Zijn biometrische toepassingen de wachtwoorden en pincodes van de toekomst? In het rapport ‘Trends in Veiligheid 2016’ signaleerde Capgemini echter dat er weerstand bestaat tegen het gebruik van biometrie als authenticatiemiddel. Gijs Daalmijer van Capgemini vertelt over de kansen en uitdagingen van biometrie.
Een vingerafdruk om je smartphone te ontgrendelen. Een creditcardbetaling doen met een selfie. Een telefoonabonnement verlengen op basis van je stemgeluid. Biometrie – het herkennen van individuen door middel van een lichaamskenmerk en met behulp van informatietechnologie – biedt allerlei kansen om consumentendienstverlening snel en makkelijk te maken. Tegelijkertijd breidt het toepassingsgebied van biometrie zich uit. Want in een anonieme, digitale samenleving is het belang van persoonsherkenning groter dan ooit.
Meer dan alleen vingerafdrukken
“Bij biometrie denkt men al snel aan vingerafdrukken. Maar er is zoveel meer mogelijk: van irisscans tot scans van het gezicht en de handpalmen. En voor steeds meer toepassingen worden biometrische verificatiemethoden ingezet”, zegt Gijs Daalmijer, biometriedeskundige bij Capgemini. Het Nederlandse paspoort is inmiddels voorzien van een vingerafdruk. De Amerikaanse grenscontrole kom je niet meer door zonder het afgeven van je vingerafdruk en irisscan. “En op meerdere luchthavens, waaronder Schiphol, is men bezig om reizigers met behulp van een eenmalige gelaatsscan supersnel – en zonder de boarding pass te laten zien – door het proces te leiden.”
Proceskant
Daalmijer, van huis uit bestuurs- en veiligheidskundige, houdt zich als consultant bij Capgemini dagelijks bezig met biometrie. “Vooral over de proceskant van biometrische systemen zijn veel vragen. Bij elke toepassing waarbij je je moet identificeren spelen allerlei procesfactoren. Je moet bijvoorbeeld interne procedures ontwikkelen, de organisatie inregelen, en verschillende partijen – van leveranciers tot samenwerkingspartners – betrekken. Er komt zo veel meer kijken bij biometrie dan alleen de technologie.”
Weerstand
In het jaarlijkse trendrapport ‘Trends in Veiligheid 2016’ signaleerde Capgemini al de keerzijde van de toenemende belangstelling voor biometrie: er bestaat weerstand tegen het gebruik van biometrie als authenticatiemiddel. Consumenten en burgers staan niet graag hun biometrische gegevens af, vooral niet aan commerciële partijen. In de Belastingdienst, ziekenhuizen en banken lijkt dit vertrouwen nog wel te bestaan. Maar de bereidheid om biometrische gegevens te gebruiken voor het betalen in webshops, voor het gebruiken van apps en het zoeken via Google is zeer beperkt, zo blijkt uit onderzoek van TNS Nipo.
Veiligheid
Ook de veiligheid van opgeslagen data is een veelgenoemd zorgpunt. Als een biometrisch gegeven in verkeerde handen valt, zijn de gevolgen niet te overzien. In tegenstelling tot een wachtwoord kan een vingerafdruk of irisscan nu eenmaal niet gewijzigd worden. Bovendien worden databanken steeds meer – zelfs internationaal – gekoppeld. Bij identiteitsdiefstal kan daardoor een heel scala aan persoonsgegevens op straat komen te liggen.
Gijs Daalmeijer: “Biometrie is echt mooi, je kunt er mooie dingen mee doen. De mogelijkheden van biometrie zijn ook heel groot. Maar de vraag is wat mij betreft altijd: is het echt noodzakelijk?
Ook de kwaliteit van biometrie – zodat herkenning van individuen gewaarborgd is, zonder false positives – is een aandachtspunt. Daalmijer noemt het voorbeeld van de vingerafdrukken die Nederlandse burgers sinds 2009 verplicht moeten afstaan bij het aanvragen van een nieuw paspoort. “Daarmee zou look-a-likefraude worden voorkomen. Maar is een gemeenteambtenaar wel in staat om op de juiste wijze een vingerafdruk af te nemen? Is de kwaliteit van de opgeslagen gegevens op orde? En wie houdt toezicht op de zorgvuldige opslag van gegevens?”
