Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor Justitie en Veiligheid over haar bevindingen inzake bovenvermeld wetsvoorstel. Ik dank de leden van de fracties van VVD, D66, CDA, de PvdA en GroenLinks en ChristenUnie voor hun bijdragen. In de navolgende beantwoording zal ik de volgorde van het verslag aanhouden.

INHOUDSOPGAVE

I.	Algemeen deel	1
1.	Inleiding	2
2.	Europees kader	6
3.	Wettelijk kader	9
3.1	Noodzakelijk om redenen van zwaarwegend belang	9
3.2	Subsidiariteit	10
3.3	De bewaartermijn	12
II	Consultatie	13

I. Algemeen deel

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de wijziging van de Vreemdelingenwet 2000 teneinde te voorzien in een grondslag voor het gebruik van biometrie bij automatische grenscontrole (hierna: het wetsvoorstel). Deze leden waarderen de inzet van de regering op dit terrein en hebben hierover nog een aantal vragen.

De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel van de regering. Deze leden delen de opvatting dat een secure en nauwkeurige grenscontrole belangrijk is voor de bewaking van de buitengrenzen. Het Self-Service Passport Control-Systeem (SSPC) lijkt echter een vergaande stap te zetten in het verwerken van bijzondere persoonsgegevens. Vanwege de Algemene Verordening Gegevensbescherming (AVG) mag dit uitsluitend bij een zwaarwegend algemeen belang. De genoemde leden zijn van dit algemeen belang niet volledig overtuigd en hebben hier derhalve nog enkele vragen over.

De leden van de CDA-fractie hebben kennisgenomen van het wetsvoorstel. Zij hebben nog een enkele verdere vraag.

De leden van de PvdA- en GroenLinks-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel tot wijziging van de Vreemdelingenwet 2000 om een grondslag te bieden voor het maken en bewaren van een gelaatscan van de gebruiker van een zogenoemde Border Control Access Gate, waarbij dus gebruik gemaakt wordt van biometrie bij automatische grenscontrole. Deze leden constateren dat biometrische persoonskenmerken worden gerekend tot de bijzondere persoonsgegevens en daarom alleen met de grootst mogelijke zorgvuldigheid moeten worden behandeld en alleen bij zwaarwegende belangen mogen worden verwerkt. Deze leden hebben er begrip voor dat wordt ingezet op aanvaardbare wachttijden voor reizigers en de toepassing van elektronische controles om een hoger niveau van efficiency en grondig grenstoezicht te bereiken. Deze leden hebben echter de nodige vragen bij de proportionaliteit en subsidiariteit van de in dit wetsvoorstel geïntroduceerde grondslag voor toepassing van biometrie bij bewaking van de buitengrenzen.

De leden van de ChristenUnie-fractie hebben kennisgenomen van het wetsvoorstel. Zij hebben daarover nog enkele vragen.

1. Inleiding

De leden van de VVD-fractie zijn van mening dat de bescherming van onze buitengrens, juist nu, van groot belang is. Om de instroom van illegaal binnengekomen personen in te perken is een sterke grens, die met efficiënte en effectieve middelen beschermd wordt, essentieel. Deze leden vinden het belangrijk dat er een wettelijke grondslag bestaat om een gelaatsscan van een gebruiker van een e-gate te kunnen maken met het oog op de unieke identificatie en verificatie van de identiteit van reizigers ten behoeve van grenscontrole. Deze leden vinden het belangrijk dat er een streng grenscontroleregime wordt gehanteerd om zo de binnenlandse veiligheid te kunnen waarborgen. Deze leden achten het daarbij cruciaal dat we weten wie onze grens oversteken. Deze leden zien de positieve effecten die het gebruik van deze elektronische controles op de wachttijden voor reizigers hebben en het verhoogde niveau van efficiency als zeer welkom.

De leden van de CDA-fractie lezen dat de gegevens maximaal 24 uur mogen worden bewaard. Deze leden vragen de regering waarop die 24 uur is gebaseerd, welke juridische grondslag dit heeft en waarom dit geen langere termijn betreft.

De juridische grondslag voor het gebruik van het SSPC ligt in de publieke taak tot grenscontrole, welke aan de Koninklijke marechaussee (KMar) is opgelegd in artikel 4, eerste lid, aanhef en onder f, van de Politiewet 2012, artikel 46, eerste lid, aanhef en onder a, van de Vreemdelingenwet 2000 en artikel 8 van de Schengengrenscode (SGC). De gegevensverwerkingen binnen SSPC vallen onder de Algemene Verordening Gegevensbescherming (AVG). In de AVG wordt geen concrete bewaartermijn voorgeschreven, maar zijn wel de beginselen vastgelegd dat persoonsgegevens alleen mogen worden bewaard voor een duur die noodzakelijk is om het beoogde doel te verwezenlijken. Gelet op het feit dat er ten behoeve van de unieke identificatie en verificatie bijzondere persoonsgegevens worden verwerkt, is er in de wet een expliciete maximale bewaarprocedure opgenomen die voorkomt dat deze gegevens langer bewaard worden dan noodzakelijk is bij automatische grenscontrole.

De termijn van 24 uur is in nauw overleg met de operatie van de KMar vastgesteld op basis van noodzakelijkheid voor het grenstoezicht. Om een aantal hierna te noemen redenen is dit in deze situatie een redelijke termijn. De KMar acht het in het kader van veiligheid en het voorkomen van illegale migratie en mensensmokkel noodzakelijk om bij hits in politiesystemen of bij mogelijke onrechtmatigheden bij de grenspassage, enige tijd een foto van de reiziger in bezit te hebben om deze te kunnen identificeren. Voorts moet de KMar het kunnen signaleren indien een persoon per 24 uur meerdere malen de grens passeert. Wanneer sprake is van meer dan twee grenspassages per 24 uur, acht de KMar het noodzakelijk om die persoon nader te controleren om na te gaan wat daarvoor de reden is. Een langere termijn wordt in het licht van het noodzakelijkheidscriterium afgewogen tegen voornoemde doeleinden buitenproportioneel geacht.

