8 mei 2005
Biometrie is de geautomatiseerde identificatie of autorisatie van individuele lichaamskenmerken van een levend persoon. Het is een identificatietechniek gebaseerd op niet veranderlijke biologische kenmerken, de psychologische – en/of gedragskarakteristieken van een persoon. Het gaat dus bijvoorbeeld om de vingerafdruk, een deel van de iris of een bepaald gedrag. Dit kenmerk wordt vervolgens elektronisch opgeslagen en kan worden vergeleken met een op een ander tijdstip verkregen versie. Om fraude uit te sluiten worden bij voorkeur meerdere kenmerken tegelijkertijd gebruikt, al of niet in combinatie met een PIN-code.
Geert-Jan van Bussel
Biometrie rukt snel op in de (tele)communicatie. Dit zal grote veranderingen gaan brengen in onze manier van communiceren. Zo verheugen Internet en andere vormen van elektronische communicatie zich in een enorme belangstelling. Het gevolg is duidelijk: de anonimiteit van gebruikers neemt hand over hand toe. Het ‘kennen’ van de identiteit van gebruikers is echter van groot belang voor de meeste vormen van electronische communicatie. De authenticatie, het vaststellen van de identiteit van de gebruiker, kan met biometrie worden gewaarborgd, zeker als dat wordt gecombineerd met wachtwoorden en smartcards. De basis van de biometrie zijn dus menselijke kenmerken. Door deze op enige wijze op te slaan en geschikt te maken voor hergebruik, ontstaat de basis voor het bepalen van de persoonlijke identiteit.
Belang van identiteit
In een steeds groeiende elektronische communicatiemaatschappij is het van belang de identiteit van allerlei soorten gebruikers vast te stellen voor bijvoorbeeld:
• Internet-transacties bij electronic banking en e-commerce;
• Immigratie (legaal versus illegaal);
• Criminaliteitsbestrijding;
• Diefstal van en fraude met identiteit;
• Toegangscontrole van gebouwen;
• Bescherming van (geheime) gegevens door toegangsbeveiliging van de PC op de werkplek met toegang tot computernetwerken (intra- en extranetten, inclusief toegang tot computers op afstand);
• Registratie van de tijd dat iemand in een gebouw aanwezig is (of moet zijn);
• enz.
Biometrische technieken kunnen ervoor zorgen dat de identiteit van personen op meer verantwoorde wijze wordt vastgesteld. Het ingewikkeld patroon van lijnen en punten (vlekken) dat wordt ingelezen bij iris-herkenning levert bijvoorbeeld een hoge betrouwbaarheid op. Geen mens heeft hetzelfde irispatroon, ook tweelingen niet. Tijdens het leven is er nauwelijks verandering in het irispatroon.
Twee soorten biometrische systemen
Biometrische systemen bestaan grofweg uit twee onderdelen:
• Een apparaat om een kenmerk te meten van het menselijk lichaam en om dat gegeven om te zetten in een serie nummers;
• Een grote database, die de miljoenen biometrische metingen van mensen vastlegt.
De meest eenvoudige mogelijkheid is een database van alle foto’s van rijbewijzen. Door middel van het verzamelen van individuele gegevens, bijvoorbeeld psychologische en of gedragskarakteristieken zoals handgeometrie, irispatroon, stempatroon, of de manier waarop we onze handtekening zetten wordt een uniek ijkpunt (template) gemaakt. Zo wordt van iemand een biometrisch profiel gemaakt en vastgelegd in een gegevensbank, in een biometrisch controlesysteem, op een smartcard of in een barcode. Biometrie is gebaseerd op rekenregels (algoritmen) om twee templates met elkaar te vergelijken. De gebruiker wordt vergeleken met een enkele template, waarvan hij of zij beweert dat het die van hem of haar is. Gedurende de controle wordt de actuele informatie vergeleken met de opgeslagen template. Als de gebruiker is voor wie die zich uitgeeft zullen de twee beelden kloppen en is iemands identiteit vastgesteld en kan toegang worden verleend.
Betrouwbaarheid
Geen enkel systeem is foutloos, ook biometrische systemen niet. Afwijken worden in deze context aangeduid met FAR (False Acceptance Rate) en FRR (False Rejection Rate). FAR is het foutief accepteren van menselijk kenmerken bij identificatie. FRR is het onterecht weigeren van identificatie op grond van menselijke kenmerken. Omgevingsfactoren van invloed op de FAR /FFR zijn o.a. warmte, vochtigheid , vuile handen, veranderingen die optreden door de leeftijd van personen) e.d.
Bezwaren
Tegen biometrische identificatie zijn een groot aantal bezwaren aangevoerd, die vooral te maken hebben met de beveiliging van de biometrische bestanden. Vooral het opnemen ervan in centrale databases brengt grote risico’s met zich mee. Deze databases zijn nooit volledig te beveiligen en de kans dat kwaadwillenden toegang tot deze gegevens kunnen krijgen (hoe klein die kans ook is !) mag niet worden veronachtzaamd. De consequenties van een aanval door hackers of zware criminelen zouden gigantisch zijn. De voorkeur gaat dan ook steeds meer uit naar decentrale opslag of zelfs gepersonificeerde opslag op smartcards, door wettelijke waarborgen omgeven. Hierbij is het uitgangspunt dat personen hun biometrische gegevens zelf, op een chipkaart, bij zich dragen. In de discussie over de vernieuwing van de Gemeentelijke Basis Administratie (GBA) wordt echter centrale opslag niet uitgesloten. Of de overheid in staat is de veiligheid van die centrale opslag te waarborgen is nog maar zeer de vraag.
