Skip to main content

Privacy gebaat bij decentraal matchen van biometrie?

| Ruud Huijts | Opinie
Een recent juridisch onderzoek stelt, dat onze privacy beter af is met decentraal matchen van biometrie dan centraal. Een begrijpelijke suggestie wellicht, maar niet om klakkeloos achterna te lopen.

Privacy belangrijk aspect van biometrie en identiteit

In mei 2016 is een rapport van PricewaterhouseCoopers Legal LLP verschenen op verzoek van Nok Nok Labs. Conclusie is dat opslag en vergelijking van biometrische gegevens (‘matching’) ‘op apparaat’ vergeleken met ‘op server’ een overtuigende en eenvoudigere aanpak is om aan (toekomstige) privacy-eisen te voldoen.

Vanuit privacy-oogpunt en de verkozen tegenstelling begrijp en onderschrijf ik de conclusie. Maar laten wij nu niet denken, dat wij ons nu volledig op decentrale matching kunnen richten. Dit zou volgens mij fout zijn. Bij identiteitsvaststelling met biometrie draait het ook om bruikbaarheid, betrouwbaarheid, gebruiksgemak, veiligheid, kosten, etc. Het is ook niet de keuze alles óf centraal óf decentraal doen.

Centraal versus decentraal in breder perspectief

Opslag en vergelijking van biometriedata om personen te herkennen zijn twee onafhankelijke processen. Vanuit centraal op server en decentraal op apparaat (lokaal) zijn er dan vier situaties denkbaar om op identiteit te controleren.

Een AFIS (Automated Fingerprint Identification System) illustreert centrale opslag en matching. Automatische grenscontrole kan gezien worden als voorbeeld van lokale opslag (biometrisch paspoort) en decentrale matching (bij uitlezend ‘poortje’).

Het rapport ‘vergeet’ de combinaties van lokale opslag en centrale matching en v.v. Deze komen misschien minder voor, maar ontwikkelingen in biometrie en identiteit gaan door. Bijvoorbeeld, de BOPS-standaard lijkt zich juist in dit gebied te ontwikkelen. Bio-PIN roept de vraag op, of er sprake blijft van persoonsgegevens, als deze niet meer te herleiden zijn naar de oorspronkelijke persoon. Juist van dit soort innovaties verwacht ik wat in de (nabije) toekomst.

Juridische eisen van privacy aan biometrie en identiteit

Eerdergenoemde juridische verhandeling heeft privacy als uitgangspunt en hanteert twee klassieke categorieën van biometrie:

  • biometrische systemen waar gegevensopslag en -vergelijking (‘matching’) centraal ‘op server’ gebeurt,
  • vergelijking (‘matching’) ‘op apparaat’ van lokaal opgeslagen biometriedata.

Focus ligt op biometrische authenticatie en verificatie van personen. Verschillen tussen lokaal en centraal matchen worden keurig vermeld. De voornaamste implicaties van privacy op de verwerking van biometrische gegevens worden in geografisch perspectief gezet. Binnen eerder vermelde beperkingen biedt het ‘whitepaper’ een bruikbaar inzicht en zet aan tot nadenken.

Wet- en regelgeving persoonsgegevens in beweging

Op 14 april 2016 heeft het Europees Parlement plenair ingestemd met de verordening gegevensbescherming. Vanaf 25 mei 2018 is de Verordening van toepassing. Op 6 mei 2018 moeten de EU-lidstaten de Richtlijn hebben omgezet in nationale wetgeving. Er is dus nogal wat gaande over persoonsgegevens. Vandaar dat er ook binnen de Vereniging Voor Biometrie en Identiteit (VVBI) aandacht is voor wet- en regelgeving.

Ruud Huijts

Ruud is mede-oprichter en voorzitter van de Vereniging Voor Biometrie & Identiteit (VVBI). Hij is als zelfstandig onafhankelijk adviseur werkzaam vanuit SAMENZICHT Consultancy. Ruud heeft zich met (de organisatie van) biometrie en identiteit beziggehouden bij o.a.  Regiopolitie Amsterdam-Amstelland, Dienst Justitiële Inrichtingen en Ministerie van Veiligheid en Justitie. Hij is van mening, dat biometrie juist in het digitale tijdperk noodzakelijk is om personen betrouwbaar te herkennen zonder afbreuk aan privacy te doen. 

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.