Zelfs de BVD blijft wakker nu de biometristen dromen

Robert van Kralingen, Corien Prins en Jan Grijpink: Het lichaam als sleutel, Juridische beschouwingen over biometrie. Samsom, 74 blz. ƒ 49,50

Asielzoekers krijgen tegenwoordig een identiteitskaart met hun vingerafdruk. Automatisch afleesbaar door controle-apparatuur aan de poort van de asielcentra. Is dit de toekomst voor alle ingezetenen van Nederland? De gemiddelde burger zal daar toch wel even tegen aanhikken. Maar een bevestigend antwoord is voor de auteurs van een unieke juridische terreinverkenning over biometrie, die deze week werd gepresenteerd op het vierde Nationaal Chipcard congres in Amsterdam, eigenlijk geen vraag.

Persoonsidentificatie met behulp van een biologische pincode is 'onmisbaar en onvermijdbaar', aldus een van de auteurs, mr.dr. J. Grijpink van het ministerie van justitie, op een speciaal ingelaste 'expertsessie'. Het hoeft overigens niet per se een vingerafdruk te zijn, met alle criminele connotaties van dien. Het kan ook de hele handpalm zijn, of een scan van de iris van een oog, of zelfs de tedere warmtestraling van een wang. Sommige politiemensen zweren overigens bij een oorafdruk. Minister Wijers van Economische zaken die de studie in ontvangst nam, moest er bijna van blozen. Hij beloofde in elk geval dat Den Haag er niet met verhitte koppen doch met een koel hoofd naar zal kijken.

Dat is wel nodig. De fysieke gegevens van een persoon gelden als privacygevoelig. Onze Grondwet erkent bovendien het recht van ieder mens op bescherming van de lichamelijke integriteit. Daarbij past ook zeggenschap over het gebruik van eigen lichaamskenmerken. Aan de andere kant is de pasfoto een voorbeeld van een biometrische herkenningstechniek die reeds volkomen is ingeburgerd. Waarom dan moeilijk doen?

Grijpink wijst erop dat het gebruik van pasfoto's wordt bemoeilijkt onder de nieuwe privaywetgeving naar Europees voorbeeld die op komst is. Uit een foto zijn immers raciale kenmerken af te leiden - en dat zijn pas echt gevoelige gegevens. Dan maar liever de handpalm, iris of wang? Op grond van de Europese richtlijn is dat toch iets te snel geconcludeerd. Want deze richtlijn merkt ook het nemen van vinger- of irisafdruk aan als een verwerking van persoonsgegevens die is onderworpen aan privacybescherming.

Het is overigens niet alleen kommer en kwel met biometrie. In combinatie met de chipcard opent zij interessante mogelijkheden persoonscontroles uit te voeren zonder dat de naam van de betrokkenen bekend hoeft te worden. Daartoe wordt het biometrische kenmerk gedigitaliseerd vastgelegd in de chip. Dat gebeurt in de vorm van een cijferreeks, de zogeheten template. Deze formule is op zichzelf naamsgebonden. Het is dan ook mogelijk de chipcardcontrole bij het moderne voetbalstadion zo in te richten dat de scanner alleen controleert of de handafdruk van de houder past bij zijn toegangskaart zonder dat bekend hoeft te worden wie het is.

Dergelijke toepassingen kunnen inderdaad tegemoet komen aan veel zorgen over het controlepotentieel van de moderne electronica. Tenzij natuurlijk het stadion voor alle zekerheid de templates toch maar even in de scanner opslaat zodat achteraf valt vast te stellen dat X en Y er afgelopen zondag weer bij waren. De stelling 'dat gepersonaliseerde biometrie uitzondering moet blijven', is veel minder vanzelfsprekend dan hij door Grijpink c.s. wordt gebracht.

De hoofdvraag betreft echter de kwalificatie 'onmisbaar en onvermijdelijk'. Waar komt die urgentie toch vandaan? De chipcard is nog niet veel meer dan een electronische beurs met beperkt oplaadvermogen. Afgezien natuurlijk van de populaire loyality-kaarten, de kinderen van Air Miles zogezegd. Maar de gezondheidssector werkt hard aan een 'zorgpas' vol met gevoelige patiëntengegevens en de overheid ziet veel in een 'burgerschapskaart' waarvan veilig valt te voorspellen dat hij een begerenswaardig object zal vormen voor diverse soorten illegalen. Dan volstaat een pincode niet meer, is de redenering.

Ondanks de burgervriendelijke betiteling van de nieuwe cards zijn het eerst en vooral controle-instrumenten. Ze zijn, zoals een schrijver in de Financial Times eens opmerkte, 'bedoeld om uit te sluiten niet om binnen te halen'. Daarbij hoort een grondige afweging tussen doel en middelen. Deze schittert in het geval van biometrie tot dusver door afwezigheid. Niet alleen in Nederland. Voorzover de auteurs konden nagaan is ook in het buitenland tot dusver nauwelijks iets geschreven over de normatieve aspecten van biometrie.

Wat dit betreft voorziet hun inventarisatie in een behoefte. Maar dat is geen reden kort door de bocht te gaan. Zo suggereert Grijpink dat biometrie min of meer zal worden opgelegd door de rechter. Hij ontleent dit dreigement aan de Wet computercriminaliteit van 1993. Deze bevat onder meer het beginsel dat de beheerders van informatiesystemen een eigen verantwoordelijkheid hebben voor de computerbeveiliging. Zo is een computerkraker (hacker) alleen strafbaar als hij 'enigerlei beveiliging doorbreekt'. Dat woord 'enigerlei' staat er echter niet voor niets. De wet dwingt bepaald niet tot het nemen van maximale beveiligingsinspanningen: zoals biometrie.

Tégen biometrische controles pleit dat de Nederlandse wetgever, óók in 1993, zeer bewust heeft gekozen voor een beperkte en niet voor een algemene identificatie-plicht van personen. Zelfs de BVD waarschuwde tegen mogelijke negatieve bij-effecten van al te enthousiaste persoonscontroles.

    • Frank Kuitenbrouwer