Preview document (🔗 origineel)

---

Inhoudsopgave

I Vragen en opmerkingen vanuit de fracties en antwoorden van de bewindspersonen

Vragen en opmerkingen inzake kosten uitgifte DTC (PVV, NSC)

Vragen en opmerkingen inzake de brief van de Autoriteit Persoonsgegevens (AP) (PVV, GroenLinks-PvdA, VVD, SP)

Vragen en opmerkingen inzake pilots van andere lidstaten (PVV, GroenLinks-PvdA, ChristenUnie, VVD)

Vragen en opmerkingen inzake digitale strategische autonomie (GroenLinks-PvdA, VVD, NSC, SP, ChristenUnie)

Vragen en opmerkingen inzake de digitale beveiliging (GroenLinks-PvdA)

Vragen en opmerkingen inzake digitale inclusie (GroenLinks-PvdA, ChristenUnie) Vragen en opmerkingen inzake het gebruik van biometrie (GroenLinks-PvdA, ChristenUnie, NSC, SP)

Vragen en opmerkingen inzake een mogelijke bias in automatische gezichtsvergelijking (GroenLinks-PvdA)

Vragen en opmerkingen inzake de uitgifte van DTC (GroenLinks-PvdA, VVD)

Vragen en opmerkingen inzake het vrijwillig gebruik van DTC (GroenLinks-PvdA, VVD, NSC, ChristenUnie)

Vragen en opmerkingen inzake de parlementaire procedure en het informeren van de Kamer (GroenLinks-PvdA, VVD)

Overige vragen en opmerkingen van de leden van de PVV-fractie

Overige vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

Overige vragen en opmerkingen van de leden van de VVD-fractie

Overige vragen en opmerkingen van de leden van de NSC-fractie

I Vragen en opmerkingen vanuit de fracties en antwoorden van de bewindspersonen

Vragen en opmerkingen inzake kosten uitgifte DTC (PVV, NSC)

In de brief ‘Fiche: Verordening identiteitskaart gebaseerde reiscredentials’ van 22 november 2024 lezen de leden van de PVV-fractie dat Nederland kosten maakt bij de implementatie hiervan. De kosten, verband houdende met de technische inrichting en de aanpassingen van gemeentebalies waar de Basisregistratie Personen (BRP)-inschrijvingen plaatsvinden, zijn blijkens het kabinet ‘onmogelijk te kwantificeren’. Echter, in de brief ‘Start Uitvoering Digital Travel Credential (DTC) pilot’ van 10 januari 2024 lezen deze leden een geschetste praktijkweergave van de DTC waar met geen woord gerept wordt over technische inrichtingen en aanpassingen van gemeentebalies. Deze leden vragen hoe deze brieven zich tot elkaar verhouden en om welke aanpassingen het gaat.

De leden van de NSC-fractie vragen of een inschatting gegeven kan worden van de verwachtte structurele kosten voor gemeenten en uitvoerende instanties bij de invoering en verwerking van DTC’s, zo vragen de leden van de NSC-fractie? Hoe wordt voorkomen dat deze kosten worden doorberekend aan burgers, bijvoorbeeld via hogere kosten voor reisdocumenten? Welke maatregelen worden getroffen om ervoor te zorgen dat gemeenten deze taak binnen hun huidige capaciteit kunnen uitvoeren?

Antwoord

In de Nederlandse pilot konden deelnemers zelfstandig een DTC aanmaken via de applicatie, zonder tussenkomst van een uitgevende instantie. In de conceptverordeningen worden drie opties voorgesteld voor het verkrijgen van een DTC gebaseerd op een identiteitskaart of reisdocument van een lidstaat van de EU. Documenthouders moeten bij het aanvragen van een nieuwe identiteitskaart of reisdocument een DTC kunnen krijgen. Daarnaast moeten houders van deze documenten een DTC gebaseerd op een reeds verstrekt document verstrekt kunnen krijgen. Tot slot moeten houders van een identiteitskaart of reisdocument zelfstandig een DTC kunnen aanmaken in de EU-reisapplicatie.
De kosten voor de implementatie en uitvoering van de uitgifte van een DTC bij een nieuwe documentaanvraag of reeds verstrekt document zijn momenteel niet te kwantificeren. Het kabinet zet zich in voor een effectief maar eenvoudig proces met zo min mogelijk consequenties voor uitgevende instanties zoals gemeenten. Het spreekt echter voor zich dat een dergelijk proces met kosten gepaard gaat, waarbij het uitgangspunt van het paspoortlegesstelsel kostendekkendheid is. Het kabinet vraagt om verduidelijking bij de Commissie. Het kabinet wil voorkomen dat voor de uitgifte van een DTC op locatie ingrijpende nieuwe uitvoeringsprocessen moeten worden ingericht.

De PVV-leden verwijzen ook naar een passage in het fiche over BRP-inschrijvingen. Inmiddels is duidelijk dat beide voorstellen alleen het passeren van de Schengenbuitengrenzen met een DTC behelzen. Kosten om BRP-inschrijvingen door middel van DTC te faciliteren, of andere kosten gerelateerd aan acceptatie van een DTC buiten het grens- en reisdomein zijn dan ook niet langer voorzien.

Vragen en opmerkingen inzake de brief van de Autoriteit Persoonsgegevens (AP) (PVV, GroenLinks-PvdA, VVD, SP)

Voorts merken de leden van de PVV-fractie op dat in beide fiches niet gesproken wordt over de zorgen van de Autoriteit Persoonsgegevens (AP) die middels een brief op 11 juli 2024 richting de Europese Commissie zijn geuit met betrekking tot de wijze waarop de Nederlandse DTC-pilot is uitgevoerd. Deze leden willen graag weten wat de reactie is van het kabinet op deze brief.

De leden van de GroenLinks-PvdA-fractie hebben reeds kennis genomen van de pilot die op Schiphol heeft gedraaid en de voornemens van het kabinet om een vervolgpilot op Schiphol te implementeren. Deze leden hebben hier echter wel opmerkingen en vragen over. Zij vragen of het kabinet kennis heeft genomen van de brief van de Autoriteit Persoonsgegevens (AP) over de Nederlandse DTC-pilot, waarin ook wordt gewezen op het advies van de European Data Protection Board (EDPB) aan luchthavenexploitanten en luchtvaartmaatschappijen om, waar mogelijk, te kiezen voor minder ingrijpende manieren om passagiersstromen te stroomlijnen? Wat is de appreciatie van het kabinet ten aanzien van dit advies?

Daarnaast lezen de leden van de GroenLinks-PvdA-fractie dat het standpunt van de AP is dat de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met zekerheid kan worden gesteld dat het doel van snellere grenscontroles behaald wordt. Wat is de appreciatie van het kabinet over dit standpunt? Neemt het kabinet dit standpunt mee in de onderhandelingen van de raad?

De leden van de VVD hebben de volgende vragen. In de periode januari tot en met maart 2024 heeft er op Schiphol een pilot DTC plaatsgevonden. De AP is kritisch over deze gehouden pilot, zo is gebleken. Hoe beoordeelt het kabinet het standpunt van de AP in dezen? Deze leden vragen het kabinet ook om een reactie op de brief d.d. 1 januari 2025 die de AP naar de Kamer heeft gestuurd.

De leden van de SP-fractie maken zich zorgen over de verwerking van bijzondere persoonsgegevens en biometrische persoonsgegevens. Deze leden vragen of de proportionaliteit en noodzakelijkheid van de verordening wel genoeg in ogenschouw is genomen. De AP schreef hier het volgende over: “Het is voor de AP daarnaast onduidelijk of het gebruik van digitale reisdocumenten door internationale reizigers en nieuwe wetgeving om dit mogelijk te maken toegevoegde waarde zal hebben ten opzichte van de bestaande verordeningen met betrekking tot reis- en grensprocessen. De AP heeft daarmee sterke twijfels of voldaan zal worden aan de vereisten van noodzakelijkheid en proportionaliteit wanneer dergelijke wetgeving ontwikkeld wordt. Juist ook omdat sprake is van een verwerking van bijzondere persoonsgegevens die ingrijpt op het fundamentele recht op de bescherming van persoonsgegevens, zoals neergelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie.

De AP geeft aan dat aan de hand van de DTC-pilot die is uitgevoerd niet vast te stellen valt of de invoering van een DTC leidt tot effectievere en efficiëntere grenscontroles- en passages. Wat is de appreciatie van het kabinet over het standpunt van de AP dat de Nederlandse DTC-pilot niet representatief zou zijn en dat daarom niet met zekerheid kan worden gesteld dat het doel van snellere grenscontrole wordt behaald? En neemt het kabinet dit standpunt mee in de onderhandelingen van de Raad?

De leden van de ChristenUnie-fractie zetten vraagtekens bij de effectiviteit en noodzakelijkheid van de reiscredentials. Dit naar aanleiding van de zorgen van de AP over de pilot van het Consortium met de Nederlandse Digital Travel Credential (DTC). Ze constateert dat niet was vast te stellen of de invoering van de DTC zal leiden tot effectievere controles en grenspassages. Ook stelt de AP dat de pilot onvoldoende representatief was. Deze leden vragen om een reactie van het kabinet op deze zorgen, zowel op de brief als geheel als op de punten die de leden aan de orde brengen. Voorts vragen deze leden of het kabinet deze zorgen meeneemt in de onderhandelingen van de Raad.

