Een elektronisch reisdocument (ERD) is een paspoort of identiteitskaart waarin een draadloze geheugenchip is verwerkt. Je identiteit laten controleren met behulp van je eigen smartphone en ERD is al jaren realiteit. Dit biedt bijvoorbeeld de mogelijkheid om volledig digitaal een bankrekening te openen, in te checken in een onbemand hotel of in te checken voor een vlucht.
In zulke gevallen wordt met behulp van een smartphoneapplicatie de ERD-geheugenchip uitgelezen. De applicatie stelt vervolgens de authenticiteit van het ERD vast en controleert de identiteit van de klant door de uitgelezen persoonsgegevens te toetsen aan de (reserverings)gegevens zoals bekend bij de dienstverlener. Het Nederlandse ERD wordt al sinds 2014 uitgegeven met een dergelijke geheugenchip.
Het klinkt handig en efficiënt. Ook omdat hiervoor géén speciale overheidsscanners zijn vereist. Maar welke persoonsgegevens zijn opgeslagen in het ERD? Is het uitlezen ervan wel veilig? En aan welke voorwaarden moet een dienstverlener voldoen om dergelijke identiteitscontrole uit te mogen voeren?
Een Nederlands ERD is te herkennen door het daarop afgebeelde e-symbool.
Het internationaal gestandaardiseerde ERD bevat meerdere afzonderlijke gegevensverzamelingen over de documenthouder. Naast de gebruikelijke gegevens, die ook staan vermeld op reisdocumenten zonder geheugenchip, bevat het ERD aanvullende informatie zoals biometrische gegevens waaronder vingerafdrukken en iriskenmerken.
Afhankelijk van het uitgifteland kunnen de gebruikelijke identiteitsgegevens onder meer bestaan uit een naam, documentnummer, nationaliteit, geslacht, geboortedatum, handtekening, woonadres, telefoonnummer, afgiftedatum en verloopdatum. In Nederland is daarnaast het Burgerservicenummer (BSN) opgenomen.
Gelet op de grote hoeveelheid persoonsgegevens is het ERD een aantrekkelijk doelwit voor identiteitsfraudeurs. Het ERD is mede daarom voorzien van meerdere beveiligingsmechanismen.
Een Europees ERD moet aan meerdere beveiligingseisen voldoen om zo de mogelijkheid tot het verlies van (gevoelige) identiteitsgegevens, maar ook het klonen van het ERD tegen te gaan.
Zo zijn de ERD-gegevens bijvoorbeeld met een wachtwoord beveiligd. Deze wachtwoordbeveiliging biedt echter maar een beperkte bescherming. Het wachtwoord staat namelijk gewoon vermeld op de houderpagina van het ERD. In Nederland is ook het BSN opgenomen in dit wachtwoord.
Dit betekent dat eenieder die het ERD kan inzien, het ERD ook kan uitlezen. Het maakt daarbij niet uit of het wordt uitgelezen door een bevoegde douaneambtenaar, of een digitale dienstverlener. Dat klinkt vanzelfsprekend, maar legt ook een groot probleem bloot. De intenties en verwerkingsdoeleinden van een douaneambtenaar zijn namelijk beter te voorspellen dan die van een digitale dienstverlener en diens (onbekende) applicatieontwikkelaar.
Gelet op het feit dat (gestolen) persoonsgegevens de heilige graal vormen voor het plegen van identiteitsfraude zou een betere beveiliging van het ERD voor de hand hebben gelegen.
Wachtwoord om het ERD uit te kunnen lezen.
Het ontbreken van een betere beveiliging is echter géén ramp. Nieuwsberichten over dit onderwerp zetten veelal de technische mogelijkheden uiteen om een ERD onrechtmatig uit te kunnen lezen. Niet wordt vermeld welke gegevens er rechtmatig mogen worden uitgelezen. Dit is vergelijkbaar met het uiteenzetten van methodes om een voordeur te forceren zonder daarbij te vermelden dat het bestaan ervan nooit het leegroven van de inboedel zal rechtvaardigen.
Het (on)rechtmatig verwerken van identiteitsgegevens wordt voornamelijk beheerst door de Algemene verordening gegevensbescherming (AVG). Bijvoorbeeld in het geval van een onbemande hotelketen die identiteitscontroles uitvoert met behulp van een smartphoneapplicatie die zij aan haar klanten aanbiedt. Met behulp van deze applicatie wordt het ERD van de klant ontgrendeld en uitgelezen. De applicatie verstrekt vervolgens de noodzakelijke identiteitsgegevens aan het desbetreffende hotel en toetst deze identiteitsgegevens aan de beschikbare reserveringsgegevens.
De hotelketen bepaalt de volledige inrichting van deze identiteitscontrole. Door deze zeggenschap is de hotelketen verantwoordelijk voor de identiteitsgegevens die zij daarmee verwerkt. In dit geval verwerkt de hotelketen de noodzakelijke identiteitsgegevens die door de klant aan haar worden verstrekt. De klant blijft verantwoordelijk voor het ontgrendelen en uitlezen van het ERD, alsmede voor het verzenden van de identiteitsgegevens aan de hotelketen. Het feit dat deze handelingen worden verricht met behulp van een geautomatiseerde smartphoneapplicatie ontwikkeld door de hotelketen, maakt dat niet anders.
Deze afbakening is relevant omdat het in Nederland verboden is om een BSN te verwerken, behoudens wettelijke uitzonderingsgronden. Hoewel het Nederlands ERD slechts kan worden ontgrendeld met behulp van het BSN, gooit het verwerkingsverbod géén roet in het eten van de hotelketen. De UAVG en AVG zijn in dit geval namelijk niet van toepassing op het ontgrendelen en uitlezen van het ERD. Dat komt doordat de klant deze gegevens in zijn huishoudelijke kring verwerkt en niet verder.
De hotelketen mag de identiteitsgegevens uitsluitend verwerken indien zij daarvoor een rechtmatig verwerkingsdoel heeft. In dit geval het uitvoeren van identiteitscontroles. Deze verwerking moet daarnaast op een toegelaten verwerkingsgrondslag zijn gebaseerd. Zo zou de identiteitscontrole noodzakelijk kunnen zijn voor het beschermen van hoteleigendommen. In andere gevallen kan een identiteitscontrole noodzakelijk zijn om te voldoen aan een wettelijke plicht, bijvoorbeeld bij online drankverkoop. Ook mogen er géén lichtere middelen voorhanden zijn om hetzelfde verwerkingsdoel te kunnen bereiken. Het is bijvoorbeeld niet zo maar geoorloofd om een digitale identiteitscontrole te verplichten als er altijd hotelreceptionisten aanwezig zijn.
Het is duidelijk dat het verwerken van identiteitsgegevens aan strenge regels is gebonden. De onrechtmatige verwerking van identiteitsgegevens kan leiden tot torenhoge boetes. Misbruik zelfs tot celstraf. Deze sanctiemogelijkheden maken identiteitsfraude niet onmogelijk, maar wel strafbaar. Net zo strafbaar als het leegroven van een inboedel.
