dinsdag 30 augustus 2011

Privacy, het nummer en de pas

Er is gedoe over de uitgifte van de Rijkspas. Dat begon met een onderzoek van het College Bescherming Persoonsgegevens (CBP) in 2009 naar de rechtmatigheid van de verwerking van het Burgerservicenummer (BSN) ten behoeve van die Rijkspas. En het is maandag een nieuwe fase ingegaan, met de rechtszitting over de door het CBP opgelegde last onder dwangsom aan het ministerie van Infrastructuur en Milieu (I&M).


Waar gaat het om?
Bij het aanvragen van de Rijkspas wordt de identiteit van de medewerker van het ministerie gecontroleerd aan de hand van een identiteitsbewijs, waarvan de achternaam, voornaam en overige initialen, voorvoegsels, geboortedatum, geslacht alsmede het BSN worden vergeleken met de gegevens in het Identity Management (IdM) systeem van het ministerie.


Ook bij de uitgifte van de Rijkspas wordt, voordat de pas feitelijk wordt overhandigd, de identiteit van de medewerker gecontroleerd aan de hand van een identiteitbewijs, maar daarbij wordt het BSN niet vergeleken.

Het BSN wordt gebruikt om de identiteit van de medewerker die een Rijkspas aanvraagt te controleren. De identiteit wordt daarnaast ook geverifieerd aan de hand van de achternaam, de voornaam, de overige initialen, de voorvoegsels, de geboortedatum en het geslacht zoals dat vermeld staat op het identiteitsbewijs van de medewerker.

Het CBP vindt dat de identiteit van een medewerker voldoende kan worden gecontroleerd aan de hand van (de combinatie van) deze persoonsgegevens. Deze gegevens zijn bovendien, in tegenstelling tot het BSN, geen bijzondere persoonsgegevens, zodat het gebruik daarvan minder risico’s met zich mee brengt voor de bescherming van de persoonlijke levenssfeer.

Het ministerie vindt het gebruik van het BSN wel nodig. De Rijkspas wordt momenteel niet alleen ingevoerd bij I&M, maar bij alle ministeries. Het gaat daarbij niet alleen om fysieke toegang tot diverse gebouwen van de rijksoverheid, maar ook tot gevoelige objecten en documenten. Het gaat dus om de veiligheid van de gehele (rijks)overheid. En het controleren van het BSN is gewoon nodig, want er lopen bijvoorbeeld te veel ambtenaren rond die dezelfde voorletters, achternaam en geboortedatum hebben.
En nu ben ik benieuwd naar drie dingen:
  1. Klopt het dat er te veel ambtenaren rondlopen met dezelfde genoemde persoonsgegevens (en wat is dan te veel)?
  2. Kan de identiteit van een medewerker voldoende geverifieerd worden, zonder bijzondere persoonsgegevens te gebruiken (en wat is voldoende)?
  3. Zijn de principiële gronden van het CBP realistisch?
Kansen, kansen!
Vanmiddag vond, naar aanleiding van een tweet van Ingmar Koch, een discussie plaats in mijn Twitter time line over de kans op 'dubbele' persoonsgegevens bij het uitgeven van die Rijkspas. De conclusie is dat de kans reëel is dat er tussen de pakweg 124.000 rijksambtenaren een 'gegevenstweeling' rondloopt, alhoewel het een zeer kleine kans is.

In de berekeningen is overigens alleen uitgegaan van de combinatie geboortedatum, voorletters en achternaam. Als je daarna de kans berekent met de variabele 'geboorteplaats' erbij, wordt de kans nog kleiner.Als je dan ook nog de werkplek (dus het ministerie) in de vergelijking meeneemt, dan wordt de kans onwaarschijnlijk klein.

Niettemin: een kans is een kans. Het geeft aan dat het wetenschappelijk niet onmogelijk is. Het kan dus voorkomen dat er zo'n Rijksambtenarenpaar binnen een ministerie voorkomt.

