15.11.2021
Online

​Waarom je niet wilt dat jouw biometrische gegevens op straat komen te liggen

By: Art Huiskes

BlogOnline

De laatste jaren is er steeds vaker iets te doen over het gebruik van biometrische gegevens ter identificatie en voor toegangscontrole. Enerzijds, omdat het technisch steeds gemakkelijker wordt om biometrische gegevens te verwerken. Anderzijds, omdat de Europese AVG (Algemene verordening gegevensbescherming) sinds 25 mei 2018 de collectieve verwerking van biometrische gegevens ter identificatie en voor toegangscontrole in beginsel verbiedt. De technisch meest gangbare biometrische identificatiemogelijkheden bestaan tegenwoordig uit vingerafdrukken, irisscans, stemherkenning of gezichtsherkenning.

Ieder Europees land kan daarnaast specifieke uitzonderingen hanteren in het kader van een zwaarwegend algemeen belang. Nederland staat in dat kader de verwerking van biometrische gegevens voor noodzakelijke authenticatie- of beveiligingsdoeleinden toe. Uiteindelijk komt dit er op neer dat momenteel alleen justitie (i.c. criminele opsporingsdiensten) en kerncentrales gebruik mogen maken van de verwerking van biometrische gegevens.

I. Privacy is een mensenrecht

Misschien vraag je je af waarom het gebruik van biometrische gegevens eigenlijk zo’n heet hangijzer is? Het is inmiddels algemeen geaccepteerd voor de ontgrendeling van smartphones en tablets en lijkt het ultieme alternatief voor lastig te onthouden verschillende wachtwoorden en slingerende toegangspasjes, nietwaar? Toch is er sprake van principiële verschillen met het gebruik van verschillende wachtwoorden en toegangspasjes.

Het eerste principiële verschil is gebaseerd op het feit dat jouw privacy letterlijk in het gedrang komt als je gedeelde identificatiemethoden toestaat binnen de samenleving. Daar waar de privacy serieus in het gedrang komt, ligt misbruik vervolgens meer voor de hand. Iets waar te pas en te onpas naar wordt gevraagd, zal namelijk vroeg of laat een keer op straat belanden. Het tweede principiële verschil heeft er mee te maken dat je verloren of gestolen biometrische gegevens natuurlijk niet overeenkomstig gehackte wachtwoorden en verloren of gestolen pasjes kunt wijzigen of blokkeren. Jouw biometrische gegevens zijn namelijk onherroepbaar. De principiële privacyzorgen behandel ik direct hieronder, de praktische problemen in relatie tot misbruik behandel ik in het tweede deel van dit artikel.

Jouw biometrische gezichtsprofiel kun je maar moeilijk verbergen

Met name gezichtsherkenning heeft de potentiële mogelijkheden in zich om als het ultieme alternatief voor lastig te onthouden verschillende wachtwoorden en slingerende toegangspasjes te worden uitgerold binnen onze maatschappij. Het gebruikt een relatief eenvoudig algoritme dat jouw gezicht reduceert tot aan elkaar gerelateerde lengtematen van de verschillende afstanden tussen jouw ogen, neus, mond en oren. Daarnaast is het – afhankelijk van de cameraresolutie – in principe vanaf grote afstand toe te passen. Tenslotte valt er over een brede curve te corrigeren voor de hoek van het camerastandpunt in relatie tot de positie van jouw gezicht.

Vanwege het feit dat je jouw biometrische profiel – in dit geval jouw gezicht – altijd en overal met jou meedraagt, biedt een dergelijke uitrol tegelijkertijd ongekende en ongewenste mogelijkheden met betrekking tot de totstandkoming van een zgn. surveillancestaat. Door het in groten getale ophangen van camera’s binnen publieke ruimtes is het in principe mogelijk om jouw gaan en staan dag en nacht te volgen. Gezichtsherkenning via publieke camera’s kan middels foto’s op het internet en de sociale media vervolgens vrij eenvoudig aan jouw daadwerkelijke identiteit worden gekoppeld. In China zijn ze al ver gevorderd met een dergelijke uitrol van publieke gezichtsherkenning.

Naast het voor de hand liggende schrikbeeld van een surveillancestaat ontstaat er tevens het potentiële schrikbeeld van commerciële bedrijven die jou te pas en te onpas lastig vallen. Bijvoorbeeld met reclames die nu niet meer alleen worden gebaseerd op jouw surfgedrag, maar op grond van gezichtsherkenning ook kunnen worden gebaseerd op jouw fysieke consumptiegedrag. Zeg maar, tracking cookies 3.0. Hoe irritant wil je het hebben!