Security by design
Experts zijn het er over eens dat voor de adequate beveiliging van biometrische toepassingen een complex samenspel van techniek, organisatie en procedures nodig is – met voldoende aandacht voor de menselijke factor. “De crux is steeds dat de eerste registratie en verificatie van de biometrische gegevens goed verlopen. Two-factor verification kan hierbij helpen. Dan combineer je bijvoorbeeld iets wat je weet, zoals een wachtwoord, met iets wat je bent, zoals een vingerafdruk. Dat maakt de kans op fouten en hacks kleiner. Helaas krijg je al wel al snel een trade-off: want hoe beter de beveiliging, hoe minder het gebruiksgemak.”
Hoe beter de beveiliging, hoe minder het gebruiksgemak
Security by design biedt ongekende kansen als het gaat om beveiliging van biometrische systemen, vindt Daalmijer. “Je gaat dan al tijdens het ontwikkelen van een product kijken hoe je veiligheid direct kunt garanderen. Dat betekent bijvoorbeeld dat gegevens uitsluitend lokaal worden opgeslagen, of dat bij authenticatie gegevens uit twee databases worden gecombineerd.”
Overheidsbemoeienis
Volgens Capgemini is bij nieuwe biometrische toepassingen ook overheidsbemoeienis van belang. Want naast de digitale veiligheid van burgers kan ook de betrouwbaarheid van overheden en bedrijven in het geding zijn. Bij identiteitsdiefstal is namelijk niet alleen de betrokkene de dupe, maar kunnen allerlei instanties te maken krijgen met iemand die zich als een ander voordoet.
Vaak ontstaat het besef dat we iets wettelijk moeten regelen pas als er iets is misgegaan
“De toekomst belooft een gestage groei van de toepassing van biometrie, maar we moeten goed opletten of gegevens wel zorgvuldig worden opgeslagen en gebruikt. Het is de vraag of we er op tijd bij zijn met wet- en regelgeving om misbruik te voorkomen. Vaak ontstaat het besef dat we iets wettelijk moeten regelen pas als er eerst iets echt is misgegaan. En dat is – gelukkig – in Nederland nog niet gebeurd met biometrische gegevens.”
Toekomstbeelden
Capgemini signaleert in het trendrapport een opmerkelijke ontwikkeling: de acceptatie van biometrie neemt toe. De privacyzorgen over apps, smartphones en webshops zijn nog relatief beperkt. Daalmijer: “Aan bijvoorbeeld het gebruik van de vingerafdruk om de iPhone te ontgrendelen raken we steeds meer gewend. Als je op die manier dagelijks je smartphone gebruikt, dan neemt een eventuele weerstand vanzelf af. Er is natuurlijk altijd wel een groep mensen die strijden voor privacy. Biometrie komt heel dichtbij je identiteit. Het is ook goed dat een kritische groep zich laat horen; dat houdt iedereen scherp.”
Bij biometrie denkt men al snel aan vingerafdrukken. Maar er is zoveel meer mogelijk: van irisscans tot scans van het gezicht en de handpalmen.
Zijn biometrische toepassingen de wachtwoorden en pincodes van de toekomst? Daalmijer nuanceert al te rooskleurige toekomstbeelden. “Biometrie is echt mooi, je kunt er mooie dingen mee doen. De mogelijkheden van biometrie zijn ook heel groot. Maar de vraag is wat mij betreft altijd: is het echt noodzakelijk? Bij grenscontroles kan ik me voorstellen dat biometrie wordt gebruikt. Maar is het voor een commerciële applicatie echt nodig? Kan je in plaats van een selfie of vingerafdruk voor verificatie niet iets bedenken met beperktere privacy- en veiligheidsrisico’s? Het is belangrijk dat we voldoende nadenken over de kansen én risico’s van biometrie. Nu en in de toekomst.”
Lynsey Dubbeld, freelance trendanalist en tekstschrijver
> Lees ook Security? IT én biometrie
>> Dit artikel verscheen in Security Management nummer 5