De Europese informatie-uitwisseling hapert

Slimme grenzen

De aanslagplegers in Parijs en Brussel werden niet herkend toen zij de grens overkwamen, terwijl ze wel geregistreerd stonden. De EU zoekt naarstig naar betere opsporingsmethoden.

Medium 00107598

De daders van de aanslagen in Parijs en Brussel stonden allemaal geregistreerd in het Schengen Informatiesysteem (sis) en werden toch niet gedetecteerd toen zij Europa binnenkwamen – het is een haast verstopt zinnetje aan het slot van een recent document van de Europese contraterrorismecoördinator waarin de problemen uiteengezet worden die spelen op het gebied van de Europese informatie-uitwisseling en grensbewaking. Het Schengen Informatiesysteem is een van de belangrijkste Europese databanken die nationale politiediensten en grensbewakers van informatie moeten voorzien. Het staat boordevol met signaleringen – eind 2015 bevatte het systeem er meer dan zestig miljoen, waarvan achthonderdduizend voor personen; zeventigduizend daarvan worden beschouwd als een gevaar voor de openbare orde of nationale veiligheid en binnen die groep staan zo’n vijfduizend te boek als hoogst gevaarlijk. Het idee is dat politiediensten of grensbewakers door het raadplegen van het sis kunnen achterhalen of een andere Schengenlidstaat iemand gesignaleerd heeft – noodzakelijk geachte informatie-uitwisseling ter compensatie van de weggevallen binnengrenscontroles en de geglobaliseerde, ‘mobiele’ wereld.

Hoe konden de daders van de aanslagen dan toch ongehinderd Europa binnenkomen? Het idee is immers dat bij de Europese grens gecontroleerd wordt, onder meer door het sis te raadplegen. Uit het document blijkt dat het op twee manieren misging. Het sis-voorbeeld staat daarmee eigenlijk model voor het grotere verhaal over de problematische informatie-uitwisseling in de EU en de bewaking van de buitengrenzen. Ten eerste stonden alle verdachten wel in het sis gesignaleerd, maar was niet aangegeven dat het hier om terrorismeverdachten ging. De Schengenstaten zijn niet verplicht zo’n melding op te nemen en elke staat hanteert zo zijn eigen interpretatie van de afspraken. Ook is onduidelijk wat precies te doen als een terrorismeverdachte uit het sis rolt: arresteren, ondervragen, vasthouden, de toegang ontzeggen, observeren?

Het tweede probleem is dat de daders onder een valse naam en met vervalste paspoorten reisden. Ondanks de overstelpende hoeveelheid verdachte identiteits- en reisdocumenten die in het sis staan gesignaleerd – vervallen, verlopen, gestolen, vermist – werd dit niet opgemerkt. De oorzaak daarvan is dat lang niet alle lidstaten de grenscontrole zo systematisch uitvoeren als afgesproken.

Een zelfde patroon blijkt uit een document van de internationale politieorganisatie Interpol uit 2014. Interpol beheert de Stolen and Lost Travel Documents-database (sltd) waarin 25 miljoen verloren of gestolen Europese identiteits-, reis- en verblijfsdocumenten zijn opgenomen. Wereldwijd gaat het om veertig miljoen documenten. Duitsland, Nederland, het Verenigd Koninkrijk, Roemenië, Tsjechië, Bulgarije en België behoren tot de lidstaten die systematisch informatie in het sltd invoeren. Het systeem wordt ook driftig geraadpleegd door de EU-lidstaten: zo’n tweehonderd miljoen zoekopdrachten per jaar. Maar niet alle lidstaten doen dat. Het Verenigd Koninkrijk, Kroatië en Frankrijk zijn verantwoordelijk voor negentig procent van de tweehonderd miljoen zoekopdrachten. De andere EU-lidstaten checken het systeem maar mondjesmaat, laat staan systematisch en geautomatiseerd zoals eigenlijk de bedoeling is.

Uit andere recente documenten blijkt dat de informatie-uitwisseling ook op andere vlakken niet bepaald soepeltjes verloopt. Naast het Schengen Informatie Systeem kent de Europese Unie nog een waaier van databanken. Het Visa Informatie Systeem (vis, met de gegevens van iedereen die een visum voor de EU aanvraagt), Eurodac (gegevens van asielzoekers), het Europol Informatiesysteem, het pnr-systeem (data van alle vliegtuigpassagiers naar de EU) en nieuwe loten aan de stam zoals het _entry-exit-_systeem, waarin systematisch opgeslagen moet gaan worden wie de EU binnenkomt en verlaat. De grote wens van de Europese beleidsmakers is om al deze databanken met elkaar te verknopen, doorzoekbaar te maken voor alle relevante diensten en in te zetten als grensbewakingsinstrument. Die wens wordt tot nu toe gedwarsboomd door technologische, juridische, organisatorische, praktische en politieke obstakels.

