15 uitgangspunten voor
inzet van biometrie
Toepassing van biometrie dient allereerst zinvol en veilig te zijn. Pas als dit gewaarborgd is, gaat gemak een (doorslaggevende) rol spelen. Belangrijke overwegingen voor verantwoord, juist en bewust gebruik van biometrie zijn:
-
Alleen herkennen:
niet identificerenBiometrie kan een persoon koppelen aan een document of gegeven. Dit zegt niets over de juistheid van dat document of gegeven noch over de juistheid van die koppeling. Een biometrische toepassing kan dus wel personen herkennen, maar geen identiteiten vaststellen.
-
Strikt noodzakelijk:
OntmoedigingsbeleidToepassing van biometrie moet noodzakelijk zijn voor het beoogde doel en niet door andere, lichtere maatregelen kunnen worden vervangen. Onnodige toepassingen van biometrie kunnen beter vermeden worden vanwege de intrinsieke zwaarte van het middel.
-
Valse meldingen:
statistische methodeBiometrie is gebaseerd op kansberekening en leidt dus automatisch ook tot een aantal onterechte herkenningen ("false match rate") en onterechte afwijzingen ("false non-match rate"). De hoeveelheid (het percentage) hangt af van de door de exploitant of leverancier van het biometriesysteem (vooraf) ingestelde tolerantiegrenzen.
-
Mee- en tegenwerken:
systeemprestatiesDe meeste biometrische systemen presteren het beste bij medewerking van de gebruiker. Bij positieve persoonsherkenning wordt de biometrische herkenning ingezet om iemand toe te laten of bevoegdheden te geven. De te identificeren persoon heeft daar belang bij en zal vrijwel altijd meewerken. Bij negatieve herkenning wordt biometrische herkenning ingezet om iemand iets te onthouden. Negatieve herkenning is extra gevoelig voor tegenwerking.
-
Misleiding mogelijk:
risico op "spoofing"Biometrische kenmerken en daarvan afgeleide biometrische gegevens kunnen nagebootst en nagemaakt worden, en metingen kunnen worden gefopt of gemanipuleerd.
-
Biometrie combineren:
multi-modale biometrieBiometrie wint aan betrouwbaarheid en veiligheid als het biometrische gegeven wordt gebruikt in combinatie met een ander biometrisch gegeven (bijvoorbeeld vingerafdruk en irispatroon) of niet-biometrisch gegeven (bijvoorbeeld vingerafdruk en pincode).
-
Los onverantwoord:
maatschappelijk risicoGebruik van een los biometrisch gegeven (d.w.z. een daaraan gekoppeld ander persoonsgegeven zoals een pincode, of een persoonlijk voorwerp zoals een chipkaart) is maatschappelijk niet verantwoord. Zeker als er - binnen of buiten de toepassing - misbruik of oneigenlijk gebruik van een onveranderlijk lichaamskenmerk of van een biometrische meetresultaat denkbaar is. Bijvoorbeeld introductie van valse vingerafdrukken in criminele activiteiten.
-
Geen hergebruik:
BeheereisenBiometrische gegevens dienen zo te worden beheerd dat het onmogelijk is deze te hergebruiken buiten de toepassing waarbinnen ze worden gebruikt en beheerd.
-
Grootschalig beheersen:
risico op onveiligheidEen grootschalige toepassing van biometrie is door niet-beheersbare technische, organisatorische en menselijke factoren alleen met veel inspanning voldoende veilig te maken. In de praktijk is dit moeilijk te realiseren.
Bij het beoordelen van het vereiste veiligheidniveau van de biometrische toepassing gaat het in de eerste plaats om de ernst van de gevolgen van een inbreuk. Identiteitsfraude moet kunnen worden ontdekt of voorkómen. Dit dient men steeds te beoordelen vanuit het geheel van de toepassing. D.w.z. met inbegrip van techniek, organisatie, procedures en processen rekening houdend met of mensen meewerken of juist belang hebben bij fouten of misbruik. -
Veilige opslag:
Encryptie en afschermingBiometrische gegevens dienen uitsluitend vervormd en versleuteld te worden opgeslagen. Opslag van biometrische gegevens is bovendien alleen toegestaan wanneer dit voor de desbetreffende toepassing onvermijdelijk is en hergebruik van die biometrische gegevens buiten deze toepassing praktisch onmogelijk is.