Antwoord
Op 11 juli 2024 heeft de Autoriteit Persoonsgegevens (AP) een brief gestuurd aan de Europese Commissie naar aanleiding van de uitgevoerde pilot om haar beschouwingen te delen in relatie tot de gegevensbescherming en toekomstige wetgeving over digitale reisdocumenten. De AP is van mening dat de pilot, door het beperkt aantal deelnemers, onvoldoende representatief was om vast te stellen of het gebruik van digitale reiscredentials daadwerkelijk leidt tot effectievere en efficiëntere grenscontroleprocessen.

Het kabinet heeft kennisgenomen van de brief van de AP en deze met de AP besproken, maar deelt het standpunt van de AP niet. De eerste DTC-pilot was veelbelovend: waar de gemiddelde grenspassage middels het geautomatiseerde grenscontrolesysteem (Self Service Passport Controlsystem / SSPC) 30 seconden bedraagt, werd met het DTC een gemiddelde grenspassagetijd van 14 seconden behaald, met een snelste passage van slechts 6 seconden. Dit levert voordelen op voor zowel de luchthavens, de grensautoriteit als de reizigers zelf. De resultaten van de pilot laten dus zien dat het gebruik van het DTC een aanzienlijke versnelling van het grensproces mogelijk maakt¹. In een verderop toegelichte vervolgpilot wil het kabinet met een grotere doelgroep deze resultaten bestendigen.

De verwerking van gegevens wordt proportioneel geacht. De verschillende stappen in het grenscontroleproces blijven inhoudelijk ongewijzigd, alleen de manier en het moment waarop deze stappen worden uitgevoerd veranderen met een DTC.
Wereldwijd neemt het aantal reizigers en daarmee ook de druk op de grensprocessen toe. Vooral voor grensdoorlaatposten met hoge reizigersaantallen, zoals Schiphol, waar de capaciteit van grenswachters beperkt is en de infrastructuur op de luchthaven krap, zijn innovatie en digitalisering van groot belang. Door gebruik te maken van een DTC kan de verwerkingstijd van een reiziger bij een automatische grenspoort teruggebracht worden. Hierdoor is de doorstroom van reizigers groter. Daarnaast kan capaciteit effectief worden ingezet en de veiligheid worden verhoogd. Bovendien waarderen reizigers ook efficiënte en frictieloze processen tijdens hun reis. Zo heeft de terugkoppeling van pilotdeelnemers en onderzoek aangetoond dat reizigers positief staan tegenover het gebruik van een DTC voor het faciliteren van de reis².

De meerwaarde van het gebruik wordt ook gezien door de Europese Commissie, vandaar dat zij daartoe twee voorstellen hebben gepubliceerd.

Daarbij is het beperkte aantal deelnemers in de DTC-pilot niet tegenstrijdig met het doel van de pilot, namelijk om het gebruik van DTC in praktijk te beproeven. Ook met het beperkt aantal deelnemers is de mogelijke efficiëncywinst bij grenscontroles en grenspassage duidelijk zichtbaar. Het beperkte aantal deelnemers was een direct gevolg van de korte implementatieperiode, evenals de specifieke doelgroep (bepaalde nationaliteiten en vluchten). Voor de pilot is gekozen voor een kleinschalige en voorzichtige benadering passend bij de doelstelling van de pilot: het toetsen van de technologie in de praktijk en het onderzoeken of het gebruik van digitale reiscredentials bijdraagt aan effectievere en efficiëntere grenscontroles, als input voor de impact assessment voor de conceptverordening. Voor wat betreft de beveiliging van gegevens van deelnemers golden de strenge eisen van het Defensie Beveiligingsbeleid (DBB)³. De bewaartermijn en toegankelijkheid van data was beperkt tot het strikt minimale.

De AP heeft in haar brief aangegeven dat het voor haar onduidelijk is wat de toegevoegde waarde van DTC is ten opzichte van de bestaande verordeningen. De AP doelt hier op bestaande verordeningen met betrekking tot reis- en grensprocessen zoals het Entry / Exit System (EES)⁴ en European Travel Information and Authorization System (ETIAS)⁵. Deze bestaande verordeningen zijn nauw verbonden met het grensbeheer, maar dienen andere doelen. Zij hebben als primair doel het vergroten van de veiligheid van de Schengenzone en het aanscherpen van grenscontroles. Dit gebeurt met name door de registraties van de EU-lidstaten met een gezamenlijke buitengrens rondom grenspassage te verbeteren. DTC is een doorontwikkeling van reisdocumenten en identiteitskaarten. Het betreft een internationale ontwikkeling. Grensautoriteiten worden met behulp van het DTC in staat gesteld de authenticiteit en integriteit van reisdocumenten en identiteitskaarten te verifiëren voordat reizigers de grens bereiken. Dit faciliteert het reizigersproces, een effectievere inzet van de grenswachter en minimaliseert de wachttijden aan de grens. Bovendien kan een DTC de bestaande verordeningen zoals het EES en ETIAS juist ondersteunen door vooraf betrouwbare informatie te verzamelen, wat verder bijdraagt aan een effectiever en efficiënter reisproces en de versterking van het grensbeheer.

De leden van de GroenLinks-PvdA fractie vragen of het kabinet kennis heeft genomen van de opinie van de Europese toezichthouder voor gegevensbescherming, de European Data Protection Board (EDPB) over het gebruik van gezichtsherkenningstechnologieën door luchthavens en luchtvaartmaatschappijen.

Antwoord

Het kabinet heeft kennisgenomen van de opinie van de Europese toezichthouder voor gegevensbescherming, de European Data Protection Board (EDPB), over het gebruik van gezichtsherkenningstechnologieën door luchthavens en luchtvaartmaatschappijen, maar meent dat deze niet rechtstreeks van toepassing is op de DTC-pilot. De opinie is expliciet niet gericht op de uitvoering van grenscontroles op luchthavens, terwijl de pilot zich daar juist primair op richtte. De EDPB geeft aan dat het gebruik van gezichtsherkenningstechnologie en dus het verwerken van biometrische gegevens op luchthavens voor het verbeteren van de passagiersstroom enkel gerechtvaardigd is als er een wettelijke basis voor een identiteitscontrole bestaat. Luchtvaartmaatschappijen zijn wettelijk verplicht om de identiteit van passagiers te verifiëren en te controleren of zij over de juiste reisdocumenten beschikken om toegang te verkrijgen tot het land van bestemming of vertrek. In de pilot is het gebruik van DTC bij het instappen van het vliegtuig beproefd voor het uitvoeren van deze wettelijk verplichting⁶.

Vragen en opmerkingen inzake pilots van andere lidstaten (PVV, GroenLinks-PvdA, ChristenUnie, VVD)

De leden van de PVV-fractie lezen voorts in de fiches dat naast Nederland ook twee andere lidstaten een pilot met DTC hebben uitgevoerd. Deze leden vernemen graag welke lidstaten dit zijn en welke lessen worden getrokken uit deze pilots ten opzichte van de Nederlandse DTC-pilot. Mede gelet op het feit dat het kabinet voornemens is om een vervolgpilot te implementeren vernemen zij ook graag in hoeverre deze vervolgpilot zal verschillen van de Nederlandse DTC-pilot.

De leden van de Groenlinks-PvdA fractie zijn ervan op de hoogte dat er in andere landen DTC-pilots hebben plaatsgevonden. In welke andere lidstaten zijn deze pilots uitgevoerd en wat zijn de resultaten geweest van deze pilots? Heeft het gebruik van DTC in die pilots geleid tot tijdswinst bij de grenspassages? Wat zijn de ervaringen en standpunten van de persoonsgegevensautoriteiten in die landen? Is er een verschil in hoeveel reizigers gebruik hebben gemaakt van de DTC in deze landen ten opzichte van het, naar mening van de AP te kleine, aantal dat op Schiphol gebruik heeft gemaakt van deze optie?

Voorts vragen de leden van de Christen Unie-fractie of er, naast de DTC-1 pilot op Schiphol, nog andere DTC-pilots zijn uitgevoerd in andere lidstaten en wat de resultaten van deze pilots waren. Heeft het gebruik van DTC in alle pilots voor tijdswinst gezorgd en waren deze pilots representatiever dan de Nederlandse pilot?

De leden van de VVD-fractie vragen welke andere EU-landen DTC-pilots hebben uitgevoerd? Wat waren de uitkomsten van die pilots? In hoeverre was er bij de pilots sprake van tijdwinst bij de grenspassages

Antwoord
Voor een nadere toelichting wordt u verwezen naar onze eerdere reactie⁷. Op verzoek van de Europese Commissie voerden drie lidstaten (Nederland, Kroatië en Finland) een DTC-pilot uit om het gebruik van digitale reisdocumenten in de praktijk te beproeven. Deze pilots dienden ter ondersteuning van het wetgevingsinitiatief en de impact assessment voor de conceptverordening. Voor de uitvoering van de pilot hebben de lidstaten een financiële bijdrage ontvangen van de Europese Commissie. Deze landen hebben aan de Europese Commissie gerapporteerd conform de afgesproken richtlijnen en randvoorwaarden. Nederland heeft het eindrapport van de DTC-pilot ook gedeeld met uw Kamer⁸. De resultaten van Finland en Kroatië zijn opgenomen in de impact assessment van de verordening⁹. Uit beide pilots blijken tijdswinsten voor zowel de reiziger als de grensautoriteit, die zich daardoor op andere grenscontroletaken kan richten.