Voor de volledigheid wordt nog opgemerkt dat het daarnaast mogelijk is dat gegevens worden verwerkt in het kader van de bestrijding van strafbare feiten en bescherming van de openbare veiligheid. In dat kader kan de grenswachter handmatig gegevens overbrengen naar het systeem waarin onder de Wet politiegegevens en Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv) het onderzoek moet worden uitgevoerd. De grenswachter heeft in een dergelijk geval echter wel een redelijke termijn nodig om de hit te beoordelen en de livefoto veilig te stellen. De verwerkingsgrondslag voor deze gegevens volgt echter niet uit dit wetsvoorstel, maar uit de de Wet politiegegevens en Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv) zelf.

De leden van de PvdA- en GroenLinks-fractie onderschrijven het standpunt van de regering dat het voor een goede grenscontrole noodzakelijk is dat de identiteit van een reiziger secuur wordt vastgesteld. Op dit moment worden de nodige systemen toegepast om grensoverschrijding goed en efficiënt te laten verlopen, zonder dat verwerking en opslag van biometrie noodzakelijk is. Kan de regering aangeven waarom systemen waarbij de verwerking en opslag van biometrische gegevens niet noodzakelijk is kennelijk niet volstaan en waar precies de huidige toegepaste technologieën tekortschieten? Is, met andere woorden, gekeken naar de toepasbaarheid van minder invasieve systemen en waarom is hiervoor niet gekozen?

De enige systemen waarbij geen biometrische gegevens worden verwerkt zijn systemen waarbij een menselijke, visuele vergelijking van het reisdocument en de houder plaatsvindt door een grenswachter van de KMar. Het is onmogelijk om automatische grenscontrole toe te passen zonder biometrische gegevens (in dit geval een live afbeelding) te verwerken, aangezien een live afbeelding (een biometrisch gegeven) vergeleken wordt met de pasfoto in het paspoort. Het huidige systeem werkt derhalve ook met biometrische gegevens. Er is echter twijfel ontstaan bij de huidige grondslag voor de verwerking van deze biometrische gegevens. Met de Autoriteit Persoonsgegevens is afgestemd dat er een expliciete wettelijke grondslag zou komen. Dit is waartoe het huidige wetsvoorstel dient. Het wetsvoorstel verandert het gebruik van biometrische gegevens dus niet, maar legt de grondslag voor het gebruik van de bestaande e-gates (en mogelijke toekomstige e-gates) wettelijk vast inclusief passende waarborgen. Door het voorstel worden dus de waarborgen verbeterd voor het gebruik van biometrische gegevens in de bestaande situatie.

Deze inzet van e-gates is noodzakelijk voor efficiënte en effectieve grenscontroles. Dit is van belang voor grensdoorlaatposten met grote passagiersstromen, krappe infrastructuur en beschikbare capaciteit, zoals de luchthaven van Schiphol. Door gebruik van de e-gates kunnen wachttijden aan de grensdoorposten verkort worden waardoor ook de reiziger beter gefaciliteerd wordt zonder af te doen aan de veiligheid.

Gebruik van gezichtsvergelijking door technologie heeft ten opzichte van een menselijke controle als voordeel dat menselijke factoren als vermoeidheid, ervaring, afgeleid raken en bewuste of onbewuste persoonlijke vooroordelen geen rol spelen. Daarbij kijkt ook bij SSPC te allen tijde een grenswachter van de KMar mee en zal deze bij een negatieve beslissing van het systeem altijd eerst een nadere controle doen alvorens er een eindbesluit volgt. Het SSPC-systeem neemt zelf dus nooit een negatief besluit over een grenscontrole. Dat is altijd een menselijk besluit. De menselijke grenswachter wordt aldus niet vervangen, maar slechts ondersteund door de technologie. Dit zorgt voorts voor een aanzienlijk efficiëntere inzet van personeel en doorstroom op de luchthaven, doordat een grenswachter tegelijkertijd toezicht kan houden op zes e-gates. Dit in tegenstelling tot het andere type grenscontrole, waarbij een grenswachter een reiziger altijd 1 op 1 dient te controleren. Zoals is toegelicht in de memorie van toelichting en hierna onder het kopje Europees kader, zal (kort gezegd) voor derdelanders die een kort verblijf willen, met het van toepassing worden van de EES-verordening de grondslag voor verwerking van biometrische gegevens ten behoeve van identificatie en verificatie bij het gebruik van automatische grenssystemen rechtstreeks uit de SGC volgen.

De leden van de PvdA- en GroenLinks-fractie hebben grote behoefte aan een toelichting hoe de elektronische grenscontroles precies zullen plaatsvinden. Wordt biometrie ingezet om louter vast te stellen of de persoon die zich aan de grens meldt ook daadwerkelijk degene is die op het inreisdocument vermeld staat of wordt ook de mogelijkheid gecreëerd dat de persoon die door de gezichtsherkenning wordt gehaald tevens door de beschikbare databank of databanken en gegevensverzamelingen wordt gehaald? Welke databanken zullen precies bij de check langs biometrische kenmerken worden gebruikt? Met welke informatie worden de databanken gevoed die voor checks op biometrische kenmerken worden gebruikt? Wat is de precieze juridische grondslag voor deze werkwijze, hoe wordt geregeld dat slechts geautoriseerde medewerkers toegang krijgen en welke waarborgen worden geboden tegen foute interpretaties?

