6.8.2008   

NL

Publicatieblad van de Europese Unie

C 200/1

1.

Op 18 oktober 2007 heeft de Europese Commissie bij het Europees Parlement en de Raad een voorstel voor een verordening tot wijziging van Verordening (EG) nr. 2252/2004 (1) („het voorstel”) ingediend. De Europese toezichthouder voor gegevensbescherming (EDPS) is niet over dit voorstel geraadpleegd hoewel de Commissie, volgens artikel 28, lid 2, van Verordening (EG) nr. 45/2001, wanneer zij een wetgevingsvoorstel aanneemt betreffende de bescherming van de fundamentele rechten en vrijheden van personen op het gebied van de verwerking van persoonsgegevens, de Europese Toezichthouder voor de gegevensbescherming moet raadplegen.

2.

De EDPS betreurt het dat de Commissie haar wettelijke verplichting om hem te raadplegen niet is nagekomen en verwacht in de toekomst te worden geraadpleegd over alle voorstellen die onder artikel 28, lid 2, vallen. De EDPS heeft besloten op eigen initiatief een advies uit te brengen. Gelet op het verplichtende karakter van artikel 28, lid 2, moet dit advies in de preambule van de tekst vermeld worden.

3.

De achtergrond van het voorstel is als volgt. De Raad heeft op 13 december 2004 Verordening (EG) nr. 2252/2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten vastgesteld om biometrische gegevens in paspoorten in te voeren. Biometrische gegevens moeten, samen met veiligheidselementen, het paspoort en de houder nog beter aan elkaar koppelen. Op 28 februari 2005 heeft de Commissie het eerste deel aangenomen van de technische specificaties betreffende de opslag van de foto van het gezicht van de houder op een contactloze chip (2). Op 28 juni 2006 heeft de Commissie een tweede beschikking aangenomen over de bijkomende opslag van twee vingerafdrukken op de paspoortchip (3).

4.

Om de uitzonderingen op het biometrische paspoort te harmoniseren, worden middels het voorstel onderstaande maatregelen toegevoegd: kinderen jonger dan zes jaar worden vrijgesteld van de verplichting om vingerafdrukken te geven; personen bij wie het nemen van vingerafdrukken fysiek onmogelijk is, moeten eveneens worden vrijgesteld van dit vereiste.

5.

Daarnaast bevat het voorstel de nieuwe verplichting van „één persoon één paspoort”, bij wijze van extra veiligheidsmaatregel en om kinderen extra bescherming te bieden.

6.

De EDPS juicht het toe dat de Commissie rekening heeft gehouden met de in zijn eerdere adviezen van zijn hand genoemde noodzaak van vangnetprocedures, zoals is aangegeven in de toelichting bij het voorstel.

7.

De EDPS betreurt het dat de Commissie voor dit voorstel geen effectbeoordeling heeft uitgevoerd. Dus is het niet duidelijk hoe de Commissie zonder een degelijke effectbeoordeling een behoorlijke evaluatie heeft kunnen maken van de noodzaak en de evenredigheid van het voorstel in verhouding tot gegevensbeschermingsvraagstukken. Een dergelijke analyse moet niet beperkt blijven tot de kosten van nieuwe maatregelen en kan baat hebben bij soortgelijke vragen die al zijn gerezen in de context van andere voorstellen zoals het voorstel over de herziening van de visuminstructies (4). Het ontbreken van een effectbeoordeling toont eens te meer aan dat de leeftijdsgrens in het voorstel moet worden herzien, zoals in deel 2.1. van dit advies nader wordt toegelicht.

8.

De EDPS heeft bij verscheidene gelegenheden erkend dat het gebruik van biometrische gegevens voordelen heeft, maar heeft ook benadrukt dat deze voordelen afhankelijk zijn van de toepassing van strikte garanties. In zijn advies over SIS II (5) heeft de EDPS een niet-uitputtende lijst voorgesteld van gemeenschappelijke verplichtingen of eisen waaraan moet worden voldaan wanneer in een systeem biometrische gegevens worden gebruikt. Deze elementen zullen ertoe bijdragen dat wordt vermeden dat de paspoorthouder de last van de onvolkomenheden van het systeem, zoals de gevolgen van een verkeerde identificatie of een storing bij de invoering van de gegevens, moet dragen.