De Europese Commissie geeft lidstaten de mogelijkheid om een eerste of vervolgpilot uit te voeren en hiervoor een voorstel in te dienen. Het kabinet is voornemens om, met de steun van de Europese Commissie, een vervolgpilot uit te voeren en de DTC verder in de praktijk te beproeven. Deze pilot bouwt voort op de ervaringen van de vorige pilot, heeft een langere doorlooptijd en is beschikbaar voor een grotere doelgroep. Dit biedt Nederland de mogelijkheid om verdere waardevolle praktijkervaring op te doen in aanloop naar de implementatie van de Europese verordening en reizigers in een vroeg stadium te faciliteren met soepele grensprocessen.

Vragen en opmerkingen inzake digitale strategische autonomie (GroenLinks-PvdA, VVD, NSC, SP, ChristenUnie)

De leden van de GroenLinks-PvdA-fractie lezen dat uit het voorstel en de impact assessment onvoldoende duidelijk wordt hoe de beveiliging van de applicatie ingericht wordt. Deze leden zijn het eens met het kabinet dat de (digitale) veiligheid en goede borging van het gebruik van het systeem, bijvoorbeeld werkprocessen en personen die toegang hebben tot het systeem, essentieel zijn voor de weerbaarheid tegen (cybersecurity) dreigingen. In dit kader willen de leden van de GroenLinks-PvdA-fractie het kabinet vragen om het belang van strategische autonomie voor het vormgeven van het systeem bij de Europese Commissie te benadrukken. Deze leden wensen geen afhankelijkheden te creëren van niet-Europese techbedrijven voor een dergelijk belangrijk systeem. Het is hun sterke voorkeur dat het geheel zoveel mogelijk in-house door the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (eu-LISA), of indien noodzakelijk, in samenwerking met Europese techbedrijven, wordt ontwikkeld. Wat is het standpunt van het kabinet ten aanzien van dit punt en kan zij dit tevens toelichten? Kan de bewindspersoon aangeven of er niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren in Europa (indirect) betrokken zijn bij het ontwikkelen van het Digital Travel Credential (DTC)? Om welke bedrijven gaat het dan? Is het Amerikaanse bedrijf Palantir betrokken bij de ontwikkeling van de DTC en houdt het zich, voor zover bekend, aan de Europese wet- en regelgeving? Kan de bewindspersoon ten slotte aangeven of hij het belang van strategische autonomie voor de ontwikkeling van de DTC bij de Europese Commissie zal benadrukken?

De leden van de VVD-fractie vragen aandacht voor de bedrijven die betrokken zijn dan wel zullen worden betrokken bij het ontwikkelen van de DTC en de EU-reisapplicatie. In hoeverre zijn hier bedrijven buiten de Europese Unie, bijvoorbeeld uit China of de Verenigde Staten, bij betrokken, direct dan wel indirect? Wat deze leden betreft mogen hier alleen Europese bedrijven aan meewerken. Ook mag er geen sprake zijn van indirecte betrokkenheid van bedrijven van buiten de Europese Unie. Het gaat hier immers om identiteitsgegevens van Europese burgers. Graag krijgen deze leden een reactie van het kabinet.

De leden van de NSC-fractie vragen welke stappen bent u bereid te zetten om te voorkomen dat Nederland te afhankelijk wordt van buitenlandse technologie bij de implementatie van de DTC? Hoe blijft nationale autonomie bijvoorbeeld geborgd, met name in het beheer en de beveiliging van de persoonsgegevens die via deze nieuwe technologie worden verwerkt?

De leden van de SP-fractie lezen dat het kabinet heeft aangegeven dat de gebruikte software en hardware voor de DTC-pilot binnen Europa is ontwikkeld door een Europese organisatie. Het is echter nog niet duidelijk of ook Europese kantoren van Amerikaanse bedrijven hierbij betrokken zijn en op die manier invloed kunnen hebben op Europese overheidsdata en persoonlijke gegevens. Zijn niet-Europese techbedrijven via samenwerking met Europese bedrijven of met kantoren in Europa (indirect) betrokken bij het ontwikkelen van het digitale paspoort? Zo ja, om welke bedrijven gaat het?

De leden van de ChristenUnie-fractie zijn van mening dat digitale autonomie van groot belang is. Hierbij is het van belang dat we als Europese Unie niet te afhankelijk zijn van grootmachten als de VS en China. Deze leden zijn van mening dat in het belang van onze veiligheid het digitale paspoort of de reiscredentials voor zover mogelijk ontwikkeld wordt binnen Europa. Zij vragen of niet-Europese techbedrijven (indirect) betrokken zijn bij het ontwikkelen van de reiscredentials of het digitale paspoort. Zo ja, om welke bedrijven gaat het? De leden van de ChristenUnie-fractie maken zich zorgen om de toenemende macht van grote techbedrijven en het ontstaan van digitale monopolies. Hoe wordt voorkomen dat big tech bij deze voorstellen een dominante rol krijgen en hoe wordt publieke regie gewaarborgd?

De leden van de GroenLinks-PvdA-fractie lezen dat voor wie de DTC vrijwillig gebruikt een smartphone noodzakelijk is, waarbij smartphones aan bepaalde eisen moeten voldoen om gebruikt te worden. Hierbij is ondersteuning van Android en iOS voorzien. Deze leden vragen ten aanzien hiervan of met Android wordt bedoeld dat dit Android met Google Services en Google Apps vereist zal worden. Wordt er ook ondersteuning voorzien voor Android-besturingssystemen zonder Google Services en Google Apps, zoals GrapheneOS of LineageOS? Wat is het standpunt van het kabinet ten aanzien van dergelijke vereisten? Voorts zij of ook alternatieve besturingssystemen, zijnde niet Android of iOS, ondersteund zullen worden. Denk hierbij aan E/os, Sailfish OS, Ubuntu Touch, PureOS, en andere besturingssystemen. Vindt het kabinet, net als de leden van de GroenLinks-PvdA-fractie, dat in het kader van het verminderen van afhankelijkheden van techgiganten en het bieden van volwaardige alternatieven voor burgers, dergelijke besturingssystemen óók ondersteund moeten worden – ook als dit extra kosten met zich meebrengt?

Antwoord
Het kabinet deelt de zorgen van de Kamerleden rondom digitale autonomie. Sommige afhankelijkheden van technologieën en platforms zijn ongewenst, zeker wanneer het gaat om privacygevoelige gegevens van EU-burgers. Digitale autonomie staat zowel nationaal als Europees hoog op de agenda. De afgelopen jaren zijn diverse wetgevingsvoorstellen en beleidskaders geïntroduceerd die gericht zijn op het versterken van de open strategische autonomie. Onderdeel daarvan is het waar nodig mitigeren van de afhankelijkheid van niet-Europese technologieën, terwijl tegelijkertijd de samenwerking met gelijkgestemde internationale partners wordt gezocht. Nieuwe strategische keuzes kunnen bovendien kansen creëren voor Europese en Nederlandse bedrijven.

Het Nederlandse beleid ten aanzien van strategische autonomie voor de digitale sector is vastgelegd in de Agenda Digitale Open Strategische Autonomie (DOSA)¹⁰. Daarin is een centraal uitgangspunt het wegen en mitigeren van strategische afhankelijkheden aan de hand van de impact op de nationale veiligheid, het verdienvermogen en het effect op andere maatschappelijke belangen, naast het versterken van het Europese politiek-economische fundament en het Europese geopolitieke handelingsvermogen. Voor wat het nemen van maatregelen om kwetsbaarheden te adresseren betreft, wil Nederland zich richten op het mitigeren van specifieke risico’s voor publieke belangen en door protectionisme ingegeven grofmazige maatregelen voorkomen. Digitale autonomie en digitale weerbaarheid is daarnaast een prioriteit van de in ontwikkeling zijnde Nederlandse Digitaliseringsstrategie. Het kabinet draagt dit uit in de relevante gremia en zal, zoals aangegeven in het BNC-fiche, ook voor DTC het belang benadrukken van de naleving van de wet- en regelgeving om de strategische autonomie, veiligheid en betrouwbaarheid te waarborgen. Het kabinet pleit in Europees verband al langer voor meer aandacht voor een reëel en robuust autonomiebeleid, onder meer door middel van doorlopende dialoog met de Europese Commissie en door dit onderwerp actief onder de aandacht te brengen in samenwerkingsverbanden als de D9+¹¹. Ook zal het kabinet hier in de onderhandelingen voor de DTC-verordeningen maximaal aandacht voor blijven vragen.

