Goede borging van het recht op privacy van betrokkenen, gegevensbescherming en informatiebeveiliging spelen een belangrijke rol bij de verbetering van de ICT-infrastructuur van het reisdocumentenstelsel. Dat zeggen Esther Bliek-Rennenberg, privacy engineer, en Justus Sanders, specialist informatiebeveiliging. Beiden zijn verbonden aan het programma Verbeteren Reisdocumentenstelsel (VRS) van de Rijksdienst voor Identiteitsgegevens (RvIG).

‘Het recht op privacy, gegevensbescherming en informatiebeveiliging zijn actueel, omdat we op dit moment werken aan het programma VRS’, legt Esther uit. ‘Doel van dit programma is het verhogen van de betrouwbaarheid, fraudebestendigheid en kwaliteit van het aanvraag- en uitgifteproces van reisdocumenten en de informatievoorziening over uitgegeven reisdocumenten. Zo werken we aan een toekomstbestendig stelsel van paspoorten en identiteitskaarten.’

Eén registratie voor alle reisdocumenten

Een foto van Esther Bliek-Rennenberg
Esther Bliek-Rennenberg, RvIG

Daarbij wordt de ICT-infrastructuur aangepast. Esther: ‘Die voldoet niet meer aan de eisen van deze tijd. In essentie gaan we het mogelijk maken dat alle instanties die reisdocumenten uitgeven - de gemeenten, de Koninklijke Marechaussee, het ministerie van Buitenlandse Zaken en de bevoegde instanties in het Caribische deel van het Koninkrijk der Nederlanden - gebruik kunnen maken van actuele reisdocumentgegevens. Op dit moment heeft elke instantie haar eigen ICT-voorzieningen voor de ondersteuning van het aanvraag- en uitgifteproces en het beheer van de lifecycle van reisdocumenten. Daarbij wordt ook gebruik gemaakt van centrale ICT-voorzieningen. Al die voorzieningen bevatten slechts een deel van de benodigde informatie. Daardoor vindt gegevensuitwisseling tussen de betrokken instanties bijvoorbeeld plaats via e-mail, wat inefficiënt en foutgevoelig is. We werken aan de realisatie van twee centrale authentieke bronnen voor de verwerking van alle reisdocumentgegevens. Deze bronnen zijn voor alle uitgevende instanties continu toegankelijk. Daardoor kunnen ze altijd en overal over actuele, betrouwbare informatie beschikken.’

'Deze bronnen zijn voor alle uitgevende instanties continu toegankelijk'

Wetswijzigingen

Voor de realisatie van de verbeterstrategie zijn twee wetswijzigingen van de Paspoortwet aan de orde. Voor de introductie van het volledige Basisregister Reisdocumenten is de Paspoortwet reeds gewijzigd. Voor de introductie van de andere voorziening waarin de gezichtsopname, de handtekening en – tijdelijk - twee vingerafdrukken van de betrokkenen worden verwerkt, loopt het wijzigingstraject van de Paspoortwet nog. Deze twee centrale voorzieningen worden straks binnen de bestaande ICT-infrastructuur van het reisdocumentenstelsel toegevoegd. De twee voorzieningen komen in de plaats van de huidige 447 Reisdocumenten Aanvraag- en Archiefstations (RAAS-en) bij de bevoegde instanties en vervangen ook het huidige centrale register met vervallen en vermiste reisdocumenten.

Twee gescheiden disciplines

Bij het bouwen aan een nieuwe ICT-infrastructuur spelen zowel het recht op privacy als gegevensbescherming en informatiebeveiliging een belangrijke rol. ‘Dit zijn twee gescheiden vakdisciplines’, vertelt Esther. ‘Het recht op privacy en gegevensbescherming richten zich op de belangen van de betrokkene. Informatiebeveiliging richt zich op de bescherming van de belangen van de organisatie.’ Justus vult aan: ‘Informatiebeveiliging wordt geborgd door standaarden en methoden, terwijl de borging van het recht op privacy en gegevensbescherming gebaseerd zijn op een wettelijk kader. Voor de naleving van de beginselen uit de Algemene verordening gegevensbescherming (AVG) is een Functionaris Gegevensbescherming benoemd, wat verplicht is voor overheidsinstanties. Voor het zorgdragen voor de naleving van de bepalingen uit de Baseline Informatiebeveiliging Overheid (BIO) bestaat zo’n functionaris niet.’

