Grote uitdagingen in Europa met grenzen en veiligheid

De rol van grenzen

In de geschiedenis van de mensheid hebben grenzen altijd een belangrijke rol gespeeld in de veiligheid. Maar die grenzen zijn steeds verder weg komen te liggen. Van kasteelmuur naar stadvesting, van staatsgrenzen naar uiteindelijk de buitengrens van heel Europa. Daarbij is die grens ook steeds langer maar ook diverser geworden. We passeren de grens niet alleen meer over land maar ook per rivier, in zeehavens en op luchthavens. Tussen die grote aantallen personen die zo soepel mogelijk de grens willen passeren, zit een klein deel dat een veiligheidsrisico vormt. Dit zijn personen van buiten de EU (‘derdelanders’ in jargon) die langer dan toegestaan binnen de EU verblijven, migranten die op oneigenlijke gronden proberen asiel te krijgen en ook mensen die met criminele of zelfs met terroristische bedoelingen proberen de EU in te komen. De Europese instroom van asielzoekers varieert sterk onder invloed van onder meer de strijd in Syrië en de COVID-19 uitbraak, maar neemt op de lange termijn gezien geleidelijk toe[1]. Die toenemende vluchtelingenstroom zorgt steeds meer voor politieke onrust binnen de lidstaten. Die onrust mondt weer uit in problemen tussen EU-landen over de verdeling van asielzoekers. Net over de grens zien machthebbers dit als een kans om via ‘hybride oorlogvoering’ druk op de EU te zetten om meer onderhandelingsruimte te krijgen. Denk aan de vluchtelingendeal met Turkije.

Aan de andere kant kan en wil Europa het reizen makkelijker maken voor de reguliere reizigers. Via grote luchthavens zoals Schiphol landen dagelijks duizenden passagiers vanuit de hele wereld voor werk, studie of toerisme. Hierbij is een snelle en soepele doorstroming van belang, zonder (grote) rijen voor de paspoortcontrole en (risico op) het missen van aansluitingen. Tenslotte wil de EU nadrukkelijk een humaan asielbeleid blijven voeren, privacy zoveel mogelijk waarborgen en aan de grens en binnen de EU niet discrimineren op onder meer afkomst, geaardheid, leeftijd en zaken als laaggeletterdheid of lichamelijke beperkingen[2]. Kortom het grenstoezicht staat voor een enorme uitdaging.

Grenzen en IT

Kan IT een (deel)oplossing van deze uitdaging zijn? Op dit moment bestaan er al EU-systemen die helpen om als één Europa op te treden en te voorkomen dat er misbruik wordt gemaakt van de open grenzen binnen Europa. Zo zorgt het Schengen Informatie Systeem (SIS-II [3] ) ervoor dat personen en objecten (zoals gestolen auto’s) die door de autoriteiten van de ene lidstaat worden gezocht ook bij de andere lidstaten op de radar staan. Ook is er het systeem EURODAC (European Asylum Dactyloscopy Database) een centrale database waarin biometrische kenmerken worden geregistreerd van asielzoekers en aangetroffen derdelanders die illegaal in de EU verbleven. Maar toch draagt dit nog onvoldoende bij aan een goede informatiepositie. Personen die op grond van hun criminele verleden niet meer welkom zijn, of die de maximale verblijfsduur in de EU overschrijden, worden nu pas ontdekt als ze al in het vliegtuig zitten of zelfs pas bij de paspoortcontrole. Dit is zowel voor de betrokkene als voor de luchtvaartmaatschappij (verplichte retourvlucht) zeer onwenselijk. Daarbij is bij terroristische aanslagen de beschikbare informatie in de EU-systemen te versnipperd en ontoereikend gebleken om snel te kunnen reageren[4] . Zo kunnen vragen als ‘wanneer en waar (en met wie?) is iemand de EU binnengekomen?’ niet worden beantwoord en is het vaak onduidelijk welke registraties over dezelfde persoon gaan. Hierdoor gaat kostbare tijd verloren om daders of medeplichtigen in beeld te krijgen. Tevens is er maar weinig zicht op de details van de migratiestromen. Vliegen mensen wel naar hetzelfde land als waar ze een visum hebben aangevraagd? Hoe vaak komt het voor dat reizigers langer dan 90 dagen in de EU blijven (overstayers) en wat voor personen zijn dat dan? Dit zijn vragen die met de huidige registraties niet of lastig te beantwoorden zijn.

