Hoe biometrie kan helpen bij het creëren van een 'Sovereign Identity'

Redactie Biometrie Forum

Redactie

Alternatieven & Toekomstige Technologie · 2026-02-15 · 7 min leestijd

Stel je voor: jij bent de enige die toegang heeft tot je digitale leven. Geen wachtwoorden die je vergeet, geen apps die je identiteit claimen te zijn.

Jij bent de sleutel. Dat is het idee achter 'Sovereign Identity', ofwel zelf-soevereine identiteit. Je bent niet meer afhankelijk van een bedrijf of overheid om te bewijzen wie je bent.

En de sleutel daartoe? Die heb je al bij je.

Je vingerafdruk, je gezicht. Biometrie. Het klinkt als science fiction, maar het is dichterbij dan je denkt. Laten we samen kijken hoe we dit kunnen opbouwen, stap voor stap.

Stap 1: Je digitale gereedschapskist klaarmaken

Voordat we beginnen, moeten we even checken of je de juiste spullen in huis hebt. Dit is niet iets wat je even op je telefoon doet.

We bouwen iets stevigs. Je hebt een veilige basis nodig.

Allereerst een computer met een modern besturingssysteem, bijvoorbeeld Windows 11 of een recente Linux-distributie zoals Ubuntu 22.04 LTS. Je hebt een specifieke, veilige hardware nodig: een FIDO2/WebAuthn authenticator. Denk aan een YubiKey 5 NFC (kost ongeveer €50-€60) of een Nitrokey 3 (rond de €40-€50).

Dit is een klein USB-stickje dat dienst doet als digitale sleutel. Als je biometrische data wilt gebruiken, heb je een vingerafdrukscanner nodig die FIDO2 ondersteunt, zoals de Kensington VeriMark (rond de €80). Je smartphone kan ook, maar let op: gebruik een toestel met een dedicated security chip, zoals de Apple iPhone (Secure Enclave) of een Pixel met Titan M2-chip. Zorg dat je scherm minimaal 13 inch is en een resolutie heeft van 1920x1080 pixels, want je moet dingen goed kunnen lezen.

Wat je vooral niet moet doen? Direct je biometrie koppelen aan een standaard cloudaccount.

Dat is de grootste fout die mensen maken. We bouwen eerst een lokale, versleutelde basis.

De totale tijd voor deze voorbereiding is ongeveer 1 uur, inclusief het installeren van de benodigde software zoals een password manager (bijvoorbeeld Bitwarden) en het updaten van je OS. De meest gemaakte fout is het kopen van een goedkope, niet-gecertificeerde scanner. Die biedt geen echte veiligheid.

Denk aan je YubiKey als de sleutel van je huis. Je vingerafdruk is de handgreep. Zonder de juiste hand past de sleutel niet.

Stap 2: De fundering: je Private Key veiligstellen

Een 'Sovereign Identity' begint met cryptografie. Het klinkt ingewikkeld, maar het is simpel: je maakt een ongelooflijk sterk wachtwoord dat nooit het internet opgaat.

Dit is je Private Key. De YubiKey of Nitrokey die je net hebt gekocht, maakt deze key aan en houdt 'm veilig binnen het apparaat. Niemand kan hem uitlezen.

Sluit je YubiKey aan op een USB-poort. Open de configuratiesoftware van de fabrikant (Yubico Authenticator of Nitrokey App).

Kies voor 'Setup YubiKey for FIDO2' of 'WebAuthn'. Je wordt gevraagd om een PIN-code van minimaal 6 cijfers te maken. Kies iets wat je niet snel vergeet, maar wat niet te raden is.

123456 is dus echt een no-go. Deze PIN beveiligt je fysieke sleutel.

De totale tijd voor deze stap is 10 minuten. Veelgemaakte fouten: je PIN opschrijven op een briefje dat je naast je computer legt. Doe dit niet.

Gebruik een versleutelde notitie-app die je beveiligd hebt met een sterke hoofdwachtzin. Een andere fout is het verliezen van je Private Key. Bestel dus meteen een tweede YubiKey (€50) als reserve. Zet die op een veilige plek, bijvoorbeeld in een kluis. Als je één key verliest, ben je je identiteit kwijt.

Stap 3: Koppelen van je biometrie: de vingerafdruk

Hier wordt het persoonlijk. We koppelen je vingerafdruk aan je Private Key.

Het doel is dat de scanner je vingerafdruk local vergelijkt met de data op je key, en nooit naar een server stuurt. Je vingerafdruk verlaat je computer niet. Neem je Kensington VeriMark of soortgelijke scanner. Installeer de driver. Open de software en kies voor 'Register fingerprint'.

Volg de instructies: druk je wijsvinger 5 tot 7 keer op de scanner, telkens met een licht gewijzigde hoek. De software leert je vingerafdrukpatroon kennen (minimaal 150 pixels breed per afdruk).

De totale tijd is 5 minuten. Veelgemaakte fouten: een beschadigde vinger gebruiken (bijv. met een snee of verbranding).

Gebruik in dat geval een andere vinger. Een andere valkuil is het denken dat gezichtsherkenning op een laptop even veilig is. De meeste laptops hebben een basale IR-camera die minder accuraat is dan een dedicated vingerafdrukscanner.

Blijf bij vingerafdruk voor de basisbeveiliging. Het is betrouwbaarder en goedkoper (€80 vs €150+ voor high-end gezichtsherkenning).

