(Nederlands) Fittie met BuZa

Fittie met BuZa: Hoe ik door gesteggel met Buitenlandse Zaken niet heb deelgenomen aan de Global CyberSafety conferentie.

 

Op 16 en 17 april 2015 vond in Den Haag de Global Conference on CyberSpace

2015 (GCCS) plaats. Bij het onderwerp van de conferentie ben ik nauwbDetrokken, als hoogleraar computerbeveiliging in Nijmegen, maar ook alslDid van de Cyber Security Raad. Ik ben bij de voorbereiding betrokken geweest, ihb. via bijdragen aan het magazine van Cyber Security Raad dat aan alle deelnemers van de conferentie uitgedeeld is.

 

Ik was ook uitgenodigd om deel te nemen aan de conferentie. Van die deelname is het echter niet gekomen, omdat ik nooit door het registratieproces heengekomen ben: ik heb geweigerd een copie paspoort in te leveren. Hierover doe ik bij deze relaas. Over deze registratie heeft een — bij vlagen hilarische — emaildiscussie plaatsgevonden met medewerkers van het Ministerie van Buitenlandse Zaken (dat de conferentie organiseerde). Ik geef het verloop van die discussie chronologisch weer, waarbij alleen de namen van de betreffende medewerkers verwijderd zijn (maar de typfouten niet). Ik heb bewust, op geen enkel moment in de discussie, gewezen op mijn rol/positie; maar mogelijk hebben de medewerkers op enig moment mijn naam opgezocht op het web. Ook heb ik bewust geen beroep gedaan op bekenden die hoger in de hierarchie zitten en het verloop eventueel hadden kunnen beïnvloeden.

Voor het registratieproces was een speciale website opgezet (door het bedrijf iSource), namelijk https://www.seeyouinapril.com. Deze site is inmiddels niet meer bereikbaar. Na invulling van het juiste login token volgde een pagina waar persoonlijke gegevens ingevuld dienden te worden. Naast de gebruikelijke naam-adres-woonplaats en contact-gegevens werd gevraagd om:

het paspoortnummer een eigen foto

een scan van het paspoort

 

De laatste twee items moesten ge-upload worden.

 

Een copie van een paspoort kan makkelijk misbruikt worden voor identiteitsfraude, waaronder het afsluiten van een lening of een telefoonabonnement op naam van iemand anders. Volgens de Wet Bescherming Persoonsgegevens mag alleen door heel specifieke partijen gevraagd worden om een paspoort copie, namelijk alleen door werkgevers en financiële instellingen. Voor de duidelijkheid heeft het

College Bescherming Persoonsgegevens hierover een eigen webpagina

geschreven. Dit onderwerp heeft het afgelopen jaar veel aandacht gekregen, oa. in het televisie programma Radar op 3 nov. 2014, waarbij minister Plasterk wees op de noodzaak tot zorgvuldigheid.

 

Het verloop van de discussie

 

Halverwege maart boek ik een hotel in Den Haag, voor deelname aan de bewuste

GCCS conferentie op 16 en 17 april (en ook voor de NCSC One conferentie op 13 en 14 april). Op 23 maart 2015 vul ik het registratieformulier voor GCCS in. In plaats van het gevraagde copietje-paspoort upload ik de foto van mijzelf nogmaals. Nog dezelfde dag krijg ik een reactie van de registration desk. Ik zal quotes uit hun emails laten beginnen met RD. Quotes uit eigen mails worden voorafgegaan door BJ.

 

RD: Your registration is incorrect.

 

The relevant information must be entered/corrected before you can be accredited. Graag een paspoort of ID uploaden

 

Prompt antwoord ik.

 

BJ: Bestaat er een wettelijke basis voor deze eis? Zie ook:

http://www.rijksoverheid.nl/nieuws/2013/01/10/laat-u-niet-zomaar-kopieren-voorkom-fraude-met-een-kopie-van-uw-identiteitsbewijs.html

 

De volgende dag ontvang ik dit bericht.

 

RD: Voor toelating tot het evenement, GCCS-2015 dient u uw Paspoort of ID document te uploaden.

 

Het systeem is veilig en de data zal na het evenement vernietigd worden.

 

Ik besluit in mijn reactie de toon ietwat te verscherpen:

 

BJ: U herhaalt uzelf, zonder in te gaan op mijn gerechtvaardigde vraag Het is toch op zijn minst pikant als bij de organisatie van een grote cyber security conferentie de organisator onwettige eisen stelt mbt. gevensoverdracht.

Dus, nogmaals, op basis van welke wet ben ik verplicht een copie paspoort te overhandigen? U wil mij toch zeker niet tot illegale handelingen verplichten.