Met dit op het netvlies heeft de EU een ambitieus programma ‘Grenzen en Veiligheid’ opgesteld, met op hoofdlijnen de volgende inhoud:

SIS-II wordt aangepast om ook personen met een inreisverbod of een terugkeerbesluit te registreren
Het visumsysteem EU-VIS wordt aangepast om naast de visa voor kort verblijf ook visa voor langere duur en verblijfsvergunningen te registreren. Ook wordt bij een visumaanvraag meer in andere registraties gecontroleerd
Een nieuw Entry en Exit System (EES) vervangt de in- en uitreisstempels in het paspoort. Hiermee kan snel geautomatiseerd worden uitgerekend welke resterende verblijfsduur iemand nog heeft (bij inreis in de EU) of dat iemand zijn termijn heeft overschreden (bij uitreis).
ETIAS (European Travel Information and Authorization System) vormt de IT-ondersteuning voor een nieuw stelsel waarbij ook visum-vrijgestelde reizigers vooraf toestemming moeten vragen om naar de EU te reizen (conform het ESTA-systeem in de Verenigde Staten). Hiermee wordt het mogelijk om al voor het boeken van de reis te beoordelen of een persoon welkom is in de EU.
ECRIS-TCN (European Criminal Record Information System – Third Country Nationals) gaat het strafblad van niet-EU burgers bijhouden van misdaden waarvoor ze binnen de EU veroordeeld zijn.
Voor reizigers van buiten de EU kunnen aan de grens en op luchthavens zelfbedieningskiosken worden ingericht waarmee aan de hand van het paspoort de aanwezigheid van een visum of ETIAS-autorisatie kan worden gecontroleerd. Hierbij wordt de identiteit gecontroleerd met gezichtsherkenning en/of vingerafdrukken. Tenslotte is er een systeem van Interoperabiliteit (IO) voorzien tussen deze systemen, waarbij het creëren of muteren van persoonsgegevens (biografisch, biometrisch, of reisdocumenten) in de verschillende EU-systemen aan elkaar worden gelinkt, zodat eventuele afwijkingen van worden gesignaleerd en onderzocht kunnen worden. Dit omvat ook statistische rapportages voor beleidsdoeleinden.

De aanpak

De omvang van het totale programma Grenzen en Veiligheid is enorm: 5 nieuwe of aangepaste systemen met zowel een centrale (EU) component als aanpassingen in 26 Schengen lidstaten. Daarbij geldt dat voor elke lidstaat er meerdere instanties betrokken zijn (voor Nederland: de Koninklijke Marechaussee, de IND, Buitenlandse Zaken, de Nationale Politie, Schiphol, het Openbaar Ministerie en de Justitiële Informatiedienst) waarbij per organisatie soms ook meer dan één systeem aangepast moet worden. Ook zijn er uitbreidingen en aanpassingen nodig aan hardware (infrastructuur aan de grens op Schiphol en voor de zeehavens) en werkprocessen. Een dergelijke omvangrijke aanpassing van informatiesystemen brengt risico’s met zich mee. Dat zijn enerzijds risico’s van uitloop van planning en daarmee ook overschrijding van de budgetten maar anderzijds ook dat het gerealiseerde systeem uiteindelijk niet oplevert wat er beoogd was. De Europese commissie hanteert hierbij de gebruikelijke aanpak: na een grondige inventarisatie worden de eisen en specificaties juridisch vormgegeven in verordeningen die op een vastgestelde datum de kracht van een wet krijgen. Hierdoor zijn de lidstaten wettelijk verplicht om zelf de nodige inspanningen te verrichtten om tijdig aan te kunnen sluiten met hun eigen informatiesystemen. Hoewel dit natuurlijk een prima manier is om er zeker van te zijn dat alle lidstaten tijdig aan de slag gaan, kleven er wel nadelen aan deze aanpak.

Nadelen

De hierboven beschreven werkwijze is wat in de systeemontwikkeling bekend staat als de ‘waterval’methode: er wordt een grondig uitgewerkt ontwerp gemaakt wat door een realisatieteam exact zo gebouwd moet gaan worden. Zo extreem is het in het geval van het programma Grenzen en Veiligheid overigens ook weer niet: met name over detailuitwerkingen wordt regelmatig afgestemd met experts en IT-architecten uit de lidstaten. Desondanks neemt dat de volgende twee nadelen niet weg:

Lidstaten zullen geneigd zijn om zich vooral te richten op het voldoen aan de wet (implementeren van de verordeningen) en minder op de achterliggende bedoelingen
Door de belangrijkste specificaties in wetgeving vast te leggen is het niet of nauwelijks meer mogelijk om tijdens de realisatie opgedane nieuwe inzichten te gebruiken of om te reageren op nieuwe ontwikkelingen.