Overlap en verschillen

Hoe het ook zij, borging van het recht op privacy, gegevensbescherming en informatiebeveiliging betekent dat er moet worden samengewerkt. ‘We delen onze inzichten met elkaar en kijken waar de overlap en waar de verschillen in onze werkzaamheden zitten’, aldus Esther. ‘Het privacystatement is bijvoorbeeld mijn werkterrein. Dat is een uitwerking van het transparantiebeginsel in de AVG.’ Justus: ‘Ik kijk bijvoorbeeld of RvIG voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). Dit is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen.’ Esther: ‘We voeren dus elk onze eigen risicoanalyses uit. Maar daarnaast trekken we samen op en werken we steeds vaker aan gezamenlijke rapportages.’

'We delen onze inzichten met elkaar en kijken waar de overlap en waar de verschillen in onze werkzaamheden zitten’

Privacy by design

Wat betekent dit concreet voor het programma VRS? ‘Het proces van aanvraag tot en met ontvangst van een reisdocument is straks gebaseerd op een ICT-infrastructuur, waarin alle benodigde gegevens staan’, legt Esther uit. ‘Architecten, productowners en softwareontwikkelaars passen die infrastructuur nu aan, zodat deze voldoet aan de privacybeginselen uit de AVG. Dit proces noemen we privacy by design.’ Justus: ‘Daarbij kijk ik vanuit het perspectief van informatiebeveiliging bijvoorbeeld naar een adequate versleuteling van bepaalde gegevens, zodat ze onherkenbaar zijn voor onbevoegden.’

Juridische toetsing wettelijk kader

Ten tweede wordt de ICT-infrastructuur juridisch getoetst aan de Paspoortwet, de Paspoortuitvoeringsregeling en het Paspoortbesluit. Esther: ‘Daarin staat onder meer beschreven wie een paspoort mag aanvragen, wie de aanvraag in behandeling mag nemen, wie een paspoort mag vervaardigen, wie een paspoort mag uitgeven en hoe al deze instanties dat moeten doen. In feite vertalen we dus dit wettelijke kader in de ICT-infrastructuur.’

Caribische deel

Ten derde wordt er gekeken naar de privacywetgeving in het Caribische deel van het Koninkrijk der Nederlanden. ‘Dat is belangrijk omdat de AVG daar niet van toepassing is’, aldus Esther. ‘Voor de bevoegde instanties aldaar houden we hier rekening mee.’

Samenwerking

Esther benadrukt de goede samenwerking met diverse organisaties met het oog op het uitvoeren van de verbeterstrategie. ‘Daarbij denk ik aan alle uitgevende instanties. Daarnaast denk ik aan onze leveranciers van ICT-diensten.’ Justus noemt de partijen die reisdocumentgegevens mogen verwerken voor het uitvoeren van publiekrechtelijke taken. ‘Denk daarbij aan de politie, het Expertisecentrum Identiteitsfraude en Documenten (ECID) en de omgevingsdiensten. Daarnaast zijn er organisaties die reisdocumentgegevens mogen verwerken omdat zij bij de uitvoering van hun taken wettelijke plichten hebben. Daarbij kun je denken aan banken en autoverhuurders. Ook werken we samen met de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG).’

Trots

‘Het programma VRS is omvangrijk en meerjarig’, besluit Esther. ‘Het is goed te zien dat de experts op het gebied van informatiebeveiliging en de experts op het gebied van privacy bij RvIG samenwerken. Bovendien werken zij intensief samen met collega’s van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). In het programma VRS hebben we elkaar hard nodig. Ik ben er dan ook trots op dat we elkaar respecteren en naar elkaar luisteren. Dat komt de samenwerking ten goede.’