Biometrie is het gebruik van unieke lichamelijke kenmerken, zoals een vingerafdruk, om de identiteit van iemand vast te stellen. In dit artikel ga ik in op de verschillen, de voor- en nadelen van biometrische authenticatie ten opzichte van traditionele authenticatie met een wachtwoord. Ook behandel ik de praktische voor- en nadelen van verschillende vormen van biometrische gegevens, ga ik in op de betrouwbaarheid van biometrie en ik licht de privacyaspecten daarvan toe met actuele gevallen uit de pers.
Biometrie is het gebruik van unieke lichamelijke kenmerken, zoals een vingerafdruk, om de identiteit van iemand vast te stellen. In dit artikel ga ik in op het gebruik van biometrie voor toegangsbeveiliging. Ik noem het authenticatie: vaststellen wie iemand is die inlogt op een informatiesysteem of toegang wil tot een gebouw of een ruimte. Daarvoor worden de volgende vormen gebruikt:
vingerafdruk
gezichtsherkenning
iris- of netvliesscan
stemherkenning
In de volgende paragrafen noem ik vooral de vingerafdruk en de gezichtsherkenning, maar het meeste geldt ook voor de andere vormen van biometrie.
Voor het inloggen in informatiesystemen wordt vaak een wachtwoord gebruikt. In de praktijk blijkt dat het veel mensen niet lukt om een wachtwoord te kiezen dat moeilijk te raden is en kwaadwillenden kunnen overal ter wereld een poging doen om een wachtwoord te raden. Het is dus niet vreemd dat dit af en toe lukt en dat onbevoegden toegang krijgen tot informatiesystemen. Daarnaast zetten kwaadwillenden soms slimme trucs in om de wachtwoorden te achterhalen. Dat gebeurt bijvoorbeeld met phishing-e-mails die heel specifiek gericht zijn op een bepaalde persoon. Een voorbeeld is de inbraak in de mailbox van de campagneleider van de democratische partij in de Verenigde Staten.(1)
Wachtwoorden blijven niet altijd geheim en bij beveiliging van informatiesystemen door middel van een wachtwoord is het kennen van het wachtwoord genoeg om toegang te krijgen. Een oplossing voor dit probleem is het toevoegen van een tweede beveiliging bij het inloggen, ook wel bekend als de ‘tweede factor’. De eerste factor is dan het wachtwoord, iets dat je weet. De tweede factor kan iets zijn dat je hebt, bijvoorbeeld een pasje of een apparaat zoals een smartphone. De tweede factor kan ook een biometrisch kenmerk zijn. Dat laatste wordt nogal eens als gebruikersvriendelijker ervaren.
Voor toegang tot gebouwen wordt vaak een pasje gebruikt. Hier is het een probleem dat het pasje verloren kan gaan of dat iemand zijn pasje aan iemand anders uitleent. Dat kan onbevoegde toegang of fraude mogelijk maken, bijvoorbeeld als twee mensen met hetzelfde pasje naar de sportschool gaan. Beide problemen treden niet op bij biometrische authenticatie. Een vingerafdruk of je gezicht raak je niet zo gemakkelijk kwijt als een smartphone of een pasje en je kunt dit niet delen met een andere persoon. Zelfs eeneiige tweelingen hebben verschillende vingerafdrukken.
Tussen wachtwoorden en biometrie bestaan een aantal fundamentele verschillen. Die verschillen laten ook een aantal nadelen en risico’s van biometrie zien.
1. Biometrie is niet perfect
De controle van een wachtwoord leidt tot een eenduidig resultaat: het klopt of het klopt niet. Voor biometrie is dat niet zo. Een vinger wordt nooit twee keer precies op dezelfde manier op de scanner gelegd en je gezicht ziet er elke dag net iets anders uit, zeker na een bezoek aan de kapper, na een nachtje stappen, zonder of met make-up, na het overslaan van een paar scheerbeurten of met een nieuwe bril. Dit betekent dat er bij biometrie altijd gekeken wordt of de vingerafdruk of het gezicht ‘voldoende’ lijkt op de opgeslagen informatie. Daarbij wordt naar een balans gezocht tussen:
false positives: de biometrie herkent iemand terwijl een andere persoon zijn vingerafdruk of gezicht heeft laten scannen.
false negatives: de biometrie herkent iemand niet, terwijl deze wel toegang zou moeten hebben.