 

Hierop krijg ik geen antwoord meer. Ik krijg wel een algemene email waarschuwing dat het registratie portal op 30 maart sluit. Omdat ik niets meer verneem besluit ik begin april mijn hotel registratie voor GCCS te cancelen. Uit nieuwsgierigheid stuur ik op 10 april nog een beleefde vraag.

 

BJ: Kunt u mij uitsluitsel geven over de status van mijn registratie?

 

Nog dezelfde dag ontvang ik antwoord:

 

RD: Zoals reeds eerder naar u is gecommuniceerd is een paspoort of ID-kaart nodig voor de registratie.

 

Uw registratie is nog niet volledig aangezien het paspoort of ID nog ontbreekt. Gezien de registratie website off-line is zijn er nog 2 mogelijkheden:

 

Per e-mail versturen van uw paspoort of ID-kaart (eigen verantwoordelijkheid)

Of in persoon langs komen zodat de registratie gereed gemaakt kan

worden (ook daar wordt een scan van het paspoort of ID-kaart gemaakt)Het langs komen kan op de volgende momenten:

 

Maandag 13-04-2015 vanaf 11:00 – 17:00 uur

Dinsdag 14-04-2015 vanaf 11:00 – 17:00 uur

Woensdag 15-04-2015 vanaf 09:00 – 15:00 uur

Donderdag 16-04-2015 vanaf 06:00 uur (vanwege de verwachtte drukte adviseren wij eerder te komen dan de donderdag)

De discussie is nog geen steek verder. Ik ga mijzelf ook maar herhalen.

 

BJ: Dank voor de uitleg. Ik ben bereid ter plekke mijn paspoort te laten zien, maar ik weiger ook dan er een scan van te laten maken.

 

Daarvoor bestaat namelijk geen wettelijke verplichting.

 

Zo’n wettelijke verplichting is er wel bij het aanvaarden

van een dienstverband, of bij het openen van een bankrekening, maar niet bij het deelnemen aan een conferentie.

 

Bevestigt u mijn conclusie dat u mij op onwettige gronden (althans, op gronden die niet op de wet gebaseerd zijn) uitsluit van deelname aan deze conferentie?

 

Na deze mail van mij besluiten de (ongetwijfeld vermoeide) helpdesk medewerkers hun meerdere in te schakelen. Die lijkt er ook weinig zin in te hebben en denkt de discussie op 10 april met een paar stevige uitspraken te kunnen beslechten, in quasi-formele stijl:

 

RD: Gezien het veelvuldige heen en weer mailen in deze, voor ons, drukke tijd, neem ik de beantwoording aan u even over.

 

Ik begrijp heel goed dat er geen wettelijke grond is om u tot een scan van uw paspoort te verplichten.

 

Het up-loaden, of maken, van een paspoort scan is echter wel de manier waarop wij ons registratie systeem hebben ingericht. Een inrichting waar wij (wettelijk) volkomen vrij in zijn.

 

Er is, zover ik weet, voor ons geen wettelijke verplichting om u uit te nodigen, noch een wettelijke verplichting voor u om deel te nemen.

 

Mocht u niet aan de door ons (terecht) verplicht gestelde processen kunnen voldoen dan verplicht niets u om te komen. Wij zullen dat betreuren (anders hadden wij u niet uitgenodigd) maar als uw beslissing accepteren.

 

Deze mail is ondertekend met: projectdirector Global Conference on CyberSpace 2015. Ik boek voortgang en heb inmiddels te doen met iemand die niet volkomen mechanisch reageert. Ik antwoord als reactie:

 

BJ:

> Het up-loaden, of maken, van een paspoort scan is echter

> wel de manier waarop wij ons registratie systeem hebben ingericht.

> Een inrichting waar wij (wettelijk) volkomen vrij in zijn. Dit is gewoon niet waar!

U mag uw registratie proces bijv. ook niet zo inrichten dat u alle deelnemers vraagt DNA-materiaal af te staan.

 

Zie ook:https://cbpweb.nl/nl/nieuws/cbp-publiceert-richtsnoeren-voor-het-gebruik-van-een-%E2%80%98kopietje-paspoort%E2%80%99

 

Het zou u sieren hier een jurist van buza naar te laten kijken. Sterker nog, het lijkt me zeer verstandig om dat te doen, als u tenminste het idee heeft dat ook de overheid zich aan de wet dient te houden.

 

> Er is, zover ik weet, voor ons geen wettelijke verplichting

> om u uit te nodigen, noch een wettelijke verplichting voor

> u om deel te nemen. U draait de zaken om.

Deze aanbeveling om een jurist naar de materie te laten kijken wordt opgevolgd. Op 13 april ontvang ik de eerste inhoudelijke reactie.

 

RD: Na overleg met de juridische afdeling kan ik u als volgt informeren.

 

U geeft te kennen dat er geen wettelijke verplichting bestaat om een scan te laten maken van uw paspoort. U verwijst in dit verband naar de site van de overheid, waarin wordt afgeraden om een kopie van een paspoort af te geven ter voorkoming van identiteitsfraude.

