De vingerafdruk op de identiteitskaart: het begin van het einde?
In november van vorig jaar werd bekend dat de omstreden beslissing omtrent de Belgische eID-kaart van toenmalig minister van Binnenlandse Zaken Jambon goedgekeurd was. Naar aanleiding van de aanslagen in Brussel en Parijs van enkele jaren geleden wou hij een extra veiligheidsmaatregel invoeren in de vorm van elektronische vingerafdrukken op alle eID-kaarten. De adviezen die hij kreeg over dit voorstel waren overwegend negatief, maar dat hield hem duidelijk niet tegen. Het gevolg hiervan was een heuse opstand op onze sociale media van zowel doorsnee Belgen als privacy-experts.
Vertraging
Het meest recente nieuws over de vingerafdrukken is dat de invoer ervan vertraagd is. Het plan was om met de uitrol in april te beginnen (nu dus), maar daar lijkt het een en ander mis te zijn gelopen. Pieter De Crem, minister van Binnenlandse Zaken, bevestigde dit en vermeldde dat er eind april een testfase zou zijn. Over de eigenlijke uitrol staat nog niets vast, al lijkt die op zich te laten wachten tot het najaar. Intussen blijven de protestschreeuwen verder luiden, en die komen van alle denkbare kanten.
Overdreven
Toen het bekend werd dat er over de vingerafdrukken op de ID-kaart gesproken werd, was een vraag die geregeld terugkwam: “Is dit niet wat overdreven?” Het antwoord van de Privacycommissie op die vraag is een simpele ja. Een studie van de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) aan de KUL zette dit antwoord kracht bij met hun onderzoek. De maatregel is overdreven omdat de overheid al heel wat biometrische gegevens gebruikt op onze ID-kaart, zoals de foto. Het zou zelfs niet eens nodig moeten zijn om de vingerafdruk uit te lezen. Het is volgens COSIC voldoende om de opgeslagen vingerafdrukken te vergelijken met de afdrukken van de houder van de kaart, waarvoor het uitlezen niet nodig is. Daarnaast zou de chip van de kaart überhaupt zelden ingelezen worden bij een identiteitscontrole. Als dit gedrag behouden blijft, dan is de toevoeging van de vingerafdruk dus geheel nutteloos en onnodig. Afgezien hiervan is er nog een ander probleem met de vingerafdrukken, namelijk de beveiliging ervan.
Onduidelijkheid alom
Bij het wetsvoorstel over de vingerafdrukken werd ook vermeld dat ze maar voor drie maanden bewaard worden. Daarna moeten ze onherroepelijk vernietigd worden. Maar de gegevens blijven dus wel een tijdje bewaard in een databank. Normaal hebben alleen medewerkers met een specifiek veiligheidscertificaat toegang tot die data, maar vandaag de dag proberen hackers maar al te graag toegang te krijgen tot zo’n databank. De Gegevensbeschermingsautoriteit (GBA) vraagt zich dan ook af welke maatregelen er zijn genomen om het hacken van dit certificaat tegen te gaan en of er eveneens maatregelen zijn voor als dit toch zou gebeuren. Ook het COSIC en de Liga voor Mensenrechten stellen dezelfde vraag, aangezien de technische kant van het verhaal niet aan bod komt in het wetsvoorstel. Volgens de Liga voor Mensenrechten was het onderzoek naar de mogelijke risico’s te beperkt:
“De potentiële risico’s voor burgers zijn niet grondig onderzocht, noch de proportionaliteit van de maatregel, noch de technische maatregelen ter bescherming van de biometrische gegevens. Concreet worden de basisprincipes van de nieuwe privacywetgeving compleet genegeerd.”
De overheid heeft bovendien nog niet verduidelijkt hoe deze technische kwestie precies in elkaar zit. Deze beveiligingsproblematiek stopt daar ook niet. De technologie die de overheid gebruik voor de ID-kaarten zou daarnaast gedateerd zijn en niet voldoen aan de huidige stand van zaken.
En onze privacy?
Naast alle problemen met beveiliging blijft het probleem met de privacy de voornaamste oorzaak van alle ophef. Zoals eerder gezegd, heeft de overheid al een schat aan biometrische informatie in de ID-kaart verwerkt. Hier wordt nu nog een stukje informatie aan toegevoegd. Zo wordt er gevreesd voor een zogenaamde function creep. Dit wil zeggen dat de functie van de vingerafdrukken na verloop van tijd zou veranderen en dat ze voor andere doeleinden ingezet kunnen worden. Waarnemend hoofd van de Privacycommissie Willen De Beuckelaere legt ook de juridische problematiek bij het wetsvoorstel bloot:
“De Memorie van Toelichting bij het voorstel stelt dat de vereiste data protection impact assessment nog moet gebeuren. Maar de GDPR-regels vereisen dat dat voorafgaand aan de beslissing moet verlopen.”
