Wat zijn biometrische metadata en hoe worden ze gebruikt?

Je hebt vast wel eens een vingerafdrukscanner gebruikt om je telefoon te ontgrendelen of je gezicht gescand bij de douane op Schiphol. Maar weet je eigenlijk welke informatie er allemaal wordt opgeslagen en hoe dat precies werkt?

Het gaat namelijk niet alleen om een plaatje van je vingerafdruk. Er worden speciale meetwaarden uitgehaald, de zogenaamde biometrische metadata. In dit stuk leg ik je stap voor stap uit wat dat is, hoe het werkt en wat je eraan kunt doen om je privacy te beschermen.

Wat zijn biometrische metadata eigenlijk?

Stel je voor: je maakt een foto van je gezicht voor een app op je telefoon. Die foto zelf is maar een klein onderdeel van wat er gebeurt. De software scant je gezicht op specifieke punten, zoals de afstand tussen je ogen, de vorm van je kaaklijn en de locatie van je neus.

Die meetwaarden worden omgezet naar een reeks cijfers, een soort digitale vingerafdruk van je gezicht.

Dat is de metadata. Die metadata is anoniem, maar wel uniek voor jou.

Het is een wiskundig model van je lichaamskenmerken. Je kunt het vergelijken met een bouwtekening van je gezicht. De software gebruikt die tekening om jou te herkennen, niet de foto zelf.

Zo blijft de data kleiner en makkelijker te verwerken. Denk aan merken als Apple en Samsung.

Zij slaan deze meetwaarden lokaal op je toestel op, in een beveiligde chip. Ze sturen die data niet naar de cloud. Dat is een groot verschil met sommige andere systemen, waarbij de metadata wel online wordt opgeslagen. Het is dus slim om te weten waar je data terechtkomt.

De metadata bevat geen kleurinformatie van je huid of haardracht. Alleen de geometrische kenmerken.

Dat maakt het lastiger om je te herkennen aan de hand van een simpele foto.

Waarom is metadata anders dan een foto?

Toch is het niet 100% waterdicht, want geen enkel systeem is perfect. Een foto van je gezicht is groot en bevat veel details. De metadata is een compact bestandje, vaak maar een paar kilobytes.

Dat scheelt enorm in opslagruimte. Bovendien is het moeilijker om die data te misbruiken, omdat het geen echt beeld is. Je kunt er geen nieuwe foto van maken.

Stel je voor dat iemand je telefoon steelt. Als ze de metadata proberen te gebruiken om een 3D-masker van je gezicht te maken, lukt dat niet.

De data is te abstract. Dat is een geruststellend idee.

Stap 1: Begrijp wat je nodig hebt voor biometrische beveiliging

Voordat je met biometrie begint, moet je weten welke apparaten en software je kunt gebruiken. Je hebt niet veel nodig, maar de juiste keuze is belangrijk voor je privacy.

Allereerst een smartphone met een vingerafdrukscanner of gezichtsherkenning. Populaire modellen zijn de iPhone 15 (vanaf €999) of de Samsung Galaxy S24 (vanaf €899).

Deze toestellen hebben ingebouwde beveiligde chips voor biometrische data. Check of je toestel een FIDO-gecertificeerde scanner heeft, dat betekent dat het voldoet aan hoge veiligheidsstandaarden. Daarnaast een app of dienst die biometrie ondersteunt.

Denk aan banking-apps zoals de ING App of de ABN AMRO App. Die gebruiken je vingerafdruk voor login.

Of apps voor huisbeveiliging, zoals die van Ring of Nest. Zorg dat je de nieuwste versie downloadt, want oude versies hebben vaak zwakke plekken. Verder een veilige internetverbinding. Gebruik altijd een stabiele Wi-Fi of 4G/5G.

Vermijd openbare netwerken zonder wachtwoord. En tot slot: een beetje basiskennis van privacy-instellingen op je toestel.

Materialen en voorwaarden op een rij

• Een compatibele smartphone: iPhone of Samsung Galaxy, maximaal 3 jaar oud voor de beste ondersteuning.
• Biometrische app: download alleen van officiële winkels (App Store of Google Play).
• Wachtwoordmanager: bijvoorbeeld 1Password (vanaf €3,99 per maand) om je backup-wachtwoorden veilig te bewaren.
• Privacy-instellingen: schakel onnodige toegang uit, zoals locatie-tracking voor biometrische apps.

Die vind je meestal onder "Beveiliging" of "Privacy" in de instellingen. Veelgemaakte fout: een oud toestel gebruiken zonder beveiligde chip. Dat lekt data sneller.

Of een app downloaden uit onbekende bron, wat malware kan introduceren. Check altijd de ontwikkelaar en recensies.

Stap 2: Hoe biometrische metadata wordt verzameld en opgeslagen

Stel je voor: je opent een app en kiest voor vingerafdruk-login. De scanner op je telefoon scant je vinger. Dankzij de evolutie van biometrie meet de sensor honderden punten op je huid, zoals reliëf en lijnen.

Die data wordt direct omgezet naar een wiskundig model, zonder dat de afbeelding wordt opgeslagen.

Deze metadata wordt versleuteld opgeslagen in een aparte beveiligde chip op je toestel, de Trusted Platform Module (TPM) of Secure Enclave. Op een iPhone duurt dit proces minder dan een seconde.

Op een Android-toestel zoals de Pixel 8 is het ongeveer even snel. De chip beveiligt de data met een unieke sleutel, die alleen je toestel kent. Voor gezichtsherkenning werkt het vergelijkbaar.

