Vanaf 20 augustus 2015 kunnen 750 klanten van ABN Amro online betalingen verrichten met een selfie als verificatiemethode. Het betreft een test van MasterCard in samenwerking met de Nederlandse creditcard uitgever ICS en ABN Amro. Betalen via gezichtsherkenning moet het verrichten van betalingen eenvoudiger maken. Maar is het ook veiliger? En hoe zit het met de privacy van de gebruiker?
Een selfie is te duiden als een biometrisch gegeven. Er worden namelijk lichaamskenmerken van een persoon gemeten en vastgesteld. Omdat biometrische gegevens uniek zijn, zijn ze geschikt om mensen te identificeren en om te dienen als beveiligingsmethode. Bekende biometrische gegevens die al worden gebruikt zijn de vingerafdruk, de irisscan en stemherkenning. Nu kan de selfie ook aan dit rijtje worden toegevoegd.
Hoe gaat betalen met een selfie in zijn werk. Bij iedere goedkeuring van een transactie, dient een selfie te worden gemaakt die wordt verstuurd naar MasterCard zodat deze je identiteit kan verifiëren middels gezichtsherkenning. De afmetingen en de vormen van de ogen, mond, neus et cetera worden zo vergeleken met de afmetingen en de vormen van de eerste foto die door de gebruiker is verstrekt om gebruik te kunnen maken van het zogenaamde Selfiepay.
Maar wat betekent de introductie van Selfiepay voor de privacy van de gebruiker, en in hoeverre is het veilig om te identificeren en beveiligen met een selfie? Er dient rekening te worden gehouden met diverse juridische aspecten op het gebied van privacy en data security. Wat gebeurt er immers met alle opgeslagen en verstuurde selfies? Mogen deze worden ingezet voor marketingdoeleinden en worden verkocht aan derde partijen? En hoe lang mogen de selfies worden bewaard? Daarnaast is van belang dat Selfiepay veilig is. Is Selfiepay eenvoudig te hacken? Is het wel veiliger dan een pincode? En hoe eenvoudig is het om de beveiliging te doorbreken?
De Wet bescherming persoonsgegevens
Bij de beantwoording van deze vragen is hoofdzakelijk de Wet bescherming persoonsgegevens (Wbp) van belang. Deze wet is van toepassing als persoonsgegevens, zoals een selfie, worden verwerkt. De Wbp stelt diverse eisen aan de verwerking van persoonsgegevens om de privacy van de gebruiker te waarborgen.
Zo dient er sprake te zijn van doelbinding. De selfies mogen slechts worden verwerkt voor uitdrukkelijk omschreven doeleinden. Het doel van de verwerking van de selfies door MasterCard richt zich op het uitvoeren van betalingstransacties. De gebruiker dient daarbij volledig en juist te worden geïnformeerd voor welke doeleinden de selfies zullen worden verwerkt.
Om persoonsgegevens te mogen verwerken moet er een rechtvaardigingsgrond zijn. De Wbp noemt diverse rechtvaardigingsgronden waaronder de uitvoering van een overeenkomst, een gerechtvaardigd belang of een wettelijke verplichting. Kan geen rechtvaardigingsgrond worden ingeroepen, dan is de verwerking van persoonsgegevens toegestaan als het data subject – de persoon op de selfie – daarvoor zijn ondubbelzinnige toestemming heeft gegeven.
In het onderhavige geval zal de selfie mogen worden verwerkt, omdat de betaling in verband met een gesloten overeenkomst dient te worden uitgevoerd. Dat zal ook het doel van de verwerking zijn. Het doel zal in beginsel niet de verkoop van selfies aan derde partijen behelzen. Daarvoor zal dan ondubbelzinnige toestemming moeten worden verkregen van de gebruiker.
Essentieel voor het slagen van de betaalmethode Selfiepay is dat deze ook veilig is. Er zijn al maatregelen getroffen om fraude te voorkomen. Zo is er feitelijk sprake van een korte video-opname en niet van een foto ter verificatie van de identiteit. Op die manier kan bijvoorbeeld geen foto voor de camera worden gehouden om de beveiligingsmaatregel te doorbreken. Daarnaast dient de bril te worden afgezet als een selfie wordt gemaakt, zodat de afmetingen en vormen van het gezicht accuraat kunnen worden gemeten. Dit zou voordelen kunnen hebben ten opzichte van het gebruik van wachtwoorden of codes, aangezien mensen doorgaans nog vaak kiezen voor wachtwoorden die bestaan uit hun naam, geboortedatum, huisdier of andere voor de hand liggende referenties.
