De opkomst van biometrische smartcards met ingebouwde scanner
Je telefoon ontgrendelen met je vingerafdruk of gezicht: het voelt nu al normaal. Maar wat als je pasje dat ook kan?
Biometrische smartcards met een ingebouwde scanner zijn aan een opmars bezig. Ze combineren de veiligheid van een pasje met de uniekheid van je lichaam. Handig, snel, en vaak veiliger dan een wachtwoord.
Toch zitten er haken en ogen aan, vooral rond privacy. In deze gids leg ik je uit hoe het werkt, wat de risico’s zijn en hoe je het slim aanpakt.
Biometrie is meer dan vingerafdrukken of gezichtsherkenning
Veel mensen denken meteen aan een vingerafdruk of gezichtsscanner. Maar biometrie is veel breder.
Het omvat vingerafdrukken, gezichtsherkenning, irissen, je stem, gedrag en zelfs je aders (Bron 1). Bij een smartcard met scanner gaat het meestal om vingerafdrukken of gezichtsherkenning. Maar sommige toepassingen kijken ook naar de iris, bijvoorbeeld bij hoogbeveiligde toegang.
De keuze hangt af van het doel. Voor een pasje in je portemonnee is een vingerafdrukscanner praktisch.
Voor bedrijfsbeveiliging kan gezichtsherkenning met een infraroodsensor veiliger zijn. Belangrijk is dat de biometrische data uniek is en niet makkelijk te kopiëren.
Vingerafdrukscanners: optisch, capacitief en ultrasoon
Er zijn drie hoofdtypen vingerafdrukscanners. Optische scanners maken een foto van je vinger.
Die zijn goedkoop, maar minder veilig. Capacitieve scanners meten de elektrische lading van je huid. Die zitten in de meeste smartphones en zijn moeilijker te misleiden.
Ultrasone scanners gebruiken geluidsgolven voor een 3D-beeld. Die zijn het veiligst, maar ook duurder (Bron 1).
Apple Touch ID en Android TEE slaan biometrische data lokaal en versleuteld op.
De data verlaat je toestel niet. Bij smartcards is hetzelfde principe van toepassing: de scanner op de pas bewerkt de data lokaal. Zo voorkom je dat je biometrie op een server belandt. Let op: goedkope scanners zijn soms misleidbaar.
Het Consumentenbond-onderzoek uit 2022 liet zien dat sommige smartphones met een foto te misleiden zijn (Bron 1). Kies dus voor een scanner met extra checks, zoals levendigheidsdetectie.
Gezichtsherkenning met Windows Hello
Windows Hello is een bekend voorbeeld van biometrische toegang op je computer. De consumentenversie gebruikt je gezicht, irisscan of vingerafdruk om in te loggen.
Voor bedrijven is er Windows Hello for Business. Die voegt multifactor authenticatie toe: je gezicht plus een pincode of apparaatbeveiliging (Bron 1).
Windows Hello for Business is ideaal voor laptops met een ingebouwde IR-camera. De infraroodsensor maakt spoofing met een foto moeilijker. Zonder IR-sensor is gezichtsherkenning minder veilig.
Bedrijven kunnen de biometrische data lokaal houden en combineren met bestaande beveiliging. Wil je dit thuis gebruiken? Zorg dan dat je laptop of desktop een IR-camera heeft. Een standaard webcam volstaat niet voor veilige gezichtsherkenning. Combineer altijd met een pincode voor extra zekerheid.
Risico’s en nieuwe ontwikkelingen
Biometrie is veilig, maar niet waterdicht. Een vingerafdruk is uniek, maar niet altijd onveranderlijk.
Bij letsel of slijtage kan een scanner je vinger herkennen. Bij gezichtsherkenning zijn risico’s groter bij goedkope 2D-camera’s zonder IR. Die zijn te misleiden met een foto of masker.
Nieuwe ontwikkelingen helpen. Ultrasone scanners in smartcards verbeteren de nauwkeurigheid.
Gedragsmatige biometrie, zoals je typgedrag of looppatroon, wordt ook toegepast. Die gebruikt de gyroscoop en versnellingsmeters in je telefoon of pas (Bron 1).
Zo ontstaat een extra laag beveiliging zonder dat je iets hoeft te doen. De rol van biometrie bij het beveiligen van cryptocurrency wallets is hierbij cruciaal. Een ander risico is dat biometrische data onversleuteld op servers wordt opgeslagen. Dat mag nooit. Kies altijd voor systemen die data lokaal en versleuteld opslaan. En zorg voor een back-up: een pincode of wachtwoord voor als de scanner faalt.
Tips voor biometrisch inloggen
Wil je biometrie veilig gebruiken? Volg deze praktische tips: Deze tips helpen om het maximale uit je biometrische smartcard te halen zonder je privacy op het spel te zetten.
- Combineer biometrie met een pincode of wachtwoord. Zo heb je altijd een back-up.
- Gebruik een minder voor de hand liggende vinger voor je vingerafdruk. Bijvoorbeeld je wijsvinger in plaats van je duim.