De TrueDepth-camera op een iPhone scant je gezicht met infrarood. Het systeem berekent meer dan 30.000 punten en slaat de metadata op in de Secure Enclave.

Tijdsindicaties voor verzameling

Die data wordt nooit gedeeld met Apple of derden, tenzij je expliciet toestemming geeft. Opslagcapaciteit: de metadata neemt weinig ruimte in, vaak minder dan 1 MB per persoon. Je kunt meerdere gezichten of vingerafdrukken opslaan, tot wel 5 verschillende op een iPhone. Zorg dat je regelmatig je toestel updatet, want updates bevatten vaak patches voor beveiligingslekken.

Het scannen duurt 1-2 seconden. De verwerking tot metadata is onmiddellijk.

Als je een nieuwe vingerafdruk toevoegt, ben je ongeveer 30 seconden bezig met het instellen (meerdere keren indrukken).

Voor gezichtsherkenning: 10-15 seconden voor de eerste scan, daarna direct herkenning. Veelgemaakte fout: je vinger niet goed op de scanner leggen, waardoor de scan mislukt. Of een bril of hoed dragen tijdens de gezichtsscan, wat de nauwkeurigheid vermindert. Oefen een paar keer op een rustig moment.

Stap 3: Hoe biometrische metadata wordt gebruikt

Biometrische metadata wordt vooral gebruikt voor authenticatie. Dat betekent dat het systeem controleert of jij het bent, voordat je toegang krijgt tot iets, zelfs als je te maken hebt met littekens of slijtage.

Bij een bank-app zoals die van de Rabobank gebruik je je vingerafdruk om in te loggen. De app vergelijkt de scan met de opgeslagen metadata.

Als het matcht, krijg je toegang. Andere toepassingen zijn toegangscontrole, zoals bij je huis of kantoor. Een slim deurslot van Yale of August scant je vingerafdruk of gezicht en opent de deur als de metadata klopt. Op Schiphol gebruiken ze gezichtsherkenning bij de douane, waarbij je paspoortfoto wordt vergeleken met een live-scan.

De metadata wordt tijdelijk opgeslagen en na de controle verwijderd. Benieuwd naar het verschil tussen biometrische sjablonen en afbeeldingen? In de gezondheidszorg wordt biometrie steeds vaker gebruikt.

Apps zoals die van ZorgDomein scannen je vingerafdruk om je medische dossier te beveiligen. Dit voorkomt dat onbevoegden bij je gegevens kunnen. Let wel: zorgverleners moeten voldoen aan de AVG-wet, dus ze mogen je data niet zomaar delen.

Er zijn ook risico's. Sommige systemen, zoals die van bepaalde Chinese merken, slaan metadata op in de cloud.

Specifieke voorbeelden uit de praktijk

• Banking: ING-app gebruikt vingerafdruk voor betalingen tot €500. Na 5 mislukte scans moet je een wachtwoord invoeren.
• Thuisbeveiliging: Ring Video Doorbell (vanaf €99) biedt gezichtsherkenning, maar slaat metadata lokaal op.
• Luchthavens: op Schiphol duurt de gezichtsscan ongeveer 5 seconden per persoon.

Dat maakt het kwetsbaar voor hacks. Kies daarom voor systemen die lokaal opslaan, zoals die van Apple of Samsung.

En lees de privacyvoorwaarden van apps goed door. Veelgemaakte fout: biometrie gebruiken als enige beveiliging. Doe dat niet; combineer altijd met een sterk wachtwoord. Ook: vertrouwen op gratis apps zonder certificering, die kunnen je data lekken.

Stap 4: Hoe je je privacy beschermt bij biometrische metadata

Privacy begint bij bewustwording. Weet wat er met je data gebeurt.

Op je iPhone ga je naar Instellingen > Face ID & Passcode.

Daar zie je welke apps toegang hebben. Schakel onnodige apps uit, zoals sociale media die je vingerafdruk niet echt nodig hebben. Kies voor systemen die lokale opslag bieden.

Apple en Samsung doen dit standaard. Vermijd merken die cloud-opslag gebruiken, tenzij je expliciet toestemming geeft. Gebruik een VPN, zoals ExpressVPN (vanaf €8,32 per maand), om je data te versleutelen tijdens verzending. Regelmatig updaten is key.

Installeer updates binnen 24 uur na release. Ze bevatten vaak fixes voor biometrische lekken.

Verificatie-checklist

1. Controleer of je toestel een beveiligde chip heeft (Secure Enclave of TPM).
2. Download apps alleen van officiële bronnen en check recensies (minimaal 4 sterren).
3. Schakel onnodige toegang uit in privacy-instellingen.
4. Update je toestel en apps regelmatig, idealiter wekelijks.
5. Combineer biometrie met een sterk wachtwoord of 2FA.
6. Lees de privacyvoorwaarden van elke biometrische app.
7. Test de scanner: probeer ongeautoriseerde toegang met een foto of nep-vinger.

En test je beveiliging: probeer je toestel te ontgrendelen met een foto van je vingerafdruk (dat lukt meestal niet op moderne scanners). Als je je zorgen maakt, kun je biometrie uitschakelen en overschakelen naar een fysieke sleutel of wachtwoord.

Bij twijfel: raadpleeg een privacy-expert of de Autoriteit Persoonsgegevens. Als je deze stappen volgt, ben je goed beschermd. Biometrie is handig, maar alleen als je het slim aanpakt. Heb je vragen? Stel ze gerust – we zitten hier samen aan tafel om dit uit te zoeken.