Biometrie en identiteit De klassieke manier om over biometrie na te denken wordt al vele jaren bepaald door de algemene perceptie dat biometrie naar de identiteit van een persoon leidt of zou moeten leiden. Dit heeft alles te maken met het historische gebruik van biometrie, met name in de hoek van opsporing en identificatie van criminelen: vingerafdrukken stonden met inkt afgedrukt in papieren dossiers met als doel het identificeren van personen. Deze methode bewijst al decennia lang haar waarde en zal dat in de toekomst blijven doen.
De enorme ontwikkelingen in de ICT hebben grote invloed op de gebruiksmogelijkheden van biometrie. Binnen de wereld van opsporing worden/zijn papieren dossiers vervangen door elektronische en worden databases steeds groter en centraler. Dat het gebruik van biometrie daarin meegenomen wordt, komt doordat de biometrie in toenemende mate een digitale aangelegenheid is geworden. Zo worden twee werelden met elkaar verbonden: de fysieke wereld (vinger, gezicht, iris, hand etc.) en de elektronische wereld (digitale foto, template, database, matching algoritme etc.). Het fenomeen dat biometrie in beide werelden een poot heeft staan en daarbij de perceptieve link van biometrie naar identiteit, zorgen voor een intrinsieke complexiteit bij het gebruik van biometrie met betrekking tot privacy en security.
Het gebruik van biometrie op de ‘klassieke' manier heeft ten opzichte van ‘moderne' manieren om biometrie te gebruiken (bijv. logische toegangscontrole) een totaal ander risicoprofiel vanuit de gebruiker gezien. Om in de fysieke wereld iemands biometrie te stelen, moet men in principe in de directe nabijheid van de persoon zijn. Ook bij de controle ervan zal er iemand bij zijn om te zorgen dat geen nepvinger wordt gebruikt. Wanneer mijn biometrische referentiedata daarentegen op internet verspreid worden en wanneer men thuis onder geen enkele supervisie biometrie gebruikt, zijn de risico's moeilijk te overzien. In die situatie is de link tussen biometrie en identiteit juist nadelig voor de veiligheid en privacy. Een antwoord daarop is dat we de biometrische gegevens moeten ontdoen van hun identiteitswaarde.
Wanneer we geen link willen hebben tussen de persoon en zijn biometrie, is het handig als de referentiedata die we gebruiken voor latere verificatie, niet als zodanig herkenbaar zijn als zij ergens worden opgeslagen. Speciale vormen van encryptie zijn in staat biometrie te versleutelen en later te verfiëren, zonder dat de versleutelde biometrie hoeft te worden ontsleuteld. Dat betekent dat niemand aan de opgeslagen data kan zien dat dit biometrische data zijn, laat staan of het een vinger of een iris is. Als er ook geen link bestaat tussen de opgeslagen, versleutelde biometrie en de persoon van wie deze afkomstig is, dan is de biometrie volledig anoniem. Op deze manier kan biometrie plotseling weer gebruikt worden als een ‘secret key': ‘secret', omdat je niet weet dat het een biometrische sleutel is en van wie; een ‘key', omdat het toegang kan geven tot een dienst, informatie of ruimte.
Deze vorm van gebruik opent een universum aan nieuwe toepassingsmogelijkheden, van kleinschalige tot internationale omvang. De privacyen security-problemen rond de opslag van de biometrische data zijn min of meer opgelost, en daarmee allerlei potentiële showstoppers als gevolg van privacy-waakhonden die (terecht) biometrie nog altijd met een kritisch oog bekijken.
Een stap verder doorgevoerd, kun je met deze benadering biometrie gebruiken waarbij het niet eens meer relevant is bij wie de biometrie fysiek gezien hoort. Een voorbeeld is het werk waarbij een team van twee personen uitsluitend samen toegang ergens toe krijgt (bijv. bij geldtransporten). Je zou de biometrie van de ene persoon kunnen koppelen aan de autorisatie van de ander en vice versa. Het gaat dan niet om het vastleggen van identiteit, maar om het verifiëren van een van tevoren geregistreerde code.
Zo verandert biometrie van de klassieke sleutel ‘wie je bent' in ‘wat je hebt' en ‘wat je weet'. De biometrie van persoon A kan de sleutel zijn voor persoon B. Biometrie is dan ontdaan van identiteit en is daarmee ook inzetbaar voor toepassingen zonder direct toezicht bij registratie en verificatie.
Max Snijder, directeur van de Biometric Expertise Group en directeur van het European Biometrics Forum