Biometrische persoonsgegevens worden in SSPC alleen gebruikt voor de vergelijking tussen live-foto van de houder en de pasfoto in het reisdocument. Er worden bij de grenscontrole wel databanken gecontroleerd, maar die controle vindt niet plaats op basis van dit wetsvoorstel. Daarin wordt immers uitsluitend een grondslag gecreëerd voor de vergelijking tussen live-foto van de houder en de pasfoto in het reisdocument. Het raadplegen van de databanken gebeurt alleen met alfanumerieke en niet met de biometrische gegevens van de reiziger. Het raadplegen van databanken vindt op eenzelfde wijze plaats bij alle grenscontroles, dus ook die waar geen gezichtsherkenning plaatsvindt. Sowieso hanteert de KMar een strikt autorisatiebeleid, waarbij alleen gescreende medewerkers die voor uitvoer van hun operationele taken op de luchthaven of voor technische ondersteuning daarvan toegang kunnen krijgen tot de data. Bij een negatieve vergelijking door SSPC of een hit met één van de databanken, zal de grenswachter de betreffende reiziger altijd zelf nader en uitgebreider controleren om alsnog zelf een menselijke vergelijking tussen reiziger en reisdocument uit te voeren of de hit nader te onderzoeken.

Deze leden stellen zich daarnaast voor dat het voor louter identificatie (dat wil zeggen: vaststellen of degene ook daadwerkelijk is wie op het paspoort staat) niet nodig is om biometrische kenmerken te bewaren. Waarom wordt voorzien in een bewaartermijn als het alleen om strikt identificatie gaat?

Een biometrische foto is eigenlijk een reguliere live-foto van het gezicht, die tevens geschikt is om te gebruiken voor gezichtsvergelijking. De operatie van de KMar acht het noodzakelijk om deze live-foto tot 24 uur na grenspassage te kunnen bewaren. Deze live-foto kan worden gebruikt indien na het passeren van de grens verdachte omstandigheden worden geconstateerd door Schipholmedewerkers, KMar-medewerkers of cameratoezichthouders. Het zal daarbij niet gaan om een tweede technologische gezichtsvergelijking, maar om een menselijke vergelijking. Een dergelijke verificatie kan bijvoorbeeld noodzakelijk worden geacht wanneer Schipholmedewerkers, KMar-medewerkers of cameratoezichthouders op een locatie op of rondom de Luchthaven constateren dat een reiziger na het passeren van de grenspassage al dan niet vrijwillig zijn paspoort aan een derde overhandigt, of wanneer een groep reizigers aankomt op Schiphol en geruime tijd zoekend op Schiphol Plaza rond blijft hangen zonder duidelijke bestemming, of ze worden na zo’n periode opgehaald door andere personen die ze niet lijken te kennen en waar ze geen logische verklaring voor kunnen geven. Dit kan duiden op mensensmokkel of illegale migratie en dus nader onderzoek vergen. Als er na grenspassage redenen zijn om uit te gaan van fraude of mensensmokkel, is het belangrijk dat grenswachters zelf met menselijke blik de live-foto en foto uit het document kunnen vergelijken. Er vindt dan dus een extra menselijke controle plaats op de automatische grenspassage. Als de live-foto’s direct na grenspassage worden gewist, hebben de grenswachters alleen de alfanummerieke gegevens nog. Zelfs als ze daarna dan de verdachten of betrokkenen bij zich hebben, is aanzienlijk moeilijker te onderzoeken of eerder sprake is geweest van illegale grenspassage. Een termijn van 24 uur tussen grenspassage en boarding wordt een redelijke termijn geacht waarbinnen reizigers zich nog op of rondom de luchthaven kunnen bevinden en waarbinnen deze situatie zich kan voordoen. De 24 uurs bewaartermijn ten aanzien van de livefoto is daarnaast noodzakelijk om te kunnen handelen indien nader onderzoek nodig is om te controleren of misbruik van de e-gates wordt gemaakt. Indien bijvoorbeeld gebruik wordt gemaakt van andermans paspoort, is het noodzakelijk om de live-foto met het paspoort te kunnen vergelijken. Ten slotte kan sprake zijn van hits met één van de databanken waaruit een stille signalering blijkt. Dat houdt in dat een reiziger wegens een verdenking of veroordeling van een ernstig strafbaar feit gevolgd dient te worden, zonder dat deze daarop direct attent wordt gemaakt. Ook dan wordt het wenselijk geacht om te kunnen beschikken over de live-foto van de elektronische grenspassage voor de beoordeling door daartoe geautoriseerde KMar-medewerkers, zodat zij aan collega’s elders op de Luchthaven kunnen tonen hoe de verdachte of gesignaleerde er op dat moment uitziet.

Hoe wordt, tot slot, actief uitgedragen dat verwerking van biometrische kenmerken een eigenstandige, vrijwillige keuze van de betrokkene blijft en dat analoge afdoening aan de grens altijd blijft openstaan? Deze leden ontvangen graag een uitgebreide beschouwing aan de hand van deze vragen.

Er wordt bij de grens op de luchthaven door de KMar in nauwe samenwerking met Schiphol gebruik gemaakt van een gelaagde informatievoorziening. Medewerkers van de luchthaven zelf (floorwalkers) zijn geïnstrueerd om reizigers actief de keuze te bieden tussen de rij voor grenscontrole met gezichtsvergelijking of voor 1 op 1 grenscontrole zonder gezichtsvergelijking en daarbij te benadrukken dat die keuze vrijwillig is. Ook de grenswachters in de balie van de KMar bieden deze keuze. Voorts wordt op digitale schermen (voorheen fysieke banners) boven de E-Gates in het Engels en Nederlands schriftelijk weergegeven dat aldaar gezichtsvergelijking met biometrie plaatsvindt, dat dit vrijwillig is en dat de gegevens 24 uur worden bewaard. Ten slotte wordt op die schermen via een link verwezen naar een online privacy-statement op de website van de KMar, alwaar de informatie omtrent persoonsgegevens en privacy van SSPC uitgebreider is opgenomen in het Nederlands en Engels. (https://www.marechaussee.nl/privacy/self-service-passport-control).

