Preview document (🔗 origineel)

---

2025D02432 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om enkele vragen en opmerkingen voor te leggen aan de Minister van Justitie en Veiligheid, de Minister van Asiel en Migratie, de Staatssecretaris Rechtsbescherming en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brieven d.d. 22 november 2024 «Fiche: Verordening identiteitskaart gebaseerde reiscredentials» (Kamerstuk 22 112, nr. 3981) en d.d. 22 november 2024 «Fiche: Verordening EU-reisapplicatie» (Kamerstuk 22 112, nr. 3982).

De voorzitter van de commissie,

Wingelaar

Adjunct-griffier van de commissie,

Muller

Inhoudsopgave

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van PVV-fractie

Vragen en opmerkingen van de leden van GL-PvdA-fractie

Vragen en opmerkingen van de leden van VVD-fractie

Vragen en opmerkingen van de leden van NSC-fractie

Vragen en opmerkingen van de leden van SP-fractie

Vragen en opmerkingen van de leden van ChristenUnie-fractie

II Antwoord/reactie van de bewindspersoon

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van de stukken op de agenda van het schriftelijk overleg over de Fiche Verordening identiteitskaart gebaseerde reiscredentials (Kamerstuk 22 112-3981) en Fiche Verordening EU-reisapplicatie (Kamerstuk 22 112-3982). Naar aanleiding hiervan hebben deze leden nog enkele vragen.

In de brief «Fiche: Verordening identiteitskaart gebaseerde reiscredentials» van 22 november 2024 lezen de leden van de PVV-fractie dat Nederland kosten maakt bij de implementatie hiervan. De kosten, verband houdende met de technische inrichting en de aanpassingen van gemeentebalies waar de Basisregistratie Personen (BRP)-inschrijvingen plaatsvinden, zijn blijkens het kabinet «onmogelijk te kwantificeren». Echter, in de brief «Start Uitvoering Digital Travel Credential (DTC) pilot» van 10 januari 2024 lezen deze leden een geschetste praktijkweergave van de DTC waar met geen woord gerept wordt over technische inrichtingen en aanpassingen van gemeentebalies. Deze leden vragen hoe deze brieven zich tot elkaar verhouden en om welke aanpassingen het gaat.

Voorts merken de leden van de PVV-fractie op dat in beide fiches niet gesproken wordt over de zorgen van de Autoriteit Persoonsgegevens (AP) die middels een brief op 11 juli 2024 richting de Europese Commissie zijn geuit met betrekking tot de wijze waarop de Nederlandse DTC-pilot is uitgevoerd. Deze leden willen graag weten wat de reactie is van het kabinet op deze brief.

De leden van de PVV-fractie lezen voorts in de fiches dat naast Nederland ook twee andere lidstaten een pilot met DTC hebben uitgevoerd. Deze leden vernemen graag welke lidstaten dit zijn en welke lessen worden getrokken uit deze pilots ten opzichte van de Nederlandse DTC-pilot. Mede gelet op het feit dat het kabinet voornemens is om een vervolgpilot te implementeren vernemen zij ook graag in hoeverre deze vervolgpilot zal verschillen van de Nederlandse DTC-pilot.

Tot slot merken de leden van de PVV-fractie op dat uiterlijk vijf jaar na ingebruikneming van de EU-reisapplicatie die het reizen met een DTC mogelijk maakt een algemene evaluatie wordt uitgevoerd naar het gebruik hiervan (ex post). Gezien de ingrijpende wijzigingen die de EU-reisapplicatie met zich meebrengt vragen wij waarom gekozen is voor deze uiterlijke termijn van vijf jaar, en niet drie jaar. Ook vernemen deze leden graag waarom er geen ex ante en ex durante evaluaties zullen plaatsvinden.

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de BNC-Fiches over de Verordeningen «Identiteitskaart gebaseerde reiscredentials» en «EU-reisapplicatie». Deze leden staan niet per definitie negatief tegenover beiden commissievoorstellen, en juichen de inzet van het kabinet voor (cyber)veilige en privacyvriendelijke oplossingen toe. Wel hebben zij enkele vragen en opmerkingen over de beide fiches en de inzet van het kabinet.