Een belangrijke rol voor de ontwikkeling en het beheer van de EU-reisapplicatie en de achterliggende technologie is weggelegd voor eu-LISA. Dit technologische agentschap is verantwoordelijk voor het beheer van grootschalige IT-systemen die de EU-lidstaten ondersteunen op het gebied van grensbeheer, migratie en veiligheid. Dit omvat onder andere de slimme grenssystemen, zoals EES, ETIAS, evenals de DTC-applicatie. eu-LISA moet ervoor zorgen dat de systemen en netwerken die het beheert voldoen aan de noodzakelijke cybersecuritystandaarden en risicobeheermaatregelen, zoals vastgelegd in relevante Europese regelgeving. Onderdeel daarvan is de onlangs in werking getreden ‘Europese Cyber Resilience Act’, die ervoor zorgt dat alle digitale producten en diensten die op de Europese markt worden aangeboden voldoen aan essentiële cyberveiligheidstandaarden. eu-LISA mag bovendien beperkt particuliere entiteiten inzetten bij de uitvoering van zijn taken¹². eu-LISA ontwikkelt de EU-reisapplicatie voor de meest gebruikte besturingssystemen. Daarbij zal het kabinet scherp blijven op eventuele risicovolle strategische afhankelijkheden in lijn met de Kabinetsaanpak Strategische afhankelijkheden. Met de ontwikkeling van de applicatie en achterliggende technologie door eu-LISA blijft de regie van het gebruik van DTC, dat op grote interesse van grote techgiganten kan rekenen, in Europese handen. Alhoewel het DTC-concept technologieonafhankelijk is ontwikkeld, ligt het voor de hand dat deze applicatie op de veelgebruikte mobiele platforms draait. Op Europees niveau zal aandacht gevraagd worden voor de optie van een alternatieve applicatie: opensource of voor een alternatief platform. Overigens zijn zowel Google als Apple al aan een strenger regime onderworpen via de Digital Markets Act, omdat zij als poortwachters met hun mobiele besturingssystemen ‘core platform services’ aanbieden¹³. Het kabinet blijft op Europees niveau aandacht vragen voor dergelijke marktconcentraties in het digitale domein.

De diverse genoemde wetgevingen en strategieën ondersteunen de bredere doelstellingen van Nederland en de EU voor digitale open strategische autonomie en dragen bij aan het versterken van de veiligheid en veerkracht van de digitale infrastructuren die essentieel zijn voor grensbeheer en migratie.


Vragen en opmerkingen inzake de digitale beveiliging (GroenLinks-PvdA)

De leden van de GroenLinks-PvdA-fractie willen aandacht vragen voor het belang van transparantie om het vertrouwen in en de cyberveiligheid van dergelijke applicaties te vergroten. Deze leden zijn overtuigd tegenstander van ‘security-through-obscurity’. Kan de bewindspersoon aangeven of het al bekend is of de EU-reisapplicatie een open-source applicatie zal worden, zodat burgers en beveiligingsonderzoekers de werking kunnen controleren en eventuele cyberveiligheidsfouten sneller opgemerkt kunnen worden? En kan de bewindspersoon aangeven wat het standpunt van het kabinet is ten aanzien van wel of geen open-source applicatie en de redenen daartoe?

Antwoord
De DTC is een door de International Civil Aviation Organization (ICAO) vastgestelde platformonafhankelijke technische standaard. Afspraken over de werking van de DTC worden gemaakt binnen ICAO - met deelname van Nederland.

Zoals in de vraag inzake digitale autonomie is aangegeven, is eu-LISA verantwoordelijk voor de ontwikkeling van de DTC-applicatie en -technologie. De ontwikkeling van technologie die onder de verantwoordelijkheid valt van eu-LISA is aan strikte Europese regels gebonden¹⁴. eu-LISA voert wanneer nodig zelf aanbestedingen uit die onderhevig zijn aan Europese regels. De keuzes die hieruit voortvloeien vallen onder de Europese verantwoordelijkheid.
eu-LISA draagt zorg dat de DTC vanuit een centrale Europese router verzonden wordt naar de relevante lidstaten. Dit agentschap is ook verantwoordelijk voor de systemen en netwerken dat het beheert en dat deze voldoen aan de noodzakelijke cybersecuritystandaarden en risicobeheermaatregelen, zoals vastgelegd in relevante Europese wetgeving. Zo stelt de Digital Operational Resilience Act (DORA)¹⁵ strenge eisen aan de beveiliging van kritieke systemen en de verwerking van persoonsgegevens binnen EU-jurisdictie. Zoals hierboven al aangegeven zal het kabinet de Europese Commissie verzoeken te onderzoeken of een opensource-applicatie reëel is.

De exacte technische specificaties worden bepaald bij het vaststellen van de uitvoeringshandelingen. De Commissie bepaalt daarbij, met hulp van experts uit de lidstaten, via technische specificaties de kernstructuur en digitale infrastructuur. De EU-Router van eu-LISA slaat geen gegevens op maar is een doorvoerluik van de (individuele) DTC’s van passagiers naar de lidstaten. De lidstaten zijn verantwoordelijk voor de ontvangst, verwerking en tijdelijke opslag van de DTC om de grenspassage van de reiziger te kunnen faciliteren. In Nederland betekent dit dat de bescherming van persoonsgegevens wordt gewaarborgd conform de relevante wet- en regelgeving en richtlijnen¹⁶. Daarbij geldt dat gegevens niet langer bewaard worden dan strikt noodzakelijk en niet gebruikt worden voor andere doeleinden dan grenspassage.

Vragen en opmerkingen inzake digitale inclusie (GroenLinks-PvdA, ChristenUnie)

De leden van de GroenLinks-PvdA-fractie willen, zoals vaker, benadrukken dat zij enorm belang hechten aan digitale inclusie. Daarom zijn deze leden verheugd te lezen dat het kabinet het belangrijk vindt dat het Nederlandse reisdocument, inclusief DTC, toegankelijk is voor elke Nederlander, ook wie niet digivaardig is. Tegelijk roept dit ook bij deze leden vragen op over het precieze uitgifteproces, de overdracht en de opslag. Zij begrijpen dat een mobiele telefoon met Android of iOS een voorwaarde lijkt te zijn voor de opslag van een DTC. Klopt dit? En kan het kabinet aangeven wat er precies wordt verstaan onder de uitgifte van een DTC door verstrekkende instanties? Hoe verschilt dit met de mogelijkheid voor gebruikers om zelf een DTC aan te maken, waarin wordt voorzien door de verordening EU-reisapplicatie? Indien dit ook voor het kabinet onduidelijk is, kan het kabinet haar best doen om verheldering te krijgen bij de Europese Commissie? De leden van de GroenLinks-PvdA-fractie wensen nogmaals te benadrukken dat zij het van belang vinden dat niet-digivaardige mensen ook een DTC kunnen aanmaken, dan wel ontvangen van een uitgevende instantie.
Voorts benadrukken de leden van de ChristenUnie-fractie dat deze verordeningen gevolgen zullen hebben voor toegankelijkheid en digitale inclusie. Wat is de insteek van het kabinet hierbij, en hoe kan toegankelijkheid van het digitale paspoort geborgd worden?

Antwoord

De Europese Commissie stelt in de impact assessment bij het EU-reisapplicatievoorstel dat een applicatie voor Android en iOS voorzien is. Deze besturingssystemen hebben een marktaandeel van 99,5%¹⁷. Andere besturingssystemen zijn doorgaans juist in gebruik bij technisch onderlegde gebruikers. Eerder ben ik al ingegaan op uw vragen over de gevolgen voor digitale autonomie. Het kabinet is er beducht op de bedrijven achter iOS en Android, Apple en Alphabet in de zin dat zij geen inzage mogen verkrijgen in de gegevensverwerking door de applicatie.

In de conceptverordeningen is opgenomen dat reisdocumenten en identiteitskaarten op verzoek van de aanvrager vergezeld worden van een DTC. In de lopende onderhandelingen wordt verduidelijking gevraagd over de betekenis van deze bepalingen in de praktijk. Inzet van het kabinet is dat minder digivaardigen fysiek ondersteund worden bij het aanmaken van het DTC in de applicatie. Het kabinet wil mogelijke extra uitvoeringslasten voor de uitvoering en de uitgevende instanties van reisdocumenten en identiteitskaarten (zoals gemeenten) niet uit het oog verliezen. Het kabinet neemt hierbij de zorgen van de Vereniging van Nederlandse Gemeenten (VNG), die onder andere hierop zien, serieus. Het kabinet wil voorkomen dat ingrijpende nieuwe uitvoeringsprocessen moeten worden ingericht.

Het kabinet zal zich inzetten voor toegankelijke en inclusieve nieuwe processen. Applicaties zullen aan gangbare toegankelijkheidseisen moeten voldoen. Tegelijkertijd is het uitgangspunt van de voorstellen vrijwilligheid, waarbij het fysieke document en reguliere processen blijven bestaan.

Vragen en opmerkingen inzake het gebruik van biometrie (GroenLinks-PvdA, ChristenUnie, NSC, SP)

De leden van de GroenLinks-PvdA-fractie begrijpen dat de identiteit van gebruikers die een DTC aanmaken in de EU-reisapplicatie geverifieerd dient te worden middels geautomatiseerde gezichtsvergelijking. Deze leden vragen echter wel hoe dit technisch in elkaar zal zitten. Is er bijvoorbeeld een verschil tussen het opslaan en vergelijken van een foto, of het opslaan van een hash op basis van biometrische kenmerken en deze vergelijken? Kan het kabinet aangeven of het reeds bekend is voor welke technische oplossing de Europese Commissie wil kiezen? En heeft het kabinet zelf een voorkeur voor, in het kader van het voorkomen van mogelijk misbruik van gegevens, een technische oplossing waarbij niet de foto zelf wordt opgeslagen maar het nog steeds mogelijk is om de vergelijking te maken? Kan de bewindspersoon het standpunt toelichten?