Daarnaast vragen de leden van de PvdA- en GroenLinks-fractie de regering om nader in te gaan op de eventuele gevolgen van de mede door dit wetsvoorstel uitgebreide automatische grenscontrole voor het nationaal en internationaal erkende recht om in Nederland asiel te vragen. Deze leden vragen om een nadere analyse van de regering of, en zo ja hoe, invoering van biometrie bij grenscontroles toegang tot de Europese Unie (EU) en tot Nederland om bescherming te vragen beïnvloedt.

Het voorstel heeft geen invloed op de toegang tot de Europese Unie voor wat betreft het vragen van asiel. Als het poortje weigert open te gaan, komt er altijd een grenswachter aan te pas, zodat de betrokken vreemdeling de mogelijkheid heeft om aan te geven dat hij de wens heeft om asiel aan te vragen.

2. Europees kader

De leden van de VVD-fractie lezen dat de Schengengrenscode (SGC) met de invoering van het Entry Exit Systeem (EES) wordt gewijzigd door Verordening 2017/2225/EU. Deze leden lezen echter dat, gezien de verschillen tussen de verschillende buitengrenzen van Europa, het gebruik van technologische mogelijkheden zoals zelfbedieningsloketten, e-gates en geautomatiseerde grenscontrolesystemen optioneel is voor lidstaten. Hoe wordt gezorgd dat de kwaliteit van de grenscontroles wel gewaarborgd wordt aan alle buitengrenzen?

Het wetsvoorstel biedt uitsluitend een grondslag voor de verwerking van biometrische gegevens in het kader van verificatie en identificatie bij automatische grenspassage in Nederland. Hoewel dit niet met dit wetsvoorstel wordt geregeld, wordt de kwaliteit van de automatische grenscontroles in Nederland geborgd door het SSPC systeem doorlopend te testen. Het wetsvoorstel heeft geen enkele impact op de kwaliteit van grenscontroles in andere landen.

De reden dat de Europese wetgever geen verplichting heeft opgelegd om technologische mogelijkheden zoals zelfbedieningsloketten en geautomatiseerde grenscontrolesystemen (waaronder e-gates) aan de lidstaten in te zetten bij de overschrijding van de buitengrenzen door onderdanen van derde landen is omdat het aantal onderdanen van derde landen dat de grenzen overschrijdt, per lidstaat en binnen de lidstaten per grensdoorlaatpost verschilt (overweging 8 van de verordening). Daarmee is het een keuze voor de lidstaat zodat maatwerk kan worden geboden al naar gelang de lokale situatie. Het is bijvoorbeeld voorstelbaar dat een dergelijke investering op een grenspost met een gering aantal reisbewegingen niet loont, terwijl het op een grenspost met een zeer groot aantal grensoverschrijdingen een noodzaak is. Dat neemt niet weg dat de eisen waaraan een grenscontrole en de invoer van gegevens in EES moet voldoen in alle gevallen hetzelfde zijn, alleen de middelen die worden ingezet verschillen.

De leden van de VVD-fractie lezen dat andere EU-lidstaten (onder andere Duitsland, Frankrijk, Oostenrijk en Finland) reeds gebruik maken van de e-gates en de bevoegdheid in nationale wetgeving hebben geregeld. Welke lessen trekt de regering uit het gebruik van nationale wetten die vergelijkbaar zijn met dit wetsvoorstel? Deze leden lezen in de reactie van de Afdeling advisering van de Raad van State (hierna: de Afdeling) dat deze vindt dat het wetsvoorstel onvoldoende ingaat op de verhouding tot de EES-verordening en de bijbehorende wijzigingsverordening Schengengrenscode. Wat is de reactie van de regering op deze kritiek?

Ook Nederland maakt reeds gebruik van e-gates. Echter de eisen voor een grondslag voor de verwerking van biometrische gegevens ten behoeve van identificatie en verificatie bij automatische grenspassage zijn aangescherpt door de AVG. Er is twijfel ontstaan bij de huidige grondslag voor de verwerking van biometrische gegevens. Met de Autoriteit Persoonsgegevens is afgestemd dat er een expliciete wettelijke grondslag zou komen. Het huidige wetsvoorstel dient ertoe om deze grondslag expliciet op te nemen.

De Raad van State wees terecht op het ontbreken van een passage over de verhouding tot EES in het voorstel zoals dat aan de Afdeling voor advies was aangeboden. Bij het opstellen van het wetsvoorstel is uitgegaan van snelle toepassing van de EES-verordening en daarmee ook de toepassing van de onderdelen over geautomatiseerde grenspassage in de SGC. Met het van toepassing worden van de EES-verordening zal voor de groepen reizigers die onder de EES-verordening vallen de grondslag voor verwerking van biometrische gegevens ten behoeve van identificatie en verificatie bij het gebruik van automatische grenssystemen rechtstreeks uit de SGC volgen. Door opeenvolgende vertragingen van de ingebruikname van het EES, zal de in dit wetsvoorstel vervatte wetswijziging langer invloed hebben op de verwerkingsgrondslag voor de groepen reizigers die onder de toepassing van de EES-verordening vallen. In het wetsvoorstel is immers geregeld dat de grondslag geldt «voor zover de verwerking niet reeds is toegestaan op grond van Europese verordeningen». De Raad van State heeft opgemerkt dat uit de voorgelegde toelichting niet duidelijk viel op te maken hoe de toepassing van de EES-verordening zich verhoudt tot het voorstel. Op basis van deze opmerking is de toelichting op dit punt aangevuld. Kort gezegd, geldt dat het wetsvoorstel van toepassing is op onder andere de groepen reizigers die onder de EES-verordening vallen, totdat de EES-verordening van toepassing wordt. Vanaf dat moment geldt voor deze groepen uitsluitend de grondslag uit de EES-verordening.

