Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

‘Landelijke database paspoorten goudmijn voor hackers’

30 januari 2023 - 12:463 minuten leestijdActueelInnovatie & TransformatieAP
Pim van der Beek
Pim van der Beek

Het kabinet wil een centrale database maken met alle persoonsgegevens die mensen aanleveren voor een paspoortaanvraag, zoals vingerafdrukken, handtekeningen en pasfoto’s. Zo’n database met gegevens van heel veel Nederlanders brengt volgens de Autoriteit Persoonsgegevens (AP) grote privacyrisico’s mee die het kabinet niet goed meeweegt.

Ook kan er onduidelijkheid ontstaan over wie verantwoordelijk is voor de veiligheid van de gegevens. De privacytoezichthouder adviseert de plannen grondig aan te passen of in te trekken. Dat staat in een wetgevingsadvies aan staatssecretaris Alexandra van Huffelen van Koninkrijksrelaties en Digitalisering.

Nu slaat de gemeente waar iemand een paspoort of identiteitskaart aanvraagt zelf de benodigde persoonsgegevens in een eigen decentrale database op. Het kabinet wil nu met een wijziging van de Paspoortwet overgaan naar één centrale opslag. Vingerafdrukken zouden in die database worden opgeslagen totdat het identiteitsbewijs is uitgegeven, pasfoto’s en handtekeningen worden langdurig opgeslagen.

De overheid veroorzaakt daarmee een groot risico voor burgers, constateert de AP. Hoewel een centraal systeem misschien beter te beveiligen is, kunnen de gevolgen zeer ernstig zijn. ‘De pasfoto’s en handtekeningen van bijna alle Nederlanders bij elkaar, en dan ook nog eens de vingerafdrukken van de mensen die wachten op een paspoort: dat is een goudmijn voor cybercriminelen’, zegt AP-voorzitter Aleid Wolfsen. ‘In plaats van in te moeten breken in de databases van ruim driehonderd gemeenten, zijn criminelen straks met één hack klaar.’

Andere doeleinden

Biometrische gegevens kunnen bijvoorbeeld worden gebruikt om identiteitsfraude te plegen of mensen te discrimineren. Ook datalekken die bijvoorbeeld ontstaan door een menselijke fout zijn ernstiger bij zo’n centrale database, waarschuwt AP. Er liggen dan volgens de toezichthouder in één keer veel meer gevoelige privégegevens van mensen op straat dan bij een decentrale opslag.

Ook ontstaat met zo’n centrale database het risico dat de overheid die in de toekomst gaat gebruiken voor andere doeleinden dan de uitgifte van reisdocumenten. Wolfsen: ‘Je begeeft je op een hellend vlak, we kunnen met hele kleine stapjes tegelijk in zeer onwenselijke situaties terecht komen. Eerst wil de politie die vingerafdrukken gebruiken voor het oplossen van zeer ernstige misdrijven, daarna ook voor iets minder ernstige misdrijven. Waar eindigt dat? Daar moet je goed over nadenken, voordat je kiest voor een centrale database.’

Het kabinet legt in zijn ogen niet goed genoeg uit waarom de centrale opslag echt noodzakelijk is. Het noemt vooral de voordelen van een centraal systeem, maar de nadelen worden niet goed in kaart gebracht en afgewogen. ‘Je moet echt met hele goede argumenten komen als je zoiets ingrijpends wil’, zegt Wolfsen. ‘Als je die niet hebt, dan moet je het gewoon niet doen.’

Verantwoordelijkheid

Tot slot verdeelt het kabinet de verantwoordelijkheid voor de gegevens op een onduidelijke manier tussen het ministerie van BZK en de gemeenten. Daardoor is voor sommige onderdelen niet duidelijk wie er precies verantwoordelijk zal zijn. ‘Dan kunnen overheden zich achter elkaar verschuilen als er iets misgaat’, stelt AP. De privacywaakhond adviseert de volledige verantwoordelijkheid bij de minister van BZK te leggen.

Meer over

DatabasesHackingPrivacy

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    Design Sprints: 4 dagen van idee naar prototype

    Hoe zet je in vier dagen tijd een gevalideerd prototype neer met Design Sprints?