Ook enkele juristen hebben aangekondigd dat ze de zaak gaan aanvechten bij het Grondwettelijk Hof en die zaak is 22 maart ook daadwerkelijk van start gegaan. Meer info hierover en de kans om zelf een (al dan niet financieel) steentje bij te dragen aan deze zaak vind je op https://stopvingerafdruk.be/. De Europese Toezichthouder voor Gegevensbescherming publiceerde daarnaast nog een advies waarin staat dat zowel vingerafdrukken als gezichtsopnames onnodig zijn. Een van de twee zou voldoende zijn, maar allebei is te veel van het goede. In het geval van vingerafdrukken wordt hier ook vermeld dat deze na de registratie onmiddellijk verwijderd moeten worden (en niet pas na drie maanden) om te garanderen dat de gegevens niet voor andere doeleinden gebruikt zullen worden. Een gestolen vingerafdruk heeft daarbij ook drastische gevolgen. Een gestolen wachtwoord kan je met enkele klikken veranderen, maar een vingerafdruk verander je niet in een vingerknip. Vingerafdrukken worden tegenwoordig ook steeds meer gebruikt als beveiliging van toestellen zoals smartphones en zelfs om in te loggen op bepaalde diensten wordt er gewerkt aan een mogelijkheid om alleen nog je vingerafdruk te gebruiken.
Europa wilt meer van dat
Tot slot is recent bekend geraakt dat Europa mee wil spelen in de vingerafdrukkwestie. Het Europees parlement heeft namelijk ingestemd met de maatregel dat elke Europese ID-kaart een foto en twee vingerafdrukken zal bevatten. Net zoals bij het wetsvoorstel in België raden privacy- en beveiligingsexperts dit voorstel ook sterk af. Het voorstel moet alleen nog bij de Europese Raad goedgekeurd worden waarna het in werking treedt voor twee jaar.
Ikzelf houd ondertussen mijn hart vast en hoop dat van het uitstel hier in België uiteindelijk ook afstel komt. Met een beetje geluk geldt voor Europa hetzelfde. En zoals cartoonist Lectrr zei:
“De enige vingerafdruk is die van mijn middelvinger.”
In november van vorig jaar werd bekend dat de omstreden beslissing omtrent de Belgische eID-kaart van toenmalig minister van Binnenlandse Zaken Jambon goedgekeurd was. Naar aanleiding van de aanslagen in Brussel en Parijs van enkele jaren geleden wou hij een extra veiligheidsmaatregel invoeren in de vorm van elektronische vingerafdrukken op alle eID-kaarten. De adviezen die hij kreeg over dit voorstel waren overwegend negatief, maar dat hield hem duidelijk niet tegen. Het gevolg hiervan was een heuse opstand op onze sociale media van zowel doorsnee Belgen als privacy-experts.
Vertraging
Het meest recente nieuws over de vingerafdrukken is dat de invoer ervan vertraagd is. Het plan was om met de uitrol in april te beginnen (nu dus), maar daar lijkt het een en ander mis te zijn gelopen. Pieter De Crem, minister van Binnenlandse Zaken, bevestigde dit en vermeldde dat er eind april een testfase zou zijn. Over de eigenlijke uitrol staat nog niets vast, al lijkt die op zich te laten wachten tot het najaar. Intussen blijven de protestschreeuwen verder luiden, en die komen van alle denkbare kanten.
Overdreven
Toen het bekend werd dat er over de vingerafdrukken op de ID-kaart gesproken werd, was een vraag die geregeld terugkwam: “Is dit niet wat overdreven?” Het antwoord van de Privacycommissie op die vraag is een simpele ja. Een studie van de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) aan de KUL zette dit antwoord kracht bij met hun onderzoek. De maatregel is overdreven omdat de overheid al heel wat biometrische gegevens gebruikt op onze ID-kaart, zoals de foto. Het zou zelfs niet eens nodig moeten zijn om de vingerafdruk uit te lezen. Het is volgens COSIC voldoende om de opgeslagen vingerafdrukken te vergelijken met de afdrukken van de houder van de kaart, waarvoor het uitlezen niet nodig is. Daarnaast zou de chip van de kaart überhaupt zelden ingelezen worden bij een identiteitscontrole. Als dit gedrag behouden blijft, dan is de toevoeging van de vingerafdruk dus geheel nutteloos en onnodig. Afgezien hiervan is er nog een ander probleem met de vingerafdrukken, namelijk de beveiliging ervan.