De leden van de D66-fractie begrijpen uit de memorie van toelichting dat het voorgestelde EES zowel voor derdelanders als voor Unie-onderdanen (en burgers met dezelfde mobiliteitsrechten) moet gelden. Vrijwilligheid is voor deze leden een belangrijk geldend principe. Het blijft, wat deze leden betreft, nog onduidelijk in hoeverre het EES nu vrijwillig zal zijn in het voorstel van de regering (voor zowel derdelanders als Unie-onderdanen) en in hoeverre dit afhangt van de termijn van het verblijf.

Van belang is om onderscheid te maken tussen registratie in het EES en geautomatiseerde grenspassage waarbij gebruik kan worden gemaakt van geautomatiseerde grenscontrolesystemen. Unieburgers, burgers van een Europese Vrijhandelsassociatie van de Europese Economische Ruimte en Zwitserse burgers vallen niet onder de EES-verordening en worden dan ook niet in het EES geregistreerd. Met het EES wordt immers voorzien in de registratie van de inreis en uitreis van onderdanen van derde landen voor kort verblijf. De bepalingen die in de SGC worden ingevoegd in verband met de invoering van EES zien echter ook op de mogelijkheid van het gebruik van zelfbedieningssystemen en e-gates voor grenspassage. Er is een verschil in de grenscontrole die plaats vindt bij het passeren van de buitengrenzen tussen kort gezegd Unieburgers en onderdanen van derde landen, maar voor alle personen geldt dat deze grenspassage op geautomatiseerde wijze kan plaatsvinden op basis van vrijwilligheid. Bij onderdanen van derde landen vindt echter tevens registratie in EES plaats. Vanwege de koppeling met EES geldt dat er vanaf ingebruikname van EES een grondslag is voor de verwerking van biometrische gegevens voor onderdanen van derde landen, namelijk rechtstreeks in het EU-recht. Lidstaten mogen het gebruik van zelfbedieningssystemen en e-gates voor de grenspassage van onderdanen die niet onder de EES-verordening vallen, zoals Unieburgers, ook toestaan. Het gaat daarbij dus niet om registratie in EES, maar alleen om het passeren van de grens en de identiteitscontrole die daarbij plaatsvindt. Om aan deze groep ook de mogelijkheid van het gebruik van zelfbedieningssystemen en e-gates aan te kunnen bieden, is wel een nationale grondslag voor verwerking van biometrische gegevens vereist nu deze voor deze groep immers niet rechtstreeks volgt uit het Unierecht.

Zoals is toegelicht in het wetsvoorstel, acht de regering een voldoende zwaarwegend belang aanwezig om ook voor deze groepen een mogelijkheid tot verwerking van biometrische gegevens ten behoeve van identificatie en verificatie bij automatische grenspassage te creëren. De redenen hiervoor zijn kort gezegd als volgt׃ (1) hoewel een handmatige controle aan een manuele balie volstaat om de unieke identificatie en verificatie van de identiteit uit te voeren, is het gezien de groei in reizigersaantallen niet langer uitvoerbaar om alle reizigers handmatig af te handelen, met name op piekmomenten. (2) Er is onvoldoende ruimte om zoveel manuele balies te plaatsen dat op piekmomenten de reizigersstroom zonder het SSPC-systeem afgehandeld kan worden. Door het gebruik van het SSPC-systeem kan de doorstroom van reizigers aanzienlijk worden verbeterd. (3) Een significant effectievere en efficiëntere uitvoering van de grenscontrole en -bewaking vindt plaats bij geautomatiseerde grenscontrole, waardoor de nationale veiligheid beter wordt beschermd. (4) Zonder grondslag kan de situatie ontstaan dat onderdanen van derde landen wel kunnen profiteren van de voordelen van een geautomatiseerd grensproces en personen die onder het vrij verkeer van de Europese Unie vallen niet.

Overigens blijft het ook voor deze groepen reizigers mogelijk om gebruik te maken van de mogelijkheid om de grens te passeren langs de manuele balie indien zij daar een voorkeur voor hebben. Gelet op de ervaring tot nu toe is dit een zodanig klein percentage dat ook met de huidige en te verwachten reizigersaantallen het uitvoerbaar is om dit kleine deel van de gehele reizigerspopulatie via de manuele balie te bedienen.

De regering schrijft dat andere landen inmiddels zijn overgegaan tot invoering van een vergelijkbaar systeem. Kan de regering ingaan op de resultaten en ervaringen aldaar, zo vragen de leden van de D66-fractie?

Ook Nederland zelf heeft ervaring met het gebruik van automatische grenscontroles. Zoals hierboven reeds enkele keren is herhaald, dient het wetsvoorstel niet om een nieuwe vorm van grenspassage mogelijk te maken. Het voorstel is erop gericht om voor de bestaande wijze van grenspassage een expliciete grondslag op te nemen voor de verwerking van biometrische gegevens ten behoeve van identificatie en verificatie bij automatische grenspassage. In dat kader is volgens de regering een onderzoek naar resultaten en ervaringen van andere landen overbodig.

3. Wettelijk kader

3.1 Noodzakelijk om redenen van zwaarwegend belang

De leden van de VVD-fractie lezen dat het gebruik van e-gates een oplossing is voor de lange wachttijden op vliegvelden. Tevens lezen deze leden dat er in toenemende mate gebruikgemaakt wordt van e-gates in plaats van manuele grenscontroles. Is het een beleidsdoel van de regering om op termijn alle grenscontroles te laten plaatsvinden door e-gates? Indien ja, op welke termijn?