In het vis staan bijvoorbeeld twaalf miljoen vingerafdrukken en bijbehorende persoonsgegevens geregistreerd van buitenlanders die ooit een visum voor de EU aanvroegen, en in Eurodac staan bijna drie miljoen setjes vingerafdrukken van asielzoekers – maar de databanken zijn nog niet automatisch doorzoekbaar door politie-, inlichtingen- en grensbewakingsdiensten van de EU-lidstaten. In Nederland liggen 1,2 miljoen setjes vingerafdrukken opgeslagen, in Duitsland ruim drie miljoen setjes en in Frankrijk vijf miljoen – maar die zijn nog niet automatisch onderling te koppelen, te vergelijken met EU-databanken en doorzoekbaar.

Europol heeft pas recent toegang tot informatie in het vis en Eurodac en kan wel in het sis zoeken, maar alleen handmatig. In 2015 raadpleegde Europol daarom het sis slechts 741 keer. Omgekeerd wordt het Europol Informatie Systeem nog steeds onvoldoende gevoed door informatie uit de lidstaten – het is bijvoorbeeld nog steeds niet gelukt alle beschikbare informatie over foreign fighters bij elkaar te krijgen.

Onder druk van de IS-aanslagen ligt er inmiddels een blauwdruk op tafel om de grenscontroles en informatie-uitwisseling drastisch aan te passen. Centraal in de plannen staat ten eerste de systematische identificatie en controle van iedereen die de EU binnenkomt en verlaat – dus ook alle EU-burgers. Cruciaal daarbij is dat identificatie voortaan moet gebeuren via de controle van vingerafdrukken of een irisscan. Die kunnen immers niet zo makkelijk vervalst worden als een paspoort. Inmiddels kan een vingerafdruk binnen dertig seconden geverifieerd worden en vergeleken met gegevens in achterliggende databanken.

De tweede dimensie is het koppelen, toegankelijk en doorzoekbaar maken van alle EU-databanken en nationale databanken. De vingerafdruk die bij een grenspost wordt gecontroleerd bevestigt niet alleen de identiteit van de reiziger, maar vertelt ook direct of in een van de Europese en nationale databanken belastende informatie over die persoon aanwezig is en hoe te handelen. Dat veronderstelt niet alleen dat alle databanken met één druk op de knop te doorzoeken zijn – dat is technologisch ingewikkeld – maar vooral dat er zo veel mogelijk vingerafdrukken en achterliggende data van zo veel mogelijk individuen in databanken worden opgeslagen. Zo ontstaat een zichzelf versterkende dynamiek.

Volgens specialisten ligt het probleem niet zozeer in een gebrek aan data, maar aan de kwaliteit en de analyse ervan

In Brussel wordt nu al bezorgd geconstateerd dat het onmogelijk is de databanken te vullen met de vingerafdrukken en persoonsgegevens van bezoekers uit landen die niet visumplichtig zijn. Dus wordt naar een manier gezocht om ook van deze reizigers de vingerafdrukken en persoonsgegevens te kunnen verkrijgen. Elke maas in het digitale net zal worden gedicht met nog meer data.

Een derde dimensie is het minst zichtbaar en zit vervat in het concept van ‘slimme grenzen’. Grenscontroles staan op gespannen voet met de ongehinderde mobiliteit die de globale economie vereist. Jaarlijks vinden er ruim vijfhonderd miljoen legale grenspassages plaats in de Europese Unie. Elk individu op dezelfde systematische manier aan de grens controleren wordt in Brussel verworpen omdat het te veel economische schade zou opleveren. ‘Lange wachtrijen geven bezoekers een slechte indruk van de EU en zowel vliegmaatschappijen als vliegvelden eisen een snelle en soepele afhandeling van passagiersstromen’, aldus de Europese Commissie. Daarom wordt volop gewerkt aan methoden om preventief te kunnen onderscheiden tussen de ‘goede’ en ‘kwaadaardige’ mobiliteiten, of de ‘trusted’ en ‘untrusted’ reizigers.

Al naar gelang de risicocategorie waarin individuen worden ingedeeld, kan de identificatie en controle meer of minder systematisch zijn en dus meer of minder snel verlopen. Wie volgens de databanken van onbesproken gedrag is, niet uit een ‘risicoland’ komt, vrijwillig zijn vingerafdrukken of irisafdruk afstaat, en van tevoren zijn reisgegevens doorgeeft, smaakt het genoegen van een welhaast automatische en snelle grenspassage door een biometrische grenspost. De anderen – afkomstig uit een ‘risicoland’ of reizend via een ‘verdachte’ reisroute, over wie onvoldoende of juist ‘risicovolle’ data bestaan of die geen digitale vingerafdrukken in hun paspoort hebben staan – zullen zich een uitgebreide controle moeten laten welgevallen. Het is een vorm van ‘sociaal sorteren’: individuen verschillend behandelen op basis van hun risicoprofiel en gewenstheid.