Fiche verordening identiteitskaart gebaseerde reiscredentials

De leden van de GroenLinks-PvdA-fractie lezen dat uit het voorstel en de impact assessment onvoldoende duidelijk wordt hoe de beveiliging van de applicatie ingericht wordt. Deze leden zijn het eens met het kabinet dat de (digitale) veiligheid en goede borging van het gebruik van het systeem, bijvoorbeeld werkprocessen en personen die toegang hebben tot het systeem, essentieel zijn voor de weerbaarheid tegen (cybersecurity) dreigingen. In dit kader willen de leden van de GroenLinks-PvdA-fractie het kabinet vragen om het belang van strategische autonomie voor het vormgeven van het systeem bij de Europese Commissie te benadrukken. Deze leden wensen geen afhankelijkheden te creëren van niet-Europese techbedrijven voor een dergelijk belangrijk systeem. Het is hun sterke voorkeur dat het geheel zoveel mogelijk in-house door the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (eu-LISA), of indien noodzakelijk, in samenwerking met Europese techbedrijven, wordt ontwikkeld. Wat is het standpunt van het kabinet ten aanzien van dit punt en kan zij dit tevens toelichten? Kan de bewindspersoon aangeven of er niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren in Europa (indirect) betrokken zijn bij het ontwikkelen van het Digital Travel Credential (DTC)? Om welke bedrijven gaat het dan? Is het Amerikaanse bedrijf Palantir betrokken bij de ontwikkeling van de DTC en houdt het zich, voor zover bekend, aan de Europese wet- en regelgeving? Kan de bewindspersoon ten slotte aangeven of hij het belang van strategische autonomie voor de ontwikkeling van de DTC bij de Europese Commissie zal benadrukken?

De leden van de GroenLinks-PvdA-fractie onderschrijven de vragen die het kabinet heeft ten aanzien van de groei van de DTC tot een manier om veilig documentgegevens te delen met derden, ook buiten het reisdomein. Deze leden snappen de vragen van het kabinet, maar zijn tegelijk benieuwd naar de standpunten van het kabinet op dit vlak. Moet een Unieburger volgens het kabinet zijn DTC kunnen gebruiken om zich bijvoorbeeld te identificeren op straat? Vindt het kabinet dat dit ook moet kunnen met een op het paspoort gebaseerde DTC?

De leden van de GroenLinks-PvdA-fractie willen, zoals vaker, benadrukken dat zij enorm belang hechten aan digitale inclusie. Daarom zijn deze leden verheugd te lezen dat het kabinet het belangrijk vindt dat het Nederlandse reisdocument, inclusief DTC, toegankelijk is voor elke Nederlander, ook wie niet digivaardig is. Tegelijk roept dit ook bij deze leden vragen op over het precieze uitgifteproces, de overdracht en de opslag. Zij begrijpen dat een mobiele telefoon met Android of iOS een voorwaarde lijkt te zijn voor de opslag van een DTC. Klopt dit? En kan het kabinet aangeven wat er precies wordt verstaan onder de uitgifte van een DTC door verstrekkende instanties? Hoe verschilt dit met de mogelijkheid voor gebruikers om zelf een DTC aan te maken, waarin wordt voorzien door de verordening EU-reisapplicatie? Indien dit ook voor het kabinet onduidelijk is, kan het kabinet haar best doen om verheldering te krijgen bij de Europese Commissie? De leden van de GroenLinks-PvdA-fractie wensen nogmaals te benadrukken dat zij het van belang vinden dat niet-digivaardige mensen ook een DTC kunnen aanmaken, dan wel ontvangen van een uitgevende instantie.

De leden van de GroenLinks-PvdA-fractie lezen dat het merendeel van de lidstaten tijdens de consultatie heeft aangegeven dat de acceptatie en facilitatie van de DTC door lidstaten verplicht moet worden, en dat het overgrote deel van de lidstaten heeft aangegeven dat het aanmaken van een DTC met een gemeenschappelijke EU-technische oplossing zou moeten gebeuren. Kan de bewindspersoon aangeven welke landen in de minderheid vallen en welke argumenten zij hebben aangedragen voor hun standpunten? Kan de bewindspersoon aangeven wat zijn standpunt is ten aanzien van deze argumenten?

