De juridische aspecten van het laden van paspoortgegevens in de Yivi-app
← Terug naar Kennisbank

De juridische aspecten van het laden van paspoortgegevens in de Yivi-app

Dibran Mulder 8 min read
paspoort AVG privacy juridisch compliance gegevensbescherming EU-regelgeving

Inleiding

Het uitlezen van paspoorten en andere identiteitsdocumenten is privacygevoelig. Het verwerken van deze gegevens roept begrijpelijkerwijs juridische vragen op. Naarmate digitale identiteitsoplossingen zich verder ontwikkelen, wordt het steeds belangrijker om duidelijkheid te hebben over de wet- en regelgeving rond het lezen en verwerken van paspoortgegevens.

Mag een gebruiker bijvoorbeeld zelf legaal de chip in zijn paspoort uitlezen? Welke juridische kaders zijn hierbij van toepassing? En hoe waarborgt een organisatie als Yivi de naleving van Europese privacyregels?

Dit artikel biedt een uitgebreid overzicht van het juridische kader rondom paspoortgegevensverwerking in de EU, met specifieke aandacht voor hoe Yivi’s architectuur zowel juridische compliance als maximale privacybescherming voor gebruikers waarborgt.

Het juridische kader: welke wetten zijn van toepassing?

Wanneer het gaat om het uitlezen van paspoortchipgegevens in de Europese Unie zijn twee belangrijke wetgevingsgebieden relevant:

  1. EU-regelgeving over documentstandaarden en uitgifte - Deze regelt hoe paspoorten moeten worden uitgegeven en aan welke technische normen ze moeten voldoen
  2. Gegevensbescherming en privacywetgeving - Voornamelijk de Algemene Verordening Gegevensbescherming (AVG), die regelt hoe persoonsgegevens moeten worden behandeld

Het is cruciaal om te begrijpen dat deze verschillende doelen dienen en verplichtingen opleggen aan verschillende partijen.

EU-regelgeving over documentstandaarden

De Europese Unie heeft duidelijke technische normen voor identiteitsdocumenten vastgesteld via twee belangrijke verordeningen:

  • EU-verordening 2252/2004 - Stelt normen vast voor paspoorten en reisdocumenten
  • EU-verordening 2019/1157 - Stelt normen vast voor nationale identiteitskaarten

Beide verordeningen vereisen dat EU-lidstaten documenten uitgeven die voldoen aan ICAO Doc 9303, de internationale norm vastgesteld door de Internationale Burgerluchtvaartorganisatie. Deze norm definieert de technische specificaties voor machineleesbare reisdocumenten, inclusief de RFID-chips die zijn ingebed in moderne paspoorten.

Een cruciaal onderscheid: uitgifte vs. uitlezen

Hier zit de misvatting die veel mensen hebben: deze regelgeving stelt eisen aan overheden die documenten uitgeven, niet aan individuen die hun eigen documenten uitlezen.

Er is geen EU-regelgeving die burgers verbiedt of beperkt om gegevens van hun eigen paspoortchip uit te lezen. De regelgeving richt zich op het waarborgen dat lidstaten veilige, gestandaardiseerde documenten uitgeven - niet op het beperken van wat houders met hun eigen documenten kunnen doen.

Extended Access Control (EAC)

De enige uitzondering betreft biometrische gegevens die beschermd worden door Extended Access Control (EAC). Toegang tot bepaalde zeer gevoelige biometrische datagroepen (zoals vingerafdrukken die in sommige paspoorten zijn opgeslagen) vereist overheidsautorisatie en gespecialiseerde terminalapparatuur. Deze beperking geldt echter voor de meest gevoelige biometrische gegevens, niet voor de basis paspoortgegevens die Yivi verwerkt.

De standaard paspoortdatagroepen - inclusief de Machine Readable Zone (MRZ), persoonlijke gegevens en gezichtsbeeld - zijn toegankelijk voor de paspoorthouder via Basic Access Control (BAC), waarvoor alleen de informatie nodig is die op het paspoort zelf is afgedrukt (documentnummer, geboortedatum en vervaldatum).