9.

Daarom steunt de EDPS het voorstel van de Commissie om vrijstellingen van het afstaan van vingerafdrukken in te voeren, op basis van de leeftijd van de persoon in kwestie of diens onvermogen om vingerafdrukken te geven. Deze vrijstellingen zijn onderdeel van de vangnetprocedures die ingevoerd moeten worden. Ook juicht de EDPS het toe dat de Commissie tracht een samenhangende aanpak te bereiken in verschillende instrumenten voor vergelijkbare vraagstukken, wat blijkt uit het feit dat zij ook in het voorstel voor herziening van de gemeenschappelijke visuminstructies een vrijstelling voorstelt.

10.

De EDPS vindt deze vrijstellingen echter nog steeds onbevredigend omdat zij geen oplossing bieden voor alle mogelijke en relevante problemen die voortvloeien uit de inherente onvolkomenheden van biometrische systemen, en meer in het bijzonder de problemen in verband met kinderen en ouderen.

11.

In de toelichting bij het voorstel maakt de Commissie melding van proefprojecten in sommige lidstaten waaruit is gebleken dat de vingerafdrukken van „kinderen onder de zes jaar niet van voldoende kwaliteit zijn voor een een-op-een identiteitscontrole”. Er is echter weinig of niets bekend over deze projecten en de omstandigheden waarin zij zijn uitgevoerd. Tot nog toe is nog niet uitgelegd of gedefinieerd wat er onder „voldoende kwaliteit” moet worden verstaan.

12.

Volgens de EDPS moet de leeftijdsgrens voor kinderen voor het geven van vingerafdrukken worden bepaald op basis van een consistente en diepgaande studie die duidelijk moet aangeven welke mate van nauwkeurigheid de systemen in werkelijkheid bereiken en die de verscheidenheid van de verwerkte gegevens moet weergeven. De proefprojecten op zich bieden niet genoeg informatie waarop de communautaire wetgever zijn fundamentele keuzes kan baseren.

13.

De EDPS heeft in zijn advies over het voorstel voor een verordening tot wijziging van de gemeenschappelijke visuminstructies (6) reeds gesteld dat die studie moet worden verricht voordat er een leeftijdsgrens wordt gesteld. Noch de beschikbare wetenschappelijke literatuur noch de eerdere effectbeoordeling die de Commissie heeft uitgevoerd in het kader van het voorstel voor het visuminformatiesysteem (7) biedt sluitend bewijs met betrekking tot een goed gefundeerde leeftijdsgrens voor kinderen.

14.

Daarom beveelt de EDPS aan de in het voorstel gekozen leeftijdsgrens te beschouwen als een voorlopige. Na drie jaar moet de leeftijdsgrens worden herzien en geschraagd door een grootschalige en diepgaande studie. Gezien de gevoelige aard van biometrische gegevens en het concurrentieaspect van biometrische systemen stelt de EDPS voor deze studie te laten uitvoeren door één Europese instelling die op dit gebied duidelijke ervaring en testfaciliteiten heeft (8). Alle belanghebbenden, van bedrijfsleven tot autoriteiten van de lidstaten, moeten worden uitgenodigd aan de studie bij te dragen.

15.

Voordat de leeftijdgrens duidelijk door deze studie wordt gedefinieerd, en om onzekere uitvoering te vermijden, beveelt de EDPS aan de toegepaste grens te laten overeenkomen met de grenzen die in de verordening over het Eurodac-systeem (9) in verband met asielzoekers reeds voor grote bevolkingsgroepen zijn vastgesteld (de leeftijdsgrens voor het afnemen van vingerafdrukken van kinderen is 14 jaar) of het programma US Visit (10) (ook een leeftijdsgrens van 14 jaar). Deze grenzen kunnen zelfs iets lager liggen aangezien het gebruik van biometrische gegevens nadrukkelijk is beperkt tot een proces van verificatie (één-op-één-vergelijking) volgens artikel 4, lid 3, van Verordening (EG) nr. 2252/2004. Gewoonlijk levert zo'n proces minder fouten op dan een identificatieproces (één-op-n-vergelijking) dat hogere foutenpercentages te zien geeft.