De leden van de GroenLinks-PvdA-fractie lezen dat voor wie de DTC vrijwillig gebruikt een smartphone noodzakelijk is, waarbij smartphones aan bepaalde eisen moeten voldoen om gebruikt te worden. Hierbij is ondersteuning van Android en iOS voorzien. Deze leden vragen ten aanzien hiervan of met Android wordt bedoeld dat dit Android met Google Services en Google Apps vereist zal worden. Wordt er ook ondersteuning voorzien voor Android-besturingssystemen zonder Google Services en Google Apps, zoals GrapheneOS of LineageOS? Wat is het standpunt van het kabinet ten aanzien van dergelijke vereisten? Voorts zij of ook alternatieve besturingssystemen, zijnde niet Android of iOS, ondersteund zullen worden. Denk hierbij aan E/os, Sailfish OS, Ubuntu Touch, PureOS, en andere besturingssystemen. Vindt het kabinet, net als de leden van de GroenLinks-PvdA-fractie, dat in het kader van het verminderen van afhankelijkheden van techgiganten en het bieden van volwaardige alternatieven voor burgers, dergelijke besturingssystemen óók ondersteund moeten worden – ook als dit extra kosten met zich meebrengt?

Kan de bewindspersoon ook een toelichting geven op de speciale parlementaire procedure die geldt voor het voorstel van de Raad over de identiteitskaart gebaseerde DTC? Kan de bewindspersoon in het bijzonder ingaan op welk moment de Kamer geraadpleegd wordt? Op welke wijze zal het kabinet de Kamer tijdig informeren over een ontwerpbesluit van de Raad? Op welke wijze kan de Kamer instemmen met het ontwerpbesluit van de Raad?

Fiche verordening EU-reisapplicatie

De leden van de GroenLinks-PvdA-fractie begrijpen dat de identiteit van gebruikers die een DTC aanmaken in de EU-reisapplicatie geverifieerd dient te worden middels geautomatiseerde gezichtsvergelijking. Deze leden vragen echter wel hoe dit technisch in elkaar zal zitten. Is er bijvoorbeeld een verschil tussen het opslaan en vergelijken van een foto, of het opslaan van een hash op basis van biometrische kenmerken en deze vergelijken? Kan het kabinet aangeven of het reeds bekend is voor welke technische oplossing de Europese Commissie wil kiezen? En heeft het kabinet zelf een voorkeur voor, in het kader van het voorkomen van mogelijk misbruik van gegevens, een technische oplossing waarbij niet de foto zelf wordt opgeslagen maar het nog steeds mogelijk is om de vergelijking te maken? Kan de bewindspersoon het standpunt toelichten?

Ten tweede willen de leden van de GroenLinks-PvdA-fractie aandacht vragen voor het belang van transparantie om het vertrouwen in en de cyberveiligheid van dergelijke applicaties te vergroten. Deze leden zijn overtuigd tegenstander van «security-through-obscurity». Kan de bewindspersoon aangeven of het al bekend is of de EU-reisapplicatie een open-source applicatie zal worden, zodat burgers en beveiligingsonderzoekers de werking kunnen controleren en eventuele cyberveiligheidsfouten sneller opgemerkt kunnen worden? En kan de bewindspersoon aangeven wat het standpunt van het kabinet is ten aanzien van wel of geen open-source applicatie en de redenen daartoe?

De leden van de GroenLinks-PvdA-fractie hebben reeds kennis genomen van de pilot die op Schiphol heeft gedraaid en de voornemens van het kabinet om een vervolgpilot op Schiphol te implementeren. Deze leden hebben hier echter wel opmerkingen en vragen over. Zij vragen of het kabinet kennis heeft genomen van de brief van de Autoriteit Persoonsgegevens (AP) over de Nederlandse DTC-pilot, waarin ook wordt gewezen op het advies van de European Data Protection Board (EDPB) aan luchthavenexploitanten en luchtvaartmaatschappijen om, waar mogelijk, te kiezen voor minder ingrijpende manieren om passagiersstromen te stroomlijnen? Wat is de appreciatie van het kabinet ten aanzien van dit advies?

