeven,
nu de pilot een tijdelijke aard had en de conceptverordening nog niet was uitgegeven.
Wel bestaan logischerwijs reeds vergelijkbare procedures in de bestaande reis- en
grensprocessen waarbij aansluiting kan worden gezocht.
Ondertekenaars
-
Eerste ondertekenaar
N.T.P. Wingelaar, voorzitter van de vaste commissie voor Digitale Zaken -
Mede ondertekenaar
S.R. Muller, adjunct-griffier