Hoe je biometrische data kunt beschermen tegen overheidstoegang
Je telefoon weet hoe je eruitziet. Je laptop herkent je vingerafdruk.
De douane scant je gezicht bij de grens. Handig, snel, maar wat gebeurt er met die data? Die vraag houdt me wakker.
Niet om angst te zaaien, maar om je de controle terug te geven.
Want biometrische data is het meest persoonlijke wat er bestaat. Je kunt je vingerafdruk niet wisselen als een wachtwoord. Dit is een handleiding om je digitale identiteit af te schermen, zonder in een bunker te hoeven wonen.
Stap 1: De juiste hardware kiezen (de basis op orde)
Veiligheid begint bij het apparaat dat je gebruikt. Niet alle vingerafdrukscanners of gezichtsherkenningstechnologie is hetzelfde.
Je wilt dat de data lokaal wordt verwerkt, niet naar een server in de cloud wordt gestuurd. Check of je scanner je data lokaal opslaat. Apple's Touch ID en Face ID doen dit op de Secure Enclave. Veel budget Android-telefoons gebruiken een optische sensor die data soms wel de cloud in stuurt voor 'verbetering'.
Dat wil je niet. Investeer in een laptop met een Windows Hello-gecertificeerde irisscanner of vingerafdrukscanner.
Geef liever €50 meer uit voor een telefoon met een betrouwbare vingerafdrukscanner (ultrasonisch of capacitief) dan te besparen op een model met een onveilige optische sensor.
Deze voldoen aan strenge eisen. Een losse USB-vingerafdrukscanner van €15 is vaak een gok.
Kijk naar merken als Yubico (YubiKey Bio) voor fysieke 2FA-sleutels met biometrie die de sleutel zelf beschermt.
Wat je nodig hebt:
- Een smartphone die 'Secure Enclave' of 'TrustZone' hardware ondersteunt (modellen vanaf 2018).
- Een laptop met Windows Hello for Business certificering of Touch ID.
- Een budget van €0 (softwarematig) tot €150 (nieuwe hardware).
- 15 minuten tijd om specificaties te controleren.
Veelgemaakte fouten:
- Een oude telefoon kopen met een gebroken beveiligingspatch. De scanner is dan nutteloos.
- Denken dat een simpele pincode bij de scanner veilig is. Die code moet sterk zijn (minimaal 6 cijfers, liever een alfanumerieke code).
Stap 2: Softwarematig je data afschermen (de poorten dichtdraaien)
Nu je hardware op orde is, gaan we naar de software. Hier gebeurt het echte werk.
We gaan apps en overheden de pas afsnijden. Start met het afwijzen van biometrische toegang voor bankieren via de app. Ja, je leest het goed. Gebruik voor je bankapp liever een sterke pincode of fysieke authenticator. Waarom?
Mocht je telefoon worden gevorderd door politie of douane, dan kunnen ze je dwingen je gezicht te laten scannen. Je wachtwoord mogen ze in Nederland (nog) niet afdwingen.
Ga naar je telefooninstellingen. Zoek naar 'Privacy' en dan 'Analyse en verbeteringen'.
Zet alles uit wat data naar de fabrikant stuurt. Bij Google Foto's: zet 'Gezichtsherkenning' uit. Je gezichtsgroepen zijn handig, maar bedenk bij biometrische data in de cloud dat een database van je gezicht goud is voor toezichtsystemen.
Specifieke actiepunten:
- Verwijder gezichtsherkenning uit Google Foto's (instellingen > privacy).
- Gebruik een password manager (Bitwarden, €0-€10/jaar) die biometrie gebruikt om de kluis te openen, niet om de wachtwoorden zelf te syncen.
- Check de app-permissies: Ga naar Instellingen > Apps > Permissies. Verwijder 'Lichaamsensoren' voor apps die het niet nodig hebben.
Tijdsindicatie:
Gebruik een privacy-focused launcher op Android, bijvoorbeeld de Niagara Launcher of Olauncher. Deze vragen geen rare permissies en zijn lichtgewicht.
Vermijd apps die 'Biometrische data uitlezen' als permissie vragen, tenzij het essentieel is (zoals een password manager). Weet jij wat te doen als je biometrische data gehackt zijn? Dit duurt ongeveer 30 minuten om goed door te lopen. Doe dit eens per kwartaal.
Veelgemaakte fouten:
- Overal 'Ja' klikken bij biometrische toegang. Wees selectief. Je slotenmaker app heeft geen vingerafdruk nodig.
- Gebruiken van gezichtsherkenning als enige beveiliging op je telefoon. Zet het fallback-wachtwoord op sterk.
Stap 3: De fysieke barrière opwerpen (tegen dwang)
Stel je voor: je staat op Schiphol, de marechaussee vraagt om je telefoon. Ze willen hem ontgrendelen.