16.

Niet alleen jonge kinderen, maar ook ouderen hebben te maken met de onvolkomenheden van vingerafdruksystemen. Er is namelijk aangetoond dat de nauwkeurigheid en de bruikbaarheid van vingerafdrukken afnemen bij ouderen (11); ook aspecten van gemak en ergonomie zijn in het bijzonder relevant. De EDPS volgt hier de redenering voor de leeftijdsgrens van kinderen en beveelt aan voor ouderen bij wijze van bijkomende vrijstelling een leeftijdsgrens in te voeren die gebaseerd kan worden op soortgelijke reeds bestaande ervaringen (voor US Visit geldt een grens van 79 jaar). De kwaliteit van vingerafdrukken van ouderen ten behoeve van het invoeren en koppelen van gegevens moet ook onderdeel zijn van de eerder genoemde studie.

17.

Tot slot herhaalt de EDPS dat deze vrijstellingen op geen enkele wijze stigmatiserend of discriminerend mogen zijn ten aanzien van de personen die zullen worden vrijgesteld vanwege hun leeftijd bij wijze van voorzorgsbeginsel of omdat zij onleesbare vingerafdrukken hebben.

18.

Zoals op de website van de Internationale Burgerluchtvaartorganisatie (ICAO) wordt uitgelegd, is de aanbeveling voor het concept van „één persoon één paspoort” (12) vooral bedoeld als een mogelijke oplossing voor het gebrek aan standaardisatie inzake gezinspaspoorten en de opkomst van machinaal leesbare paspoorten. De EDPS erkent dat dit concept als bijkomend voordeel zou kunnen hebben dat het bijdraagt aan de bestrijding van kinderhandel. Hoofddoel van een paspoort is echter de Europese burgers makkelijker te laten reizen, en niet het bestrijden van het ontvoeren van kinderen, waartegen bijkomende concrete en efficiënte maatregelen worden ontwikkeld.

19.

Volgens een recente studie (13) lopen minderjarigen die alleen reizen het grootste gevaar slachtoffer te worden van handel of ontvoering. Het is duidelijk dat voor deze categorie het bezit van een persoonlijk reisdocument een bijkomende bescherming biedt. Er dient echter te worden benadrukt dat kinderen onder de zes jaar volgens de Internationale Luchtvervoersvereniging (IATA) niet mogen reizen zonder de persoon die het ouderlijk gezag uitoefent.

20.

In de toelichting bij het voorstel geeft de Commissie, om te illustreren dat deze veiligheidsmaatregel nodig is, een voorbeeld van een ouder en kinderen die op hetzelfde paspoort staan ingeschreven en het feit dat de biometrische gegevens van de kinderen niet op de chip worden opgeslagen, maar alleen die van de ouder. Er moet worden benadrukt dat de biometrische gegevens van kinderen die onder de door de Commissie voorgestelde leeftijdsgrens zitten, in geen geval op het paspoort worden opgeslagen. In dit geval lijkt de last van de bijkomende kosten en procedure voor de ouders, en het bijkomende verzamelen van persoonsgegevens in verband met de kinderen, buitensporig.

21.

Ook moet worden benadrukt dat het technisch mogelijk maken van de toegang tot of het invoeren van gegevens (door vrijgestelde kinderen een biometrisch paspoort te geven), in veel gevallen een krachtige drijfveer wordt voor het de facto verzamelen of toegang geven tot deze gegevens. Men kan er rustig van uitgaan dat technische middelen, zodra zij beschikbaar zijn, gebruikt zullen worden. Met andere woorden, soms rechtvaardigen de middelen het doel en niet andersom. Dat kan leiden tot verzoeken om minder strenge wettelijke voorschriften (en een lagere leeftijdsgrens) om het gebruik van deze beschikbare technieken te vereenvoudigen. Wettelijke veranderingen kunnen dan alleen nog maar bevestigen wat in de praktijk reeds gebeurt.

