Datastructuur op de chip


De gegevens die op de chip worden opgeslagen zijn grofweg in vier verschillende typen onder te verdelen: platte tekst/nummers (naam, paspoortnummer, etc.) , blobs (foto, vingerafdrukken), templates (getallenreeksen afgeleid van binaire data) en controle-data (o.a. checksums). Hier beperken wij ons tot de meest interessante, de eerste twee typen.
De chip kent trouwens een opslagruimte die niet van deze tijd lijkt: de ICAO specificeert mininmaal 32 Kbytes (Kb), de Nederlandse 2B-testfase gebruikte iets grotere, 72 Kb. In tijden waar menig consument een SD-kaartje van 1 Gb in zijn fotocamera stopt, lijken zelfs 72 Kb nauwelijks voldoende om iets zinnigs op te kunnen slaan, zoals pasfoto's en vingerafdrukken. Toch blijkt dat reuze mee te vallen. De ICAO-documentatie (Annex B - Facial Image Size Study_1.pdf) leert ons dat JPG's en JPEG2000's van zo'n 11-14 Kb al goed genoeg zijn voor het beoogde doel, gezichtsherkenning.




Datastructuur


Het onderstaande schema geeft een goede indruk van de datastructuur op de chip.

Uit: Logical Data Structure(LDS) version 1.7 , pag 16. Data group nummering 1-16 door mij toegevoegd.


Nota bene: het onderste deel uit het schema, bruin omlijnd, behoort tot een volgende specificatie (vs. 2.0), die er o.a. in gaat voorzien dat, behalve Nederland als uitgever, ook ontvangende staten gegevens in uw paspoort mogen gaan bijschrijven. Het is mij onbekend wanneer versie 2.0 gebruikt gaat worden.




Nederlands subset

Volgens het document 'Factsheet Biometrie' uit april 2005 van het MinBzk zal het Nederlandse paspoort de volgende velden uit het bovenstaand schema vullen(V=verplicht, O =Optioneel) :

  • Naam (voornamen en achternaam) [V]
  • Paspoortnummer [V]
  • Nationaliteit [V]
  • Geboortedatum [V]
  • Geslacht [V]
  • Datum einde geldigheid paspoort[V]
  • Sofi-nummer [O]
  • Foto gezicht [V] (direct, per augustus 2006)
  • Vingerafdrukken [O] van twee vingers (bij voorkeur wijsvinger L en R). Optioneel volgens ICAO-specificatie, verplicht volgens spec. EC, Nederland voegt deze later dan augustus 2006 toe (bron: Brief Pechtold aan Tweede Kamer , pag. 4).

Zoals te zien in het schema, voorziet de ICAO-specificatie 1.7 in het vastleggen van veel meer informatie dan blijkbaar door Nederland wordt aangeleverd. Zo is er ruimte gereserveerd voor uw adres, telefoonnummer en beroep, een 'Savenvatting persoon', 'Informatie Bewaring/Hechtenis', 'Waarnemingen', 'Belasting/Uitreis voorwaarden' en 'Optionele details' (vertaling van mij). Volgens de informatie uit het 'Factsheet Biometrie' zouden deze velden dus niet gevuld worden met gegevens, net zomin als de velden voor 'Te waarschuwen personen' met hun 'Details' (zie bovenstaand schema LDS 1.7).




Datatypen

De platte tekst en nummers zijn fixed length datatypen ('char' en 'num' , etc. ), allerlei opmerkingen en 'observations' zijn veelal charvar met een maximum van 99 bytes. Voor templates en blobs is meestal een charvar met een maximum van 99999 bytes gedefinieerd..

De 'templates' (een reeks biometrische kengetallen, afgeleid uit zowel de foto als de vingerafdruk) worden opgeslagen in de groepen 2 en 3, de bijbehorende originele digitale foto en originele digitale vingerafdrukken (als JPG/JPG2000 en ANSI/NIST-ITL 1-2000) in groepen 5 (Displayed portrait) en 6 (dat overal 'Reserved for further use' heet, maar op de een na laatste pagina (LDS 1.7, pag. 91) ineens omgedoopt blijkt tot 'Displayed finger(s)').

Het raadsel van de verdwenen handtekening

In de mededeling van het Minbzk omtrent welke informatie er op de chip wordt gezet (zie hierboven), ontbreekt echter iets. Immers, het is een impliciete eis dat alle informatie die met het oog leesbaar op het datablad staat, ook op de chip terecht moet komen. En sinds jaar en dag staat onze handtekening daarop. En laat er nu ook hiervoor ruimte in de datastructuur zijn gereserveerd (Data Group 7, Displayed signature or usual mark). Deze discrepantie heb ik (per email) als volgt voorgelegd aan het ministerie:


1: uit het FactSheet Biometrie blijkt welke gegevens in het NL-paspoort opgenomen
gaan worden. Dit zijn alle gegevens uit DG 1 en 'Personal Number' uit de optionele
DG 2, wat met SOFI-nummer gevuld gaat worden indien beschikbaar. Echter, in DG 7 is
er ruimte voor 'Displayed signature or usual mark'. Nu behoort 'handtekening' tot de
data op het datablad en alle data op het datablad moeten ook in de chip voor komen.
Echter, ik zie nergens vermeld dat de (gescande) handtekening ook daadwerkelijk wordt
opgeslagen. Is dat nu zo of niet?

