Het Nederlands Biometrie Forum (NBF) werkte met haar participanten aan het zinvol gebruik van biometrische toepassingen in Nederland. O.a. een 'position paper' Betrouwbaar en Veilig Gebruik van Biometrie was het resultaat. De inhoud van dit document is deels nog steeds actueel en daarom (en voor historisch inzicht) hier te vinden.
De stichting NBF heeft tot eind 2012 bestaan. De Vereniging Voor Biometrie & Identiteit (VVBI) heeft vanaf 2013 het stokje overgenomen.
In de moderne samenleving wordt het steeds belangrijker dat iemand trefzeker kan worden herkend, om onze informatiesamenleving veiliger te maken. Ook voor de persoon zelf, bijvoorbeeld om te voorkomen dat iemand anders met zijn identiteit of bezit aan de haal gaat. Omdat biometrische gegevens het mogelijk maken iemand aan een uniek biologisch of gedragskenmerk te herkennen, zal biometrie in de toekomst onmisbaar zijn en toegepast worden in allerlei verschillende processen en omgevingen.
Maar biometrie is geen wondermiddel. De persoonsherkenning met biometrie is gebaseerd op kansberekening omdat elke biometrische meting kleine afwijkingen bevat ten opzichte van het echte lichaams- of gedragskenmerk dat ook nog zelf kan variëren. Kansberekening leidt onvermijdelijk soms tot foute conclusies. Los daarvan kan een lichaams- of gedragskenmerk ook worden nagebootst of misbruikt.
Biometrie heeft nog een andere beperking. Biometrie kan wel een persoon koppelen aan een document of gegeven, maar die biometrie kan niets zeggen over de juistheid van dat document of gegeven of over de juistheid van die koppeling. Dus biometrie kan alleen personen herkennen, geen identiteiten vaststellen. Het vaststellen van iemands identiteit impliceert immers een uitspraak over de juistheid van het aan een persoon gekoppelde document of gegeven en over de juistheid van de biometrische koppeling zelf. Dat kan biometrie niet. Niettemin is biometrische persoonsherkenning een belangrijk extra hulpmiddel voor identiteitscontrole, mits gebruikt in combinatie met andere gegevens en instrumenten. Met het oog op deze beperkingen en risico’s formuleert het Nederlands Biometrie Forum (NBF) in dit document vanuit haar maatschappelijke verantwoordelijkheid haar visie op betrouwbaar en veilig gebruik van biometrie in de vorm van aanbevelingen. Uiteindelijk is een brede maatschappelijke acceptatie van biometrische technieken noodzakelijk.
Onder biometrie verstaat het NBF het herkennen van mensen aan een lichaams- of gedrags-kenmerk met gebruikmaking van informatietechnologie. Informatietechnologie maakt het mogelijk kenmerken snel te digitaliseren om ze vervolgens te meten en te vergelijken met eerder opgeslagen gegevens. Technische en organisatorische aspecten spelen bij toepassing van deze technologie een grote rol.
Degene die met zijn of haar biometrie wordt gecontroleerd, kan verschillende rollen hebben. Tegenover de overheid wordt hij/zij in dit document aangeduid met de term burger, die daarbij verschillende posities kan hebben: onderdaan (belasting betalen), vrije burger (kiezen en gekozen worden, recht van vereniging) of klant van de overheid (vergunningen, paspoorten). Ook een combinatie is denkbaar.
Private organisaties, instellingen, bedrijven en overheidsinstanties kunnen voor een betrouwbare en veilige dienstverlening biometrie toepassen en in bijzondere situaties zelfs eisen om burgers en klanten en medewerkers trefzeker te herkennen. Deze organisaties worden in dit document aangeduid met de term exploitant van een biometrisch stelsel.
De exploitant is te beschouwen als de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. Onder zijn gezag functioneren systeembeheerders en uitvoerders.
Sommige bedrijven zijn fabrikant of leverancier van biometrische producten. Op hen rust de verantwoordelijkheid voor de technische en functionele kwaliteit van biometrische apparatuur, met inbegrip van een effectieve beveiliging ervan. De veiligheid en de betrouwbaarheid van de toepassing zijn voor het overige in handen van de exploitant.
Ten slotte kan de overheid nog worden aangeduid als wetgever, om vanuit die rol de regelgeving tot stand te brengen die voor iedereen gelijke randvoorwaarden en voorzieningen garandeert voor veilig en betrouwbaar biometriegebruik.