Daaraan gekoppeld zit de wens om al zo veel mogelijk data ter beschikking te hebben nog voordat iemand de reis naar Europa onderneemt: het ‘outsourcen’ of externaliseren van de grenscontroles. Controles vinden al plaats op het moment dat een visum wordt aangevraagd of via de passagiersgegevens die verplicht van tevoren moeten worden aangeleverd, zodat nog ver voordat iemand zich fysiek bij een Europese grenspost meldt de databanken zijn geraadpleegd en de risicoanalyse is gemaakt en besloten is of iemand minimaal of uitgebreid gecontroleerd moet worden – of de toegang geweigerd.

Grenscontroles vinden dus al plaats ver buiten de Europese buitengrenzen; maar omgekeerd kunnen ‘grenscontroles’ ook meer achter de grenzen, of op straat gaan plaatsvinden. De koppeling van biometrische identificatie (vingerafdruk, irisscan, gezichtsafdruk) aan alle beschikbare Europese en nationale databanken via een ‘single search interface’ betekent dat de grens in feite overal en voortdurend aanwezig is en zo een ‘biopolitieke grens’ wordt. De alom aanwezige grens wordt daarmee nooit meer echt gepasseerd, maar verschijnt als een voortdurende vraag naar identiteit en intentie – waarbij de achterliggende data vervolgens het oordeel ‘hoog risico’ of ‘laag risico’ uitspreken, ‘verdacht’ of ‘onverdacht’, ‘legitiem’ of ‘illegaal’.

Dat de Europese Unie bekende IS-strijders of andere terrorismeverdachten er bij de grens uit wil kunnen filteren is begrijpelijk. Dat betrouwbare identificatie daarbij belangrijk is, is ook duidelijk. Of het in de praktijk ook werkt, is maar helemaal de vraag. De Europese buitengrens kan ook illegaal overschreden worden. En aanslagen kunnen ook gepleegd worden door daders die nooit naar een conflictgebied zijn gereisd en dus geen Europese buitengrens passeren.

Maar de ‘slimme grenzen’ pretenderen meer: dat het mogelijk is individuen preventief te classificeren in risicocategorieën om economische belangen en veiligheidsbelangen met elkaar te verzoenen. En daarbij gaat het niet alleen maar om bekende terroristen – het gaat ook om de ‘nog onbekende’ terroristen, om mogelijke illegale migranten, drugskoeriers, witwassers, criminelen en anderen die op de een of andere manier als ongewenste bezoekers worden gezien en daarom aan een verscherpt controle-regime onderhevig moeten worden gemaakt of preventief de toegang geweigerd. Het toont een heilig geloof in data en technologie. De achterliggende gedachte is dat ‘data’ objectieve reflecties zijn van een persoon en zijn of haar intenties en ‘verborgen informatie’ kunnen prijsgeven als ze maar systematisch met elkaar vergeleken kunnen worden.

Op basis van welke operationele, sociale, culturele, economische en politieke veronderstellingen – of stereotyperingen – iemand in welke risicocategorie terechtkomt, en hoe de digitale alter ego’s gevormd en geïnterpreteerd worden, ligt echter verborgen in de niet bepaald transparante wereld der algoritmebouwers. Dat is problematisch. Ervaren informatiespecialisten en analisten weten dat het probleem niet zozeer ligt in een gebrek aan data, maar aan de kwaliteit van de data en vooral de analyse ervan. Informatiespecialisten kennen ook de rommeligheid van de praktijk: onvolledige data, niet gevalideerde data, nietszeggende data, data die in verkeerde categorieën worden ingevuld, data die al lang verwijderd hadden moeten worden. En elke analist weet dat hét profiel van de terrorist, de extremist, de uitreiziger, de gewelddadige eenling niet bestaat. De Europese beleidsmakers zijn er echter heilig van overtuigd dat het verzamelen en op een grote hoop vegen van nog meer digitale hooibergen het wél mogelijk maakt naalden te vinden en de Europese buitengrenzen effectief te bewaken.


Jelle van Buuren is als promovendus verbonden aan het Centre for Terrorism and Counter Terrorism in Den Haag

Beeld: Koppeling van biometrische identi catie aan alle databanken betekent dat de grens overal en voortdurend aanwezig is (Inge van Mill / debeeldenunie.nl)