Biometrie toepassen in toegangscontrole is zeer aanlokkelijk. Biometrie is een krachtige techniek om personen automatisch aan unieke lichaamskenmerken te herkennen. Hoe tot verantwoorde inzet van biometrie in fysieke toegangscontrole te komen?
Het klinkt prachtig om een persoon toegang te verlenen of te weigeren op grond van iemands unieke lichaamskenmerken. Introductie van biometrische persoonsherkenning is in praktijk zelden ‘appeltje-eitje’. De technologie is helaas voor veel mensen lastig te doorgronden. Het gehele biometriesysteem inclusief werkprocessen en procedures is soms best complex. Dus maar niet aan biometrie beginnen? Nee, integendeel! Dit is een handreiking (geen checklist) om biometrie verantwoord toe te passen in toegangscontrole.
Inhoudsopgave:
– Kies weloverwogen voor biometrie (of niet)
– Veiligheid: bron voor biometrische toegangsbeveiliging
– Privacy: bescherming van het individu
– Gemak: succesfactor voor biometrische toegangscontrole
– Pas biometrie doordacht toe in toegangscontrole
– Ga voor een geschikte vorm van biometrie
– Gelaatsherkenning
– Vingerafdrukherkenning
– Irisherkenning
– Vinger- en handaderherkenning
– Sprekerherkenning
– Kansen
Kies weloverwogen voor biometrie (of niet)
Waarom wilt u biometrie in toegangscontrole inzetten? Het antwoord ligt meestal in een onderling samenspel van veiligheid, privacy, gemak en vanzelfsprekend kosten. Hoe eerder u de bedrijfsmatige overwegingen in beeld heeft, des te effectiever en soepeler het verdere realisatietraject. En leg dit ‘waarom’ schriftelijk vast voor verder gebruik.
Goed werkende processen zijn de sleutel tot succesvolle biometrische toegangscontrole
Veiligheid: bron voor biometrische toegangsbeveiliging
Biometrie kan een aanzet tot veiligere fysieke toegangsverlening zijn. Biometrische kenmerken kunnen niet simpel overgedragen worden in tegenstelling tot een sleutel of iets dergelijks.
- In praktijk worden van een persoon eerst één of meerdere biometrische kenmerken opgenomen (‘enrolment’). Bij latere toegangscontrole van diezelfde persoon worden dezelfde kenmerken opnieuw opgenomen en vergeleken met de eerdere opname. Meestal worden de opgenomen patronen vereenvoudigd tot kleinere templates met de herkenningspunten en deze templates onderling vergeleken. Opnames en templates zullen echter nooit exact gelijk zijn door het verschil in tijd, locatie, omstandigheden, sensor, enzovoort.
- Aan biometriegebruik kleven intrinsieke foutkansen. Kans (ongelijk nul) op onterechte toegangsverlening of onterechte toegangsweigering bestaat. Meestal is het compromis tussen onterechte herkenning (‘veiligheid’) en onterechte afwijzing (‘ongemak’) instelbaar in het biometriesysteem.
- Biometrische toegangscontrole kan ook misleid worden (‘spoofing’). Bijvoorbeeld, een vingerafdruk kan nagemaakt worden. Tegen welke prijs en moeite is het biometriesysteem te foppen? Barrières kunnen technisch en/of procesmatig opgeworpen worden.
Veiligheidsniveau biometrische techniek
Neem bijvoorbeeld gelaatsherkenning. Het ene systeem is wellicht te misleiden met een gelaatsfoto en het andere met een 3D masker. En weer een ander controleert op geavanceerde wijze of er sprake van leven bij het subject is. Voor andere biometrische kenmerken gelden vergelijkbare situaties en technische verschillen.
Veiligheidsniveau biometrisch proces
Bij onbegeleide toegang heeft het subject meer mogelijkheden om de controle te foppen. Bijvoorbeeld, een foto voor een camera houden of een masker gebruiken valt eerder op bij begeleide toegang. Als de biometrische toegangscontrole niet werkt, dient er een alternatief veilig scenario te zijn. Hiervoor zijn meestal meerdere procesmatige uitwerkingen.