Qua risicomanagement is de kans verwaarloosbaar te noemen, als er ter verificatie wat meer persoonsgegevens bij betrokken worden. Overigens, de kans op het uitreiken van een verkeerde pas én dat het niet ontdekt wordt én dat daar misbruik van wordt gemaakt is wéér veel kleiner. Van het argument van het ministerie blijft, vanuit het oogpunt van kansberekening, niet zo veel over.

Aanvulling 03-09-2011:
Overigens, in het zittingsverslag van Brenno de Winter op Webwereld (http://webwereld.nl/nieuws/107... staat dat volgens I&M alleen dit ministerie al onder de ruim 18.000 ambtenaren 15 mensen kent die dezelfde voor- en achternaam en geboortedatum hebben. Er staat 15 mensen, niet koppels, dus er zou ook één gegevensdrieling tussen kunnen zitten. Het is onduidelijk of ze van hetzelfde geslacht zijn en of de geboorteplaats verschilt.
Dit geeft m.i. aan dat deze drie kenmerken alleen niet voldoende zijn. Maar met geslacht, geboorteplaats en werkplek maak je de kans op dubbelingen vermoedelijk wel verwaarloosbaar.

Verificatie
Als de conclusie is dat de combinatie van geboortedatum, voorletters, voornaam, achternaam, geboorteplaats en werkplek een verwaarloosbare kans op fouten geeft, mag je dan eveneens concluderen dat dit tot voldoende verificatie van de identiteit leidt? Ik vermoed van wel. Immers, als de kans een ander te identificeren dan daadwerkelijk het geval is, verwaarloosbaar is, is dat alleen mogelijk omdat de juiste persoon geïdentificeerd is.

Ik heb nog even getwijfeld over het persoonsgegeven 'geboorteplaats', omdat ik me kan voorstellen dat het onder de bijzondere persoonsgegevens valt. De Wet Bescherming Persoonsgegevens noemt geboorteland slechts één keer, namelijk als uitzondering op persoonsgegevens omtrent iemands ras, zolang dat gegeven gebruikt wordt teneinde personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen. Dat is hier niet het geval. Geboorteplaats (en dus -land) wordt hier alleen gebruikt voor verificatie van het individu en niet voor identificatie van zijn of haar ras. Ik ga er dus vanuit dat het in deze situatie een 'gewoon' persoonsgegeven betreft. Overigens is dit gegeven ook bekend bij personeelsadministratie van een ministerie.

Principes
Juridisch gezien gaat de strijd om het volgende:
In de Wet algemene bepalingen burgerservicenummer (Wabb) staat dat overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik kunnen maken van het BSN. En daar gaat I&M de mist in, volgens het CBP. Met taak wordt hier de publiekrechtelijke taak bedoeld en niet een 'gewone' taak.

Dit is ook precies wat I&M doet, volgens de Landsadvocaat, aangezien alles wat de minister doet publiek is. Het CBP betoogt dat de wet zo niet bedoeld is. Immers, een groot bedrijf geeft ook toegangspassen uit en daarbij mag ook geen gebruik gemaakt worden van het BSN. Het koppelen met het BSN door het ministerie zou gemakzucht zijn.

Zelf neig ik er naar om principieel-juridisch gezien het CBP hier gelijk te geven. Om de uitgifte van toegangspassen als een publiekrechtelijke taak te zien in plaats van een bedrijfsmatige handeling, mist alle grond. Het zou betekenen dat je het schoonhouden van de wc's van de ministeries ook als publiekrechtelijke taak ziet in plaats van als goed werkgeverschap.



Praktisch
Toch vraag ik me af of het gebruik van het BSN voor de aanmaak van de passen nu echt zo'n probleem is. Eerlijk gezegd ging ik er van uit dat een werkgever het BSN van een werknemer toch al weet. Volgens mij moet een werknemer een kopie van zijn of haar identiteitsbewijs inleveren bij een aanstelling en dan is het nummer dus bekend. Als men de personen die de aanvragen en verwerkingen uitvoeren niet vertrouwt, dan moet men daar wat aan doen. Het kan zijn dat ik iets over het hoofd zie, maar het verbieden van het gebruik van het BSN in dit geval lijkt me averechts werken. Pick your battles, CBP.

