Het is alweer enige tijd geleden dat ons Parlement het wetsvoorstel, dat centrale opslag van vingerafdrukken mogelijk maakte, naar de prullenmand verwees. Sindsdien lijkt de rust te zijn teruggekeerd, en het onderwerp uit de actualiteit te zijn verdwenen.
Interessant in dit verband was de inhoud van Biometrics 2011 in oktober, de Europese conferentie die alle aspecten van het toepassen van biometrie belicht, en het NBF-congres van 26 oktober met als thema 'Grootschalige Biometrie'. Tijdens beide evenementen was er ruimschoots aandacht voor grootschalige projecten met biometrie, waarbij het Indiase project UID op duidelijke wijze uiteen werd gezet: In een periode van tien jaar zullen zeshonderd miljoen Indiase burgers, ongeacht economische en/of sociale status, worden opgenomen in een centrale databank, waarbij de huidige beschikbare biometrische gegevens (vingerafdrukken, gezicht en beide irissen) worden opgeslagen en gekoppeld aan een unieke identiteit. Doel van dit programma is ervoor te zorgen dat iedereen in het land mee kan doen en toegang heeft tot alle voorzieningen.
In India wordt de biometrie dus primair gebruikt om ieder individu uniek te identificeren, zodat ieder datgene krijgt van de overheid (onderwijs, voedselhulp, gezondheidszorg) waar hij recht op heeft en om misbruik en fraude te voorkomen. De databank groeit met een miljoen geregistreerde mensen per dag.
In vergelijking met de Nederlandse situatie van de centrale opslag van vingerafdrukken, zijn er veel overeenkomsten. Het oorspronkelijke doel waarvoor de vingerafdrukken van alle Nederlandse burgers in een gegevensbank worden opgenomen was om identiteitsfraude met paspoorten te kunnen detecteren en te voorkomen. In de loop van de tijd is het denken over de opslag van deze gegevens veranderd, en zijn er meerdere mogelijke toepassingen bedacht waarin deze gegevens bruikbaar zijn. Hiermee werd onduidelijk wat nu eigenlijk het doel van deze centrale databank was, waardoor in feite de mogelijkheden tot verkeerd of ongeoorloofd gebruik van deze biometrische gegevens werden gecreëerd.
Zo brengt het centraal opslaan van de vingerafdrukken allerlei risico’s met zich mee, zoals de kans om de gegevens te misbruiken voor andere doeleinden en de kans dat de gegevens worden gestolen of op andere wijze openbaar worden gemaakt. In hoeverre deze risico’s zich zullen voordoen is afhankelijk van de wijze waarop de gegevens worden beveiligd. Het ligt hier natuurlijk voor de hand dat het risico toeneemt met het aantal mensen dat toegang heeft tot deze gegevens.
In het geval dat vingerafdrukken worden gecompromitteerd, betekent dat een ernstige inbreuk op het persoonlijke leven van de burgers waarvan deze gegevens afkomstig zijn. Hen kunnen onterecht sancties worden opgelegd of onterecht toegang tot allerlei diensten worden ontzegd. Daarnaast wordt ook de betrouwbaarheid van forensisch onderzoek ondermijnd, want de aanname dat latente (op een plaats-delict aangetroffen) vingerafdrukken altijd afkomstig zijn van een enkele persoon is niet meer algemeen geldig.
Vraagtekens?
De Tweede Kamer heeft vraagtekens gezet bij de huidige praktijk en haar verantwoordelijkheid genomen door de opslag van vingerafdrukken te stoppen. Maar hiermee komt het bereiken van de doelstelling om identiteitsfraude en de daaraan gerelateerde kosten en persoonlijk leed te bestrijden natuurlijk niet dichterbij. Het zou de Kamer sieren als ze zich zou laten informeren over de praktijk in India, wellicht kunnen we profiteren van de daar reeds opgedane ervaringen.
De Tweede Kamer zou er goed aan doen een visie en beleid te ontwikkelen waarin bestrijding van identiteitsfraude centraal staat. Een dergelijke visie en beleid zou moeten worden gebaseerd op een aantal principes die zullen bijdragen tot het veilig en zinvol gebruik van biometrische gegevens, zoals die ook door het Nederlands Biometrie Forum worden gehanteerd.
- Biometrie kan alleen personen herkennen, geen identiteiten vaststellen. Biometrie is vooral nuttig wanneer het belangrijk is zeker te weten dat de persoon met wie men van doen heeft, de juiste persoon is, of wil voorkomen dat iemand zijn identiteit misbruikt.