Gedeelde identificatiemethoden herbergen een eender privacyrisico

De toepassing van andere biometrische identificatiemethoden dan gezichtsherkenning draagt min of meer dezelfde gevaren in zich. Ze lijken intuïtief veiliger, maar vergis je niet, ze hangen evenzeer af van het feit of het overal wordt toegestaan om jouw gezicht te identificeren met gezichtsherkenning als dat het overal wordt toegestaan om bijvoorbeeld jouw vingerafdruk of irisscan (op) te nemen. Dat jouw vingerafdruk en irisscan intuïtief veiliger lijken, is het gevolg van het feit dat ze niet van afstand (op)genomen kunnen worden. De ervoor benodigde juridische toestemmingen onderscheiden zich echter pertinent niet. Dit maakt dat een zgn. surveillancestaat of een commercieel schrikbeeld beide mogelijk zijn op grond van willekeurig welke biometrie.

Ditzelfde geldt overigens voor elke gedeelde identificatiemethode. Dat wil zeggen een gedeelde vorm van identificatie en toegangscontrole die binnen de samenleving of binnen specifieke sectoren van de samenleving wordt toegepast. Dus ook een gedeeld toegangspasje heeft exact dezelfde bezwaren. Zelfs het veel geprezen DigiD breder uitgerold binnen de samenleving is vanuit de perceptie van privacy volstrekt onwenselijk.

Overigens lijkt de QR-code voor de CoronaCheck-app op grond hiervan op gespannen voet te staan met privacybeginselen. Ware het niet dat er omvangrijke privacywaarborgen in dit controlesysteem zijn geïntegreerd. Daardoor is dit specifieke systeem niet langer geschikt om mensen te volgen.

Invoelbaar privacyrisico van gedeelde identificatiemethoden

Om een dergelijk privacyrisico beter invoelbaar te maken, zou je je bijvoorbeeld kunnen voorstellen dat alle supermarkten jou consequent vragen om jouw vingerafdruk of om hetzelfde toegangspasje, terwijl ze de hiermee verzamelde gegevens vervolgens met elkaar delen. En zelfs als ze deze gegevens niet met elkaar mogen delen, dan zijn criminele opsporingsdiensten wel in staat om deze gegevens relatief gemakkelijk met elkaar te combineren. Dit hypothetische voorbeeld toont aan dat gedeelde vormen van identificatie en toegangscontrole substantieel inbreuk maken op jouw private levenssfeer en het recht om jezelf tot op zekere hoogte anoniem binnen de maatschappij te bewegen.

Privacy-agnostiek is niet langer houdbaar

Gezichtsherkenning biedt bijna onbeperkte mogelijkheden om gedrags-, aanwezigheids- en consumptiepatronen van burgers tot in detail te volgen. Indien je nu nog steeds zegt: ‘maar ik heb toch niets te verbergen’ of ‘iedereen mag alles van mij weten’ dan besef je gewoon totaal niet wat de begrippen privacy en vrijheid voor de gemiddelde burger binnen een vrije samenleving betekenen. Ik stel voor dat je dan maar een tijdje onder het Chinese juk gaat leven, om te leren waarderen wat vrijheid binnen onze samenleving betekent. In ieder geval geen overheid of een commercieel bedrijf dat zich met de kleinste details van ons persoonlijk leven kan bemoeien.

Het ultieme argument in bovenstaande privacydiscussie vormt die van een omslag van een goedmoedige naar een kwaadwillende overheid. Stel dat gezichtherkenning uitgebreid wordt toegepast door een goedmoedige overheid, maar dat die weliswaar sterk beperkende regels hanteert over hoe en waarvoor gezichtsherkenning mag worden toegepast. Stel je nu eens voor dat deze goedmoedige overheid transformeert naar een kwaadwillende overheid. Dit kan zijn vanwege het resultaat van de verkiezingen, vanwege een geleidelijke politieke verandering of desnoods vanwege een staatsgreep. Hoe dan ook, die ooit goedmoedige overheid die gezichtsherkenning uitgebreid toeliet – weliswaar met de broodnodige privacywaarborgen – is dan vervangen door een kwaadwillende overheid die van de één of de andere dag een volledige surveillancestaat tot zijn beschikking heeft. Hiermee moet elke verstokte privacy-agnost toch kunnen worden overtuigd van het feit dat de uitrol van biometrische of gedeelde identificatiemethoden enorme privacyrisico’s met zich meebrengt.