Overigens wordt het BSN niet meer gebruikt bij de ministeries om Rijkspassen aan te maken, totdat de rechter uitspraak heeft gedaan.

Plaatjes
http://jduquesn.home.xs4all.nl/paspoort_francis_smolders.jpg
http://mirnaenpeter.web-log.nl/home/2008/11/prenatale-diagn.html&docid=jjo3ikC4GALgCM&w=200&h=232&ei=9-dgTsWuNsef-wbQt-g4&zoom=1
http://amensamen.punt.nl/?id=498663&r=1&tbl_archief=0&

4 opmerkingen:

Ingmar zei

Ik had me dat nog niet zo gerealiseerd, maar nu je het zo nadrukkelijk over publiekrechtelijke taak hebt, zie ik dat de zaak zo goed als gelijk is aan de zaak van het Gelders Archief. En die verloor het archief...

Bob Coret zei

Ik moet je betoog nog even laten bezinken, ben nog niet geheel overtuigd.

> Pick your battles, CBP.

Ik weet nog wel een leuke: het BTW-identificatienummer van eenmanszaken/ZZP-ers, gebaseerd op het BSN van de natuurlijke persoon en bij Wet verplicht te vermelden op correspondentie en website.

AikeP zei

Helemaal zeker weten doe ik het niet meer, masr het staat mij bij dat ik voor het verkrijgen van een pasje voor de studiezaal van het NA toch ook mijn BSN heb moeten geven. Zou dan, net als in de Gelders Archief-zaak, niet gevraagd mogen zijn. Ik weet overigens zeker dat er geen andere studiezaalbezoekers met mijn voornamen en geboortedatum zijn.

Chido Houbraken zei

@Ingmar
Interessante vergelijking, maar ik zie wel twee belangrijke verschillen tussen de twee zaken:
1. Het Gelders Archief vraagt het BSN op als aanvulling op hun registratie en het ministerie gebruikt het al aanwezige BSN als verificatiemethode. Het eerste is een klant-leverancier relatie, het tweede een werkgever-werknemer relatie.
2. Het Gelders Archief heeft de uitspraak van het CBP niet getoetst bij de rechter. Het is dus niet duidelijk of de rechter er net zo over gedacht zou hebben. Dat weten we in het geval van de Rijkspas trouwens ook nog niet.

De aanpassing van het Bezoekersreglement (pdf) van het Gelders Archief is ook interessant. Men moet zich legitimeren bij ieder bezoek en bij de eerste inschrijving soort en nummer van de legitimatie opgeven. Daarmee creëer je ook een uniek verificatienummer, zonder dat het BSN wordt gebruikt. Misschien is dat ook iets voor de Rijkspas?

@Aike
Was het je BSN of je legitimatie? Je zou het voor de lol eens kunnen aanvechten, als het je BSN was. Maar misschien hebben ze het - in navolging van het Gelders Archief - er wel uitgegooid.

@Bob
Da's inderdaad waar! Mijn BTW-nr is ook zo opgebouwd. Zelf dacht ik dat ik alleen mijn KvK-nr hoefde te vermelden. Ik heb even gezocht en in mijn geval is dat ook zo (behalve op facturen). Op een KvK-forum kwam ik deze discussie tegen en de laatste post (op 12-01-2011) vat het mooi samen:

Volgens de betreffende wetsartikelen is de verplichting om het btw-nummer te vermelden op de website alleen van toepassing wanneer via die website een dienst langs electronische weg en tegen vergoeding wordt verricht.

Bij gebruik van een website om informatie over aangeboden producten en diensten ter beschikking te stellen, staat hier (uitzonderingen daargelaten) geen vergoeding tegenover. En bij koop in een webshop vindt in de meeste gevallen langs electronische weg alleen de bestelling plaats.

Alleen wanneer het verrichten van de dienst ook langs die weg gebeurt (bijvoorbeeld het betaald ter beschikking stellen van informatie, downloads) is het genoemde wetsartikel van toepassing.


Ik houd er maar even op dat ik mijn BTW-nummer niet online hoef te vermelden.