Uit de Wbp volgt bovendien dat ook de selfies zelf goed moeten worden beveiligd. Het zou immers onwenselijk zal als alle selfies op straat komen te liggen door een datalek. Een dergelijk lek zou overigens moeten worden gemeld op grond van de meldplicht datalekken en kan leiden tot een aanzienlijke boete (zie daarover hier) voor de verantwoordelijke. Kortom, zowel de transactie als de data dienen deugdelijk beveiligd te worden.
Voor de doorgifte van persoonsgegevens (selfies) naar landen buiten Europa gelden strenge regels. Indien de selfies worden verstrekt aan het Amerikaanse bedrijf MasterCard, kan het zijn dat de selfies in Amerika worden opgeslagen. In dat geval dient een passend beschermingsniveau te worden gewaarborgd. MasterCard respecteert de Safe Harbor-principles, waardoor data doorgifte van bijvoorbeeld Nederland naar de Amerika lijkt te voldoen aan de privacywetgeving.
Uit de Wbp vloeit eveneens voort dat het in beginsel verplicht is om bij het College Bescherming Persoonsgegevens te melden dat persoonsgegevens worden verwerkt, tenzij een beroep kan worden gedaan op een vrijstelling.
De gebruiker van Selfiepay heeft daarnaast diverse rechten. Deze heeft een recht op inzage, correctie en verwijdering van de selfies.
Privacy en security in het geding
In deze bijdrage heb ik in een notendop enkele juridische aspecten besproken met betrekking tot privacy en data security in verband met de selfie als verificatiemiddel voor betalingen. Hieruit volgt dat zorgvuldig zal moeten worden omgegaan met de data (selfies) om aan de privacywetgeving te voldoen.
Met belangstelling wacht ik af hoe het experiment met de 750 klanten zal verlopen. De bedoeling is om Selfiepay daarna wereldwijd te introduceren.
Een eerder experiment van Albert Heijn met biometrische betaling werd vroegtijdig beëindigd, niet veilig genoeg omdat de vervanging van één authenticatiemiddel door een andere niets toevoegd. Kortom, voordat we in een juridische haarkloverij gaan komen is het de vraag wat nu het probleem is en welke oplossing daarbij gezocht wordt.
Voor alle duidelijkheid, privacy is altijd een heet hangijzer geweest bij online betalingen.
Biometrische gegevens zijn niet zo uniek als men denkt, zie Google afbeeldingen q=”Unrelated twins”.
De data die bijvoorbeeld naar de bank of Mastercard wordt gestuurd, kan worden onderschept en wellicht worden gebruikt in verdere attacks (decryption, spoofing etc.).
Een datalek leidt slechts tot boete als het niet (op tijd) gemeld wordt, tenminste, dat stond in een eerder artikel van de auteur.
@Ewout
Waarom geen 2-factor authenticatie? Niet vervangen, maar toevoegen:
De ‘selfie’authenticatie uitbreiden met een andere authenticatie-methode. Dan maak je gebruik van 2 methoden die verifieren of jij wel bent die je zegt dat je bent.
En de PIN vervangen door de PIN plus selfie? Moet elke winkel dan gaan bijhouden wie “gewoon” met PIN wil betalen en wie met dubbele authenticatie? Dat gaat niet werken! Cordney, hier heeft Ewout een goed punt!
security vs. usability, altijd heikel punt.
Ik ben gewoon aan het meedenken. Welke middelen hebben we en welke kunnen we(her)gebruiken?
En gaat het hier niet om online betalingen? Dat zou digitaal kunnen worden bijgehouden door een winkel of 3de partij.
Beste Cordny, het experiment richt zich inderdaad enkel op online betalingen. De bedoeling is naar ik begrijp om op de langere termijn ook de offline betalingen met gebruik van een selfie uit te voeren.
Beste Jan, bedankt voor de verduidelijking wat betreft het soort betaling.