Hierop ontving ik, na een aantal aansporingen, het volgende antwoord (juni 2005):


Het technische rapport van ICAO, “Development of a Logical Data Structure (LDS)” is
de leidraad voor de inrichting van de chip van het nieuwe reisdocument. De chip
wordt ingericht volgens de LDS. Dit geeft een aantal extra mogelijkheden ten
opzichte van de zogenaamde Machine Leesbare Zone (MRZ). Een van die mogelijkheden
betreft inderdaad (in datagroep 7 MRZ) de opslag van een afbeelding van de
handtekening van de houder van het reisdocument. Het ministerie van de BZK heeft
echter nog geen besluiten genomen over het opnemen van de handtekening.

Tot nu toe heb ik in de officiele publicaties hierover niets meer aan mogen treffen. Eerlijkheid gebiedt mij te zeggen dat ik er ook niet meer expliciet naar ben blijven vragen.



Niets is zeker behalve ....

In ieder geval blijkt hieruit dat het helemaal nog niet vast staat welke gegevens er nu wel en niet op de chip komen, in weerwil van het gepubliceerde document.

Maar het wordt nog interessanter. In dezelfde email vroeg ik om expliciete bevestiging dat die andere, gevoelige, velden als 'Addres', 'Telephone number(s)', 'Profession', 'Personal Summary', 'Custody Information', 'Endorsements/Observations' en 'Details of person to notify' (de groepen 11, 12 en 16) niet gevuld zouden gaan worden. Het antwoord hierop luidde:

Ik kan niet garanderen dat de door u genoemde optionele velden uit DG2, 11, 12
en 16 worden gevuld, hierover heb ik nog geen besluit genomen.

De opmerkzame lezer heeft al geconstateerd dat het antwoord het tegenovergestelde behelst van wat ik vroeg, maar het moge toch niet als speculatief worden gezien als ik meen te kunnen opmerken dat het nog helemaal niet zeker is wat er over u aan (gevoelige) informatie op die chip komt, die vanaf 2006 bij een douanepost draadloos alles oplepelt en waarvan het oncontroleerbaar is of de ontvangende Staat die ook in een eigen database opslaat.

Controle van uw eigen informatie

Onafhankelijk van het feit wat er u nu wordt medegedeeld over wat er wel en niet op die chip gaat komen, zal menigeen dit toch zo nu en dan wel eens willen controleren. Wederom in dezelfde email vroeg ik daarom:

4: verleent de Staat de mogelijkheid dat de paspoorthouder zijn paspoort op gezette tijden kan
laten 'lezen' om te kijken wat er nou precies in staat (vooral als in versie 2.0 ook de
ontvangende staat data kan toevoegen) en hoe garandeert de Staat aan de houder dat zo'n overzicht volledig is?


Het antwoord hierop luidde:


De Europese Verordening (EG) Nr. 2252/2004 van de Raad van de 13 december 2004
bepaalt (artikel 4) dat de houder van een reisdocument het recht heeft de daarin
vermelde persoonsgegevens te verifiëren en zo nodig te verzoeken dat deze worden
gerectificeerd dan wel worden geschrapt. Nederland zal (bij de implementatie van de
verordening) aan deze bepaling gaan voldoen. Het ministerie van BZK onderzoekt op
dit moment de wijze waarop dat in praktische zin kan worden gerealiseerd.




Conclusie

Op de chip is ruimte voor, sinds jaar en dag op het paspoort aanwezige, data als naam, paspoortnummer, geldigheidsdatum, etc. Meteen vanaf augustus 2006 zal er een digitale foto van het gezicht bijkomen (inclusief template). 'Later' worden er aan de (dan uit te geven) paspoorten zeer waarschijnlijk twee vingerafdrukken toegevoegd.
Op de chip is ruimte voor veel meer informatie, die erg veel over de houder kan prijsgeven. Ondanks een reeds gepubliceerde, positieve opsomming (d.w.z. wat er WEL in komt), kan (of kon) men de negatieve variant (dus dit en dit komt er NIET in) niet bevestigen.
Ook van de, formeel verplichte, mogelijkheid om de burger te kunnen laten controleren wat er zoal aan gegevens over hem op die chip staan (en, later, door andere landen kunnen worden aangevuld) is praktisch nog niets bekend.





Terug naar overzicht