Ik weet het even niet: is het een compliment of een punt van zorg dat een Tweede Kamerlid aan staatssecretaris Blok vraagt of hij het met me eens is? In een artikel in het Financieel Dagblad van 15 oktober jongsleden (sorry, achter een paywall) over of het een goed idee is om je paspoortgegevens met willekeurige appjes te delen werd mijn mening gevraagd (spoiler: nee, geen goed idee). Hoewel die specifieke vraag mogelijk ook interessant is, gaat de Kamervraag die Kees Verhoeven (D66) stelt over een opmerking die ik aan de journalist maakte over het verdwijnen van het BSN uit de chip. Mijn stellingname daarin is: voor de privacy is dat beter, maar de kans op identiteitsdiefstal wordt ermee juist groter. Laat ik toelichten waarom ik dit zo zie.

De korte versie

Informatie uit de contactloze chip die in elk Nederlands identiteitsdocument zit is digitaal ondertekend door de Nederlandse staat en daarom vrijwel onmogelijk te vervalsen. Dit in tegenstelling door informatie die op het identiteitsdocument gedrukt wordt. Het BSN is nu nog onderdeel van de Machine Readable Zone (MRZ, de onderste twee regels van je paspoort) en staat ook de contactloze chip die elke Nederlandse paspoort heeft. De staatssecretaris heeft besloten het BSN uit zowel de MRZ als de chip te halen, en in plaats daarvan als een QR-code op de achterkant van het paspoort te drukken. Het BSN uit de MRZ halen is goed voor de privacy. Maar door het BSN ook uit de chip te halen is het BSN niet meer digitaal ondertekend en wordt het veel makkelijker voor slechteriken om een vals BSN op te geven aan banken, politie, werkgevers etc. En dit kan de staatssecretaris simpelweg beter regelen.

De langere versie

Het BSN is een privacygevoelig nummer omdat het elke Nederlander uniek identificeert. We hebben zelfs in de wet geregeld wat je er wel en niet mee mag. Het komt erop neer dat je alleen BSN mag verwerken als je het wettelijk moet.

De situatie nu is dat het BSN in de MRZ staat van je paspoort en ID kaart, samen met, onder andere, je naam en de geboortedatum. Daarnaast staat het BSN ook in kleine letters elders op het paspoort (achterkant tegenwoordig), ID kaart (altijd op de achterkant) en rijbewijs (idem). Dit wordt erop gedrukt omdat er veel gebruik gemaakt wordt van het BSN om mensen goed uit elkaar te kunnen houden (er zijn meer mensen met dezelfde naam en geboortenaam dan je zou denken) en identiteitsfraude tegen te gaan. Dat is niet alleen goed voor de overheid, maar ook voor private partijen zoals werkgevers, banken en zorg die een wettelijke plicht hebben het BSN te weten van hun respectievelijk werknemers, klanten en patiënten.

Identiteitsdocumenten moeten voldoen aan internationale standaarden, en met name de ICAO 9303 standaard. Of een land een persoonlijk nummer (zoals het BSN) in de MRZ zet is een keuze en Nederland koos er dus voor dit te doen. Nu kiest Nederland er voor het niet meer te doen. Een goed idee wat mij betreft, want van burgers verwachten dat ze weten dat het BSN in de MRZ staat, en wanneer ze dit wel/niet moeten afschermen, is niet realistisch. En zoals de naam Machine Readable Zone als zegt, wordt de MRZ gebruikt voor het optisch uitlezen hiervan door een computer, en de MRZ zonder het BSN uitlezen kan technisch niet goed. Door het BSN uit de MRZ weg te laten, wordt het onnodig uitlezen ervan tegengegaan. Prima.

Belangrijk om te weten is dat de MRZ, of specifieker de combinatie van geboortedatum, vervaldatum en documentnummer, een soort toegangscode is om toegang te krijgen tot de chip die in elk paspoort zit. De chip zit dus in principe digitaal op slot. Zo wordt voorkomen dat iemand stiekem toegang krijgt tot de chip zonder dat de eigenaar van het paspoort dat wil. Dat is een sterk punt van de paspoorten en is afgedwongen door die ICAO standaarden. Niemand hoeft zich dus zorgen te maken dat de chip van het paspoort of ID kaart wordt uitgelezen terwijl het document in je tas, jas of vakantiekoffer zit. Dat kan simpelweg niet.

Ook belangrijk om te weten is dat de MRZ in zijn geheel in de chip van het paspoort en ID kaart staat, en wel in wat heet Datagroep 1. Omdat het BSN nu in de MRZ staat, staat het dus nu in de chip van elk Nederlands paspoort en ID kaart. Door het BSN uit de MRZ te halen wordt het dus per definitie ook uit Datagroep 1 gehaald. Opnieuw een goed idee, omdat Datagroep 1 met naam en geboortedatum de-facto een onmisbaar deel is van de chip om uit te lezen, aangezien naam en geboortedatum de meest relevante gegevens zijn om iemand te identificeren. En helaas is het technisch niet mogelijk Datagroep 1 op echtheid te verifiëren zonder het BSN ook uit te lezen.