Verder lezen de leden van de GroenLinks-PvdA-fractie in de fiche dat als referentiemateriaal voor de automatische gezichtsherkenning een tijdelijke ‘gallery’ van gezichtsopnames wordt gegenereerd. Kan het kabinet aangeven wat hiermee precies wordt bedoeld? Betreft het hier de gezichtsopname tijdens het aanmaken van de DTC door de reiziger? Of gaat het om de gezichtsherkenning bij het ‘tap-and-go’ poortje op de luchthaven? Betekent dit tevens dat er meerdere foto’s gemaakt worden ten einde de gezichtsherkenning uit te voeren?

De leden wijzen erop dat bij het aanmaken van de DTC tevens biometrische gegevens worden vastgelegd, welke benodigd is om de controle op de luchthavens voor elkaar te krijgen. Wat is de inzet van het kabinet voor de bewaartermijn van biometrische gegevens? Wat is de inzet van andere lidstaten, voor zover bekend? De leden van de GroenLinks-PvdA-fractie vragen ook op welke wijze gebruikers van de DTC zelf controle houden over de opslag en het gebruik van gegevens over hun eigen gezichtsopname.

Tevens hebben de leden van de ChristenUnie zorgen over de verschillende privacyaspecten van de DTC en samenhangende verordeningen, waar ook de AP op wijst. Zo introduceert het voorstel een systeem waarin biometrische gegevens digitaal worden opgeslagen en gedeeld. Hierbij wordt het risico op datalekken die betrokken kunnen worden bij identiteitsfraude vergroot. Deze leden vragen hoe de veiligheid van biometrische en persoonlijke gegevens voldoende wordt gewaarborgd en datalekken en misbruik zoals identiteitsfraude kan worden voorkomen. Tevens vragen zij wat de gevolgen zouden zijn van een datalek, hoe groot de risico’s zijn en hoe hierop geacteerd kan worden.

Voortbordurend op het gebruik van biometrische gegevens vragen de leden van de ChristenUnie-fractie wat de bewaartermijn van biometrische gegevens gaat zijn. Wat is de inzet van het kabinet hierin, en wat is – voor zover bekend – de inzet van andere lidstaten?

De leden van de NSC-fractie vragen welke specifieke maatregelen worden genomen om de veiligheid van gevoelige persoonsgegevens, zoals biometrische gegevens, te waarborgen en hoe het risico op cyberaanvallen en datalekken geminimaliseerd wordt, zo vragen de leden van de NSC-fractie? Kunt u bijvoorbeeld toelichten welke voorzorgsmaatregelen en technische standaarden worden gehanteerd om te voorkomen dat deze gegevens in verkeerde handen vallen?

De leden van de SP-fractie maken zich zorgen over de verwerking van bijzondere persoonsgegevens en biometrische persoonsgegevens. Bij grootschalige gegevensverwerkingen kunnen risico’s van beveiligingsincidenten, inclusief gegevensverlies nooit volledig worden uitgesloten. Door eventuele datalekken van biometrische persoonsgegevens kunnen betrokkenen voor een lange tijd nadelige gevolgen hiervan ondervinden, bijvoorbeeld vanwege (identiteits)fraude.” Graag ontvangen deze leden een reactie hierop van het kabinet.

Antwoord
Het is momenteel onduidelijk of de verantwoordelijkheid voor de document- en de identiteitscontrole in de EU-reisapplicatie bij eu-LISA, of bij de lidstaten komt te liggen. Dit is onderdeel van de gesprekken met de Europese Commissie. Het is dan ook nog niet bekend hoe de technische inrichting hiervan er uit zal zien. Het kabinet zet zich in voor een technische oplossing
waarbij vanaf de ontwerpfase van het systeem passende beveiligingsmaatregelen worden geïntegreerd, zodat de gegevensbescherming voldoet aan de principes van ‘privacy en security by design’. Daarbij is het uitgangspunt dat reizigers controle houden over hun eigen DTC, inclusief de gezichtsopname, omdat die wordt bewaard op de smartphone. Het moet ook mogelijk zijn om de DTC in te trekken.

Een aantal Kamerleden stelt vragen rondom de inzet van automatische gezichtsvergelijking. Allereerst wordt bij het aanmaken van een DTC een gezichtsopname gemaakt en vergeleken met de gezichtsopname die is opgeslagen in de paspoort- of identiteitskaartchip. Met deze gezichtsvergelijking wordt geverifieerd dat de rechtmatige houder van het document degene is die de DTC aanmaakt. Hiermee wordt voorkomen dat iemand met het document van een ander een DTC aanmaakt en verstuurt. De gezichtsopname wordt direct na de vergelijking verwijderd.

Als de reiziger succesvol een DTC heeft aangemaakt, kan deze gedeeld worden met de bevoegde grensautoriteit om het grenscontroleproces te faciliteren. De DTC is een digitale weergave van het reisdocument of de identiteitskaart en bestaat uit de biografische gegevens en de gezichtsopname in het document, aangevuld met de digitale echtheidskenmerken om de integriteit en authenticiteit te waarborgen.
Het verifiëren van de identiteit van de reiziger is een belangrijk onderdeel van de grenscontrole. Dat wordt gedaan door te controleren of de documenthouder overeenkomt met de persoon die het document aanbiedt. Aan de balie wordt de identiteitscontrole visueel door de grenswachter uitgevoerd. Bij de ‘tap & go’-poort wordt dat geautomatiseerd gedaan door het gelaat van de reiziger te matchen met de eerder verzonden DTC, waarvan de gezichtsopname op het document een onderdeel is. Om dit proces te kunnen faciliteren wordt de DTC inclusief de gezichtsopname door de grensautoriteit de DTC tijdelijk opgeslagen in een ‘gallery’.

De met de DTC verstrekte gegevens worden door de grensautoriteit niet langer bewaard dan noodzakelijk en proportioneel, waarbij aansluiting zal worden gezocht met de huidige bewaartermijnen ten aanzien van de grenscontroles. Hierbij is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De praktische uitvoering daarvan kan per lidstaat verschillen op basis van nationale wetgeving en beleid.

Het kabinet erkent dat gegevens in het reisdocument en de identiteitskaart, waaronder de biometrie, gevoelig zijn. Daarbij is er, zoals genoemd in de vragen, een verschil tussen het opslaan en vergelijken van een gezichtsopname en het opslaan van een hash. De Commissie is hier in de impact assessment niet specifiek op ingegaan. Een juiste afweging tussen privacybescherming en veiligheid staat voorop. Het kabinet volgt de ontwikkelingen op dit vlak nauwgezet.
Mocht er ondanks alle voorzorgsmaatregelen onverhoopt een datalek optreden, dan blijft de impact naar verwachting beperkt. Dit komt doordat er geen centrale database wordt aangelegd met DTC’s. Een DTC wordt pas gedeeld op het moment dat de reiziger dit zelf doet, en dit kan slechts een bepaald aantal uur voor de verwachte grenspassage. Daarnaast is er altijd een onderliggend fysiek document dat ongeldig verklaard kan worden en niet meer gebruikt kan worden voor frauduleuze doeleinden, bijvoorbeeld wanneer het documentnummer is opgenomen in internationale signaleringssystemen zoals de Stolen and Lost Travel Documents-databank (STLD) van Interpol. Het DTC is vervolgens ook niet meer bruikbaar voor grenspassage.

Vragen en opmerkingen inzake een mogelijke bias in automatische gezichtsvergelijking (GroenLinks-PvdA)

De leden de GroenLinks-PvdA-fractie hebben ten aanzien van deze pilot in een eerder stadium vragen opgeworpen over onbewuste bias bij gezichtsherkenningstechnologie ten aanzien van specifieke groepen personen, waarbij bijvoorbeeld gezichtsherkenningstechnologie aantoonbaar slechter werkt bij mensen met een donkere huidskleur (ook wel ‘dark-skin-bias’ genoemd). In het verslag van het schriftelijk overleg (Kamerstuk 25764-149) is aangegeven dat gezichtsherkenningssoftware nooit perfect is, net als dat manuele controles dat niet zijn, en dat met de juiste drempelwaarde een zeer grote nauwkeurigheid bij het detecteren van fouten, waaronder vals positieve resultaten, te bereiken zou zijn. Deze leden benadrukken dat zij geen perfectie vereisen of verwachten dat een systeem honderd procent perfect zal werken. Daar zijn zij niet in geïnteresseerd. Het punt dat de leden van de GroenLinks-PvdA-fractie wensen te maken is de vraag of er systematische bias zit in de (resultaten van) de gezichtsherkenningssoftware, waarbij bepaalde groepen reizigers systematisch en significant vaker te maken heeft met vals-positieven, dan wel vals-negatieven? De bewindspersonen hebben aangegeven dat binnen de pilot een vals-negatief ertoe leidde dat iemand geen DTC kan aanmaken en niet mee kon doen met de pilot. Hoe vaak is dit voorgekomen? Overkomt dit bepaalde groepen vaker dan andere? Ook werd vermeld dat non-matches in de meeste gevallen terecht waren. Kan de bewindspersoon aangeven in hoeveel gevallen precies dat niet terecht was? En wat waren de redenen voor een onterechte non-match? Is hier ook sprake van systematische bias?