Er komen steeds meer kleinschalige en grootschalige toepassingen van biometrie, waarbij nu eens het accent valt op gemak en dienstverlening, dan weer op beveiliging, bescherming of rechtshandhaving. We onderscheiden daarbij vier toepassingsgebieden van biometrie:
- de overheid (o.a. identiteitsmanagement, grensbewaking),
- het bedrijfsleven (o.a. grootschalige toegangsbeveiliging, logistieke processen, betalingsverkeer)
- private organisaties en instellingen (o.a. zwembaden, disco’s, musea, verenigingen)
- privétoepassingen (o.a. toegang pc/laptop, beveiliging van auto’s en huizen)
Op elk van deze gebieden zijn al tal van toepassingen van biometrie beschikbaar.
De technologie nodig voor biometrische persoonsherkenning is voor veel mensen moeilijk te doorgronden, omdat ze gebaseerd is op kansberekening en dus automatisch leidt tot een aantal onterechte herkenningen en onterechte afwijzingen. De hoeveelheid fouten hangt af van door de exploitant zelf in te stellen tolerantiegrenzen. Naast deze ingebakken kans op foute koppelingen tussen personen en documenten of gegevens kan biometrie evenmin een uitspraak doen over juistheid van deze documenten en gegevens, noch over de juistheid van de koppeling zelf. Daarom kan biometrie – in tegenstelling tot wat veel mensen denken – geen uitsluitsel geven over wie iemand is, alleen over de waarschijnlijkheid dat iemand de persoon is die hoort bij het eerder vastgelegde biometrische gegeven.
Ook de toepassingen zelf bevatten risico’s, die echter met passende maatregelen in concrete situaties kunnen worden ingeperkt. Door nauwelijks beheersbare organisatorische en menselijke factoren is toepassing van biometrie op grote schaal alleen met veel extra inspanningen zo te organiseren, dat de toepassing voldoende veilig is voor het beoogde doel. Een 100% waterdichte herkenning van mensen zal biometrie dus niet opleveren, zeker niet als alleen een losstaand biometrisch gegeven wordt gebruikt, bijvoorbeeld een vingerafdruk. Biometrie wint echter snel aan betrouwbaarheid en veiligheid als het biometrische gegeven gebruikt wordt in combinatie met een ander biometrisch gegeven (vingerafdruk + irispatroon) en een of meer niet-biometrische gegevens, bijvoorbeeld een pincode. Daarmee wordt de kans op bewuste misleiding (zgn. spoofing) aanzienlijk gereduceerd. Bij het beoordelen van veiligheid en betrouwbaarheid gaat het wel steeds om het geheel van een toepassing, met inbegrip van techniek, organisatie, procedures en niet in de laatste plaats de mate waarin mensen meewerken of juist belang hebben bij fouten of misbruik.
- Biometrie kan alleen personen herkennen, geen identiteiten vaststellen. Biometrie is vooral nuttig wanneer het belangrijk is om zeker te weten dat de persoon met wie men van doen heeft, de juiste persoon is. Of wanneer men wil voorkómen dat zijn identiteit wordt misbruikt.
- Toepassing van biometrie moet, gegeven het in deze omgeving vereist beveiligingsniveau, echt nodig zijn voor het beoogde doel en niet door andere, minder indringende maatregelen kunnen worden vervangen. Daarom moeten triviale toepassingen van biometrie actief ontmoedigd worden.
- Biometrie is alleen gerechtvaardigd als de toepassing transparant is en als verspreiding en gebruik van iemands biometrisch gegeven buiten die toepassing niet mogelijk is.
- Biometrische gegevens dienen altijd veilig beheerd te worden, op zo’n wijze dat:
- hergebruik van biometrische gegevens onmogelijk is buiten de toepassing waarbinnen het beheerd wordt;
- aan het biometrische gegeven kan worden gezien binnen welke toepassing het is ontstaan en wordt beheerd.
- Overheid, bedrijfsleven en andere private organisaties dienen biometrie steeds te gebruiken in combinatie met andere biometrische of niet-biometrische gegevens, bijvoorbeeld gecombineerd met een andere biometrische techniek en/of een pincode, om de kans op bewuste misleiding (zgn. Spoofing) aanzienlijk te reduceren. Het principe van “tenminste driemaal kloppen". Gebruik van een los biometrisch gegeven is daarom maatschappelijk alleen verantwoord, indien de risico’s van die specifieke toepassing aantoonbaar gering zijn.
