Waar er bij overheidstoepassingen vaak weerstand is tegen het gebruik van biometrie, wordt het in de consumentenmarkt steeds breder toegepast en lijken consumenten het te omarmen.
In hoeverre zijn veilig gebruik en opslag van biometrische gegevens voor authenticatie te borgen?
Waar er bij overheidstoepassingen vaak weerstand is tegen het gebruik van biometrie, wordt het in de consumentenmarkt steeds breder toegepast en lijken consumenten het te omarmen.
Hoewel biometrie al veelvuldig wordt ingezet door overheidsinstanties, is het gebruik van deze biometrische methoden aan tegenstand onderhevig. Gebruikers vinden het niet prettig om biometrische gegevens af te staan, omdat ze zich in hun privacy voelen aangetast. Daarnaast vraagt men zich af hoe veilig de opslag van deze biometrische gegevens is. Experts zijn het er over eens dat een grootschalige toepassing van biometrie door lastig beheersbare organisatorische en menselijke factoren alleen met veel extra inspanningen voldoende veilig te maken is. Bij het beoordelen van de veiligheid van een biometrische toepassing gaat het steeds om het geheel van de toepassing, dus met inbegrip van techniek, organisatie, procedures, en de mate waarin mensen meewerken of juist belang hebben bij fouten of misbruik. Dit laatste is niet het geval bij de voorbeelden waarbij juist in het kader van gebruikersgemak is gekeken naar een oplossing met biometrie.
Het gebruik van biometrie in de consumentenmarkt is sterk in opkomst. Daar zie je steeds meer toepassingen van biometrie als authenticatiemiddel. Zo hebben gebruikers van MasterCard al de mogelijkheid om door middel van een selfie of vingerafdruk als authenticatie creditcardbetalingen te doen. Men kan door middel van een selfie aankopen doen bij online shops en met het gebruik van stemherkenning een telefoonabonnement verlengen. Het meest bekende voorbeeld van biometrische authenticatie is de vingerafdruk als authenticatie voor de smartphone.
Hoewel er een sterke groei is in biometrische toepassingen is het slechts een kwestie van tijd, dat in welke hoedanigheid dan ook, misbruik wordt gemaakt van verschillende biometrische toepassingen. De overheid moet in dit soort gevallen zorgen voor beleid en wetgeving gericht op het tegengaan van misbruik van biometrische gegevens en daarop gebaseerde identiteiten.
Met biometrie wordt het herkennen van personen door middel van een lichaamskenmerk en met behulp van informatietechnologie bedoeld. Wanneer een douanebeambte met het blote oog een individu met een pasfoto vergelijkt is dit dus geen biometrie. Echter, wanneer dit geautomatiseerd plaatsvindt, dan spreken we wel van biometrie. Bij persoonsherkenning op basis van biometrische gegevens wordt dus een eerder gemeten lichaamskenmerk vergeleken met het resultaat van een nieuwe meting. Biometrie is veel meer dan alleen vingerafdrukken. Denk aan stemgeluid, het patroon van de iris in het oog, het ritme waarop iemand typt, lichaamsgeur, DNA of de schrijfbewegingen die iemand maakt kunnen. Al deze vormen van biometrie kunnen worden gebruikt voor biometrische persoonsherkenning en kunnen worden toegepast als authenticatiemiddel.
De vraag is alleen: welke vorm is het meest betrouwbaar en is tegelijkertijd gebruiksvriendelijk genoeg en relatief laag in kosten om het voor een groter publiek toegankelijk te maken? Aderanalyse onder de vingerafdruk is heel betrouwbaar, alleen zeer complex om in korte tijd vast te stellen of er een zogenaamde ‘match’ is. Vooralsnog zijn vingerafdrukken de meest ingezette vorm van biometrie. Naast het feit dat in korte tijd een vergelijking kan worden gemaakt, is het ook betrouwbaar. Toch kunnen er soms ook foutieve uitkomsten zijn (false postives).
Het toepassingsgebied van biometrische methoden breidt zich in hoog tempo uit. Het belang van persoonsherkenning is toegenomen omdat we ons in een anonieme informatiesamenleving met een toenemende wereldwijde mobiliteit bevinden. Daarnaast zijn biometrische methoden een oplossing voor de moeilijk te onthouden pincodes en wachtwoorden. Uit onderzoek van TNS NIPO blijkt dat de meeste Nederlanders tussen de drie en negen wachtwoorden in gebruik hebben; een derde zegt zelfs meer dan tien wachtwoorden te gebruiken. In deze situatie klinkt het gebruik van biometrie als een veel efficiëntere manier van authenticatie.
Het gebruik van biometrie voor particuliere toepassingen is in opkomst, maar door overheidsinstanties wordt al langer gebruik gemaakt van biometrische gegevens. Het Nederlands biometrisch paspoort is hier een van de meest sprekende voorbeelden van. Dit paspoort bevat een chip waarop de houdergegevens staan opgeslagen, aangevuld met niet zichtbare gegevens. Bij grenscontroles kunnen de biometrische gegevens van de reiziger vergeleken worden met de biometrische gegevens op de chip in het paspoort. Het initiatief voor het biometrisch paspoort bestond al voor 2001, maar de ontwikkeling is door de aanslagen van 9/11 in een stroomversnelling geraakt, mede doordat de Verenigde Staten dreigden om Europese paspoorten zonder biometrische kenmerken uit te sluiten van het ‘Visa Waiver Program’. Belangrijkste doel van het biometrisch paspoort is om zogenaamde ‘Looka- like fraude’ het gebruikmaken van het paspoort van iemand anders, tegen te gaan. In de praktijk is namelijk gebleken dat mensen er niet erg goed in zijn om een pasfoto met een levend persoon te vergelijken. Getrainde professionals scoren slechts iets hoger dan niet getrainde personen in het herkennen van fraudeurs. Gelaatscans en vingerafdrukken, geanalyseerd door een systeem, moeten er nu voor zorgen dat deze vorm van fraude niet meer kan plaatsvinden.
