Volgend jaar is het Nederlandse paspoort een onzichtbare radiochip rijker waarop een gelaatsscan en later vingerafdrukken van de eigenaar te vinden zijn. Er is veel gedaan om deze privacygevoelige informatie goed af te schermen.
| Hoe werkt biometrie? Biometrie is het vaststellen van meetbare eigenschappen van levende wezens, aldus de Van Dale. Informatie over lichaamskenmerken van de mens worden in computers altijd in de vorm van een sjabloon opgeslagen. In de sjabloon van bijvoorbeeld een gelaatsscan is behalve de grafische informatie met de kleur en positie van pixels ook informatie te vinden over de ruimte tussen de ogen en andere herkenningspunten op het gezicht die in de sjabloon gedefinieerd zijn. Het beveiligingssysteem loopt bij een gelaatsscan de herkenningspunten uit de sjabloon na bij controle van de identiteit en vergelijkt dit met de sjabloon die bij de controle gemaakt is. Bij deze controle wordt dus niet de hele foto of opname van het gezicht nagelopen, maar alleen de herkenningspunten. In het paspoort is de biometrische controle van het gelaat bedoeld om look-alike-fraude met het paspoort te voorkomen. Als de gescande informatie niet overeenkomt met de informatie op de chip is dit bij de controle direct te zien. Naast de gelaatsscan zijn vingerafdrukken en de irisscan veelvoorkomende vormen van biometrie. |
Nederland heeft van september 2004 tot en met februari 2005 een proef gedaan met biometrische kenmerken in het paspoort. In de gemeenten Almere, Apeldoorn, Eindhoven, Groningen, Rotterdam en Utrecht hebben in totaal 14.700 mensen een paspoort of een identiteitskaart afgenomen met een gelaatsscan en vingerafdrukken van beide wijsvingers. SDU Identification heeft er bij deze proef voor gekozen om de rfid-chip en antenne onzichtbaar weg te werken in de plastic ‘houderpagina’ (de pagina in het paspoort waarop alle persoonlijke gegevens staan), die ook het centrale hart van het bestaande paspoort is. In andere landen is de rfid-chip en de antenne ook wel op de binnenkant van de kaft of juist midden in het document terechtgekomen. Behalve een gelaatsscan en vingerafdrukken zijn op de rfid-chip van Philips-makelij (met een opslagcapaciteit van 72 KB) de machine- leesbare gegevens uit het paspoort te vinden, evenals digitale documentbeveiligingsgegevens.
Keerzijde
De flexibiliteit van de contactloze chip heeft zijn keerzijde. De draadloze eigenschap vergroot de kans op inbreuk op de privacy gevoelige informatie. De rfid-chip in het Nederlandse paspoort is een passieve chip, die zijn werk slechts doet als het zich op hooguit tien centimeter van een lezer bevindt. “Bij een rfid-chip is de informatie met een gevoelige antenne van tientallen meters afstand uit te lezen als de chip communiceert met een lezer. Dat maakt de beveiliging van deze informatie complexer”, aldus Kinneging. Hij neemt deel aan het internationaal overleg over standaarden voor biometrische informatie in reisdocumenten. Deze discussie vindt plaats binnen de internationale burgerluchtvaartorganisatie Icao, waarin eerder al afspraken gemaakt zijn over de normen voor machineleesbare informatie onder aan de houderpagina in het paspoort. De Europese Commissie heeft de eisen van Icao voor de biometrische chip als norm gesteld voor de paspoorten van de EU-lidstaten.
Er is bij Icao veel energie gestoken in standaarden voor de beveiliging van deze informatie. Zo is de integriteit van de informatie zelf beschermd doordat de chip een digitale handtekening bevat, waaraan te zien is of de informatie authentiek en niet gewijzigd is. Daarnaast is er een beveiliging tegen het ongeoorloofd uitlezen van de chip op afstand ingebouwd. In het chipontwerp is de procedure Basic Access Control ingebouwd, die een code oppikt uit de machineleesbare informatie. Alleen met die code is er toegang tot de chip te krijgen. Daarnaast fungeert deze code ook als een sessiesleutel voor het cryptografisch beschermde communicatiekanaal dat tussen de lezer en de chip in het paspoort wordt opgezet voor het uitlezen van de biometrische gegevens. “Deze procedure zorgt ervoor dat je het Nederlandse paspoort moet openslaan en de magneetstrip door een lezer moet halen voordat je de biometrische informatie te zien krijgt “, aldus Kinneging. Een dichtgeslagen paspoort houdt daarmee de biometrische informatie verborgen.
Daarnaast is binnen de Icao bepaald dat voor het gebruik van vingerafdrukken in reisdocumenten een extra beveiligingslaag noodzakelijk is. In dit voorstel, Extended Access Control genaamd, moet een inspectiesysteem bij een grenscontrole de juiste en geldige sleutels uitwisselen met het paspoort voordat het toestemming krijgt tot inzage in de informatie. “Overheden kunnen deze maatregel toepassen om de informatie alleen toegankelijk te maken voor goedgekeurde apparaten of het controleren van de vingerafdruk per land te autoriseren”, zegt Kinneging. Nadeel van deze maatregel is dat een centraal en internationaal beheerpunt van deze sleutels moeilijk te realiseren is. Hier is nog overleg over binnen de EU, die wel al besloten heeft dat vingerafdrukken in reisdocumenten opgenomen zullen worden.