Public Key Infrastructure: verificatie zonder beperkingen

Een van de belangrijkste aspecten van paspoortbeveiliging is het vermogen om documentechtheid te verifiëren. Moderne e-paspoorten gebruiken een geavanceerde Public Key Infrastructure (PKI) die cryptografische verificatie van paspoortgegevens mogelijk maakt.
In landen zoals Nederland en Duitsland zijn de nationale masterlijsten met de publieke certificaten die nodig zijn voor verificatie openbaar beschikbaar:

  • Nederland: De NPKD (Nationale Publieke-Key Directorie) biedt de Nederlandse masterlijst
  • Duitsland: Het BSI (Bundesamt für Sicherheit in der Informationstechnik) onderhoudt de Duitse masterlijst
  • Internationaal: De ICAO PKD (Public Key Directory) biedt internationale certificaatgegevens

De openbare beschikbaarheid van deze masterlijsten is opzettelijk en dient een belangrijke beveiligingsfunctie. Het stelt elke partij - inclusief individuele burgers - in staat om te verifiëren dat een paspoort authentiek is en niet is gemanipuleerd. Er zijn geen juridische beperkingen op het raadplegen van deze openbare masterlijsten of het gebruik ervan voor verificatiedoeleinden.

Zoals uiteengezet in ons technische artikel over paspoortauthenticatie, gebruikt Yivi deze openbaar beschikbare masterlijsten om strenge cryptografische verificatie van paspoortechtheid uit te voeren, waarbij zowel Passive Authentication (verificatie van de digitale handtekening) als Active Authentication (bewijzen dat de chip authentiek is) worden geïmplementeerd.

AVG: het belangrijkste privacykader

Hoewel EU-regelgeving het uitlezen van uw eigen paspoort niet beperkt, stelt de Algemene Verordening Gegevensbescherming (AVG) duidelijke eisen vast voor hoe persoonsgegevens moeten worden verwerkt.

Wanneer is de AVG van toepassing?

De AVG is van toepassing wanneer een organisatie persoonsgegevens verwerkt. In de context van paspoortgegevens en Yivi betekent dit dat wanneer paspoortgegevens worden uitgelezen en verwerkt om digitale credentials te creëren, AVG-compliance essentieel is.

Artikel 6 AVG: rechtsgrondslag voor verwerking

Volgens artikel 6 van de AVG vereist elke verwerking van persoonsgegevens een rechtsgrondslag. De twee meest relevante grondslagen voor paspoortgegevensverwerking in de Yivi-context zijn:

  1. Toestemming (artikel 6 lid 1 onder a) - De betrokkene heeft duidelijke toestemming gegeven voor het verwerken van zijn persoonsgegevens voor specifieke doeleinden
  2. Publieke taak (artikel 6 lid 1 onder e) - Verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang
    In het geval van Yivi is gebruikerstoestemming de primaire rechtsgrondslag. Gebruikers maken een bewuste, geïnformeerde keuze om hun paspoort te scannen en de gegevens in hun Yivi-wallet te laden. Deze toestemming is:
  • Vrij gegeven - Gebruikers kiezen of ze de paspoortcredentialfunctie willen gebruiken
  • Specifiek - Gebruikers begrijpen dat ze paspoortgegevens in een digitale credential laden
  • Geïnformeerd - Het proces is transparant en gebruikers begrijpen wat er met hun gegevens gebeurt
  • Ondubbelzinnig - De handeling van het scannen van het paspoort vormt duidelijke toestemming

Aanvullende AVG-beginselen

Naast het hebben van een rechtsgrondslag vereist de AVG dat gegevensverwerking voldoet aan verschillende belangrijke beginselen:

  • Doelbinding - Gegevens worden verzameld voor specifieke, expliciete doeleinden
  • Dataminimalisatie - Alleen gegevens die noodzakelijk zijn voor het doel worden verwerkt
  • Opslagbeperking - Gegevens worden niet langer bewaard dan noodzakelijk
  • Integriteit en vertrouwelijkheid - Passende beveiligingsmaatregelen beschermen de gegevens
  • Verantwoording - De organisatie kan compliance aantonen
    Zoals we in het volgende gedeelte zullen zien, is Yivi’s architectuur specifiek ontworpen om aan al deze beginselen te voldoen.

Yivi’s privacy-first architectuur: AVG-compliance by design

De manier waarop Yivi paspoortgegevens verwerkt is fundamenteel verschillend van traditionele identiteitsverificatiesystemen, en dit verschil is cruciaal voor juridische compliance en privacybescherming.

Geen serveropslag: een kritieke ontwerpkeuze

Het belangrijkste aspect van Yivi’s architectuur is dit: paspoortgegevens worden nooit op een Yivi-server opgeslagen.

