Op 29 juli verscheen het bericht dat de ING bank de eerste Europese bank is die biometrische technieken gaat toepassen via een app. Klanten van ING kunnen via de app toestemming geven voor al hun geldtransacties door middel van stemherkenningstechnieken. Volgens verschillende berichten zal het gebruik van biometrische technieken in de komende jaren toenemen.

Het gebruik van biometrische technieken brengt risico’s met zich mee voor zowel klanten als ondernemingen. In deze blog beschrijf ik kort wat biometrische technieken zijn en waarvoor zij gebruikt worden. Ik beschrijf de voordelen van deze technieken en ik geef een beschrijving van een aantal risico’s.

 

Biometrie

Biometrie is het vaststellen van meetbare, unieke eigenschappen van een persoon. Biometrische technieken kunnen gebruikt worden als beveiligingsmethode om toegang tot bepaalde gegevens of ruimten af te schermen. Biometrische technieken zijn een vorm van access controls die, aan de hand van unieke lichaamskenmerken, exclusieve toegang geven. Biometrie is niet een nieuwe ontdekking, maar het is inmiddels sterk geïnnoveerd. Onderzoek naar vingerafdrukken is een oude en bekende vorm van fysiologische biometrie. Momenteel kunnen de unieke eigenschappen van onder andere vingerafdrukken, handpalm, iris en stem vertaald worden naar binaire code.

 

Wat zijn de voordelen van biometrische technieken?

Biometrie gebruikt de unieke persoonlijke eigenschappen van een persoon, waardoor het lichaam van de persoon zelf de sleutel is tot de toegang van gegevens en ruimten. Het onthouden van onder meer wachtwoorden en PIN-codes is dan, in principe, niet langer meer nodig. De unieke persoonlijke eigenschappen zijn niet overdraagbaar, in tegenstelling tot een wachtwoord of PIN-code. Hierdoor is biometrie minder fraudegevoelig. Maar zodra deze unieke eigenschappen zijn opgeslagen, kunnen zij wellicht wel gekopieerd worden. De combinatie van biometrie met bijvoorbeeld een wachtwoord of pincode kan de beveiliging op dit punt wellicht verbeteren.

 

The CIA of IA 

CIA of IA betekent Confidentiality, Integrity and Availability of Information Assurance. Ofwel het beveiligen van data moet ten minste aan de eisen van vertrouwelijkheid, integriteit en beschikbaarheid voldoen. Ten aanzien van biometrische beveiligingstechnieken kan het volgende worden opgemerkt.

Vertrouwelijkheid

Geen enkel beveiligingssysteem is 100% veilig. Biometrie ook niet. Wachtwoorden e.d. zijn belangrijke persoonlijke gegevens. Het registreren van unieke persoonlijke eigenschappen zijn echter gegevens die zeer privacygevoelig zijn. Beveiliging in het kader van vertrouwelijkheid betreft het beantwoorden van de vraag: wie kan de gegevens met unieke persoonlijke eigenschappen inzien? Het rechtvaardigt dan ook dat wanneer de privacygevoeligheid hoger is, er verwacht mag worden dat de eisen voor de beveiliging ook hoog zijn. De onderneming die gebruik maakt van biometrische technieken zal dan ook geavanceerde beveiligings- en beheersingsmaatregelen moeten hanteren, zowel voor interne risico’s als externe risico’s.

Integriteit

Om de integriteit van gegevens zo veel mogelijk te waarborgen, zal deze vraag beantwoordt moeten worden: hoe controleer je wijzigingen in de gegevens? Het wijzigen of wisselen van de opgeslagen unieke persoonlijke eigenschappen kan grote gevolgen met zich meebrengen voor het individu. Wat als een zwarte hacker in staat is om de data met deze unieke persoonlijke eigenschappen te verwisselen of te wijzigen? De toegang voor het individu tot bepaalde gegevens of ruimten kan dan wellicht worden ontzegd. Bijvoorbeeld: een klant heeft niet langer toegang tot zijn of haar bankgegevens door toedoen van het manipuleren van de biometrische data. En misschien kan deze toegang voor een andere persoon, te kwader trouw, worden geactiveerd.

Beschikbaarheid

Biometrische gegevens worden momenteel gebruikt in onder meer de burgerluchtvaart. Sinds enige tijd vindt een opmars plaats van het gebruik van biometrische technieken in de bancaire sector. Het belang van toepassing van biometrische technieken in deze sectoren is dat klanten op een effectieve en minder fraudegevoelige manier geïdentificeerd kunnen worden.

De vraag rijst echter op of biometrische gegevens doorgegeven dienen te worden aan justitie als een klant geassocieerd wordt met terrorisme of criminele activiteiten. Justitie mag immers niet in alle gevallen DNA-materiaal afnemen. Via de beschikbaarheid van de unieke persoonlijke gegevens bij private instellingen kan justitie de strafprocesregels omzeilen om aan deze biometrische gegevens te komen.

Echter het doel van biometrische technieken is om de identiteit van een persoon vast te stellen. In het licht van de Wet bescherming persoonsgegevens dient biometrische technieken dan ook alleen gebruikt te worden voor de identificatie van klanten of werknemers. Het doorgeven van de fysiologische biometrische eigenschappen aan justitie, zou het doel van identificatie overschrijden.

 

 

Links

http://www.banken.nl/nieuws/3331/biometrics-in-2020-meest-gebruikte-identificeringswijze

http://www.planetbiometrics.com/article-details/i/3321/desc/ing-netherlands-deploys-voice-biometrics-on-bank-app/

http://www.mobilepaymentstoday.com/articles/are-biometrics-the-next-big-thing-in-payments/

http://www.iritech.com/blog/biometric-insurance/

http://www.techrepublic.com/article/biometrics-and-behavioral-tech-the-good-and-the-bad-security-implications/