Bij het instellen van de software achter de scanner kun je kiezen voor:
een meer tolerante instelling: meer false positives en minder false negatives (minder veilig, maar ook minder frustratie bij rechtmatige gebruikers);
een striktere instelling: minder false positives en meer false negatives (veiliger, maar ook meer frustratie bij rechtmatige gebruikers).
2. Kwaliteitsverschillen
De controle van een wachtwoord is eenvoudig, maar de controle van een vingerafdruk of een gezicht is veel complexer. Een goede scanner en goede software om deze te analyseren en te vergelijken met opgeslagen gegevens is duur. Daarom zien we zowel bij de scanners als bij de achterliggende software grote kwaliteitsverschillen. Dat kan bijvoorbeeld liggen aan het aantal camera’s of het aantal herkenningspunten dat wordt opgeslagen. Sommige gezichtsherkenningssoftware laten zich door een foto misleiden. Een hoge prijs blijkt volgens een onderzoek van de Consumentenbond overigens geen garantie te zijn voor kwaliteit.(2) Het lijkt erop dat de vingerafdruktechnologie wat volwassener is dan de gezichtsherkenningstechnologie, maar ook daar gaat het soms niet goed.(3)
3. Een wachtwoord kun je veranderen, je vingerafdruk niet
Als er een vermoeden is dat je wachtwoord is gelekt, kun je dit aanpassen en een nieuw wachtwoord kiezen. Wanneer je biometrische gegevens zijn gelekt, kan iemand misbruik van deze gegevens maken zonder dat je in staat bent om deze te wijzigen. Het lekken van biometrische gegevens komt helaas af en toe voor.(4)(5) Bij een lek van deze gegevens kun je daar je leven lang last van hebben.(6)
4. Per toepassing een ander wachtwoord
Het is een goed gebruik om per informatiesysteem of website een ander wachtwoord te gebruiken. Als één systeem gekraakt is, kan een kwaadwillende niet bij andere systemen. Bij biometrie is dat niet mogelijk. Je hebt weliswaar tien vingers, maar slechts één gezicht. Je kunt er dus niet omheen om voor meerdere toepassingen dezelfde biometrische gegevens te gebruiken.
5. Een wachtwoord kun je alleen bewust afgeven
Een vingerafdruk of een gezichtsscan kan in je slaap worden gemaakt en daarmee kan je smartphone mogelijk worden ontgrendeld. Ook kan de politie je dwingen om je telefoon met je vinger te ontgrendelen, terwijl je niet verplicht bent je wachtwoord of je pincode af te geven.(7) Vanwege deze verschillen en nadelen én om extra veiligheid in te bouwen worden de methoden vaak gecombineerd gebruikt, zoals een wachtwoord plus iets wat je moet hebben (smartphone, smartcard) of een vingerafdruk met een pincode.
Bij elke vorm van authenticatie, of dat nu met een wachtwoord, biometrische gegevens, een pasje of een smartphone is, ben je kwetsbaar voor dwang. Met een pistool of een mes op de borst is het waarschijnlijk beter je wachtwoord te vertellen of je vinger of je gezicht te laten scannen.
Volgens de Algemene verordening gegevensbescherming (AVG) vallen biometrische gegevens onder bijzondere persoonsgegevens wanneer ze voor identificatie worden gebruikt (AVG Art. 9 lid 1). Dat betekent dat het verwerken daarvan verboden is, tenzij een van de uitzonderingen geldt (AVG Art. 9 lid 2). In de praktijk komen daarvoor de grondslagen ‘toestemming’ (AVG Art. 9 lid 2 onder a) en ‘zwaarwegende algemene belangen’ (AVG Art. 9 lid 2 onder g) in aanmerking.