Het is niet toegestaan en ook niet wenselijk om alle grenscontroles elektronisch uit te voeren. Wanneer bijvoorbeeld reizigers onder de veertien jaar de grens passeren, zal dit altijd via een manuele balie verlopen, omdat er dan in persoon kan worden geverifieerd of er geen sprake is van kinderontvoering of mensenhandel. Ook voor mensen met een fysieke beperking die het gebruik van e-gates bemoeilijkt, moet altijd een balie beschikbaar blijven. Daarnaast is het mogelijk dat de e-gates niet gebruikt kunnen worden vanwege technische redenen of omdat er specifieke controles of handelingen aan de manuele balie plaats moeten vinden. Ten slotte, zal de bemande balie ook altijd nodig zijn om vervolgacties te kunnen inzetten wanneer de e-gates gesloten blijven, bijvoorbeeld vanwege het niet kunnen identificeren en verifiëren van de identiteit of een (al dan niet stille) hit met één van de databanken. Daarnaast vervangt de elektronische controle ook niet de functie van de manuele grenscontrole, maar biedt deze een technische ondersteuning van deze manuele controle. Dit zorgt voor een aanzienlijk efficiëntere inzet van personeel en doorstroom op de luchthaven, doordat een grenswachter tegelijkertijd toezicht kan houden op zes e-gates. Dit in tegenstelling tot het andere type grenscontrole, waarbij een grenswachter een reiziger altijd 1 op 1 dient te controleren.

De leden van de D66-fractie lezen dat de uitsluitingsgrond waar het EES zich op zal baseren de verwerking mogelijk maakt vanwege het noodzakelijke «zwaarwegend algemeen belang». Ter onderbouwing van het «waarom» van deze maatregel wordt echter met name verwezen naar het tegengaan van langere wachtrijen op de luchthaven. Kan de regering nogmaals verduidelijken hoe deze efficiëntiemaatregel zich verhoudt tot het criterium «zwaarwegend algemeen belang»? In hoeverre verhoudt deze maatregel zich ook tot de plannen van de regering om het aantal vluchten vanuit Schiphol naar beneden bij te stellen?

Het criterium «zwaarwegend algemeen belang» dient ter toets of er biometrische gegevens verwerkt mogen worden, aangezien deze verwerking op grond van de AVG in beginsel verboden is tenzij er een zwaarwegend algemeen belang is. Dit zwaarwegend belang omvat een proportionaliteits- en subsidiariteitstoets. Zoals aangegeven in de memorie van toelichting, is het niet mogelijk om op momenten van piekdrukte alle passagiers binnen een acceptabele duur de grens te laten passeren via de manuele balie. Ook bij een afname van het aantal vluchten vanaf Schiphol, zal het op piekmomenten alleen mogelijk zijn om een kwalitatief goede controle te blijven toepassen als er naast manuele balies ook e-gates kunnen worden ingezet. Het gaat hierbij nadrukkelijk niet om een efficiëntiemaatregel, maar om een noodzakelijke ondersteuning van het grenspassageproces.

Gebruik van gezichtsvergelijking door technologie heeft ten opzichte van een menselijke controle als voordeel dat menselijke factoren als vermoeidheid, ervaring, afgeleid raken en bewuste of onbewuste persoonlijke vooroordelen geen rol spelen. Daarbij kijkt ook bij SSPC te allen tijde een grenswachter van de KMar mee en zal deze bij een negatieve beslissing van het systeem altijd eerst nadere controle doen alvorens er een eindbesluit volgt. Het SSPC-systeem neemt zelf dus nooit een negatief besluit over een grenscontrole, dat is altijd een menselijk besluit. De menselijke grenswachter wordt aldus niet vervangen, maar slechts ondersteund door de technologie. Dit zorgt voorts voor een aanzienlijk efficiëntere inzet van personeel en doorstroom op de luchthaven, doordat een grenswachter tegelijkertijd toezicht kan houden op zes e-gates. Ook blijft op deze wijze ook tijdens drukte de kwaliteit van de grenscontrole geborgd.

3.2 Subsidiariteit

De leden van de D66-fractie lezen dat de regering schrijft dat het systeem gebruik maakt van een algoritme dat wordt ingekocht bij een gerenommeerde Europese leverancier. Een bekend probleem bij algoritmes is bias, zowel disproportionele bias (ongelijkheid als gevolg van de aangeleverde data) als een confirmation bias (een bias door behaalde resultaten). Welke stappen worden genomen door de regering om te voorkomen dat er een discriminerende werking uitgaat van het EES?

De regering acht het van belang om aan te geven dat het wetsvoorstel geen betrekking heeft op de werking die uitgaat van EES. Voor zover met de inwerkingtreding van de EES-verordening grondslagen ontstaan voor verwerking van biometrische gegevens ten behoeve van identificatie en verificatie, vallen deze buiten het bereik van dit wetvoorstel.

Echter ook bij grenspassage op grond van de in dit wetsvoorstel geregelde grondslag, speelt de bias een rol. Derhalve wordt deze vraag besproken voor zover deze betrekking heeft op de grondslag in dit wetsvoorstel. Gezichtsvergelijkingssystemen kunnen mogelijk een bias kennen. Het is daarbij belangrijk aan te geven dat deze bias sterk situationeel is. Factoren als leeftijd, geslacht, gezichtsuitdrukkingen of een bril dragen kunnen van invloed zijn op de automatische gezichtsvergelijking. Hoe een bias precies uitwerkt wordt niet enkel door deze aspecten gedicteerd, maar volgt ook uit de gebruikte software, op welke dataset deze getraind is, de kwaliteit van de gemaakte foto’s, de belichting van de foto’s en de hardware ter plaatse. Naarmate de kwaliteit van deze aspecten verbetert, verminderen ook deze bias-effecten.