Antwoord
Door de beperkte schaal van de pilot, met enkele honderden deelnemers, is het niet mogelijk om op statistisch verantwoorde wijze uitspraken te doen over vooringenomenheid (bias) bij gezichtsherkenningstechnologie ten aanzien van specifieke groepen personen. Daarnaast vindt de gezichtsvergelijking in de applicatie niet in een gecontroleerde omgeving plaats, waardoor hier geen zinvolle conclusies over getrokken kunnen worden. Onderzoek naar een eventuele vooringenomenheid van de biometrische algoritmen was dan ook geen onderdeel van de pilot.

In de pilot mislukten 6 van de 1461 pogingen tot gezichtsvergelijking in de applicatie. De toedracht daarvan is niet vast te stellen. Het is mogelijk dat de mislukte pogingen te wijten waren aan personen die probeerden een DTC aan te maken met een document dat niet bij hen hoorde.

Uit de registratie van het boardingpoortje met automatische gezichtsvergelijking blijkt dat het overgrote deel van de passanten niet kon worden gematcht. Dit komt onder andere doordat passanten die zich niet hadden aangemeld in de buurt van het poortje kwamen. Voor een verdere toelichting over de vooringenomenheid van de ingezette biometrische algoritmen wordt u verwezen naar onze eerdere reactie¹⁸. Zoals daar toegelicht blijkt uit onafhankelijk onderzoek van het ‘National Institute of Standards and Technology’ (NIST), dat gezichtsherkenningssoftware op nauwkeurigheid en rechtvaardigheid toetst, dat de algoritmes van de technische leverancier tot de best presterende algoritmen op de markt horen. Het ligt overigens niet voor de hand dat de algoritmes die werden gebruikt in de pilot, opnieuw zullen worden ingezet bij invoering van DTC, zoals die in de nieuwe EU-voorstellen is voorzien. Hiervoor gaan ontwikkelingen in de markt te snel. In toekomstige implementaties van DTC zal uiteraard sterk ingezet worden op de inzet van een hoogwaardige biometrische software-oplossing die rechtvaardig en nauwkeurig presteert, zowel in de applicatie als bij grenspassage.

Vragen en opmerkingen inzake de uitgifte van DTC (GroenLinks-PvdA, VVD)
Deze leden van de GroenLinks-PvdA-fractie lezen dat bij de afgifte van een nieuw reisdocument uitgevende instanties aanvragers op hun verzoek een DTC moeten verstrekken. Tegelijk wordt het voor reizigers mogelijk om een DTC aan te maken op hun mobiele telefoon in de EU-reisapplicatie. Kan het kabinet aangeven wat het verschil in beide processen is? Zijn er voor- of nadelen verbonden aan beide mogelijkheden?

De leden van de VVD-fractie begrijpen dat reizigers die kiezen voor een DTC dat zelf op afstand kunnen aanmaken, opslaan en delen. Hoe betrouwbaar en hoe veilig is het als reizigers dat zelf kunnen doen? Zou het in dat kader mogelijk zijn de DTC aan te maken bij de uitgifte van het paspoort en de EU-reisapplicatie? Zou dat niet veiliger zijn?

Overigens vragen deze leden hoe het een en ander gaat met de voorgestelde EU-reisapplicatie. Kunnen reizigers zelf die reisapplicatie installeren op hun telefoon? Of moet daar een aanvraag voor worden gedaan? Of gaat de aanvraag daarvoor tegelijk met een nieuw paspoort en de aanvraag van een DTC?

Antwoord

Zoals al eerder aangegeven zijn er reeds vragen aan de Commissie gesteld over de aard van de uitgifte van een DTC bij uitgevende instanties. Er zijn geen grootschalige implementaties van een dergelijk systeem bekend. Een dergelijk systeem is mogelijk een uitkomst voor minder digitaalvaardigen. In algemene zin is te stellen dat het zelf creëren van een DTC met een mobiele telefoon enige digitale vaardigheden vereist: er moet een ‘selfie’ gemaakt worden voor de gezichtsvergelijking en met de Near Field Communication (NFC)-lezer moet de chip uitgelezen worden. De chip moet bovendien ontgrendeld worden door de identiteitskaart of de houderpagina van het paspoort te fotograferen. Dit proces is vergelijkbaar met het verificatieproces van sommige banken.

Het zelf creëren van een DTC wordt als zeer betrouwbaar gezien. Met een gezichtsopname, gemaakt op de eigen telefoon, met ‘livenessdetectie’ wordt vastgesteld dat de houder bij het document hoort, en dat de beelden niet gemanipuleerd zijn. Daarbij geldt dat automatische gezichtsvergelijking inmiddels technisch zeer geavanceerd is. Doordat de chip bij het aanmaken op korte afstand van de telefoon moet zijn, en de houderpagina gefotografeerd moet worden om toegang tot de chip te krijgen, kunnen anderen zeer lastig toegang tot de chip krijgen. Met behulp van actieve, passieve en chipauthenticatie is bovendien op afstand vast te stellen of de chip niet gemanipuleerd of gekopieerd is. Het uitgeven van een DTC op locatie is daarom niet per se veiliger: weliswaar vindt de uitgifte dan in een gecontroleerde omgeving plaats, maar mensen blijken niet beter in gezichtsvergelijking dan softwaresystemen, en bovendien is met de reeds beschreven veiligheidsmechanismen goed vast te stellen dat het document authentiek is. Hierbij moet bovendien opgemerkt worden dat DTC vooralsnog primair ingezet wordt bij het overschrijden van de Schengenbuitengrenzen en het onderliggende fysieke document nog altijd nodig is.

Hoe de uitgifte van de reisapplicatie eruitziet is nog niet exact bekend, maar het ligt in de lijn der verwachting dat deze door gebruikers zelf te downloaden en te installeren is. De reisapplicatie is pas bruikbaar wanneer er een DTC in staat, zelf aangemaakt of via de uitgevende instantie.


Vragen en opmerkingen inzake het vrijwillig gebruik van DTC (GroenLinks-PvdA, VVD, NSC, ChristenUnie)

De leden van de GroenLinks-PvdA-fractie maken zich ook zorgen over de vrijwilligheid van het gebruik van de DTC tijdens de pilot en de vervolgpilot. Deze leden lezen dat reizigers (veel) sneller door de grenscontrole heen komen bij gebruik van de DTC. Daarbij is er naar mening van deze leden een overduidelijk nadeel voor toekomstige reizigers die niet kiezen voor gebruik van een DTC, waardoor de vraag opgeworpen wordt of het geven van toestemming voor de verwerking van persoonsgegevens ten aanzien van het gebruik van DTC wel écht vrijwillig is. Dit is in lijn met de kritiek van de AP. Kan de bewindspersoon hier uitgebreid op reflecteren? Voorts zijn de leden van de GroenLinks-PvdA-fractie benieuwd of de Europese Commissie zich heeft gebaseerd op de resultaten uit de DTC-pilots in het impact assessment bij de keuze voor het verplichten van lidstaten om DTC’s desgewenst aan burgers te verstrekken.

De leden van de VVD-fractie merken op dat het gebruik van de DTC zal vrijwillig zijn. Reizigers zullen dus niet worden verplicht om van de DTC gebruik te maken. Dat achten de leden van de VVD-fractie een goede zaak. Ook de eventuele hogere kosten voor de overheden en hogere leges voor reizigers behoeven aandacht. Met het voorstel krijgen vervoerders de mogelijkheid om op vrijwillige basis de DTC te integreren in hun bestaande processen. In hoeverre kunnen vervoerders straks hun klanten verplichten tot het aanmaken van een DTC? Hoe groot is overigens de kans dat in het algemeen een DTC en de EU-reisapplicatie voor reizigers verplicht worden? De VVD-fractie vraagt verder in hoeverre de DTC ook buiten het reisdomein te gebruiken is, bijvoorbeeld door autoverhuurbedrijven? Zouden die dat straks ook kunnen verplichten? Daarnaast vraagt de fractie naar de verhouding tussen de DTC en de EDI-wallet.

De leden van de NSC-fractie vragen hoe de bewindspersoon garandeert dat het gebruik van de DTC volledig vrijwillig blijft en reizigers zonder smartphone of digitale vaardigheden niet worden benadeeld bij grenscontroles? Welke concrete alternatieven worden bijvoorbeeld aangeboden aan deze groep, zodat zij ook zonder beperkingen gebruik kunnen blijven maken van fysieke reisdocumenten?

De ChristenUnie-fractie vraagt hoe wordt gegarandeerd dat mensen zonder smartphone of digitale vaardigheden niet worden benadeeld in hun recht op vrij verkeer. Deze leden merken op dat op dit moment de inzet is om gebruik van het digitale paspoort optioneel en vrijwillig te houden, maar dat niet zeker is dat dat altijd zal blijven. Een mogelijke ontwikkeling waarin private partijen gebruik van de Europese Digitale Identiteit kunnen eisen of het gebruik dermate genormaliseerd is dat de (impliciete) verplichting tot gebruik toch ontstaat vinden deze leden niet wenselijk. Ziet het kabinet hierin een risico? En hoe wordt voorkomen dat dit realiteit wordt? Kan er een garantie komen dat de Europese digitale identiteit volledig vrijwillig blijft, en hoe wordt dit gewaarborgd?