De leden van de GroenLinks-PvdA-fractie maken zich ook zorgen over de vrijwilligheid van het gebruik van de DTC tijdens de pilot en de vervolgpilot. Deze leden lezen dat reizigers (veel) sneller door de grenscontrole heen komen bij gebruik van de DTC. Daarbij is er naar mening van deze leden een overduidelijk nadeel voor toekomstige reizigers die niet kiezen voor gebruik van een DTC, waardoor de vraag opgeworpen wordt of het geven van toestemming voor de verwerking van persoonsgegevens ten aanzien van het gebruik van DTC wel écht vrijwillig is. Dit is in lijn met de kritiek van de AP. Kan de bewindspersoon hier uitgebreid op reflecteren?

Daarnaast lezen de leden van de GroenLinks-PvdA-fractie dat het standpunt van de AP is dat de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met zekerheid kan worden gesteld dat het doel van snellere grenscontroles behaald wordt. Wat is de appreciatie van het kabinet over dit standpunt? Neemt het kabinet dit standpunt mee in de onderhandelingen van de raad?

Ook zijn deze leden ervan op de hoogte dat er in andere landen DTC-pilots hebben plaatsgevonden. In welke andere lidstaten zijn deze pilots uitgevoerd en wat zijn de resultaten geweest van deze pilots? Heeft het gebruik van DTC in die pilots geleid tot tijdswinst bij de grenspassages? Wat zijn de ervaringen en standpunten van de persoonsgegevensautoriteiten in die landen? Is er een verschil in hoeveel reizigers gebruik hebben gemaakt van de DTC in deze landen ten opzichte van het, naar mening van de AP te kleine, aantal dat op Schiphol gebruik heeft gemaakt van deze optie?

Voorts zijn de leden van de GroenLinks-PvdA-fractie benieuwd of de Europese Commissie zich heeft gebaseerd op de resultaten uit de DTC-pilots in het impact assessment bij de keuze voor het verplichten van lidstaten om DTC’s desgewenst aan burgers te verstrekken.

Deze leden hebben ten aanzien van deze pilot in een eerder stadium vragen opgeworpen over onbewuste bias bij gezichtsherkenningstechnologie ten aanzien van specifieke groepen personen, waarbij bijvoorbeeld gezichtsherkenningstechnologie aantoonbaar slechter werkt bij mensen met een donkere huidskleur (ook wel «dark-skin-bias» genoemd). In het verslag van het schriftelijk overleg (Kamerstuk 25 764-149) is aangegeven dat gezichtsherkenningssoftware nooit perfect is, net als dat manuele controles dat niet zijn, en dat met de juiste drempelwaarde een zeer grote nauwkeurigheid bij het detecteren van fouten, waaronder vals positieve resultaten, te bereiken zou zijn. Deze leden benadrukken dat zij geen perfectie vereisen of verwachten dat een systeem honderd procent perfect zal werken. Daar zijn zij niet in geïnteresseerd. Het punt dat de leden van de GroenLinks-PvdA-fractie wensen te maken is de vraag of er systematische bias zit in de (resultaten van) de gezichtsherkenningssoftware, waarbij bepaalde groepen reizigers systematisch en significant vaker te maken heeft met vals-positieven, dan wel vals-negatieven? De bewindspersonen hebben aangegeven dat binnen de pilot een vals-negatief ertoe leidde dat iemand geen DTC kan aanmaken en niet mee kon doen met de pilot. Hoe vaak is dit voorgekomen? Overkomt dit bepaalde groepen vaker dan andere? Ook werd vermeld dat non-matches in de meeste gevallen terecht waren. Kan de bewindspersoon aangeven in hoeveel gevallen precies dat niet terecht was? En wat waren de redenen voor een onterechte non-match? Is hier ook sprake van systematische bias?

Verder lezen de leden van de GroenLinks-PvdA-fractie in de fiche dat als referentiemateriaal voor de automatische gezichtsherkenning een tijdelijke «gallery» van gezichtsopnames wordt gegenereerd. Kan het kabinet aangeven wat hiermee precies wordt bedoeld? Betreft het hier de gezichtsopname tijdens het aanmaken van de DTC door de reiziger? Of gaat het om de gezichtsherkenning bij het «tap-and-go» poortje op de luchthaven? Betekent dit tevens dat er meerdere foto’s gemaakt worden ten einde de gezichtsherkenning uit te voeren?