Vanwege technologische ontwikkelingen wordt bias in algoritmes steeds kleiner, hoewel de bias nog steeds aanwezig is. Regelmatig wordt het algoritme daarom gemoderniseerd. De regering laat periodiek de werking van de gezichtsvergelijking extern evalueren, zoals ook is aangegeven in het nader rapport. In de evaluatie wordt gekeken of de gezichtsvergelijking voldoet aan de normen die gesteld zijn voor het ten onrechte goedkeuren van een overeenkomst (False Acceptance Rate, FAR) en het ten onrechte afkeuren van een overeenkomst (False Reject Rate, FRR). Behalve de algemene norm, wordt hierin ook gekeken of de normen in verschillende mate gehaald worden voor subgroepen. De onderkende subgroepen zijn nationaliteit, leeftijd, ouderdom paspoort en etniciteit. Dit periodieke onderzoek vindt in de eerste helft van dit jaar (2023) plaats. De resultaten worden na de zomer verwacht.

Ten overvloede wordt nog gewezen op het feit dat een non-match leidt tot een controle van de identiteit door de KMar. De grenswachter wordt dan ondersteund door moderne technologie. De finale beoordeling, waarbij alle bronnen van informatie betrokken worden en niet alleen de gezichtsopname, vindt in geval van een negatief oordeel dus altijd manueel plaats.

De regering schrijft dat er sprake is van doelbinding, maar op het moment dat er sprake is van een «hit» met een opsporingsregister, kan de grensbewaker klikken op «bewaren». Kan de regering beschrijven hoe het verdere verloop van dat proces eruit ziet, al valt dit buiten de reikwijdte van deze wijziging? De leden van de D66-fractie vragen ter bevestiging of het klopt dat als er dus sprake is van een zogenoemde hit (en er gekozen wordt om de gegevens te bewaren), biometrische gegevens wel degelijk gebruikt kunnen worden voor opsporing.

Van belang is allereerst dat de artikelen 6, eerste lid, onder e en artikel 8, tweede lid, SGC voorschrijven dat bij een grenscontrole dergelijke databanken worden geraadpleegd. Deze raadpleging staat los van de elektronische grenscontrole, aangezien deze databanken ook worden geraadpleegd wanneer gebruik wordt gemaakt van de manuele balie. Wanneer sprake is van een hit in een opsporingsregister, is het handelen van de KMar afhankelijk van het type hit (verdenking of signalering en inzake welk type strafbaar feit of straf). In de meeste gevallen zal de KMar overgaan tot een strafvorderlijke staandehouding of aanhouding van de reiziger. Er is op dat moment geen sprake meer van uitvoer van grenscontrole, maar van een politietaak. Die bevoegdheden zijn tevens aan de KMar gegeven in artikel 4, eerste lid, aanhef en onder c en f van de Politiewet 2012. De gegevens van de reiziger komen vanaf dat moment te vallen onder het juridisch kader van de Wet Politiegegevens (Wpg) in plaats van onder de AVG. Vervolgens zal afhankelijk zijn van het type hit hoe er dient te worden gehandeld. Dat kan bestaan uit het betalen van een openstaande boete waarna de reiziger zijn reis mag vervolgen, maar kan ook leiden tot aanhouding voor verhoor, inverzekeringstelling of latere overdracht aan de politie. De live-foto en paspoortgegevens van de reiziger zullen daarbij tevens als politiegegevens worden beschouwd en dus in een politiesysteem belanden (onder een verwerkingsgrondslag uit de Wpg).

De leden van de PvdA- en GroenLinks-fractie lezen dat, gezien de groei in reizigersaantallen, het niet langer uitvoerbaar is om alle reizigers, met name op piekmomenten, handmatig af te handelen. Deze leden vinden dat een nogal magere motivering van het zwaarwegende algemeen belang om daarom over te stappen op een systeem waarbij bijzondere persoonsgegevens in het geding zijn. Deze leden zijn vooral benieuwd hoe de regering aankijkt tegen de door de Afdeling waarschijnlijk geachte feilbaarheid van gezichtsherkenningsalgoritmes. Kan de regering ingaan op de foutmarges van deze algoritmes, zoals door de Afdeling wordt gesteld, in verhouding tot de huidige wijze van handmatige afhandeling, zoals deze momenteel wordt uitgevoerd?

De inzet van e-gates is (ook zonder groeiende reizigersaantallen) noodzakelijk voor efficiënte en effectieve grenscontroles. Dit komt onder andere door een krappe infrastructuur op de luchthaven, beschikbare capaciteit en extra handelingen aan de grens voortvloeiend uit Europese verordeningen zoals EES. Daarbij worden bonafide reizigers gefaciliteerd en kan de veiligheid vergroot worden. De gezichtsvergelijkingstechniek ondersteunt het menselijke oordeel van de grenswachter en kan een deel van de mogelijke menselijke fouten, bijvoorbeeld als gevolg van vermoeidheid, afleiding of persoonlijke achtergrond, ondervangen.

De opmerking van de Raad van State richt zich bij feilbaarheid vooral op het ongelijk behandelen. Rondom SSPC is niet specifiek onderzoek gedaan naar verschillen in foutmarges op basis van bias tussen SSPC en menselijk handelen. Internationaal onderzoek laat zien dat bias zowel een rol speelt bij handmatige als bij geautomatiseerde gezichtsvergelijking. Een onderzoek uit 2021 laat zien dat de bias vergelijkbaar is, maar mensen meer fouten maken dan computers. Dus kan geconcludeerd worden dat inzet van moderne technologie leidt tot minder ongelijke behandeling.1 Daarnaast geldt dat, als er bij de elektronische grenscontrole geen positieve identificatie en verificatie plaatsvindt, deze identificatie en verificatie alsnog handmatig kan plaatsvinden via de manuele balie.