In Nederland mag je meewerken aan identificatie, maar het openen van je telefoon met biometrie is grijs gebied.
De rechter heeft gezegd dat dwang tot biometrische ontgrendeling soms mag, soms niet. Jij wilt dit risico minimaliseren, zeker gezien de gevaren van gecentraliseerde biometrische databases. Activeer de 'Lockdown Mode' op je iPhone (houd de zijknop ingedrukt naast volume omhoog) of Android (snel instellingen menu).
Dit schakelt alle biometrie uit totdat de pincode is ingevoerd. Doe dit voordat je door de douane gaat of in een risicovolle situatie komt. Het kost je 3 seconden. Gebruik een 'Faraday pouch' (signal blocking bag) voor je telefoon.
Als je telefoon in de tas zit, kunnen ze hem niet scannen en ook niet zien of er een signaal is.
Een goede Faraday pouch van merken als Silent Pocket of OffGrid kost tussen de €20 en €50. Test hem even: stop je telefoon erin en probeer te bellen.
Het moet 'geen netwerk' aangeven. Zorg dat je telefoon volledig uitstaat (niet alleen in slaapstand) bij grote risico's. Het opstarten van een iPhone of moderne Android vraagt standaard om de pincode na een herstart. Biometrie werkt dan niet meer tot de pin is ingevoerd.
Benodigdheden:
- Een Faraday pouch (€20 - €50).
- Kennis van de lockdown-modus van je toestel (2 minuten oefenen).
Veelgemaakte fouten:
- Je telefoon gewoon in je zak houden. Moderne sensoren scannen soms al als ze dichtbij een scanner komen.
- Vergeten je pincode. Als je die niet weet na een restart, ben je je data kwijt. Schrijf hem thuis op en bewaar het briefje veilig.
Stap 4: Je digitale voetafdruk verstoren (anti-facial recognition)
De overheid scant niet alleen telefoons. Cameras op straat, in het OV en bij evenementen gebruiken gezichtsherkenning.
Je kunt niet onzichtbaar worden, maar je kunt de algoritmen verwarren. Overweeg 'adversarial fashion'. Kleding of accessoires met specifieke patronen die AI-modellen misleiden.
Merken als Cap_able maken truien en maskers met patronen die de scanner een 'dier' of 'leegte' laten zien. Een trui kost €100-€150.
Dit is een statement en een effectieve barrière. Gebruik een zonnebril met reflecterende glazen en een mondkapje of sjaal op plekken waar dit normaal is.
Dit verhindert de geometrie van je gezicht te meten. Het is simpel, goedkoop (€20 voor een bril) en effectief tegen standaard camera's. Check welke data je al openlijk geeft. Ga naar 'Have I Been Pwned' (een site die checkt of je email gelekt is).
Zorg dat je email niet gekoppeld is aan een profiel met je pasfoto. Gebruik een alias email voor diensten die biometrie vragen (zoals ProtonMail of SimpleLogin).
Specifieke maatvoering:
- Patronen op kleding moeten specifiek zijn gemaakt voor het type algoritme (meestal ResNet of YOLO). Doe research voordat je koopt.
- Gebruik een VPN (bijv. Mullvad, €5/maand) om je IP-adres te maskeren, zodat online activiteiten niet naar je fysieke locatie te herleiden zijn.
Veelgemaakte fouten:
- Denken dat een masker van een beroemde persoon werkt. De meeste systemen zijn slimmer dan dat.
- Je anonimiseren op straat terwijl je je telefoon aan hebt staan. De telefoon trackt je locatie en stuurt dit naar de provider. Anonimiteit werkt alleen als alle schakels kloppen.
Stap 5: De verificatie-checklist
Ben je klaar? Loop deze lijst na.
- Hardware Check: Weet je zeker dat je vingerafdrukscanner of Face ID de data lokaal opslaat? (Check specificaties van de fabrikant).
- Software Check: Staat gezichtsherkenning uit bij Google Foto's en andere cloud-diensten?
- Bankieren Check: Gebruik je een aparte pin of fysieke sleutel voor je bankapp in plaats van alleen biometrie?
- Fysieke Check: Weet je hoe je de 'Lockdown Mode' activeert? En heb je een Faraday pouch in je tas?
- Social Check: Is je online profiel zichtbaar zonder gezichtsfoto's?
- Noodgeval: Weet je je pincode uit je hoofd en ligt er een backup van je 2FA-sleutels thuis in een kluis?
Als je overal 'Ja' kunt antwoorden, zit je op het juiste spoor. Als je deze stappen volgt, ben je niet onaantastbaar, maar wel een stuk moeilijker te 'lezen' voor systemen. En dat is precies wat je wilt. Jij bepaalt wie je data ziet. Niet de overheid.