 

U stelt terecht dat niet zonder meer een kopie van een paspoort mag worden gevraagd. De site en de richtsnoeren waarnaar u verwijst, zien echter op de private sector. In dit geval gaat het om een besloten conferentie door de overheid georganiseerd in het kader van de uitoefening van een publieke taak. Zoals u weet zullen er bij de conferentie ministers en staatshoofden aanwezig zijn. Het is hen niet toegestaan om eigen beveiligingsmaatregelen te treffen tijdens de conferentie. Beveiliging vindt slechts plaats door de Nederlandse overheid. U zult begrijpen det de conferentie grote veiligheidsrisico’s met zich brengt. Deze conferentie is dan ook georganiseerd in nauwe samenspraak met de bevoegde instanties zoals NCTV en de politie.

 

De Dienst Bewaken en Beveiligen van de Landelijke Eenheid van de Politie is eerst verantwoordelijke voor beveiliging tijdens de conferentie. Gelet op de dreiging die vanuit de conferentie uitgaat heeft die dienst voorgeschreven dat een kopie van het paspoort dient te worden afgegeven. De pasfoto op het paspoort wordt gebruikt voor de controle op de correctheid van de, eveneens aangeleverde, pasfoto voor de toegangspas die gedurende de conferentie zichtbaar gedragen dient te worden. Aan de hand van het kopie van het paspoort vindt ook een screening plaats door de politie. In samenspraak met de bevoegde veiligheidsinstanties is besloten dat er voor deze veiligheidsmaatregel een noodzaak bestaat zoals bedoeld in artikel 23, aanhef en onder c, van de Wbp.

Om voornoemde redenen is het voorgeschreven om een kopie van uw paspoort af te geven dan wel een scan te laten maken bij registratie op de dag zelf. U kunt uiteraard wel uw BSN afschermen want daartoe bestaat geen wettelijke basis. Aangezien u zich zorgen maakt om identiteitsfraude wijs ik erop dat er allerlei beveiligingsmaatregelen zijn getroffen om de persoonsgegevens te beveiligen.

 

Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd. Ik hoop ook dat u begrip heeft voor beveiligingseisen die met de conferentie gepaard gaan. En dat het een vruchtbare conferentie wordt.

 

Ik kan het niet nalaten ook hier nog op te reageren.

 

BJ: Ik ben blij om te zien dat u mijn vraag nu serieus neemt en erkent dat het betwiste onderdeel van de registratie uitzonderlijk is en dat een uitzonderingsclausule nodig is ter rechtvaardiging van de eis om een copie van het paspoort te uploaden.

 

(Ik zelf heb vorige week vanwege de geringe voortgang in deze discussie mijn hotelreservering in Den Haag opgezegd. Ik zal daarom dus niet aan de GCCS deelnemen.)

 

Dank ook voor de uitleg waarvoor de scan van het paspoort gebruikt wordt (vergelijking van foto’s). Daarvoor kunnen inderdaad bijna alle gegevens op het paspoort onzichtbaar gemaakt worden, bijv. via de app:

 

http://www.rijksoverheid.nl/nieuws/2014/11/04/kopieid-app-maakt-misbruik-met-kopie-identiteitsbewijs-moeilijker.html

 

Waarom is dat niet vermeld op de registratie pagina?

 

Dit was zeer op zijn plaats geweest bij een conferentie over cyber safety.

 

Ook had op de registratiepagina de uitzonderlijke rechtsgrond vermeld kunnen worden waar u zich op beroept: wbp art. 23 (1) c

 

“dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;”

 

Zie: http://maxius.nl/wet-bescherming-persoonsgegevens/artikel23

 

Misschien kunt u de juridische afdeling vragen mij nog even uit te leggen om welk “recht in rechte” we het hier eigenlijk hebben. Dat zou ik zeer waarderen.

 

Overigens ben ik er nog volstrekt niet overtuigd van de noodzaak van de uitzonderlijke eis om een copie-paspoort te uploaden. Het gevraagde

paspoort nummer is voldoende voor de achtegrond-check, en de juistheid van de aangeleverde foto kan bij het inchecken zelf op de conferentie

ter plekke gecontroleerd worden. Iets formeler: de maatregel is niet subsidiair.

 

Ik blijf de eis derhalve als onrechtmatig beschouwen.

 

Hierop is geen antwoord meer gekomen. Uiteindelijk blijft de juridische status van de copietje-paspoort-eis voor GCCS 2015 dus onduidelijk. Wel is duidelijk dat aan het verantwoorden van gegegevens-eisen nog veel te verbeteren valt, zowel in de uitleg bij het formulier, als in de communicatie.

 

Bart Jacobs

18 april 2015