Deze leden lezen dat bij de afgifte van een nieuw reisdocument uitgevende instanties aanvragers op hun verzoek een DTC moeten verstrekken. Tegelijk wordt het voor reizigers mogelijk om een DTC aan te maken op hun mobiele telefoon in de EU-reisapplicatie. Kan het kabinet aangeven wat het verschil in beide processen is? Zijn er voor- of nadelen verbonden aan beide mogelijkheden?

Bij het aanmaken van de DTC worden tevens biometrische gegevens vastgelegd, welke benodigd is om de controle op de luchthavens voor elkaar te krijgen. Wat is de inzet van het kabinet voor de bewaartermijn van biometrische gegevens? Wat is de inzet van andere lidstaten, voor zover bekend? De leden van de GroenLinks-PvdA-fractie vragen ook op welke wijze gebruikers van de DTC zelf controle houden over de opslag en het gebruik van gegevens over hun eigen gezichtsopname.

Ten slotte willen de leden van de GroenLinks-PvdA-fractie de bewindspersoon vragen de Kamer via de Geannoteerde Agenda bij de JBZ-raad en het kwartaaloverzicht van lopende wetgevingsonderhandelingen regelmatig op de hoogte te houden van de onderhandelingen op het voorstel van de Raad over de identiteitskaart gebaseerde DTC en over een digitale reisapplicatie. Kunt u de Kamer informeren zodra er een Raadsakkoord op dit voorstel in zicht is?

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de fiches inzake de Verordening identiteitskaart gebaseerde reiscredentials en Verordening EU-reisapplicatie. Het doel van deze verordeningen is het verhogen van de doelmatigheid en doeltreffendheid van grenscontroles door middel van het gebruik van digitale mogelijkheden. Er kunnen dan digitale reiscredentials (DTC) worden gecreëerd, die vervolgens kunnen worden verzonden naar grensautoriteiten en vervoerders. De DTC kan worden opgeslagen op de telefoon in de EU-reisapplicatie of in een Europese Digitale identiteitswallet (EDI-wallet). Deze leden merken op dat zij, gelet op allerlei technische ontwikkelingen, de digitalisering in dezen zien als een logische vervolgstap. Het kan reizigers helpen sneller grenscontroles te doorlopen. Dat is een goede zaak. Maar voor deze leden is zeer zeker ook een voorwaarde dat een en ander veilig en betrouwbaar moet kunnen worden uitgevoerd, gelet op de vele cybersecuritydreigingen die er zijn. Overigens begrijpen de leden van deze fractie dat met de DTC en de EU-reisapplicatie er (nog) geen sprake is van een volledig digitaal reisdocument. Graag willen deze leden het kabinet een aantal vragen over de twee fiches stellen.

De voorgestelde kabinetsinzet bij de onderhandelingen over de verordeningen is positief. De leden van de VVD-fractie lezen dat het kabinet tijdens deze onderhandelingen aandacht zal vragen voor «gegevensbescherming en privacy» en «beveiliging van de applicatie». Deze leden achten het een goede zaak dat het kabinet zich daarvoor inzet. Zij gaan ervan uit dat het kabinet de Kamer hierover te zijner tijd zal informeren. De leden vragen tevens of er een Nederlands woord voor «reiscredentials» gebruikt kan worden, zodat duidelijker is wat wordt bedoeld.

Het gebruik van de DTC zal vrijwillig zijn. Reizigers zullen dus niet worden verplicht om van de DTC gebruik te maken. Dat achten de leden van de VVD-fractie een goede zaak. Ook de eventuele hogere kosten voor de overheden en hogere leges voor reizigers behoeven aandacht. Met het voorstel krijgen vervoerders de mogelijkheid om op vrijwillige basis de DTC te integreren in hun bestaande processen. In hoeverre kunnen vervoerders straks hun klanten verplichten tot het aanmaken van een DTC? Hoe groot is overigens de kans dat in het algemeen een DTC en de EU-reisapplicatie voor reizigers verplicht worden? In hoeverre is de DTC ook buiten het reisdomein te gebruiken, bijvoorbeeld door autoverhuurbedrijven? Zouden die dat straks ook kunnen verplichten? Wat is overigens de verhouding tussen de DTC en de EDI-wallet? Graag krijgen zij een reactie van het kabinet op de hier gestelde vragen.