AVG: Angst voor torenhoge boetes is een slechte raadgever. Gezond verstand volstaat beter
Privacy: bescherming van het individu
De Algemene Verordening Gegevensbescherming (AVG of GDPR) heeft het bewustzijn over verwerking van persoonsgegevens aangewakkerd. Persoonsgegevens mogen verwerkt worden, als voorzien is in toestemming, noodzaak voor vitaal belang, voor overeenkomst, of voor algemeen of gerechtvaardigd belang. De opgeroepen angst voor mogelijk torenhoge boetes is een slechte raadgever. Gezond verstand volstaat voor biometrie beter.
- Het gebruik van persoonsgegevens is uitgangspunt sinds de AVG en niet langer het verkrijgen en opslaan van deze gegevens. Biometrische gegevens behoren tot een bijzondere categorie. De strekking van de AVG is nog niet helemaal uitgekristalliseerd. Een aanpak met ‘privacy by design’ is essentieel.
- Verwerking van biometrische gegevens is volgens de AVG verboden, tenzij aan één of meerdere van de 10 voorwaarden voldaan is (AVG art. 9). Grofweg moet de verwerking noodzakelijk zijn, niet anders kunnen, en moeten doel en middel bij elkaar passen.
- Toestemming vragen lijkt misschien een gemakkelijke route, maar is doorgaans niet geldig voor werknemers. Biometrische toegangscontrole zal dan op een andere grond gestoeld moeten worden. Biometrische gegevens kunnen voor unieke identificatie verwerkt worden. Als dit noodzakelijk is voor authenticatie en beveiligingsdoeleinden, is dit als uitzondering in Nederland toegestaan (Uitvoeringswet AVG art. 29). Veiligheid kan een gegronde reden zijn om biometrische kenmerken te mogen verwerken.
Gemak: succesfactor voor biometrische toegangscontrole
Even in een camera kijken, een vinger of een hand ergens langs halen of een tekst uitspreken en vervolgens herkend worden. Het behoort tegenwoordig tot de vele mogelijkheden in toegangscontrole. Gemak dient de mens.
Vrijwel iedere moderne smartphone is te ontsluiten middels biometrie. En dit gebeurt massaal, vaak zonder zich om privacy en veiligheid te bekommeren. Met name gebruikersgemak heeft voor deze snelle acceptatie gezorgd. De smartphone herbergt ook veel sensoren om als gemakkelijke sleutel gezien te (gaan) worden.
Pas biometrie doordacht toe in toegangscontrole
Hoe denkt u biometrie in toegangscontrole in te gaan zetten? Gewapend met uw inzichten in veiligheid, gemak en privacy is dit een tweede belangrijke vraag om te beantwoorden. De omstandigheden waaronder en de processen waarin biometrie ingezet wordt, leiden meestal tot verstrekkende eisen.
De biometrietechniek dient vaak onder specifieke en soms variërende omstandigheden te werken. In het licht en het donker, bij koude en warmte, in droge en vochtige lucht, binnen en buiten, in schone en vuile situaties, enzovoort. Andere prestatiefactoren van het biometriesysteem zijn de responssnelheid en de nauwkeurigheid. De ene vorm van biometrie leent zich beter voor het ene toepassingsgebied en een andere vorm voor iets anders. Ook biedt wellicht een biometrische app op een smartphone interessante mogelijkheden.
Het kan zijn dat u vooral bevoegde personen toegang wilt verlenen. Het gaat u dan om positieve verificatie of identificatie. Tijdens toegangscontrole heeft de persoon er belang bij om mee te werken. Als het juist belangrijk is om onbevoegde personen tegen te houden, dan gaat het om negatieve verificatie of identificatie. De persoon heeft nu weinig belang om herkend te worden tijdens toegangscontrole. Men spreekt van verificatie bij 1-op-1 vergelijking en van identificatie bij 1-op-N vergelijking.
Denk ook na over beschermingsmaatregelen als versleuteling van gegevens, opslaglocatie van data, enzovoort. Vooraf kan meestal ingeschat worden welke biometrische techniek een reële kans van slagen heeft voor de beoogde toegangscontrole.