Antwoord
Momenteel kan een groot deel van de reizigers kiezen tussen het passeren van de grens via een handmatige controle uitgevoerd door de grenswachter en een geautomatiseerde controle middels het SSPC. Met de implementatie van DTC ontstaat er een additionele mogelijkheid om de grens te passeren. Het gebruik van DTC biedt voordelen in de vorm van snellere frictieloze processen, maar dit zal wel op basis van vrijwilligheid zijn en blijven. Daarbij geldt dat het gebruik van DTC op luchthavens ook voordelen biedt voor reizigers die geen DTC gebruiken, doordat er kortere rijen zullen ontstaan bij de manuele balie en SSPC. Het is daarbij belangrijk om nogmaals te benadrukken dat het gebruik van DTC geen extra gegevens vereist. Alleen de wijze en het moment waarop de controles worden uitgevoerd veranderen. Met een DTC kunnen controles grotendeels worden uitgevoerd voordat de reizigers arriveert aan de grens. In de pilot konden deelnemers bij aankomst naar een ‘tap & go’ poortje waar de reiziger gematcht werd met de DTC en het paspoort en de authenticiteit van het document werd gecontroleerd. Een fysiek paspoort was nog altijd nodig. De KMar houdt toezicht op het DTC-proces en kan ingrijpen wanneer nodig. De vrijwilligheid van het gebruik van DTC geldt eveneens voor vervoerders. Momenteel kunnen passagiers voor andere processen, zoals het inchecken voor de vlucht en inchecken van bagage, ook kiezen tussen een manueel proces waarbij een luchtvaartmedewerker de handelingen uitvoert, of een geautomatiseerd proces middels een zelfbedieningskiosk.

In de impact assessment beschrijft de Commissie dat gekozen is voor de verplichte uitgifte en acceptatie wanneer reizigers daarvoor kiezen. Hiermee wordt volgens de Commissie gekozen voor een uniforme, efficiënte en veilige implementatie binnen de EU. Daarmee wordt verzekerd dat alle EU-onderdanen toegang hebben tot de mogelijke voordelen die een DTC biedt ten aanzien van frictieloze grensprocessen. Daarnaast zorgt een geharmoniseerde aanpak ervoor dat het systeem optimaal wordt geïntegreerd met bestaande en toekomstige EU-grensbeheerinitiatieven. Een vrijwillig systeem zou volgens de Commissie leiden tot fragmentatie, waarbij sommige lidstaten DTC’s wel accepteren en anderen niet, wat de interoperabiliteit en het wederzijds vertrouwen tussen lidstaten zou kunnen ondermijnen.

DTC is primair bedoeld voor het faciliteren van grenscontroleprocessen. Daarnaast zal het mogelijk worden voor gebruikers om hun DTC in een EDI-wallet te laden voor gebruik voor andere doeleinden, ook buiten het reisdomein. De nadere uitwerking van dit laatste, zoals de relatie tussen de verordening en de eIDAS-verordening¹⁹, die ziet op de EDI-wallet, is nog onderwerp van gesprek in de onderhandelingen. Zoals eerder aangegeven²⁰ is het gebruik van de EDI-wallet volledig vrijwillig, en kan de toegang tot publieke en private diensten, toegang tot de arbeidsmarkt en ondernemingsvrijheid niet op enige wijze beperkt of belemmerd worden voor natuurlijke personen en rechtspersonen die geen EDI-wallet gebruiken. Hier vloeit uit voort dat bedrijven die een EDI-wallet accepteren altijd een alternatief moeten bieden. Dit kan zowel een digitaal als een niet-digitaal alternatief zijn. De eIDAS-verordening schrijft ook voor dat het gebruik van andere bestaande identificatie- en inlogmiddelen mogelijk blijft. Het is daarmee uitgesloten dat dienstverleners het gebruik van een DTC via een EDI-wallet kunnen verplichten.

Vragen en opmerkingen inzake de parlementaire procedure en het informeren van de Kamer (GroenLinks-PvdA, VVD)

De leden van de GroenLinks-PvdA fractie vragen of de bewindspersoon een toelichting kan geven op de speciale parlementaire procedure die geldt voor het voorstel van de Raad over de identiteitskaart gebaseerde DTC? Kan de bewindspersoon in het bijzonder ingaan op welk moment de Kamer geraadpleegd wordt? Op welke wijze zal het kabinet de Kamer tijdig informeren over een ontwerpbesluit van de Raad? Op welke wijze kan de Kamer instemmen met het ontwerpbesluit van de Raad?

Ten slotte willen de leden van de GroenLinks-PvdA-fractie de bewindspersoon vragen de Kamer via de Geannoteerde Agenda bij de JBZ-raad en het kwartaaloverzicht van lopende wetgevingsonderhandelingen regelmatig op de hoogte te houden van de onderhandelingen op het voorstel van de Raad over de identiteitskaart gebaseerde DTC en over een digitale reisapplicatie. Kunt u de Kamer informeren zodra er een Raadsakkoord op dit voorstel in zicht is?

De voorgestelde kabinetsinzet bij de onderhandelingen over de verordeningen is positief. De leden van de VVD-fractie lezen dat het kabinet tijdens deze onderhandelingen aandacht zal vragen voor “gegevensbescherming en privacy” en “beveiliging van de applicatie”. Deze leden achten het een goede zaak dat het kabinet zich daarvoor inzet. Zij gaan ervan uit dat het kabinet de Kamer hierover te zijner tijd zal informeren. De leden vragen tevens of er een Nederlands woord voor “reiscredentials” gebruikt kan worden, zodat duidelijker is wat wordt bedoeld.

De leden van de VVD merken op dat voor het voorstel voor een verordening met betrekking tot de DTC, een verzwaarde parlementaire procedure geldt. Voor de verordening over een digitale reisapplicatie geldt een andere procedure. De leden van de VVD-fractie vragen het kabinet in te gaan op het proces om in de Europese Unie tot besluitvorming te komen over de twee onderhavige verordeningen. Wat zijn de volgende stappen en fases van het proces? Op welke momenten komen er documenten hierover naar de Kamer, opdat de Kamer betrokken blijft bij dit gevoelige dossier? Wanneer, zo is de verwachting, worden de ontwerpbesluiten met de Kamer gedeeld? Deze leden vragen het kabinet de Kamer goed op de hoogte te houden. Kan de Kamer naast de informatie via de Geannoteerde Agenda bij de JBZ-Raad ook apart over de twee onderhavige verordeningen worden geïnformeerd?

Antwoord

De bijzondere wetgevingsprocedure - die geldt voor het voorstel voor een identiteitskaart gebaseerde DTC - houdt in dat de Raad (de lidstaten) de enige wetgever is, in plaats van medewetgever op gelijke voet met het Europees Parlement (EP). Het EP zal wel een advies uitbrengen, en de Raad kan het wetgevingsvoorstel pas goedkeuren nadat het EP dat advies heeft uitgebracht. In het advies kan het EP het voorstel goedkeuren, verwerpen of wijzigingen voorstellen, maar de Raad hoeft dit niet op te volgen. Het voorstel over een EU-reisapplicatie wordt via de gewone wetgevingsprocedure behandeld. Hierbij moeten uiteindelijk zowel het Europees Parlement als de Raad instemmen met een (gekwalificeerde) meerderheid. Dit verschil komt doordat beide voorstellen op andere rechtsgronden zijn gebaseerd²¹.

Lidstaten zullen de komende maanden suggesties doen om de tekst aan te passen. Nederland doet dat op basis van het kader zoals geschetst in de BNC-fiches. Wanneer lidstaten op werkniveau het eens worden over een aangepaste tekst, kan via de JBZ-Raad formeel de positie van de Raad worden vastgesteld. Voor de bijzondere wetgevingsprocedure geldt daarbij dat eerst op de positie van het EP gewacht zal worden, om deze ook in de overwegingen van de Raad te betrekken. Waar het de gewone wetgevingsprocedure betreft, verloopt dit tegelijkertijd: zowel de lidstaten als het EP zullen een positie innemen en daarin wijzigingsvoorstellen doen. Nadat zowel het EP als Raad hun positie hebben vastgesteld zullen trilogen volgen, om zo te komen tot een eindakkoord. Hier moeten zowel het EP als Raad dan weer mee instemmen. Hoe lang dit duurt hangt af van de snelheid waarmee zowel de Raad als het EP de voorstellen behandelt. Met uitgebreide voorstellen als deze kan dat geruime tijd in beslag nemen.

Het kabinet zal uw Kamer cf. de gebruikelijk procedures op de hoogte houden over het verloop van de onderhandelingen. Nu de onderhandelingen net gestart zijn, zal dat vooralsnog via het kwartaaloverzicht gaan. Hierin wordt uw Kamer elk kwartaal geïnformeerd over de stand van zaken van lopende EU-wetgeving. Wanneer het voorstel geagendeerd wordt op de JBZ-Raad en een akkoord in zicht is ontvangt uw Kamer daar via de geannoteerde agenda en verslagen van de JBZ-Raad informatie over.

Er is geen gangbare, volledig Nederlandse term voor reiscredentials. De begrippen DTC en reiscredentials zullen gebruikt blijven worden, omdat Engelse termen gezien het sterk internationaal georiënteerde karakter van reisdocumenten, de luchtvaart en bijhorende technologie de standaard zijn. Dit zorgt voor eenduidigheid, voorkomt verwarring en maakt het mogelijk om consistent te communiceren over deze technologie.