De leden van de VVD-fractie begrijpen dat reizigers die kiezen voor een DTC dat zelf op afstand kunnen aanmaken, opslaan en delen. Hoe betrouwbaar en hoe veilig is het als reizigers dat zelf kunnen doen? Zou het in dat kader mogelijk zijn de DTC aan te maken bij de uitgifte van het paspoort en de EU-reisapplicatie? Zou dat niet veiliger zijn?

Overigens vragen deze leden hoe het een en ander gaat met de voorgestelde EU-reisapplicatie. Kunnen reizigers zelf die reisapplicatie installeren op hun telefoon? Of moet daar een aanvraag voor worden gedaan? Of gaat de aanvraag daarvoor tegelijk met een nieuw paspoort en de aanvraag van een DTC?

In de periode januari tot en met maart 2024 heeft er op Schiphol een pilot DTC plaatsgevonden. De AP is kritisch over deze gehouden pilot, zo is gebleken. Hoe beoordeelt het kabinet het standpunt van de AP in dezen? Deze leden vragen het kabinet ook om een reactie op de brief d.d. 15 januari 2025 die de AP naar de Kamer heeft gestuurd. Welke andere EU-landen hebben DTC-pilots uitgevoerd? Wat waren de uitkomsten van die pilots? In hoeverre was er bij de pilots sprake van tijdwinst bij de grenspassages?

De leden van de VVD-fractie vragen aandacht voor de bedrijven die betrokken zijn dan wel zullen worden betrokken bij het ontwikkelen van de DTC en de EU-reisapplicatie. In hoeverre zijn hier bedrijven buiten de Europese Unie, bijvoorbeeld uit China of de Verenigde Staten, bij betrokken, direct dan wel indirect? Wat deze leden betreft mogen hier alleen Europese bedrijven aan meewerken. Ook mag er geen sprake zijn van indirecte betrokkenheid van bedrijven van buiten de Europese Unie. Het gaat hier immers om identiteitsgegevens van Europese burgers. Graag krijgen deze leden een reactie van het kabinet.

Daarnaast vragen de leden van de VVD-fractie aandacht voor het tegenhouden van ongewenste reisbewegingen. Kan het kabinet deze leden geruststellen dat alle verschillende manieren waarop de «reiscredentials» worden geïmplementeerd toekomstbestendig zullen zijn en ongewenste reisbewegingen, bijvoorbeeld met betrekking tot migratie, Dublin claimanten en ongewenstverklaarden, bij de grenscontroles eruit worden gepikt?

Voor het voorstel voor een verordening met betrekking tot de DTC geldt een verzwaarde parlementaire procedure. Voor de verordening over een digitale reisapplicatie geldt een andere procedure. De leden van de VVD-fractie vragen het kabinet in te gaan op het proces om in de Europese Unie tot besluitvorming te komen over de twee onderhavige verordeningen. Wat zijn de volgende stappen en fases van het proces? Op welke momenten komen er documenten hierover naar de Kamer, opdat de Kamer betrokken blijft bij dit gevoelige dossier? Wanneer, zo is de verwachting, worden de ontwerpbesluiten met de Kamer gedeeld? Deze leden vragen het kabinet de Kamer goed op de hoogte te houden. Kan de Kamer naast de informatie via de Geannoteerde Agenda bij de JBZ-Raad ook apart over de twee onderhavige verordeningen worden geïnformeerd?

Vragen en opmerkingen van de leden van de NSC-fractie

De leden van de NSC-fractie hebben kennisgenomen van het voorstel voor de EU-reisapplicatie en de invoering van de digitale reiscredential (DTC). Deze leden erkennen de voordelen van digitalisering voor effectievere en tijdbesparendere grenscontroles, maar hebben ook enkele kritische vragen over de privacy van burgers, de uitvoerbaarheid voor gemeenten en de mogelijke afhankelijkheid van buitenlandse techbedrijven. In het kader hiervan hebben zij de volgende vragen en opmerkingen.

Hoe garandeert de bewindspersoon dat het gebruik van de DTC volledig vrijwillig blijft en reizigers zonder smartphone of digitale vaardigheden niet worden benadeeld bij grenscontroles? Welke concrete alternatieven worden bijvoorbeeld aangeboden aan deze groep, zodat zij ook zonder beperkingen gebruik kunnen blijven maken van fysieke reisdocumenten?