22.

De EDPS beveelt aan het beginsel van „één persoon één paspoort” alleen toe te passen op kinderen die boven de door de Commissie voorgestelde leeftijdsgrens zitten of boven de grens die door de eerder genoemde studie zal worden herzien en bevestigd.

23.

De afgifte van paspoorten in de lidstaten van de EU wordt geregeld door de wetgeving van de lidstaten. De nationale wetgeving verlangt de overlegging van diverse documenten, zoals geboortebewijs, certificaat van burgerschap, trouwboekje, instemming van de ouders, rijbewijs, factuur van een nutsbedrijf enz. Dit zijn de onderliggende documenten, waar paspoorten op gebaseerd kunnen zijn.

24.

Op dit punt zijn er grote verschillen tussen de wetgevingen van de lidstaten van de EU. De manier waarop onderliggende documenten in de lidstaten worden gemaakt, evenals de documenten die worden verlangd voor de afgifte van een paspoort, getuigen van zeer uiteenlopende situaties en procedures, die de kwaliteit van de gegevens in de paspoorten wel moeten aantasten en misschien zelfs leiden tot diefstal van identiteit.

25.

De onderliggende documenten bevatten gewoonlijk minder beveiligingskenmerken en kunnen dus makkelijker worden vervalst en nagemaakt, in tegenstelling tot een verbeterd paspoort met biometrische kenmerken die beschermd worden door PKI-systemen.

26.

De EDPS juicht het toe dat de Commissie streeft naar betere beveiligingsmaatregelen voor het paspoort, maar hij wenst te benadrukken dat het paspoort slechts een schakel is in een beveiligingsketen die begint bij deze onderliggende documenten en eindigt bij de controleposten aan de grens en dat deze keten zo sterk is als de zwakste schakel. Daarom beveelt de EDPS de Commissie aan bijkomende maatregelen voor te stellen om de manier waarop onderliggende documenten worden gemaakt te harmoniseren en tevens de aard van de documenten die voor een paspoort worden verlangd, te harmoniseren.

27.

Volgens een diepgaande studie (14) die de Groep gegevensbescherming van artikel 29 op verzoek van de commissie LIBE van het Europees Parlement heeft uitgevoerd over de uitvoering van Verordening (EG) nr. 2252/2004, hebben verscheidene lidstaten plannen voor het opzetten van een centrale gegevensbank voor de opslag van biometrische gegevens van het paspoort. Hoewel de lidstaten alleen een procedure voor verificatie van biometrische gegevens middels een centrale gegevensbank kunnen invoeren, overeenkomstig de strenge beperking in de verordening, houdt deze optie bijkomende risico's in voor de bescherming van de persoonsgegevens, zoals het ontstaan van verdere, niet in de verordening voorziene doelen, of zelfs visexpedities in de gegevensbank die moeilijk te bestrijden zullen zijn (15).

28.

De EDPS beveelt de Commissie aan verdere harmonisatiemaatregelen voor te stellen zodat er alleen gedecentraliseerde opslag wordt ingevoerd (in de draadloze chip van het paspoort) betreffende biometrische gegevens die worden verzameld voor paspoorten van de lidstaten van de EU.

29.

In de beschikking van de Commissie (16) van 28 juni 2006, C(2006) 2909, worden alleen het formaat en de kwaliteit van de te verwerken vingerafdrukbeelden gedefinieerd, evenals de manier waarop ze moeten worden beschermd (uitgebreide toegangscontrole). In het voorstel staat niets over de mogelijke percentages storingen bij invoering of de percentages in verband met de koppeling. Het voorstel biedt wel een vangnetprocedure voor jonge kinderen (leeftijdsgrens), maar de drempel die aangeeft wanneer vingerafdrukken niet goed genoeg zijn om te worden ingevoerd, wordt niet gedefinieerd.

30.