Onduidelijkheid alom
Bij het wetsvoorstel over de vingerafdrukken werd ook vermeld dat ze maar voor drie maanden bewaard worden. Daarna moeten ze onherroepelijk vernietigd worden. Maar de gegevens blijven dus wel een tijdje bewaard in een databank. Normaal hebben alleen medewerkers met een specifiek veiligheidscertificaat toegang tot die data, maar vandaag de dag proberen hackers maar al te graag toegang te krijgen tot zo’n databank. De Gegevensbeschermingsautoriteit (GBA) vraagt zich dan ook af welke maatregelen er zijn genomen om het hacken van dit certificaat tegen te gaan en of er eveneens maatregelen zijn voor als dit toch zou gebeuren. Ook het COSIC en de Liga voor Mensenrechten stellen dezelfde vraag, aangezien de technische kant van het verhaal niet aan bod komt in het wetsvoorstel. Volgens de Liga voor Mensenrechten was het onderzoek naar de mogelijke risico’s te beperkt:
“De potentiële risico’s voor burgers zijn niet grondig onderzocht, noch de proportionaliteit van de maatregel, noch de technische maatregelen ter bescherming van de biometrische gegevens. Concreet worden de basisprincipes van de nieuwe privacywetgeving compleet genegeerd.”
De overheid heeft bovendien nog niet verduidelijkt hoe deze technische kwestie precies in elkaar zit. Deze beveiligingsproblematiek stopt daar ook niet. De technologie die de overheid gebruik voor de ID-kaarten zou daarnaast gedateerd zijn en niet voldoen aan de huidige stand van zaken.
En onze privacy?
Naast alle problemen met beveiliging blijft het probleem met de privacy de voornaamste oorzaak van alle ophef. Zoals eerder gezegd, heeft de overheid al een schat aan biometrische informatie in de ID-kaart verwerkt. Hier wordt nu nog een stukje informatie aan toegevoegd. Zo wordt er gevreesd voor een zogenaamde function creep. Dit wil zeggen dat de functie van de vingerafdrukken na verloop van tijd zou veranderen en dat ze voor andere doeleinden ingezet kunnen worden. Waarnemend hoofd van de Privacycommissie Willen De Beuckelaere legt ook de juridische problematiek bij het wetsvoorstel bloot:
“De Memorie van Toelichting bij het voorstel stelt dat de vereiste data protection impact assessment nog moet gebeuren. Maar de GDPR-regels vereisen dat dat voorafgaand aan de beslissing moet verlopen.”
Ook enkele juristen hebben aangekondigd dat ze de zaak gaan aanvechten bij het Grondwettelijk Hof en die zaak is 22 maart ook daadwerkelijk van start gegaan. Meer info hierover en de kans om zelf een (al dan niet financieel) steentje bij te dragen aan deze zaak vind je op https://stopvingerafdruk.be/. De Europese Toezichthouder voor Gegevensbescherming publiceerde daarnaast nog een advies waarin staat dat zowel vingerafdrukken als gezichtsopnames onnodig zijn. Een van de twee zou voldoende zijn, maar allebei is te veel van het goede. In het geval van vingerafdrukken wordt hier ook vermeld dat deze na de registratie onmiddellijk verwijderd moeten worden (en niet pas na drie maanden) om te garanderen dat de gegevens niet voor andere doeleinden gebruikt zullen worden. Een gestolen vingerafdruk heeft daarbij ook drastische gevolgen. Een gestolen wachtwoord kan je met enkele klikken veranderen, maar een vingerafdruk verander je niet in een vingerknip. Vingerafdrukken worden tegenwoordig ook steeds meer gebruikt als beveiliging van toestellen zoals smartphones en zelfs om in te loggen op bepaalde diensten wordt er gewerkt aan een mogelijkheid om alleen nog je vingerafdruk te gebruiken.
Europa wilt meer van dat
Tot slot is recent bekend geraakt dat Europa mee wil spelen in de vingerafdrukkwestie. Het Europees parlement heeft namelijk ingestemd met de maatregel dat elke Europese ID-kaart een foto en twee vingerafdrukken zal bevatten. Net zoals bij het wetsvoorstel in België raden privacy- en beveiligingsexperts dit voorstel ook sterk af. Het voorstel moet alleen nog bij de Europese Raad goedgekeurd worden waarna het in werking treedt voor twee jaar.
Ikzelf houd ondertussen mijn hart vast en hoop dat van het uitstel hier in België uiteindelijk ook afstel komt. Met een beetje geluk geldt voor Europa hetzelfde. En zoals cartoonist Lectrr zei:
“De enige vingerafdruk is die van mijn middelvinger.”