Normen
De normen voor beveiliging en toegang tot de biometrische informatie op de chip zijn broodnodig om de biometrische informatie straks in meerdere landen met apparatuur van verschillende fabrikanten uit te kunnen lezen. In Nederland is in de proef met de biometrische kenmerken in het paspoort al ervaring opgedaan met deze situatie doordat er met apparatuur van verschillende fabrikanten gewerkt is. De vingerafdrukken zijn vastgelegd met apparatuur van het Franse technologieconcern Sagem. Voor het opnemen van de gelaatsscan is apparatuur van Viisage gebruikt. Voor het uitlezen van de gelaatsscan is leesapparatuur gebruikt van Cognitec, Biodentity en Identix. Voor het uitlezen van vingerafdrukken is gewerkt met systemen van Precise Biometrics, Nec en Bioscrypt.
| Gefaseerde invoering Nederland gaat de biometrische gegevens in twee fases invoeren. Het kabinet kiest voor deze gefaseerde aanpak, omdat de technische specificaties voor de gelaatsscan wel, maar die voor vingerafdrukken nog niet door de Europese Commissie zijn vastgesteld. De gelaatsscan moet volgens de Europese verordening voor 28 augustus 2006 in het Nederlandse paspoort opgenomen zijn. De VS stelt het gebruik van een gelaatsscan verplicht per oktober 2005 verplicht. Wanneer de afdrukken van de linker- en rechterwijsvinger in het paspoort komen is nu nog niet bekend. |
Uitgifteproces
Net als bij het bestaande paspoort maakten de gemeenten bij de proef gebruik van een paspoortaanvraagsysteem dat door SDU Identification geleverd is. De gemeente nam de biometrische kenmerken van de paspoortaanvrager op en sluisde dit samen met de gebruikelijke paspoortgegevens naar SDU Identification in Haarlem, die ze vervolgens in het reisdocument verwerkt heeft. Bij het ophalen van het paspoort controleerde de gemeente de identiteit van de paspoorthouder opnieuw door een gelaatsscan te maken en de afdrukken van beide wijsvingers af te nemen. “Deze procedure sloeg twee vliegen in één klap. De gemeente kon controleren of de rechtmatige eigenaar zich bij de balie meldde. Daarnaast was het ook een extra controle of de biometrische gegevens wel goed vastgelegd waren in het document en of de chip correct functioneert. Bij de registratie zou er bijvoorbeeld nog te weinig profiel in een vingerafdruk kunnen zitten”, zegt Kinneging.
Tot nu toe is de informatie over de uitgegeven paspoorten altijd decentraal bij de gemeenten en ambassades vastgelegd. Alleen van gestolen en niet te gebruiken documenten bestaat nu een centraal register. Het kabinet wil bij het biometrische paspoort overstappen op centrale registratie in het kader van terrorismebestrijding en om administratieve redenen. In april schrijft minister Pechtold van Bestuurlijke Vernieuwing en Koninkrijksrelaties aan de Tweede Kamer dat “het van het grootste belang is dat voorkomen wordt dat terroristen de identiteit kunnen aannemen van andere personen en als gevolg daarvan onopgemerkt blijven.”
Informatie op de rfid-chip
Bron: Europese Commissie en SDU Identification |
Daarnaast zijn er administratieve redenen. Een woordvoerder van het ministerie van Binnenlandse Zaken zegt dat er voor een centrale opzet gekozen is, zodat bij vermissingen de identiteit van de betrokken persoon te verifiëren valt aan de hand van de centraal in de administratie opgeslagen biometrische gegevens. Verder wil men met centrale opslag eventuele manipulatie van die gegevens in het document kunnen detecteren. Ook is het een middel om bij het verwerken van de aanvragen van reisdocumenten na te gaan of de aanvrager eventueel onder een andere identiteit ook bij andere instanties een aanvraag voor een reisdocument heeft ingediend.
Kritiek
De rfid-chip met biometrische informatie in het paspoort roept bij privacyvoorvechters veel kritiek op. “Ook al klap je het paspoort niet open, de rfid-chip stuurt toch een unieke code uit. Dit gebeurt omdat in de ISO-standaard voor de draadloze communicatie rekening gehouden is met meerdere chips die elkaar door een uniek nummer te gebruiken niet in de weg hoeven te zitten. Met dat unieke nummer heb je vervolgens, ondanks de beveiligingsmaatregelen in de paspoortchip, alsnog een peilzender waarmee mensen op straat en andere plekken te volgen zijn”, zegt Sjoera Nas van Bits of Freedom.
Zij heeft ook kritiek op de centrale opslag van de biometrische informatie, omdat dit tot misbruik kan leiden. De centraal opgeslagen informatie over vingerafdrukken en foto’s van gezichten zou net zo goed gebruikt kunnen worden om mensen te identificeren. Verder vindt zij dat het kabinet onterecht de indruk wekt dat centrale opslag een Europese eis is. De Raad van Europese ministers heeft lidstaten niet verplicht tot centrale opslag van biometrische gegevens. Minister Pechtold meldde dat voor de invoering van vingerafdrukken een wijziging van de paspoortwet noodzakelijk is.