Welke specifieke maatregelen neemt u om de veiligheid van gevoelige persoonsgegevens, zoals biometrische gegevens, te waarborgen en hoe wordt het risico op cyberaanvallen en datalekken geminimaliseerd, zo vragen de leden van de NSC-fractie? Kunt u bijvoorbeeld toelichten welke voorzorgsmaatregelen en technische standaarden worden gehanteerd om te voorkomen dat deze gegevens in verkeerde handen vallen?

Kan de bewindspersoon toelichten hoe wordt gewaarborgd dat burgers inzicht kunnen krijgen in wie toegang heeft gehad tot hun reisgegevens. Welke mogelijkheden worden er ingericht om bezwaar te maken wanneer blijkt dat deze gegevens onrechtmatig zijn geraadpleegd of gebruikt en hoe wordt ervoor gezorgd dat deze procedures eenvoudig en laagdrempelig blijven?

Kunt u een inschatting geven van de structurele kosten die worden verwacht voor gemeenten en uitvoerende instanties bij de invoering en verwerking van DTC’s, zo vragen de leden van de NSC-fractie? Hoe wordt voorkomen dat deze kosten worden doorberekend aan burgers, bijvoorbeeld via hogere kosten voor reisdocumenten? Welke maatregelen worden getroffen om ervoor te zorgen dat gemeenten deze taak binnen hun huidige capaciteit kunnen uitvoeren?

Tot slot vragen deze leden: Welke stappen bent u bereid te zetten om te voorkomen dat Nederland te afhankelijk wordt van buitenlandse technologie bij de implementatie van de DTC? Hoe blijft nationale autonomie bijvoorbeeld geborgd, met name in het beheer en de beveiliging van de persoonsgegevens die via deze nieuwe technologie worden verwerkt?

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de SP-fractie hebben het BNC-fiche over de verordening EU-reisapplicatie en het BNC-fiche over de verordening Identiteitskaart gebaseerde reiscredentials (DTC) gelezen. Deze leden hebben hier nog enkele vragen over.

De AP geeft aan dat aan de hand van de DTC-pilot die is uitgevoerd niet vast te stellen valt of de invoering van een DTC leidt tot effectievere en efficiëntere grenscontroles- en passages. Wat is de appreciatie van het kabinet over het standpunt van de AP dat de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met zekerheid kan worden gesteld dat het doel van snellere grenscontrole wordt behaald? En neemt het kabinet dit standpunt mee in de onderhandelingen van de Raad?

De leden van de SP-fractie maken zich zorgen over de verwerking van bijzondere persoonsgegevens en biometrische persoonsgegevens. Deze leden vragen of de proportionaliteit en noodzakelijkheid van de verordening wel genoeg in ogenschouw is genomen. De AP schreef hier het volgende over: «Het is voor de AP daarnaast onduidelijk of het gebruik van digitale reisdocumenten door internationale reizigers en nieuwe wetgeving om dit mogelijk te maken toegevoegde waarde zal hebben ten opzichte van de bestaande verordeningen met betrekking tot reis- en grensprocessen. De AP heeft daarmee sterke twijfels of voldaan zal worden aan de vereisten van noodzakelijkheid en proportionaliteit wanneer dergelijke wetgeving ontwikkeld wordt. Juist ook omdat sprake is van een verwerking van bijzondere persoonsgegevens die ingrijpt op het fundamentele recht op de bescherming van persoonsgegevens, zoals neergelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Bij grootschalige gegevensverwerkingen kunnen risico’s van beveiligingsincidenten, inclusief gegevensverlies nooit volledig worden uitgesloten. Door eventuele datalekken van biometrische persoonsgegevens kunnen betrokkenen voor een lange tijd nadelige gevolgen hiervan ondervinden, bijvoorbeeld vanwege (identiteits)fraude.» Graag ontvangen deze leden een reactie hierop van het kabinet.

Het kabinet heeft aangegeven dat de gebruikte software en hardware voor de DTC-pilot binnen Europa is ontwikkeld door een Europese organisatie. Het is echter nog niet duidelijk of ook Europese kantoren van Amerikaanse bedrijven hierbij betrokken zijn en op die manier invloed kunnen hebben op Europese overheidsdata en persoonlijke gegevens. Zijn niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren in Europa (indirect) betrokken bij het ontwikkelen van het digitale paspoort? Zo ja, om welke bedrijven gaat het?