Goed werkende processen zijn de sleutel tot succesvolle biometrische toegangscontrole
Ga voor een geschikte vorm van biometrie
Wat wilt u concreet met biometrie in toegangscontrole doen? Het is belangrijk om een geschikte vorm van biometrietechniek te kiezen en daarop uw toegangscontroleprocessen in te richten. Technisch correcte werking van een biometrisch informatiesysteem is een noodzakelijke voorwaarde voor succes. Goed werkende processen zijn de sleutel tot succesvolle biometrische toegangscontrole.
Gelaatsherkenning
Gelaats- of gezichtsherkenning is gebaseerd op overeenkomsten in vorm en positie van onderdelen van het gelaat. Wij mensen zijn gewend elkaar aan het gezicht te herkennen. Gelaatsherkenning kent daardoor waarschijnlijk een hoge acceptatiegraad.
De prestaties van gelaatsherkenning zijn de laatste jaren met sprongen vooruitgegaan, onder andere door nieuwe algoritmes en artificiële intelligentie (AI). Recht in de camera kijken leidt veelal tot de beste prestaties.
![vingerafdrukherkenning, toegangscontrole, biometrie](https://www.securitymanagement.nl/wp-content/uploads/2019/04/shutterstock_465179150-1-biometrie.jpg)
Vingerafdrukherkenning is een bekende techniek en werkt op de bijzondere kenmerken in het lijnenpatroon van de vinger.
Vingerafdrukherkenning
Deze bekende techniek werkt op de bijzondere kenmerken in het lijnenpatroon van de vinger. De ontwikkeling heeft van de jarenlange toepassing in forensisch onderzoek kunnen profiteren. Soms wekt de associatie met strafrecht echter juist weerstand.
De prestaties zijn meestal goed. Scanners worden steeds beter en het aanbod is groot, evenals de onderlinge verschillen. Contactloos heeft zijn intrede gedaan. Dit vergroot het gebruiksgemak.
Irisherkenning
Bij irisherkenning draait het om het strepenpatroon in de iris. De iris is een zeer constante factor in iemands leven. Er is soms weerstand om het eigen oog voor de sensor te houden.
Irisherkenning staat als zeer veilig te boek. Er wordt aan oplossingen gewerkt om de iris minder stringent voor de sensor te hoeven plaatsen.
Vinger- en handaderherkenning
In dit geval zijn de karakteristieken van het aderpatroon leidend. Soms dient men een vinger in een apparaat te houden of kan men een hand(palm) op korte afstand aan een sensor tonen. Deze handeling wordt meestal als vrij onschuldig en gemakkelijk ervaren.
De nauwkeurigheid lijkt gelijkwaardig aan die van irisherkenning, maar er zijn nog weinig testresultaten.
Sprekerherkenning
Iemands stem bevat naast variabele componenten ook persoonsgebonden kenmerken. De techniek kan op afstand (via de telefoon) gebruikt worden en is hierdoor sterk in opkomst, onder andere in de financiële wereld. Sprekerherkenning wordt nog niet of nauwelijks in fysieke toegangscontrole gebruikt.
Kansen
Er bestaan nog andere bruikbare lichaams- en gedragskenmerken, bijvoorbeeld de handtekening in een nieuw elektronisch jasje. Biometrische technologie biedt prachtige kansen, ook in fysieke toegangscontrole. Dit zal de komende jaren zeker zo blijven. Hoe kun je immers een persoon echt goed herkennen anders dan aan iemands gedrags- en/of lichaamskenmerken?
Ruud Huijts. Dr. Ruud Huijts is werkzaam als onafhankelijk zelfstandig consultant (SAMENZICHT Consultancy). Hij is medeoprichter en voorzitter van de Vereniging Voor Biometrie & Identiteit (VVBI).
– In 5 stappen naar een passend toegangscontrolesysteem
– De kansen van cloud-based toegangscontrole
– Provinciehuis Groningen: gastvrij veilig
Volg Security Management op LinkedIn