Maar waarom beweer ik nu dat het weghalen van het BSN uit de chip slecht kan zijn voor het tegengaan van identiteitsfraude? Het voornaamste doel van de chip is het tegengaan van identiteitsfraude. De informatie op de chip is digitaal ondertekend door de Nederlandse overheid. Verificatie software die de chip uitleest, zoals ReadID, controleert die digitale handtekening. Deze handtekening van de overheid is een belangrijk wapen tegen identiteitsfraude. Immers, een vervalst identiteitsbewijs herkennen is weinigen van ons weggelegd zoals het TV programma Rambam begin dit jaar aantoonde. Zeker op afstand met kopietjes of foto’s van het document vervalsingen herkennen is erg lastig. Door het BSN uit de chip (en MRZ) te halen, en als een QR code op de achterkant van de houderpagina van het paspoort en identiteitskaart te drukken kun je wel tikfouten voorkomen, maar is het kinderspel om een vals BSN aan je werkgever, bank, politieagent etc. door te geven. Kortom: BSN uit de MRZ weglaten voorkomt dat het onterecht gelezen wordt door verificatie software, maar BSN uit de chip weglaten is slecht voor tegengaan van identiteitsfraude. En het is wellicht uit privacy overwegingen zelfs nog beter om het BSN helemaal niet meer te drukken op het paspoort, en dus ook de QR code weg te laten.

Had dit niet anders gekund? Jazeker: door het BSN op de chip te laten staan maar te verplaatsen naar een aparte datagroep. Hiervoor bestaat binnen de internationale ICAO standaard al een mogelijkheid voor, namelijk Datagroep 13. Hier kan een land helemaal zelf kiezen wat ze ermee doet. Dan kan de software die de chip uitleest ervoor kiezen wel of niet het BSN te verwerken. Goed voor de privacy zonder dat het ten koste gaat van het voorkomen van identiteitsfraude. Kan de staatssecretaris Knops prima regelen. Gewoon doen.

Update 25 october 2019: ook AG Connect heeft een artikel over bovenstaande (achter paywall). 

Update 10 november 2019

De staatssecretaris heeft ondertussen de bovenstaande kamervraag beantwoord. Hieronder heb ik eerst de relevante stukken uit de dit antwoord gekopieerd en geef dan mijn reactie hierop. Spoiler alert: de staatssecretaris is het niet eens met mij.

De vraag was:

“Hoe beoordeelt u het risico op identiteitsdiefstal bij het plaatsen van een QR-code op paspoorten? Bent u het eens met de uitspraak van Maarten Wegdam, ceo van ReadID, dat dit de kans op identiteitsdiefstal vergroot omdat het makkelijker te vervalsen is dan een chip? Zo nee, waarom niet?"

En zijn antwoord:

“De QR-code is zelf geen echtheids­kenmerk, maar wel onderdeel van een identiteitskaart of een paspoort met meerdere echtheidskenmerken. Op het moment dat de QR-code wordt vervalst of gemanipuleerd komt de uitgelezen informatie niet meer overeen met de informatie op het paspoort of de identiteitskaart. Daarom ben ik het niet eens met de uitspraak dat de QR-code de kans op identiteitsdiefstal vergroot omdat een QR-code makkelijker te vervalsen is dan een chip.”

Ook relevant zijn onderstaande zinnen als antwoord op een andere vraag:

“Zoals ik in mijn Kamerbrief van 30 september jl. vermeldde, zie ik dat met de toename van het digitaal uitlezen van paspoorten en identiteitskaarten het niet altijd duidelijk is of het BSN wordt verwerkt of niet. Dit is vooral het geval bij de digitalisering van processen bij organisaties die persoonsgegevens uit paspoorten en identiteitskaarten verwerken voor hun administratie. Daarom heb ik bij de verplaatsing van het BSN naar de QR-code besloten het BSN ook niet in de chip terug te laten komen. De QR-code is dan de enige manier om het BSN geautomatiseerd te verwerken en er staan in de QR-code geen andere gegevens opgenomen dan het BSN. Daardoor is het duidelijker wanneer het BSN wordt verwerkt of niet. Vanzelfsprekend blijf ik ontwikkelingen op het gebied van identiteitsfraude volgen om te bepalen of er maatregelen nodig zijn.”

In mijn woorden geeft de staatssecretaris in zijn antwoord aan dat de reden om het BSN uit de chip te halen is dat het bij het uitlezen van het BSN het minder duidelijk is voor de burger dat het BSN uitgelezen wordt dan bij het scannen van de QR code. En dat is deels waar. Voor paspoorten waar de QR code op de achterkant van de houderpagina komt is het een extra actie om de QR code te scannen, immers in de regel wordt alleen de voorkant bekeken of gekopieerd. Maar de persoon die de QR code scant opent het paspoort ook op die achterkant als extra handeling. Voor de ID kaart geldt dit echter niet, de QR code komt netzo als bij het paspoort op de achterkant maar daar staat ook de MRZ, dus in de praktijk zal de achterkant hierdoor vrijwel altijd gescand worden, ook door organisaties die geen BSN willen uitlezen.

Verder zegt de staatssecretaris “Op het moment dat de QR-code wordt vervalst of gemanipuleerd komt de uitgelezen informatie niet meer overeen met de informatie op het paspoort of de identiteitskaart.” Hier ga ik echt niet in mee. Bij een vervalste QR code is er geen informatie op het paspoort op ID kaart om dit goed mee te vergelijken, behalve het gedrukte BSN nummer. Deze gedrukte tekst is niet alleen ook vrij makkelijk te vervalsen maar is ook moeilijk geautomatiseerd uit te lezen (immers, anders was de QR code niet nodig), dus de-facto is het niet mogelijk te controleren of de QR code (en dus BSN) vervalst of gemanipuleerd is.

Kortom, het voordeel van het weglaten van de BSN uit de chip is erg beperkt, en het risico vrij groot. De staatssecretaris heeft mij niet overtuigd dat hier de juiste afweging tussen privacy en identiteitsdiefstal wordt gemaakt. Zeker als we in het oogschouw nemen dat weinig dingen zo erg zijn voor je privacy als dat iemand je identiteit steelt.