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van de fiches over de Verordening identiteitskaart gebaseerde reiscredentials en de Verordening EU-reisapplicatie. Deze leden hebben nog een aantal vragen.

De leden van de ChristenUnie-fractie zetten vraagtekens bij de effectiviteit en noodzakelijkheid van de reiscredentials. Dit naar aanleiding van de zorgen van de AP over de pilot van het Consortium met de Nederlandse Digital Travel Credential (DTC). Ze constateert dat niet was vast te stellen of de invoering van de DTC zal leiden tot effectievere controles en grenspassages. Ook stelt de AP dat de pilot onvoldoende representatief was. Deze leden vragen om een reactie van het kabinet op deze zorgen, zowel op de brief als geheel als op de punten die de leden aan de orde brengen.

Ook vragen de leden van de ChristenUnie-fractie of het kabinet deze zorgen meeneemt in de onderhandelingen van de Raad. Voorts vragen deze leden of er, naast de DTC-1 pilot op Schiphol, nog andere DTC-pilots zijn uitgevoerd in andere lidstaten en wat de resultaten van deze pilots waren. Heeft het gebruik van DTC in alle pilots voor tijdswinst gezorgd en waren deze pilots representatiever dan de Nederlandse pilot?

Tevens hebben de leden van de ChristenUnie zorgen over de verschillende privacyaspecten van de DTC en samenhangende verordeningen, waar ook de AP op wijst. Zo introduceert het voorstel een systeem waarin biometrische gegevens digitaal worden opgeslagen en gedeeld. Hierbij wordt het risico op datalekken die betrokken kunnen worden bij identiteitsfraude vergroot. Deze leden vragen hoe de veiligheid van biometrische en persoonlijke gegevens voldoende wordt gewaarborgd en datalekken en misbruik zoals identiteitsfraude kan worden voorkomen. Tevens vragen zij wat de gevolgen zouden zijn van een datalek, hoe groot de risico’s zijn en hoe hierop geacteerd kan worden.

Voortbordurend op het gebruik van biometrische gegevens vragen de leden van de ChristenUnie-fractie wat de bewaartermijn van biometrische gegevens gaat zijn. Wat is de inzet van het kabinet hierin, en wat is – voor zover bekend – de inzet van andere lidstaten?

De leden van de ChristenUnie-fractie zijn van mening dat digitale autonomie van groot belang is. Hierbij is het van belang dat we als Europese Unie niet te afhankelijk zijn van grootmachten als de VS en China. Deze leden zijn van mening dat in het belang van onze veiligheid het digitale paspoort of de reiscredentials voor zover mogelijk ontwikkeld wordt binnen Europa. Zij vragen of niet-Europese techbedrijven (indirect) betrokken zijn bij het ontwikkelen van de reiscredentials of het digitale paspoort. Zo ja, om welke bedrijven gaat het? De leden van de ChristenUnie-fractie maken zich zorgen om de toenemende macht van grote techbedrijven en het ontstaan van digitale monopolies. Hoe wordt voorkomen dat big tech bij deze voorstellen een dominante rol krijgen en hoe wordt publieke regie gewaarborgd?

Voorts benadrukken de leden van de ChristenUnie-fractie dat deze verordeningen gevolgen zullen hebben voor toegankelijkheid en digitale inclusie. Wat is de insteek van het kabinet hierbij, en hoe kan toegankelijkheid van het digitale paspoort geborgd worden? Hoe wordt gegarandeerd dat mensen zonder smartphone of digitale vaardigheden niet worden benadeeld in hun recht op vrij verkeer? Deze leden merken op dat op dit moment de inzet is om gebruik van het digitale paspoort optioneel en vrijwillig te houden, maar dat niet zeker is dat dat altijd zal blijven. Een mogelijke ontwikkeling waarin private partijen gebruik van de Europese Digitale Identiteit kunnen eisen of het gebruik dermate genormaliseerd is dat de (impliciete) verplichting tot gebruik toch ontstaat vinden deze leden niet wenselijk. Ziet het kabinet hierin een risico? En hoe wordt voorkomen dat dit realiteit wordt? Kan er een garantie komen dat de Europese digitale identiteit volledig vrijwillig blijft, en hoe wordt dit gewaarborgd?

II Antwoord/reactie van de bewindspersoon