- Toepassing van biometrie moet, gegeven het in deze omgeving vereist beveiligingsniveau, echt nodig zijn voor het beoogde doel en niet door andere, lichtere maatregelen kunnen worden vervangen. Daarom moeten triviale toepassingen van biometrie actief ontmoedigd worden.
- Biometrie is alleen gerechtvaardigd als de toepassing transparant is en als verspreiding en gebruik van iemands biometrisch gegeven buiten die toepassing niet mogelijk is.
- Biometrische gegevens dienen altijd veilig beheerd te worden, op zo'n wijze dat hergebruik van biometrische gegevens onmogelijk is buiten de toepassing waarbinnen het beheerd wordt en aan het biometrische gegeven kan worden gezien binnen welke toepassing het is ontstaan en wordt beheerd.
- Overheid, bedrijfsleven en andere private organisaties dienen biometrie steeds te gebruiken in combinatie met andere biometrische of niet-biometrische gegevens, bijvoorbeeld gecombineerd met een andere biometrische techniek en/of een pincode, om de kans op bewuste misleiding ( zogenaamde Spoofing) aanzienlijk te reduceren. Het principe van 'tenminste driemaal kloppen'.
Gebruik van een los biometrisch gegeven is daarom maatschappelijk alleen verantwoord, indien de risico's van die specifieke toepassing aantoonbaar gering zijn.
Ronald Huijgens
Director Biometric Technologies, Unisys
Bestuurslid Nederlands Biometrie Forum
Ook dit artiken neemt aan dat biometrie een goed idee is. En natuurlijk doet de beste man dat, hij verdient er zijn geld mee. Ik als burger (heb ik nog rechten?) cq consument (niet dus) wens verschoond te blijven van bij voorbaat als potentieël crimineel te worden aangemerkt en als zodanig behandeld.
Sterker, ik wens niet eens mijn identiteit te hoeven afgeven. Net als bij biometrie wordt ook dit, BSN incluis, veel te vaak nodeloos en dus onterecht afgedwongen. Ook de wisselwerking tussen identiteitsvaststellingsmechanismen en steeds verder oprekken van vereisten waaraan je moet voldoen wil je nog van je burgerrechten kunnen gebruikmaken is hier frappant.
En zolang politiek en rechterlijke macht structureel de kop in het zand blijven steken, burgers blijven traineren en van het kastje naar de muur blijven sturen, en vrolijk dóórgaan met de mechanisatie van de samenleving in naam van totale contrôleerbaarheid, zal de burger er niet beter op worden.
Waar wij ons als samenleving druk om moeten maken –en dat is uitdrukkelijk vóór het bedrijfsleven de laatste snufjes der techniek aan de overheid aanbiedt om het plebs mee te betuttelen– is ons het volgende afvragen: We kunnen steeds meer weten van elkaar. Willen we dat ook? Is het strikt nodig? Zijn er betere manieren dan de aloude, manieren die beter bij de modus operandi van de nieuwe communicatiemogelijkheden passen?
Ik denk dat dáár, veel meer nog dan in de zoveelste iteratie van pki, rfid, biometrie, en wat dies meer zij, de nadruk moet liggen. Wat willen we nu eigenlijk, niet als administrerende ambtenaren en geldverdienende zakenlui, maar als mensen onder elkaar?
Net als Multatulo heb ik ook zo mijn bedenkingen. Biometrie is nogal beperkt inzetbaar als je de randvoorwaarden zo scherp stelt. Je zou er dan zelfs een gesloten systeem voor moeten hebben om af te kunnen dwingen dat de beveiliging adequaat genoeg is.
Maar interessanter is het debat over hoe het fenomeen identiteitsdiefstal naar voren is gekomen en blijkbaar sterk te zijn gegroeid.
Door de automatisering van overheidsdiensten en zakelijke partijen zijn de burgers min of meer verworden tot een uniek verwerkingsnummer met dito benadering. Dat sluit niet aan bij de cultuur waaruit zij is voortgekomen en is de weerstand hiertegen te begrijpen. En wat dat betreft zal de ICT ook beter moeten in gaan spelen op het feit dat de techniek bijzaak is en de mens altijd nog centraal staat.
Helemaal mee eens. En het is ook helemaal niet stil rond vingerafdrukken. Wie bijvoorbeeld burgerrechtenvereniging Vrijbit volgt, ziet op haar site juridische procedures van burgers als Van Luijk, Willems en vele anderen. Alleen (b)lijken rechters, parlement en media de privacy niet meer te beschermen?
Waarom altijd weer die centrale opslag. Waarom niet decentraal gewoon en ID-bewijs met een vingerafdruk op chip afgeschermd met een kaft met metaal.
Dan ben je zelf in control en verantwoordelijk voor de beveiliging.