Overige vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie merken op dat uiterlijk vijf jaar na ingebruikneming van de EU-reisapplicatie die het reizen met een DTC mogelijk maakt een algemene evaluatie wordt uitgevoerd naar het gebruik hiervan (ex post). Gezien de ingrijpende wijzigingen die de EU-reisapplicatie met zich meebrengt vragen wij waarom gekozen is voor deze uiterlijke termijn van vijf jaar, en niet drie jaar. Ook vernemen deze leden graag waarom er geen ex ante en ex durante evaluaties zullen plaatsvinden.

Antwoord
De Europese Commissie heeft gekozen om de DTC na vijf jaar te evalueren. Deze tijdslijn komt overeen met het evaluatieproces van andere verordeningen, zoals het EES en ETIAS. Een evaluatie na vijf jaar biedt voldoende tijd voor de implementatie en adaptatie van de applicatie om een representatief overzicht van de werking en de effectiviteit van de applicatie te verkrijgen.
Bij een ex ante of ex durante evaluatie is er geen volledig beeld van de werking en impact van het systeem waardoor het niet mogelijk is om een grondige beoordeling te maken. Een ex ante of ex durante evaluatie lijken bovendien niet noodzakelijk en zinvol, omdat de pilot en de impact assessment er al op gericht waren om de benodigde inzichten over de voorstellen en de uitvoering te verkrijgen.

Overige vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie lezen dat het merendeel van de lidstaten tijdens de consultatie heeft aangegeven dat de acceptatie en facilitatie van de DTC door lidstaten verplicht moet worden, en dat het overgrote deel van de lidstaten heeft aangegeven dat het aanmaken van een DTC met een gemeenschappelijke EU-technische oplossing zou moeten gebeuren. Kan de bewindspersoon aangeven welke landen in de minderheid vallen en welke argumenten zij hebben aangedragen voor hun standpunten? Kan de bewindspersoon aangeven wat zijn standpunt is ten aanzien van deze argumenten?

Antwoord
De impact assessment beschrijft verschillende argumenten voor de verplichting van lidstaten om DTC te accepteren wanneer reizigers daar gebruik van wensen te maken. Daarmee wordt een uniforme en consistente aanpak binnen de EU gewaarborgd. Daarnaast bevordert dit de acceptatie en integratie van DTC. Een gemeenschappelijke EU-technische oplossing zorgt voor een standaardisatie van de systemen in de lidstaten waarmee reizigers maximaal gefaciliteerd worden met een consistent proces. Bovendien levert een gemeenschappelijke technische oplossing kostenefficiëntie op voor de lidstaten en de EU.

In de impact assessment is beschreven dat het merendeel van de lidstaten de verplichte acceptatie en de gemeenschappelijke technische oplossing van DTC ondersteunt. Er wordt hierbij niet expliciet vermeld welke lidstaten dit betreft.

Overige vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie vragen aandacht voor het tegenhouden van ongewenste reisbewegingen. Kan het kabinet deze leden geruststellen dat alle verschillende manieren waarop de 'reiscredentials' worden geïmplementeerd toekomstbestendig zullen zijn en ongewenste reisbewegingen, bijvoorbeeld met betrekking tot migratie, Dublin claimanten en ongewenstverklaarden, bij de grenscontroles eruit worden gepikt?

Antwoord
Het aantal reizigers en daarmee ook de druk op de grensprocessen neemt wereldwijd toe. Innovatie zoals DTC is noodzakelijk voor toekomstbestendig grensbeheer. Ook reizigers verwachten efficiënte, en frictieloze processen. De inhoudelijke grenscontroles zelf blijven ongewijzigd voor reizigers die gebruik maken van een DTC, alleen het moment waarop bepaalde stappen in het grenscontroleproces worden uitgevoerd verandert. Met de DTC kan de grenswachter een groot deel van de controle al uitvoeren, op basis van betrouwbare informatie, voordat de reiziger de grens bereikt. Dit draagt bij aan het vroegtijdig identificeren van potentiële risico’s, zoals ongewenste reisbewegingen. Bovendien kan met de introductie van DTC consequenter en consistenter EU-breed controle van de documentchip plaatsvinden, waarmee toekomstige nieuwe vormen van digitale fraude juist sneller op te sporen zijn.

Overige vragen en opmerkingen van de leden van de NSC-fractie

Kan de bewindspersoon toelichten hoe wordt gewaarborgd dat burgers inzicht kunnen krijgen in wie toegang heeft gehad tot hun reisgegevens? Welke mogelijkheden worden er ingericht om bezwaar te maken wanneer blijkt dat deze gegevens onrechtmatig zijn geraadpleegd of gebruikt en hoe wordt ervoor gezorgd dat deze procedures eenvoudig en laagdrempelig blijven?

Antwoord

De EU-reisapplicatie maakt het slechts mogelijk om documentgegevens te delen met de betrokken grensautoriteit. In Nederland is dit de Koninklijke Marechaussee, die deze gegevens nu ook al verwerkt bij het passeren van de grens. Reizigers die gebruik willen maken van de DTC worden duidelijk geïnformeerd over welke autoriteiten voor welke doeleinden toegang kunnen krijgen tot hun reis- en persoonsgegevens. Voorafgaand aan het delen van de gegevens moeten reizigers hiertoe expliciet toestemming verlenen, die via de applicatie ook elk moment weer kan worden ingetrokken. Het gebruik van DTC is op vrijwillige basis. Reizigers die geen gebruik willen van DTC kunnen gebruik maken van het reguliere grenscontroleproces.

De conceptverordening vereist daarnaast dat elke lidstaat een verwerkingsverantwoordelijke instantie aanwijst, naast eu-LISA als verwerkingsverantwoordelijke voor de backend van de applicatie. Elke verwerkingsverantwoordelijke dient op nationaal niveau toe te zien op naleving van regelgeving inzake privacy, waaronder de Algemene Verordening Gegevensbescherming (AVG). Daaruit volgt dat reizigers onder andere het recht op inzage en bezwaar hebben en dat daartoe effectieve, transparante informatievoorziening en procedures dienen te worden gerealiseerd.

In deze fase is voor DTC nog niet bepaald hoe dit in Nederland exact zal worden vormgegeven, nu de pilot een tijdelijke aard had en de conceptverordening nog niet was uitgegeven. Wel bestaan logischerwijs reeds vergelijkbare procedures in de bestaande reis- en grensprocessen waarbij aansluiting kan worden gezocht.

---

1. DTC1 pilot in The Netherlands Final evaluation report, bijlage bij Kamerstuk 25764, nr. 145↩︎

2. Impact assessment SWD(2024) 671 en DTC1 pilot in The Netherlands Final evaluation report↩︎

3. Het DBB stelt stringente eisen onder andere ten aanzien van de beveiliging van IT-systemen, waarbij het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens centraal staat.↩︎

4. Entry/Exit System (EES) Verordening (EU) 2017/2226↩︎

5. ETIAS Verordening (EU), 2018/1240.↩︎

6. Tijdens de pilot kon de DTC alleen op vluchten van Montreal naar Amsterdam worden ingezet om het boardingproces te faciliteren.↩︎

7. Kamerstuk 25764, nr. 143↩︎

8. DTC1 pilot in The Netherlands Final evaluation report | Rapport | Rijksoverheid.nl↩︎

9. Impact assessment SWD(2024) 671↩︎

10. Ministerie van Economische Zaken en Klimaat. (2024). Strategische Agenda Digitale Open Strategische Autonomie (DOSA). Kamerstuk 36259, nr. 21↩︎

11. De D9+ (ook wel de Digital 9+) is een samenwerkingsverband van de op digitaal gebied ambitieuze en vooruitstrevende lidstaten binnen de EU.↩︎

12. Blijkt onder meer uit artikel 11 lid 4 van Verordening 2018/1726↩︎

13. Europese Commissie (2024), Digital Markets Act (DMA) Gatekeepers↩︎

14. Verordening 2018/1726, Verordening 2018/1046, Verordening 2018/1725↩︎

15. Europese Commissie. (2023). Digital Operational Resilience Act (DORA). Verordening (EU) 2022/2554.↩︎

16. Waaronder de Algemene Verordening Gegevensbescherming 2016/679 en de NIS2 Richtlijn (EU) 2022/2555 en het Defensie Beveiligings Beleid (DBB).

    Wet beveiliging netwerk- en informatiesystemen (Wbni). (2018, gewijzigd 2024). Staatsblad 2018, 387.↩︎

17. Mobile Operating System Market Share Worldwide | Statcounter Global Stats↩︎

18. Kamerstuk 25764, nr. 143↩︎

19. Verordening (EU) 2024/1183 van het Europees Parlement en de Raad van 11 april 2024 tot wijziging van Verordening (EU) nr. 910/2014, wat betreft de vaststelling van het Europees kader voor digitale identiteit.↩︎

20. Kamerstuk 26643, nr. 1145↩︎

21. Het voorstel voor een identiteitskaart gebaseerde DTC is gebaseerd op artikel 77(3) van het Verdrag betreffende de werking van de Europese Unie, dat de EU de bevoegdheid verleent om bepalingen vast te stellen inzake documenten die bedoeld zijn om vrij verkeer en vestiging te vergemakkelijken. Het EU-reisapplicatievoorstel is gebaseerd op artikelen 77(2)(b) en 77(2)(d) dat de EU de bevoegdheid geeft maatregelen te treffen met betrekking tot de buitengrenzen.↩︎