    Computable.nl

    Dit is de weg naar informatietransformatie

    In een wereld waar data en informatie centraal staan, moeten organisaties zich aanpassen aan de digitale toekomst. Informatietransformatie is de sleutel tot het versterken van beveiliging en het bevorderen van efficiëntie.

    Meer lezen

    ActueelOverheid

    Paspoortdata 1400 Gelderse ambtenaren gestolen

    Computable.nl
    ActueelCloud & Infrastructuur

    Fotosysteem paspoort is fraudegevoelig

    Computable.nl
    ActueelCloud & Infrastructuur

    Paspoortchip kan identiteitsfraude vermijden

    3 reacties op “‘Landelijke database paspoorten goudmijn voor hackers’”

    1. Maarten Bodewes schreef:
      1 februari 2023 om 15:38

      Het is een lastig probleem. Een centrale DB heeft natuurlijk nadelen omdat iemand met toegang alles kan downloaden. Maar anders heb je 300 plekken waar je de veiligheid van moet garanderen. En ik neem aan dat we ook niet 300 implementaties krijgen; meestal kopen de gemeenten dit soort software in. Dus als de fout in de software zit dan zijn alle gemeenten die die software gebruiken te hacken. Dat is ook het probleem van heterogene systemen, de risico’s bij een inbraak zijn kleiner, maar de attack-surface wordt navenant verhoogd.

      Misschien is het daarom handiger om 1 software implementatie te maken en dan een gedistribueerd systeem op te zetten waarvan de administratie bij de gemeente ligt. Natuurlijk is het dan wel handig om ervoor te zorgen er een mogelijkheid is om de gegevens van 1 gemeente naar een andere te transporteren, zodat distributie via mail of andere ouderwetse protocollen niet nodig is.

      Login om te reageren
    2. Mark Deiss schreef:
      1 februari 2023 om 20:28

      Bij een gedistribueerde database moeten uiteraard overal dezelfde spelregels afgedwongen worden. Ook hier geldt dat het hele systeem net zo sterk is als de zwakste schakel. Is er een node minder goed beveilig dan kan daar alles lekken. Het klink logisch het centraal te doen en dan in een keer goed. We weten echter allemaal dat er genoeg voorbeelden zijn waar dat is misgegaan. Centraal opslaan betekent ook dat er veel verbindingen zijn en dat je voor elke verbinding authenticatie en permissie levels moeten zijn.

      Er is inderdaad geen “single button solution” die alles in een keer doen.
      Encryptie lijkt in eerste instantie geen oplossing te zijn. Encryptie “at rest” doet eigenlijk niets. Een hacker leest de data toch via de applicatie. Je hebt er dus niets aan. De inhoud in de tabel versleutelen is geen optie omdat het niet praktisch is. Hoe tel je bijvoorbeeld het aantal patiënt record voor mannen? Los van het feit dan je eigenlijk continue bezig bent aan met encrypt/decrypt.

      Er zijn echter wel manier die in de buurt komen. In de eerste instantie wordt niet de hele database versleuteld maar alleen bepaalde kolommen. Aggregeren van bepaalde data is dan nog steeds mogelijk. Daarnaast wordt er een combinatie van symmetrische en asymmetrische encryptie gebruikt. Dit betekent dat de data niet voor iedereen het zelfde wordt versleuteld. Er is dus niet één sleutel voor de hele database. Ook dan ben je er nog steeds niet helemaal. Een hacker kan doodleuk besluiten via een van de afnemers van de data heel langzaam elke record op te vragen. Daarmee hoeft er geen encryptie gebroken te worden. Er zal dus ook nog een soort SIEM nodig zijn om te kijken of het opvraag gedrag nog steeds klopt met wat men van deze data-afnemer klopt.

      De vraag is of een database leverancier dit alles zal gaan implementeren of het liever aan de klant over laat.

      Login om te reageren
    3. Een Oudlid schreef:
      1 februari 2023 om 21:09

      Een zeer slecht plan omdat de overheid zich keer op keer onbetrouwbaar heeft getoond met dit soort verzamelingen. Gebruikelijke scopecreep waarop Wolfsen wijst is niet ondenkbaar, als argumentatie voor centrale opslag rammelt dan vermoed ik een andere agenda.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs