Op 29 juli verscheen het bericht dat de ING bank de eerste Europese bank is die biometrische technieken gaat toepassen via een app. Klanten van ING kunnen via de app toestemming geven voor al hun geldtransacties door middel van stemherkenningstechnieken. Volgensย verschillendeย berichten zal het gebruik van biometrische technieken in de komende jaren toenemen.
Het gebruik van biometrische technieken brengt risico’s met zich mee voor zowel klanten als ondernemingen. In deze blog beschrijf ik kort wat biometrische technieken zijn en waarvoor zij gebruikt worden. Ik beschrijf de voordelen van deze technieken en ik geef een beschrijving van een aantal risico’s.
Biometrie
Biometrie is het vaststellen van meetbare, unieke eigenschappen van een persoon. Biometrische technieken kunnen gebruikt worden als beveiligingsmethode om toegang tot bepaalde gegevens of ruimtenย af te schermen. Biometrische technieken zijn een vorm vanย access controls die, aan de hand van unieke lichaamskenmerken, exclusieve toegang geven. Biometrie is niet een nieuwe ontdekking, maar het is inmiddels sterk geรฏnnoveerd. Onderzoek naar vingerafdrukken is een oude en bekendeย vorm van fysiologische biometrie. Momenteel kunnen de unieke eigenschappen vanย onder andere vingerafdrukken, handpalm, iris en stem vertaald worden naarย binaire code.
Wat zijn de voordelen van biometrische technieken?
Biometrie gebruikt de unieke persoonlijke eigenschappen van een persoon, waardoor het lichaam van de persoon zelf de sleutel is tot de toegang van gegevens en ruimten. Het onthouden van onder meer wachtwoorden en PIN-codes is dan, in principe, niet langer meer nodig.ย De unieke persoonlijke eigenschappen zijn niet overdraagbaar, in tegenstelling tot een wachtwoord of PIN-code. Hierdoor is biometrie minderย fraudegevoelig. Maar zodra deze unieke eigenschappen zijn opgeslagen, kunnen zij wellicht wel gekopieerd worden. De combinatie van biometrie met bijvoorbeeld een wachtwoord of pincode kan de beveiliging op dit punt wellicht verbeteren.
The CIA of IAย
CIA of IA betekent Confidentiality, Integrity and Availability of Information Assurance. Ofwel het beveiligen van data moet ten minste aan de eisen van vertrouwelijkheid, integriteit en beschikbaarheid voldoen. Ten aanzien van biometrische beveiligingstechnieken kan het volgende worden opgemerkt.
Vertrouwelijkheid
Geen enkel beveiligingssysteem is 100% veilig. Biometrie ook niet.ย Wachtwoorden e.d. zijn belangrijke persoonlijke gegevens. Het registreren van unieke persoonlijke eigenschappen zijn echter gegevens die zeerย privacygevoelig zijn.ย Beveiliging in het kader van vertrouwelijkheid betreft het beantwoorden van de vraag: wie kan de gegevens met unieke persoonlijke eigenschappen inzien? Het rechtvaardigt dan ook dat wanneer de privacygevoeligheid hogerย is, er verwacht mag worden dat de eisen voor de beveiliging ook hoog zijn. De onderneming die gebruik maakt van biometrische technieken zal dan ook geavanceerdeย beveiligings- en beheersingsmaatregelen moeten hanteren, zowel voor interne risico’s als externe risico’s.
Integriteit
Om de integriteit van gegevens zo veel mogelijk te waarborgen, zal deze vraag beantwoordt moeten worden: hoe controleer je wijzigingen in de gegevens? Het wijzigen of wisselen van de opgeslagen unieke persoonlijke eigenschappen kan grote gevolgen met zich meebrengen voor het individu. Wat als een zwarte hacker in staat is om de data met deze unieke persoonlijke eigenschappen te verwisselen of te wijzigen? De toegang voor het individu tot bepaalde gegevens of ruimten kan dan wellicht worden ontzegd. Bijvoorbeeld: een klant heeft niet langer toegangย totย zijn of haar bankgegevens door toedoen van het manipuleren van de biometrische data. En misschien kan deze toegang voor een andere persoon, te kwader trouw, worden geactiveerd.
Beschikbaarheid
Biometrische gegevens worden momenteel gebruikt in onder meer de burgerluchtvaart. Sinds enige tijd vindt een opmars plaats van het gebruik van biometrische technieken in de bancaire sector. Het belang van toepassing van biometrische technieken in deze sectoren is dat klanten op een effectieve en minder fraudegevoelige manier geรฏdentificeerd kunnen worden.
De vraag rijst echter op of biometrische gegevens doorgegeven dienen te worden aan justitie als een klant geassocieerd wordt met terrorisme of criminele activiteiten. Justitie mag immers niet in alle gevallen DNA-materiaal afnemen. Via de beschikbaarheid van de unieke persoonlijke gegevens bij private instellingen kan justitie de strafprocesregels omzeilen om aan deze biometrische gegevens te komen.
Echter het doel van biometrische technieken is om de identiteit van een persoonย vastย te stellen.ย In het licht van de Wet bescherming persoonsgegevens dient biometrische technieken dan ook alleen gebruikt te worden voor de identificatie van klanten of werknemers. Het doorgeven van de fysiologische biometrische eigenschappen aan justitie, zou het doel van identificatie overschrijden.
Links
http://www.banken.nl/nieuws/3331/biometrics-in-2020-meest-gebruikte-identificeringswijze
http://www.mobilepaymentstoday.com/articles/are-biometrics-the-next-big-thing-in-payments/
http://www.iritech.com/blog/biometric-insurance/