Stap 4: Je digitale identiteit claimen (Self-Sovereign Identity Protocol)

Nu je een veilige sleutel en biometrische toegang hebt, is het tijd om een 'Identiteitsdocument' te maken. Dit doen we via een SSI (Self-Sovereign Identity) wallet.

Een populaire optie is de 'Indy' wallet of een app zoals 'Sphereon'. We maken een 'Decentralized Identifier' (DID). Dit is een unieke, herschrijfbare code die alleen van jou is.

Open je SSI-wallet software. Kies 'Create new DID'.

De software gebruikt je YubiKey om een cryptografische handtekening te genereren. Je vingerafdruk is de activering om deze handtekening te mogen gebruiken. Je krijgt een DID te zien, bijvoorbeeld did:example:123456789abcdefghi. Noteer deze goed. De totale tijd is 15 minuten.

Veelgemaakte fouten: je DID delen met iedereen alsof het een emailadres is. Je DID is publiek, maar de data die eraan hangt (zoals een diploma of bankpas) moet je selectief delen.

Een andere fout is het niet back-uppen van je wallet seed (de herstelzin). Schrijf deze 12 of 24 woorden op een stuk papier en stop het in een kluis. Zonder deze woorden ben je alles kwijt bij een defecte key.

Stap 5: Het bewijs laden: je paspoort of rijbewijs

Een lege identiteit is nutteloos. We moeten hem 'vullen' met een vertrouwd document, zoals een digitaal paspoort (eID). Zal biometrie de fysieke ID-kaart volledig overbodig maken?

Dit heet een 'Verifiable Credential' (VC). Je hebt hiervoor je fysieke ID en je SSI-wallet nodig. Scan je paspoort met je telefoon (gebruik een app die MRZ - Machine Readable Zone - leest) om biometrie in digitale werelden veilig te verifiëren.

De SSI-wallet vraagt om je fysieke ID te tonen. De wallet maakt een digitale hash (een soort vingerafdruk) van je paspoortgegevens en bewaart deze versleuteld.

De originele scan wordt direct gewist. Alleen het bewijs blijft over.

De totale tijd is 20 minuten. Veelgemaakte fouten: een scan van je ID opslaan in de cloud (Google Drive, iCloud). Doe dit nooit. Je SSI-wallet bewaart de data lokaal op je apparaat of versleuteld op een decentraal netwerk. Je bent zelf verantwoordelijk voor je data.

Stap 6: De controle: bewijzen wie je bent zonder data te lekken

Het mooie van Sovereign Identity is dat je niet alles hoeft te laten zien. Stel, een website vraagt om je leeftijd (18+).

Je hoeft je hele paspoort niet te laten zien, alleen het bewijs dat je ouder bent dan 18. De website (een 'Verifier') stuurt een verzoek naar je wallet. Jij activeert je wallet met je vingerafdruk.

Je wallet checkt of het verzoek klopt. Jij klikt op 'Accepteer'.

De wallet stuurt alleen een cryptografisch bewijs dat je ouder bent dan 18, zonder je naam, adres of exacte geboortedatum. De totale tijd per transactie is 10 seconden. Veelgemaakte fouten: een website vertrouwen die vraagt om je 'volledige identiteit' voor een simpele check. Weiger dit. Gebruik alleen 'Zero-Knowledge Proofs' (het bewijs tonen zonder de data zelf).

Als een app je vraagt om je vingerafdruk te scannen, controleer dan altijd eerst of het verzoek via FIDO2/WebAuthn gaat. Is het een eigen systeem van de app? Dan is het waarschijnlijk onveilig.

Stap 7: Je identiteit beheren en herstellen

Je identiteit is dynamisch. Je verhuist, je krijgt een nieuwe naam.

Met SSI beheer je dit zelf. Je kunt je DID 'updaten' met nieuwe credentials.

Als je je YubiKey verliest, gebruik je je backup-key. Activeer deze met je PIN en je biometrie. Je wallet synchroniseert de credentials weer. Als je je PIN vergeet, heb je een probleem na 3 pogingen, maar je herstelzin (de 24 woorden) redt je altijd.

Zorg dat je deze woorden op een veilige, fysieke plek bewaart. De tijd voor herstel hangt af van hoe snel je bij je backup-key en seed komt.

Veelgemaakte fouten: je backup-key niet testen. Test eens per jaar of je backup-key nog werkt. Een andere fout is het vergeten van de 'revocation list'. Als je een credential intrekt (bijv. een oude digitale pas), moet je deze ook markeren als 'ongeldig' in je wallet.

Verificatie-checklist

Voordat je live gaat, loop deze lijst na. Als je overal 'Ja' kunt antwoorden, ben je klaar.

Hardware: Is je FIDO2-key (YubiKey/Nitrokey) gekocht bij een officiële dealer?
PIN: Is je PIN-code minimaal 6 cijfers en nergens opgeschreven?
Biometrie: Is je vingerafdruk meerdere keren geregistreerd met verschillende hoeken?
Backup: Heb je je herstelzin (seed) opgeschreven en in een kluis gelegd?
Reserve: Heb je een tweede security key besteld?
Software: Draait je SSI-wallet lokaal of op een versleutelde decentrale storage?
Data: Bewaar je ooit scans van je ID-kaart op je computer?
Transacties: Weet je hoe je een 'Zero-Knowledge Proof' moet aanvragen?