De toestemming voor het gebruik van biometrische gegevens moet vrij zijn en dat betekent meestal dat er een gelijkwaardig alternatief moet zijn, zoals bijvoorbeeld een pasje. Het gebruik van bijvoorbeeld een vingerafdruk is dan een extra service voor de betrokkene ten behoeve van diens gebruiksgemak.(8)
De zwaarwegende algemene belangen moeten in de wet zijn vastgelegd en het gebruik van biometrische gegevens moet evenredig zijn met het doel. De Nederlandse wetgever heeft op basis van deze uitzondering in de UAVG (UAVG Art. 29) vastgelegd dat het verbod op de verwerking van biometrische gegevens wordt opgeheven wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. ‘Noodzakelijk’ betekent dat het niet op een andere manier kan. Dat is een hoge horde, die eerder kan worden genomen bij nucleaire installaties, opslag van gevaarlijke virussen of de kluis van De Nederlandsche Bank dan bij andere, alledaagse, toepassingen. Dat blijkt ook uit de toepassingspraktijk.
Modebedrijf Manfield wilde medewerkers verplichten tot het gebruik van een vingerafdrukscan voor de toegang tot de kassa’s. Ze werd teruggefloten door de rechter. Deze oordeelde dat er eerst andere, minder ingrijpende, oplossingen moesten worden onderzocht. Het doel van fraudebestrijding kan waarschijnlijk ook worden bereikt met een pasje, al of niet in combinatie met een toegangscode.(9)(10)
Studentensportcomplexen voerden een vingerafdrukscan in voor de toegang. Journalisten van Nu.nl onderzochten dat en concludeerden op basis van de website van de Autoriteit Persoonsgegevens (AP) dat dit niet conform de AVG is.(11)(12)
Een recreatieplas biedt toegang met een gezichtsscan aan als vrijwillig alternatief voor toegang met een papieren kaart. Men meent hiermee te voldoen aan de AVG.(13)
Als je dan toch overweegt om biometrie toe te passen, gebruik dan de volgende tips:
Onderzoek alternatieven om het doel te bereiken.
Weeg de noodzaak af tegen de vereisten uit de AVG en de UAVG.
Voer een DPIA uit, zoals dit vereist is volgens de lijst van de AP, met verwerkingen waarvoor een DPIA verplicht is.(14)
Sla de biometrische gegevens versleuteld op. De AP ziet dat als een randvoorwaarde voor rechtmatige toepassing.(15)
Gebruik biometrie niet als enige factor, maar aangevuld met een pin of een wachtwoord.
(1) https://en.wikipedia.org/wiki/Podesta_emails(2) https://www.consumentenbond.nl/veilig-internetten/gezichtsherkenning-te-hacken https://nos.nl/artikel/2265993-gezichtsherkenning-smartphones-simpel-te-foppen-met-pasfoto.html(3) https://tweakers.net/nieuws/158730/ultrasone-scanner-galaxy-s10-accepteert-elke-vinger-met-bepaalde-screenprotector.html en https://nakedsecurity.sophos.com/2019/04/23/phone-fingerprint-scanner-fooled-by-chewing-gum-packet/(4) https://www.bnr.nl/nieuws/technologie/10386801/ruim-een-miljoen-biometrische-gegevens-liggen-op-straat(5) https://www.demorgen.be/nieuws/datalek-met-biometrische-gegevens-van-miljoen-gebruikers-ontdekt~b5a9855ca/?referer=https%3A%2F%2Fwww.google.com%2F
(6) https://www.parool.nl/columns-opinie/liggen-je-biometrische-gegevens-op-straat-dan-ben-je-voorgoed-de-pineut~bfad289f/(7) https://www.privacy-web.nl/artikelen/verplicht-je-smartphone-ontgrendelen(8) https://www.privacy-web.nl/vragen/als-werknemers-uitdrukkelijke-toestemming-geven-voor-het-gebruik-van-biometrische-gegevensm-praktische-redenen-door-middel-van-b(9) https://www.privacy-web.nl/jurisprudentie/manfield-mag-vingerscanautorisatie-personeel-niet-verplichten-wat-zijn-de-privacyregels
(10) https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2019:6005&showbutton=true&keyword=avg(11) https://www.nu.nl/tech/6005067/studentensportscholen-leiden-en-amsterdam-eisen-onterecht-vingerafdruk.html(12) https://www.privacy-web.nl/nieuws/studentensportscholen-leiden-en-amsterdam-overtreden-avg(13) https://www.privacy-web.nl/nieuws/recreatieplas-henschotermeer-gaat-gezichtsherkenning-gebruiken(14) https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf
(15) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
Dit artikel is ook te vinden in het dossier Informatiebeveiliging