II. Misbruik van biometrische gegevens in de praktijk

Naast principiële privacyrisico’s bestaan er ook andere, meer praktische argumenten om jouw biometrische gegevens te allen tijde voor jezelf te houden. Dit heeft betrekking op het potentiële misbruik van jouw biometrische gegevens door derden. Daar waar de privacy serieus in het gedrang komt, ligt misbruik vervolgens meer voor de hand. Iets waar te pas en te onpas naar wordt gevraagd, zal namelijk vroeg of laat een keer op straat belanden. Ik schets de gevolgen hiervan aan de hand van twee potentiële scenario’s hieronder.

Identiteitsdiefstal op grond van jouw biometrische gegevens

Hoe breder biometrische gegevens ter identificatie en voor toegangscontrole zijn uitgerold, hoe groter het risico is dat jouw biometrische gegevens op enig moment in criminele handen vallen. Daar waar je gehackte wachtwoorden en verloren of gestolen pasjes nog kunt wijzigen of blokkeren, is dit met biometrische gegevens natuurlijk niet langer het geval. Jouw biometrische gegevens zijn onherroepbaar. Vanwege het feit dat biometrische gegevens tevens unieke persoonsgegevens betreffen, valt er in beginsel identiteitsdiefstal mee te ondernemen. Derden zouden met jouw biometrische gegevens bijvoorbeeld financiële transacties e.d. kunnen autoriseren en aangaan. Ware het niet dat dit onder de Europese AVG vanwege uiterst valide argumenten dus niet is toegestaan.

Manipulatie van jouw biometrische gegevens op een ‘plaats delict’

Van de georganiseerde misdaad wordt daarnaast verwacht dat ze in de niet al te verre toekomst over de mogelijkheden beschikken om biometrische gegevens daadwerkelijk te manipuleren. Als wij ze dan in de gelegenheid stellen om dergelijke biometrische gegevens op grote schaal te oogsten, dan zullen er vroeg of laat situaties ontstaan waarin de biometrische gegevens van een onschuldig iemand zodanig worden gemanipuleerd, dat het lijkt of diegene aanwezig was tijdens een gepleegde misdaad op een ‘plaats delict’. Misschien lijkt dit nu nog toekomstmuziek, maar binnen niet al te lange tijd kunnen biometrische gegevens wellicht al op een dergelijke manier worden misbruikt.

Toch zijn er mensen die vrijwillig afstand doen van hun biometrische gegevens

Zelfs nu er een verbod geldt op het collectief toepassen van biometrische gegevens ter identificatie en voor toegangscontrole blijven er nog genoeg mensen over die onvoldoende de gevaren inzien van het vrijwillig beschikbaar stellen van hun biometrische gegevens. Blijkbaar grotendeels agnostisch voor de privacydiscussie vergeten deze mensen dat er ook serieuze praktische bezwaren kleven aan het verwerken van biometrische gegevens.

Indien je jouw biometrische gegevens achteloos beschikbaar stelt voor bijvoorbeeld de ontgrendeling van jouw mobiele apparatuur, genetische analyses of gezichtsherkenning van jouw foto’s op Facebook (dit wordt gelukkig binnenkort teruggedraaid), dan kan er een toekomst bestaan waarin jouw vingerafdruk, dna-kenmerken of jouw gezichtsprofiel actief worden misbruikt en plots opduiken op een ‘plaats delict’. Niet omdat jij daar bent geweest, maar omdat geavanceerde criminelen jouw biometrische gegevens hebben nagemaakt en bewust op de ‘plaats delict’ hebben achtergelaten.

Hoewel dit misschien vooralsnog klinkt als ‘science fiction’, is het niet onvoorstelbaar dat zoiets in de nabije toekomst daadwerkelijk mogelijk wordt. Nu je de expliciete risico’s kent, ben je misschien wel blij dat je jouw vingerafdruk, dna of gezichtsprofiel niet klakkeloos hebt achtergelaten in potentieel te hacken databases of op relatief toegankelijke mobiele apparatuur!? (i.c. smartphones, tablets)

[Fotocredits – metamorworks © Adobe Stock]

Share this post