Onder de bevolking blijkt er wel degelijk draagvlak te zijn voor biometrische toepassingen. Maar de gebruiker heeft niet het gevoel dat elke biometrische toepassing even betrouwbaar en veilig is. Het meeste vertrouwen hebben de burgers in het veilig omgaan met gegevens door de Belastingdienst-DigiD, ziekenhuizen en banken. Kijk naar ABN AMRO waar de gebruiker met zijn vingerafdruk bankzaken kan regelen en waar weinig protest tegen is. Het minste vertrouwen, blijkt uit onderzoek van TNS NIPO, is er in ontwikkelaars/aanbieders van apps voor smartphones. Zes op de tien heeft daar geen vertrouwen in. Ook blijkt uit dit onderzoek dat webshops en Google worden gewantrouwd als het gaat om het zorgvuldig omgaan met persoonsgegevens.
Toch blijkt uit hetzelfde onderzoek dat het voor bijna zeven op de tien Nederlanders bij het installeren van een applicatie vooral van belang is of een app gratis is; slechts een derde kijkt naar de privacy. En dat terwijl er veel nieuwe mogelijkheden zijn met smartphones, bijvoorbeeld door de verbetering van de camera waarmee nu al een goede irisscan te maken is. Hiermee zou je bijvoorbeeld met een selfie kunnen betalen bij webshops. De acceptatiegraad van biometrie neemt toe, maar zoals elke vorm van authenticatie heeft ook biometrie voor- en nadelen.
Biometrie was voor de lancering van de iPhone 5s eigenlijk nooit echt grootschalig toegepast buiten overheden en geheime diensten. Dat komt voornamelijk omdat de baten niet opwegen tegen de nogal aanzienlijke kosten voor de aanschaf van readers en middleware en de privacy-uitdagingen. Maar toen verscheen in 2013 vlak na de lancering van de iPhone 5s een filmpje op internet waarbij hackers lieten zien hoe ze van een foto van iemands vingerafdruk een namaak vingerafdruk konden gebruiken om de telefoon te unlocken.
Biometrische gegevens kunnen dus in verkeerde handen vallen. Dit heeft grote gevolgen aangezien biometrische kenmerken, in tegenstelling tot een wachtwoord, niet wijzigbaar zijn. Dus wanneer een biometrisch gegeven eenmaal misbruikt is, is dit gegeven onveilig voor alle toepassingen die van dit gegeven gebruik maken. Verder nemen de risico’s toe wat betreft de opslag van biometrische gegevens. Privacy komt in het geding aangezien databases in toenemende mate aan elkaar worden gekoppeld, bijvoorbeeld in de strijd tegen internationaal terrorisme en georganiseerde misdaad. De gegevens staan dus op steeds meer locaties opgeslagen waardoor het risico op hacking aanzienlijk toeneemt. Het goed versleutelen en hashen (het creëren van een hashcode waaruit de oorspronkelijke gegevens niet meer zonder sleutel af te leiden zijn) van biometrische data is hierin een vereiste.
Nu er steeds meer vormen van biometrie worden gebruikt voor authenticatie, neemt het risico toe op enig misbruik hiervan. Als er eenmaal misbruik is gemaakt van de afgegeven biometrie, kun je dit niet gemakkelijk vervangen. Je kunt bijvoorbeeld geen vingerafdruk vervangen. De mens wil gebruiksgemak, met daarbij de garantie dat het ook veilig is. Het vinden van een balans tussen beide is noodzakelijk. Een keuze voor meer gebruikersgemak betekent niet automatisch dat ook de veiligheid optimaal kan worden gegarandeerd. Authenticatie op basis van biometrie wordt nu vooral beoordeeld vanuit gebruikersgemak: een vervanging van de bekende (maar vaak vergeten) wachtwoorden en pincodes. Waar op andere gebieden ‘security by design’ steeds meer aandacht krijgt, lijkt de tendens bij biometrie het tegenovergestelde te zijn om het gebruik ervan laagdrempelig te houden en het toepassingsgebied te optimaliseren.
Om biometrie als authenticatiemiddel een succes te laten worden zijn twee zaken van essentieel belang. Ten eerste moet een veilige opslag van biometrische gegevens worden geborgd door deze bijvoorbeeld uitsluitend lokaal op te slaan. Ten tweede moet de overheid meer aandacht besteden aan de nieuwe toepassingen met biometrie. Zoals eerder in dit artikel is aangegeven, is misbruik van deze gegevens slechts een kwestie van tijd. Indien de identiteit (biometrie) van iemand gestolen wordt, is dit niet alleen voor deze persoon een groot probleem. Ook voor een organisatie
waar deze persoon voor werkt, die op basis van een biometrisch kenmerk de authenticatie heeft ingericht, kan dit een probleem zijn. De digitale veiligheid van burgers is dan niet alleen in het geding, maar ook die van organisaties en het bedrijfsleven. Hoe sneller de ontwikkelingen, hoe eerder de overheid hierop moet kunnen anticiperen. Anders kan men zich ongestraft voordoen als iemand anders, met alle gevolgen van dien.