- Let op spoofingrisico bij goedkope 2D-camera’s zonder IR. Kies voor een IR-scanner of ultrasone scanner.
- Richt biometrie in voor persoonlijk of huishoudelijk doel. Dan val je onder de AVG-uitzondering en hoef je geen toestemming te vragen.
Regels voor gebruik biometrie
Biometrische gegevens vallen onder de Algemene Verordening Gegevensbescherming (AVG). Ze zijn bijzondere persoonsgegevens.
Dat betekent strengere regels voor verwerking en opslag. De Autoriteit Persoonsgegevens houdt toezicht (Bron 3). Gebruik je biometrie in een bedrijfsomgeving?
Dan moet je een wettelijke grondslag hebben, zoals toestemming of een gerechtvaardigd belang.
Historische ontwikkeling van biometrie
Je mag biometrische data niet onversleuteld op servers opslaan. Kies voor versleuteling en lokale opslag. Biometrie inzetten zonder wettelijke grondslag onder AVG is een fout. Dat kan leiden tot boetes.
Zorg dat je processen compliant zijn en documenteer waarom biometrie nodig is. Ook binnen de Metaverse en digitale werelden bestaat biometrie overigens langer dan je denkt.
Het eerste voorbeeld is een vingerafdruk op een kleitablet in Babylon (Bron 2). Sir Francis Galton toonde later de uniciteit en onveranderlijkheid van vingerafdrukken. Alphonse Bertillon introduceerde het Bertillon-systeem, gebaseerd op lichaamsmetingen.
In de jaren ’60 werd geautomatiseerde gezichtsherkenning ontwikkeld door Woodrow Wilson Bledsoe.
Juridisch kader en uitzonderingen
Frank Burch stelde irisherkenning voor. De FBI startte in 1971 het AFIS-project voor geautomatiseerde vingerafdrukherkenning (Bron 2). Zo groeide biometrie van handmatig naar digitaal.
Onder de AVG zijn biometrische gegevens bijzondere persoonsgegevens. Er geldt een exceptie voor persoonlijk of huishoudelijk doel.
Bijvoorbeeld het ontgrendelen van je eigen mobiel. Dan hoef je geen toestemming te vragen (Bron 3).
Deze exceptie geldt niet voor bedrijfsomgevingen of gedeelde systemen. Daar is een wettelijke grondslag nodig. De Autoriteit Persoonsgegevens adviseert om biometrie alleen in te zetten als het noodzakelijk is en risico’s te beperken.
Wanneer is iets een biometrisch gegeen?
Een biometrisch gegeven is elke meetbare eigenschap van je lichaam die uniek is. Denk aan je vingerafdruk, gezichtscontour, iris of stemgeluid, waarbij de rol van biometrie bij het monitoren van de volksgezondheid steeds belangrijker wordt.
Ook gedragspatronen, zoals je typsnelheid of looppatroon, tellen mee. Belangrijk is dat het gegeven herleidbaar is tot jou als persoon. Een foto van je gezicht is geen biometrisch gegeven tenzij die wordt gebruikt voor herkenning.
Een vingerafdrukscan daarentegen wel. Bij smartcards bewaak je die grens door data lokaal te verwerken.
Privacyrisico’s biometrische gegevens
Biometrische gegevens zijn permanent. Je kunt je vingerafdruk niet wijzigen zoals een wachtwoord.
Als die data lekt, is het risico groot. Daarom is versleuteling en lokale opslag essentieel. Gezichtsherkenning zonder IR-sensor is gevoelig voor spoofing.
Kies voor systemen die levendigheidsdetectie gebruiken. En beperk het gebruik tot waar het nodig is.
Gebruik biometrie niet als marketingtool of voor onnodige tracking.
Bijzondere persoonsgegevens
Biometrische gegevens zijn bijzondere persoonsgegevens onder de AVG. Dat betekent extra bescherming. Je mag ze alleen verwerken als dat strikt noodzakelijk is en met een wettelijke grondslag.
De exceptie voor persoonlijk of huishoudelijk doel is een uitzondering. Die geldt voor eigen gebruik, zoals je telefoon ontgrendelen.
Voor bedrijfskaarten of toegangssystemen moet je voldoen aan de AVG-regels.
Exceptie: persoonlijk of huishoudelijk doel
De exceptie is handig voor consumenten. Je kunt je mobiel veilig ontgrendelen met je vingerafdruk of gezicht zonder toestemming te vragen.
De biometrische data blijft op je toestel en wordt niet gedeeld. Voor smartcards met scanner geldt hetzelfde. Gebruik je de pas alleen zelf?
Dan valt het onder de exceptie. Deel je de pas met anderen?
Dan moet je voldoen aan de AVG. Zorg dat je de pas persoonlijk houdt. Biometrische smartcards met ingebouwde scanner bieden een veilige en handige manier om toegang te krijgen tot gebouwen, systemen of betaalpasen. Door slimme keuzes te maken en de regels te volgen, haal je het maximale uit de technologie zonder je privacy te verliezen.