Wanneer u uw paspoort scant met de Yivi-app:

  1. Gegevens worden uitgelezen van de paspoortchip met behulp van de NFC-functie van uw telefoon
  2. Gegevens worden verzonden naar de Yivi-server voor cryptografische verificatie
  3. Echtheid wordt geverifieerd met behulp van de officiële overheidsmasterlijsten en PKI-infrastructuur
  4. Credentials worden gecreëerd met alleen de noodzakelijke attributen
  5. Credentials worden geretourneerd naar uw Yivi-app en lokaal op uw apparaat opgeslagen
  6. Gegevens worden nooit op de server gepersisteerd - de paspoortgegevens worden niet opgeslagen, zelfs niet tijdelijk in cache

Deze architectuur biedt verschillende cruciale juridische en privacyvoordelen:

Dataminimalisatie

De credentials die worden gecreëerd uit paspoortgegevens bevatten alleen de minimaal noodzakelijke informatie. In plaats van volledige paspoortgegevens op te slaan, creëert Yivi specifieke attributen die selectief kunnen worden onthuld:

  • Leeftijdsverificatie-attributen - “18+”, “21+”, etc., zonder exacte geboortedatum te onthullen
  • Burgerschap-indicatoren - “EU-burger”, “Nederlandse staatsburger”, etc.
  • Minimale persoonsgegevens - Alleen de specifieke datapunten die nodig zijn voor verificatie
  • Afgeleide attributen - Geboortejaar zonder volledige geboortedatum, waardoor gegevensblootstelling wordt verminderd

Deze selectieve openbaringscapaciteit betekent dat wanneer u uw Yivi-paspoortcredential gebruikt, u alleen de minimale informatie deelt die vereist is voor dat specifieke doel - een kern AVG-beginsel.

Gebruikerscontrole en transparantie

Volgens de AVG hebben individuen rechten met betrekking tot hun persoonsgegevens, waaronder:

  • Recht op toegang - Weten welke gegevens worden verwerkt
  • Recht op verwijdering - Gegevens laten verwijderen
  • Recht op dataportabiliteit - Gegevens elders naartoe brengen
  • Recht van bezwaar - Bezwaar maken tegen bepaalde verwerking

Yivi’s architectuur ondersteunt inherent deze rechten:

  • Transparantie: Gebruikers zien precies welke gegevens in hun credentials zitten
  • Controle: Gegevens worden lokaal in de app van de gebruiker opgeslagen, onder hun directe controle
  • Portabiliteit: Credentials kunnen opnieuw geissued worden in een andere telefoon.
  • Verwijdering: Gebruikers kunnen credentials op elk moment verwijderen door ze uit hun app te verwijderen

Omdat Yivi geen paspoortgegevens op servers opslaat, is er geen gecentraliseerde database die doorlopend beheer van gebruikersgegevensrechten vereist - de gebruiker heeft altijd de controle.

Beveiliging en vertrouwelijkheid

De AVG vereist passende technische en organisatorische maatregelen om gegevensbeveiliging te waarborgen. Yivi implementeert meerdere beveiligingslagen:

  • End-to-end encryptie - Gegevens worden versleuteld tijdens verzending
  • Alleen lokale opslag - Credentials worden versleuteld opgeslagen op het apparaat van de gebruiker
  • Cryptografische verificatie - Paspoortechtheid wordt bewezen met geavanceerde cryptografie
  • Geen centrale gegevensrepository - Geen honeypot van paspoortgegevens voor aanvallers om te targeten
  • Open source transparantie - Beveiligingsmaatregelen zijn publiekelijk controleerbaar

De afwezigheid van serveropslag vermindert beveiligingsrisico’s dramatisch. Er is geen centrale database om in te breken, geen opgeslagen paspoortgegevens om te lekken, en geen doorlopend kwetsbaarheidsbeheer voor opgeslagen persoonsgegevens.

Conclusie

Het laden van paspoortgegevens in de Yivi-app staat juridisch op stevige grond. Burgers mogen hun eigen paspoortchip uitlezen, de publieke PKI-infrastructuur ondersteunt vrije authenticatie, en de GDPR biedt een helder kader voor veilige en transparante verwerking. Wat Yivi onderscheidt, is de architectuur die verder gaat dan wettelijke vereisten: gebruikers houden volledige controle, gegevens worden nooit centraal opgeslagen en alleen strikt noodzakelijke attributen worden gedeeld. Daarmee biedt Yivi een toekomstbestendige en privacyvriendelijke oplossing die aansluit op de principes van eIDAS 2.0 en internationale dataprotectiestandaarden.

Voor organisaties betekent dit een unieke kans: sterke identiteitsverificatie zonder de risico’s en lasten van het opslaan van gevoelige persoonsgegevens. Met Yivi kun je voldoen aan wetgeving, de privacy van gebruikers respecteren én een soepele onboarding of verificatieflow bieden.

Wil je de mogelijkheden van internationale identity proofing ontdekken voor jouw organisatie? Neem dan gerust contact met ons op we denken graag met je mee.

Wilt u meer weten over het integreren van paspoortverificatie in uw organisatie? Neem contact met ons op om de mogelijkheden te bespreken.