Uiteraard kan die opslag ook zelf met allerlei technische waarborgen zijn omgeven. De biometrische gegevens zullen als een binair patroon in een template worden opgesloten, en niet als een afbeelding. Die template (waaruit de oorspronkelijke informatie niet reproduceerbaar mag zijn) is vervolgens over te zetten op iemands chipkaart. Het College Bescherming Persoonsgegevens wijst uit privacy-overwegingen centrale opslag af; in de optiek van hget College hoeft geen kopie van een biometrisch bestand in een centrale database te worden opgeslagen. Ze gaat uit van decentrale toepassing: de persoon legt bijvoorbeeld zijn vingertop op een leesapparaat, dat het binaire patroon vaststelt en dit vergelijkt met de template op de chipkaart. Met die werkwijze hoeft geen enkele instantie uit identificatieredenen kopieën van biometrische bestanden te bewaren.
Authentisering
De discussie over de toepassing van biometrische technieken is tot nu toe bijna volledig gericht op identificatie van personen bij het gebruik van digitale communicatievormen, iets wat ook geldt voor de digitale handtekening. Een voor informatiebeheerders en –verwerkers belangrijk aspect is de authentisering van informatie, gegevens en documenten. Tot nu toe werden authentieke documenten voorzien van de handtekening van de betreffende partijen, zodat daarmee de documenten een status van betrouwbaarheid ontvangen.
Hoe moet dat straks bij de identificatie van personen met biometrische kenmerken of met een anderszins samengestelde digitale handtekening ?
Contracten zullen toch ook in het digitale tijdperk ban handtekeningen moeten worden voorzien ! Uiteraard zal het nog lange tijd zo zijn dat dat soort documenten op papier wordt geplaatst en voorzien van een handmatige handtekening. Die stukken zullen ook – uit bewijsoverwegingen – traditioneel op papier worden gearchiveerd. Maar vele aanvraag- en bevestigingsformulieren, brieven, uitspraken en andere binnen juridische procedures bewijsleverende bestanden zijn nu al digitaal, hoewel vaak een papieren versie beschikbaar is, vaak met handtekening daarop. Als de digitale handtekening en biometrische identificatie straks in snel tempo worden ingevoerd zal die backup wegvallen.
Om er zeker van te zijn dat informatiebestanden en documenten zijn goedgekeurd of geauthentiseerd door de daartoe bevoegde persoon staan er in dat verband twee opties open:
1. het op het document of op het bestand geplaatste biometrische bestand c.q. de digitale handtekening wordt samen met het betreffende document/bestand bewaard, zodanig dat gedurende de bewaartermijn zowel bestand/document als biometrisch bestand/digitale handtekening onmuteerbaar beschikbaar blijven. Deze optie betekent het vastleggen van biometrische gegevens op bestanden en documenten en dus op het bewaren daarvan op andere plekken dan de chipkaart van de ondertekenaar;
2. het in de toegankelijke metadata van het geauthentiseerde bestand of document opnemen van een melding dat de identificatie (volgens beometrische gegevens) heeft plaatsgevonden, accoord is bevonden, onmiskenbaar behoort aan degene die ondertekent en dat de digitale handtekening op het document geplaatst is, met exacte tijdsindicatie van plaatsing van de handtekening. Deze optie betekent het vastleggen van extra metadata (enkel bestemd voor de authentisering van het betreffende bestand of document), vast gekoppeld aan het document en onmuteerbaar ter beschikking gedurende de totale bewaartermijn.
In beide gevallen moeten zeer hoge eisen gesteld worden aan het beheer van de geauthentiseerde documenten en bestanden. De bewijs- en rechtspositie van een organisatie of een individueel persoon is er van afhankelijk.
Biometrie in de toekomst:
Als alle technieken op een rijtje worden gezet, blijkt netvliesherkenning de meest betrouwbare. Een nadeel van deze techniek is echter dat er op dit moment nog geen of onvoldoende betrouwbare apparatuur op de markt beschikbaar is. Ook is deze methode niet echt gebruikersvriendelijk. De verwachting is dat de biometrische industrie in de komende jaren een sterke groei zal doormaken en dat toegepaste technieken steeds verfijnder en gebruiksvriendelijker zullen worden. Biometrische technieken zullen steeds meer gebruikt gaan worden voor het vervangen van sleutels en identiteitskaarten voor het openen van deuren en het toegang verlenen tot computerfiles. Een biometrische chip is voor vele doeleinde bruikbaar: als positiebepaling voor dure gebruiksvoorwerpen, verdwaalde bejaarden en kinderen, voor het in de gaten houden van veroordeelden met elektronisch huisarrest, als verzamelbaak van alle persoonlijke gegevens, banksaldo, rijbewijs, strafblad, bloeddruk, hartslag en ga zo maar door. In principe kan dat al met de huidige chips, maar met de door biometrische kenmerken gepersonificeerde chip breiden de mogelijkheden zich aanzienlijk uit. Mensen kunnen voorzien worden van een streepjescode. En juist daar zit ook het grootste risico voor ondoordacht gebruik van biometrische identificatie…..
