29 okt
2018

GBA adviseert opnieuw ongunstig over de registratie van de vingerafdrukken op de elektronische identiteitskaart

De Gegevensbeschermingsautoriteit (GBA) formuleert een advies uit eigen beweging naar aanleiding van de hoorzitting in het parlement over een wetsontwerp dat diverse bepalingen met betrekking tot het Rijksregister en de bevolkingsregisters regelt. Zij bevestigt hierin haar ongunstig advies voor de registratie van vingerafdrukken van de volledige bevolking op de elektronische identiteitskaart. De GBA vraagt de intrekking van deze maatregel zodat eerst een gegevensbeschermingseffectbeoordeling kan plaatsvinden. Bovendien moet worden aangetoond dat ons huidige model van identiteitskaart ontoereikbaar is in de strijd tegen vervalsing.


Het nieuwe wetsontwerp dat in het parlement ter discussie stond heeft de kritiek die door de GBA in haar advies 19/2018 van 28 februari 2018 werd geformuleerd niet verholpen. Zelfs indien is voorzien dat de vingerafdrukken enkel zullen bewaard worden op de chip van de elektronische identiteitskaart, wordt de aandacht van de parlementariërs gevestigd op de volgende punten:
 
In tegenstelling tot wat de regering beweert, heeft de Europese Commissie geen aanbeveling geformuleerd over de registratie van de vingerafdrukken op de identiteitskaarten, maar enkel een voorstel van Verordening neergelegd op 17 april 2018 over de registratie van biometrische gegevens op de Europese identiteitskaarten. Dit voorstel heeft op zijn beurt een zeer kritisch advies gekregen van de Europese Toezichthouder voor gegevensbescherming (EDPS) en dient nog verder het Europese wetgevende proces te doorlopen.

Er wordt bovendien nog steeds geen reële verantwoording gegeven voor de geplande maatregel hoewel dit door de GBA werd gevraagd. Onze identiteitskaart is reeds uitgerust met voorzieningen tegen vervalsing (hologram, …) alsook met een biometrisch element (gelaatsafbeelding). Als dit ontoereikend is, over welke statistieken beschikt de regering dan om de geplande maatregel te staven?

De door de regering vooropgestelde gelijkstelling van de identiteitskaarten met de paspoorten om deze maatregel te verantwoorden is onaanvaardbaar: zelfs indien de identiteitskaart ook als reisdocument kan gebruikt worden binnen de Europese Unie, wordt zij momenteel niet systematisch gecontroleerd gelet op het recht op vrij verkeer binnen de Europese Unie. Bovendien, en in tegenstelling tot de paspoorten, biedt de identiteitskaart tal van andere gebruiksmogelijkheden in de privésector. Gelet op de verschillen tussen de identiteitskaarten en de paspoorten kan de invoering van veiligheidselementen, die voor paspoorten als passend kunnen worden beschouwd, niet automatisch gebeuren voor de identiteitskaarten. Dit vereist een grondige analyse die niet lijkt te hebben plaatsgevonden.

Blijkbaar werd geen enkele gegevensbeschermingseffectbeoordeling (DPIA) in het licht van de AVG uitgevoerd over de geplande maatregel. Nochtans is het zeer waarschijnlijk dat deze beoordeling aangeeft het verplichte karakter van de registratie van biometrische gegevens op identiteitskaarten te beperken tot de gelaatsafbeelding van de houder en de registratie van de vingerafdrukken facultatief te maken.

De GBA wijst tot slot nog op het principiële verbod op de verwerking van biometrische gegevens. Dit verbod kan slechts worden opgeheven indien de verwerking noodzakelijk is om redenen van algemeen belang en indien de evenredigheid met het nagestreefde doel wordt gewaarborgd en passende en specifieke beschermingsmaatregelen worden getroffen. Deze zijn momenteel ontoereikend. De risico’s op hacking en misbruik zijn hierdoor onvoldoende afgeschermd.