Met betrekking tot de onderbouwing van de noodzakelijkheid van elektronische grenspassage verwijst de regering naar de beantwoording van de vraag van D66 hierboven. Kort gezegd, is de elektronische grenspassage noodzakelijk om tijdens piekdrukte de gewenste kwaliteit van grenscontrole te kunnen leveren.

Vindt de regering het met het oog op de rechtstatelijke beginselen van proportionaliteit en subsidiariteit voldoende om bij de voorgestelde toepassing van bijzondere persoonsgegevens te volstaan met de constatering dat er in het lopende onderzoek geen indicaties zijn dat de gestelde normen ten aanzien van foutmarges niet worden gehaald? Moet niet zonneklaar worden vastgesteld dat toegepaste systemen aan de normen voor foutmarges voldoen? Is de regering bereid om in een dergelijke vaststelling te voorzien? Deze leden ontvangen graag een reactie op deze vragen.

De regering voorziet in deze vaststelling via het eerdergenoemde externe evaluatieonderzoek. In eerdere onderzoeken is vastgesteld dat toen aan de gestelde normen werd voldaan. In de tussentijd zijn er geen aanwijzingen dat uit het huidige onderzoek een ander resultaat zal volgen. Zeker gelet op de hierboven genoemde technologische ontwikkelingen zal de kwaliteit van de elektronische grenscontrole waarschijnlijk zijn toegenomen.

3.3 De bewaartermijn

De leden van de VVD-fractie lezen dat het wetsvoorstel een bewaartermijn van 24 uur behelst. Is deze termijn lang genoeg? Kan de regering toelichten waarom er voor deze termijn gekozen is en niet voor een langere termijn? Deze leden lezen dat wanneer er pas na de grenspassage aanleiding wordt gevonden om over te gaan tot opsporing, de identiteitsgegevens alsnog kunnen worden verwerkt. Ook hiervoor geldt dan een bewaartermijn van 24 uur. Is deze termijn lang genoeg? Kan de regering toelichten waarom er voor deze termijn gekozen is en niet voor een langere termijn?

Zoals eerder toegelicht acht de operatie van de KMar de termijn van 24 uur noodzakelijk voor eventuele identificatie en nader onderzoek op de luchthaven zelf in de periode direct na de grenspassage. Echter bij het grote merendeel van de reizigers is dat niet noodzakelijk. De lengte van de bewaartermijn komt dan ook voort uit een afweging tussen de noodzaak om kwaadwillende reizigers (of slachtoffers daarvan) te kunnen identificeren en onderzoeken en het recht op minimale data-retentie van persoonsgegevens van de bonafide reizigers. Wanneer bij een hit blijkt dat sprake is van een verdenking of noodzakelijk strafvorderlijk optreden, komen de gegevens van de verdachte, veroordeelde of gesignaleerde reiziger te vallen onder het juridisch kader van de Wpg in plaats van de AVG. De Wpg bevat concrete bewaartermijnen die aanzienlijk langer zijn dan 24 uur. Daarmee is er in die gevallen ruim voldoende tijd om nader strafrechtelijk onderzoek te doen of strafvorderlijk te handelen. Dit geldt overigens evengoed voor grenspassage zonder gezichtsherkenning en staat daar dus los van.

De leden van de D66-fractie vragen of de regering een inschatting kan maken hoe groot het privacy-risico is met het gegeven dat er 24 uur vele duizenden biometrische gegevens liggen opgeslagen. Welke stappen worden gezet om een datalek of een cyberaanval te voorkomen?

Het SSPC-systeem dient te voldoen aan en geaccrediteerd te zijn conform de eisen van het Defensie Beveiligingsbeleid (DBB). Daarin zijn strenge, uitgebreide eisen gesteld aan cybersecurity van het systeem en de gegevensverwerkingen daarin. Met Schiphol en leverancier Vision-Box B.V. zijn overeenkomsten gesloten waarin deze eisen voor zover relevant aan hen zijn doorvertaald.

II Consultatie

Naar aanleiding van de opmerkingen hierover in het advies van de Afdeling zouden de leden van de ChristenUnie-fractie de regering willen vragen of bijgehouden zal worden of het SSPC-systeem niet vaker fouten maakt bij mensen met een meer donkere huidskleur en of er in de praktijk relatief meer mensen met een donkere huidskleur extra gecontroleerd zullen gaan worden. Kan de regering de resultaten van een dergelijke monitoring met de Kamer delen?

Het eerdergenoemde onderzoek voorziet hierin. Om operationele redenen kan niet op voorhand worden toegezegd of het gehele rapport kan worden gedeeld. Wel zal worden gestreefd naar openbaarmaking. Een aparte registratie geeft geen extra informatie hieromtrent.

Daarnaast vragen de leden van de ChristenUnie-fractie, indien in de praktijk blijkt dat het SSPC ondanks het vernieuwde algoritme meer fouten maakt bij mensen met een meer donkere huidskleur, welke maatregelen de regering dan van plan is te treffen.

Mocht het evaluatieonderzoek laten zien dat in de huidige situatie gezichtsvergelijking onaanvaardbare verschillen tussen verschillende etniciteiten opleveren, zal de regering nagaan welke maatregelen te treffen zijn. Aangezien het onderzoek de totale SSPC-oplossing beoordeelt, kunnen verbeteringen op meerdere vlakken liggen. Gedacht kan worden aan plaatsing, belichting, informatieverstrekking aan reizigers, beeldbewerking, kwaliteit of gebruik van camera’s en het algoritme.

De Staatsecretaris van Justitie en Veiligheid, E. van der Brug