Het NBF streeft naar een goed begrip van de betekenis, voordelen en beperkingen van de biometrische technologie bij alle betrokkenen. Het NBF wil actief de ontwikkeling bevorderen van technieken die voorkomen dat een biometrisch gegeven weglekt naar andere toepassingen dan die waarin het is ontstaan, en van technieken die het mogelijk maken de herkomst van een biometrisch gegeven te traceren als dat onverhoopt toch buiten de oorspronkelijke applicatie terecht komt en van werkwijzen die de veiligheid van het gebruik van biometrie vergroten en identiteitsfraude tegengaan.
Iemand heeft recht op:
- een heldere doelbinding, waarbij duidelijk onderscheid wordt gemaakt tussen wat men vrijwillig en wat verplicht moet doen of nalaten;
- een snelle, eenvoudige en eenduidige bezwaar- en klachtenprocedure, bijvoorbeeld voor wanneer men ten onrechte niet wordt herkend, of voor wie vanwege een lichamelijke beperking de biometrische identiteitscontrole niet zinvol is, gegeven de specifieke doelstelling van die toepassing;
- een - gegeven het risico tenminste gelijkwaardige - fall back procedure voor wanneer men niet mee kan doen, of wanneer de techniek niet goed functioneert;
- een adequaat pakket van preventieve maatregelen waarmee diefstal of misbruik van iemands biometrie of van de eraan gerelateerde identiteit wordt voorkomen;
- actieve ondersteuning vanuit de exploitant van een biometrisch stelsel, gericht op schadevergoeding en eerherstel bij diefstal of misbruik van iemands biometrie of van de eraan gerelateerde identiteit;
- mededeling door de beheerder van de toepassing aan betrokkene wie zijn of haar biometrische gegevens heeft geraadpleegd;
- duidelijke maatregelen tegen een persoon die biometrische gegevens die niet van hem of haar zijn, probeert te misbruiken of daarin is geslaagd (los van strafrechtelijke stappen).
De overheid moet het wettelijke kader aanvullen met het oog op misbruik van biometrische gegevens en identiteiten.
Voorts zijn de volgende punten van belang:
- Voor persoonsregistraties met biometrische gegevens moet een verplichte registratie worden ingevoerd, waar ook misbruik van biometrisch verankerde identiteiten kan worden gemeld en correctie van fouten kan worden gevraagd. De beheerder van dit register dient actief te waken tegen onnodige of onveilige opslag van biometrische gegevens en te controleren of door de exploitant voldoende preventieve maatregelen zijn genomen tegen diefstal en misbruik van de door hem beheerde biometrische gege-vens.
- Kritische en maatschappelijk gevoelige toepassingen moeten worden gecertificeerd en de daarvoor benodigde normen moeten worden ontwikkeld als ze nog niet beschikbaar zijn. Voor andere toepassingen moet het gebruik van gecertificeerde biometrische producten worden bevorderd, evenals ontwikkeling van de daarvoor benodigde normen als ze nog niet beschikbaar zijn.
- Voor elke toepassing van biometrie moet worden aangegeven wat de grenzen van het gebruik van de desbetreffende biometrische gegevens zijn.
- Opslag van biometrische gegevens moet alleen toegestaan zijn, wanneer dit voor de desbetreffende toepassing onvermijdelijk is en hergebruik van die biometrische gegevens buiten deze toepassing nagenoeg onmogelijk is. Deze biometrische gegevens, voorzien van een op de desbetreffende toepassing herleidbaar technisch merkteken, moeten dan bovendien vervormd en versleuteld worden opgeslagen.
- De publieke en private sector, particuliere organisaties en individuen moeten altijd biometrie gebruiken in combinatie met andere biometrische gegevens (bijvoorbeeld een vingerafdruk + een iris patroon) en niet-biometrische gegevens, zoals een PIN-code, om de kans op misleiding (spoofing) drastisch te beperken: het principe van "ten minste drie of vier keer kloppen (afhankelijk van de risico’s in een specifieke omgeving)". In principe moet het gebruik van een los (= niet met een ander gegeven of voorwerp verbonden) biometrisch gegeven worden ontmoedigd, zeker wanneer dat met redelijke inspanning kan worden gekoppeld aan de desbetreffende persoon.
- Koppeling van een bestand met biometrische gegevens aan externe bestanden moet uitsluitend toegestaan zijn in door de wet geregelde situaties. Daarnaast zouden, ook in interne databanken, biometrische gegevens in beginsel gescheiden van biografische persoonsgegevens moeten worden opgeslagen, om ook voor het eigen personeel de mogelijkheid tot oneigenlijk gebruik en misbruik sterk te beperken.