Privacy

Onderzoek vernietigend voor vingerafdrukken op identiteitskaart: “Onnodig en gevaarlijk”

Illustratiefoto.Beeld Getty Images

Een studie van de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) van de KU Leuven maakt brandhout van de beslissing van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart (eID). De maatregel, die in april van kracht gaat, is onduidelijk, overbodig, disproportioneel en bovendien ook nog eens bijzonder risicovol, zo is de vernietigende conclusie.

Redactie 22 februari 2019, 15:46

De Kamer zette in november ondanks een negatief advies van de Gegevensbeschermingsautoriteit - de voormalige Privacycommissie - het licht op groen voor het wetsontwerp. Vanaf april zal de identiteitskaart digitale vingerafdrukken bevatten, die niet langer dan drie maanden zouden worden opgeslagen in een centrale databank.

De onderzoekers van COSIC namen de technologie achter het voorstel onder de loep in een technische analyse, en raden nu aan om af te zien van het voorstel. Concreet zien ze een handvol ernstige valkuilen, waaronder de veiligheid. “De technologie zoals momenteel gebruikt biedt onvoldoende garanties om het uitlezen van de vingerafdrukken door onbevoegden te verhinderen”, luidt het.

Onduidelijk en onnodig

Daarnaast stelt de studie dat de maatregel disproportioneel is. Volgens de onderzoekers maakt de overheid nu al onvoldoende gebruik van de biometrische gegevens die wel al op de kaart staan, zoals de digitale foto. “Voor zover bekend wordt de chip van de eID amper uitgelezen bij identiteitscontroles en al helemaal niet om de opgeslagen foto uit te lezen, laat staan te vergelijken”, klinkt het.

De controle van de vingerafdruk op een eID zou identiteitsfraude moeten tegengaan, maar is bovendien enkel effectief wanneer een persoon een geldige identiteitskaart aanbiedt die niet van hem is. Dergelijke fraude kan echter ook gemakkelijk worden gedetecteerd op basis van de foto. Bij verschillende andere scenario's - het onklaar maken van de chip, vervalsing van de identiteitskaart - heeft de maatregel geen nut, klinkt het.

“Levenslange impact”

De onderzoekers klagen ook het gebruik van een centrale databank aan, waarin de vingerafdrukken worden opgeslagen. Ze vrezen voor "function creep”, een fenomeen waarbij het doel en gebruik van gegevens langzaamaan verandert. Zo zou het kunnen dat de vingerafdrukken weliswaar verzameld worden in de strijd tegen identiteitsfraude, maar in de toekomst voor heel andere doeleinden gebruikt worden.

Tot slot wijst de studie erop dat de “paspoorttechnologie" die de overheid gebruikt “gedateerd is en niet meer voldoet aan de huidige stand van de techniek". En dat maakt het onveilig. Zoals het systeem er nu voor staat, kan niet gegarandeerd worden dat de vingerafdrukken niet gestolen worden. Als de vingerafdrukken uitlekken, zou dat een “levenslange impact” hebben, waarschuwen de onderzoekers: een uitgelekt wachtwoord kan je nog veranderen, je vingerafdrukken nooit meer.

De onderzoekers raden de overheid in hun conclusie aan om de vingerafdrukken nog niet op te nemen op de eID, of minstens veiligere alternatieven te zoeken om de technologie te gebruiken.