Met een programma met een looptijd van enkele jaren leidt dit er snel toe dat er uiteindelijk wel het systeem komt dat men ‘jaren geleden’ op het oog had maar dat het uiteindelijk niet meer optimaal aansluit op de nieuwe situatie.

Minimum Viable Product

In de systeemontwikkeling is om deze redenen de Agile werkwijze de laatste jaren gemeengoed geworden bij vrijwel alle organisaties. Eén van de belangrijkste inzichten hiervan is dat systeemontwikkeling schieten op een bewegend doel is: de realiteit verandert, zeker tegenwoordig, snel. Zeker binnen een meerjarig programma rond een thema dat zo sterk in beweging is moet daar rekening mee gehouden worden. De belangrijkste maatregel om hiermee om te gaan, is dat je begint met een zo simpel mogelijke oplossing te realiseren: het Minimum Viable Product (MVP), de minimale noodzakelijke functionaliteit die nodig is en deze naar productie te brengen [5] . Op het moment dat het MVP in gebruik is, kan je feedback verzamelen vanuit de gebruikers en andere stakeholders. Aan de hand van de feedback kan een MVP vervolgens worden doorontwikkeld in de richting van een optimaal werkend product. Dit heeft een aantal belangrijke voordelen:

Je hebt sneller een klein en beperkt maar werkend systeem in productie
Je kan voortdurend bijstellen in de volgende ontwikkelstap
Je kan op elk moment stoppen (of pauzeren) en hebt dan wel een werkend systeem

En hoe dan wel?

Vanuit deze blik terugkijkend naar de Europese aanpak, valt het op dat de wetgeving van de Europese Commissie (in de vorm van een flink aantal verordeningen) erg gedetailleerd de te bereiken eindsituatie beschrijft. Dikwijls wordt daarbij niet alleen het ‘wat’ maar ook het ‘hoe’ in de wet vastgezet, waardoor in de implementatieperiode aanpassingen praktisch niet meer mogelijk zijn. Een mogelijk beter aanpak zou zijn om die wetgeving te beperken tot wat de systemen in essentie moeten gaan doen en binnen welke beperkingen dat moet gebeuren (zoals autorisatie en doelbinding, bewaartermijnen en rechten van de burger). Daarbij kunnen de centrale systemen meer als diensten (‘services’) worden vormgegeven, waar de nationale systemen gebruik van maken om de in de wet gestelde doelen te kunnen bereiken. Nieuwe inzichten kunnen dan resulteren in een nieuwere versie van zo’n dienst, waarbij de oude dienst ook nog enige tijd beschikbaar blijft totdat elke lidstaat heeft kunnen overstappen. Ook zou je kunnen denken aan een bibliotheek (‘repository’) waar de lidstaten herbruikbare producten kunnen uitwisselen. Hierdoor zou men meer kunnen leren van elkaars goede ideeën en bovendien zou het een positieve invloed kunnen hebben op de ontwikkelkosten en de onderlinge standaardisatie.

Het programma Grenzen en Veiligheid staat dus voor een enorme uitdaging om meerdere EU-systemen te realiseren en aan te passen. Deze EU-systemen moeten daarnaast ook nog interoperabel worden. De maatstaf van succes van het project is de tijdige en correcte oplevering van de producten die nodig zin voor implementatie van de wetgeving.

Het zou dus een goede zaak zijn als het Agile denken juist bij deze grote programma’s een plek kan krijgen. Met name door eerst te richten op een Europa-breed Minimal Viable Product (zowel in wetgeving als systeemontwikkeling) zou het risico op uitloop en met name op het realiseren van een niet goed functionerend systeem sterk verkleind kunnen worden.

Conclusie

[1] Zie European Union Agency for Fundamental Rights: https://fra.europa.eu/en

[2] https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Asylum_statistics

[3] https://ec.europa.eu/home-affairs/policies/schengen-borders-and-visa/schengen-information-system_en

[4] European Council: ”The EU’s response to terrorism” (https://www.consilium.europa.eu/en/policies/fight-against-terrorism/)

[5] Agile Alliance: MVP (https://www.agilealliance.org/glossary/mvp/)