Wat betreft de koppeling wordt in het voorstel niet aangegeven welk percentage foutieve afwijzingen aan de grens moet worden gehanteerd en hoe moet worden omgegaan met mensen die blijkbaar foutief zijn afgewezen. Dit ontbreken van uniforme percentages kan leiden tot uiteenlopende methoden van verwerking van biometrische gegevens van EU-burgers, afhankelijk van de grens die de betrokkene uitkiest om het Schengengebied te betreden, en kan zo leiden tot een ongelijke behandeling van Europese burgers wat betreft het resterende risico van de biometrische gegevens. Het gaat hier om een één-op-één-verificatie en dus erkent de EDPS dat het percentage foutieve afwijzingen lager zal zijn dan voor een identificatie en dat er dus minder gevallen behandeld zullen moeten worden. Toch moeten er voor deze mensen geharmoniseerde en bevredigende vangnetprocedures worden bepaald.

31.

De EDPS beveelt de Commissie aan gemeenschappelijke percentages voor te stellen voor de invoering en koppeling van gegevens, aangevuld met vangnetprocedures, tezamen met de autoriteiten van de lidstaten.

32.

De voorgestelde wijzigingen op de bestaande normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten roepen dezelfde vragen op die reeds in eerdere adviezen zijn behandeld, hoewel het de EDPS verheugt dat thans rekening is gehouden met de noodzaak van vangnetprocedures.

33.

Ook juicht de EDPS het toe dat er vrijstellingen zijn ingevoerd op basis van de leeftijd van de persoon of diens vermogen tot het afstaan van vingerafdrukken en dat er is getracht tot een samenhangende aanpak te komen in verschillende instrumenten die voor vergelijkbare vraagstukken worden gebruikt.

34.

De EDPS vindt deze vrijstellingen echter nog steeds onbevredigend omdat zij geen oplossing bieden voor alle mogelijke en relevante problemen die voortvloeien uit de inherente onvolkomenheden van biometrische systemen, en meer in het bijzonder de problemen in verband met kinderen en ouderen.

35.

De leeftijdsgrens voor kinderen moet worden bepaald op basis van een consistente en diepgaande studie die duidelijk moet aangeven welke mate van nauwkeurigheid de systemen in werkelijkheid bereiken en die de verscheidenheid moet weergeven van de verwerkte gegevens. Deze studie moet worden uitgevoerd door een Europese instelling met duidelijke ervaring en de nodige faciliteiten op dit gebied.

36.

Voordat de leeftijdsgrens door de studie wordt bepaald en om onzekere uitvoering te vermijden moet de voorlopige grens overeenkomen met de grens die reeds voor grote bevolkingsgroepen is vastgesteld, en wel in het Eurodac-systeem of in het programma US Visit (leeftijd van 14 jaar), of zelfs iets lager zijn aangezien het uitsluitend gaat om een verificatieproces.

37.

Voor ouderen moet er een leeftijdsgrens komen, die gebaseerd kan zijn op soortgelijke ervaringen (US Visit: 79), die als bijkomende vrijstelling kan worden ingevoerd. Zulke vrijstellingen mogen op geen enkele wijze stigmatiserend of discriminerend zijn ten aanzien van de betrokkenen.

38.

Het beginsel van „één persoon één paspoort” moet alleen op kinderen boven de leeftijdsgrens worden toegepast.

39.

Gelet op de bestaande diversiteit van de nationale wetgevingen inzake documenten die voor een paspoort worden verlangd, moet de Commissie bijkomende maatregelen voorstellen om de productie en het gebruik van zulke onderliggende documenten te harmoniseren.

40.

Ook moet de Commissie verdere harmonisatiemaatregelen voorstellen voor het uitsluitend invoeren van de gedecentraliseerde opslag van biometrische gegevens die voor paspoorten van de lidstaten worden verzameld.

41.

Tot slot moet de Commissie gemeenschappelijke percentages voorstellen voor de invoering en koppeling van gegevens, aangevuld met vangnetprocedures, tezamen met de autoriteiten van de lidstaten.