-
Gegevensscheiding:
Risico mijdenKoppeling van een bestand met biometrische gegevens aan externe bestanden is uitsluitend toegestaan in bij wet geregelde situaties. Daarnaast dienen biometrische gegevens in beginsel alleen gescheiden van biografische persoonsgegevens te worden opgeslagen.
-
Audit trail:
WatermerkAan het biometrische gegeven moet men kunnen zien binnen welke toepassing het is ontstaan, wordt gebruikt en beheerd.
-
Verantwoorde inzet:
GebruikersgarantiesAls men wordt onderworpen aan een biometrische persoonsherkenning, is sprake van maatschappelijk verantwoorde inzet van biometrie als aan een aantal eisen is voldaan:
- een heldere doelbinding, waarbij duidelijk onderscheid wordt gemaakt tussen wat men vrijwillig en wat men verplicht moet doen of nalaten;
- een eenvoudige en eenduidige bezwaar- en klachtenprocedure, bijvoorbeeld voor wanneer men ten onrechte niet wordt herkend, of voor wie vanwege een lichamelijke beperking de biometrische identiteitscontrole niet zinvol is, gegeven de specifieke doelstelling van die toepassing;
- een – gegeven het risico ten minste gelijkwaardige – fall back procedure voor wanneer men niet mee kan doen, of de techniek niet goed functioneert;
- een adequaat pakket van preventieve maatregelen waarmee diefstal of misbruik van iemands biometrie of van de eraan gerelateerde identiteit wordt voorkomen;
- actieve ondersteuning vanuit de exploitant van een biometrisch stelsel, gericht op schadevergoeding en eerherstel bij diefstal of misbruik van iemands biometrie of van de eraan gerelateerde identiteit;
- inzage bij de beheerder van de toepassing door betrokkene in wie zijn of haar biometrische gegevens heeft geraadpleegd;
- duidelijke maatregelen tegen een persoon die biometrische gegevens die niet van hem of haar zijn, probeert te misbruiken of daarin is geslaagd (los van strafrechtelijke stappen).
-
Rol overheid:
Wet- en regelgevingDe overheid zorgt voor beleid en wetgeving met het oog op misbruik van biometrische gegevens en daarop gebaseerde identiteiten. Alle denkbare vormen van identiteitsfraude zijn strafbaar volgens het Wetboek van Strafrecht. De Algemene Verordening Gegevensbescherming (AVG of GDPR) beoogt de privacy van burgers beter te beschermen.
-
Centrale autoriteit:
identiteitsgegevensVoor persoonsregistraties met biometrische gegevens moet een verplichte registratie worden ingevoerd bij een centraal orgaan, waar ook misbruik van biometrisch verankerde identiteiten kan worden gemeld. Dit centrale orgaan dient actief te waken tegen onnodige of onveilige opslag van biometrische gegevens en te controleren of door de exploitant voldoende preventieve maatregelen zijn genomen tegen diefstal en misbruik van de door hem beheerde biometrische gegevens.
Op onderdelen vervullen nationale overheidsinstanties als de Autoriteit Persoonsgegevens, de Rijksdienst voor Identiteitsgegevens en de Matching Autoriteit een rol. In mobiele biometrie (bijv. smartphones met biometriesensor) geldt een technology push, wat de situatie nog(?) niet geheel duidelijk maakt.
N.B. Het voorgaande is een bijgewerkte versie van de 12 uitgangspunten waartoe de voorloper van de VVBI, het Nederlands Biometrie Forum, ooit gekomen is. Zie eventueel het oorspronkelijke "position paper".