KU Leuven maakt brandhout van vingerafdrukken op identiteitskaart

©REUTERS

Onduidelijk, overbodig, disproportioneel en bijzonder risicovol. Dat is het vernietigende oordeel van een studie van de KU Leuven over de beslissing van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart (eID).

De Kamer zette in november ondanks een negatief advies van de Gegevensbeschermingsautoriteit het licht op groen voor het wetsontwerp van toenmalig minister van Binnenlandse Zaken Jan Jambon (N-VA). Vanaf april 2019 zal de identiteitskaart digitale vingerafdrukkenbeelden bevatten, die niet langer dan drie maanden worden opgeslagen in een centrale databank.

Volgens de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) van de KU Leuven is de wet te onduidelijk over de werking van en de toegang tot de centrale opslag. 'De wet maakt geen enkele melding of zelfs maar suggestie van de technische maatregelen die de gegevens moeten beschermen. Dat is zorgwekkend.'

De wet verhindert het nemen van de gepaste technische maatregelen om een optimale bescherming te bekomen van biometrische data.
COSIC

Daarnaast stelt de studie dat de maatregel, die officieel als doel heeft identiteitsfraude te bestrijden, disproportioneel is. Volgens de onderzoekers maakt de overheid onvoldoende gebruik van de mogelijkheden van de biometrische gegevens die wel al op de kaart staan, zoals de foto van het gezicht.

Tegelijk is de maatregel maar effectief bij één vorm van identiteitsfraude: als een persoon een geldige identiteitskaart die niet van hem is ter controle aanbiedt. Nochtans valt zulke fraude makkelijk te detecteren op basis van de foto. De onderzoekers sommen zes andere scenario's van identiteitsfraude op waarin de maatregel geen nut heeft.

De COSIC-onderzoeksgroep noemt het voorts problematisch dat op de eID-chip een 'digitaal beeld' van de vingerafdrukken moet staan dat kan worden 'uitgelezen'. 'Nochtans volstaat het dat de overheid in staat is de opgeslagen vingerafdrukken te vergelijken met de afdrukken van de houder van de kaart. Daarvoor is het uitlezen niet noodzakelijk', luidt het. 'De wet verhindert gepaste technische maatregelen om een optimale bescherming van biometrische data te bekomen.'

De technologie zoals momenteel gebruikt biedt onvoldoende garanties om het uitlezen van de vingerafdrukken door onbevoegden te verhinderen.
COSIC

De onderzoekers sommen vier veiligere alternatieven op om een letterlijke opslag en uitlezing van de vingerafdrukken te vermijden, die al worden gebruikt door MasterCard en bij Spaanse eID's. Een daarvan is de 'sensor-on-card', waarbij de eID voorzien is van een sensor voor het inlezen van vingerafdrukken, waardoor de kaart zelf kan aangeven of de aangeboden vingerafdruk overeenstemt. 'Kaarten uitgerust met een sensor bieden veel betere garanties op het vlak van gegevensbescherming, omdat alleen de kaart in aanraking komt met de vingerafdrukken en er geen mogelijkheid is tot het uitlezen van de vingerafdrukken opgeslagen in de chip.'

Manipulatie

De onderzoekers klagen ook het gebruik van een centrale databank aan, terwijl de vingerafdrukken perfect op de chip in te laden zijn bij het afhalen van de eID. Ze vrezen voor 'function creep' - waarbij de gegevens aangewend worden voor een ander doel dan oorspronkelijk voorzien - en het uitlekken, het misbruik en de manipulatie van de gegevens.

Tot slot wijst de studie erop dat het beschermingsprotocol dat de overheid gebruikt voor de chips van eID's 'niet meer voldoet aan de huidige stand van de techniek'. 'De gebruikte technologie biedt onvoldoende garanties om het uitlezen van de vingerafdrukken door onbevoegden te verhinderen', zeggen de onderzoekers.

Analyse

Het kabinet van minister van Binnenlandse Zaken Pieter De Crem (CD&V) 'neemt akte' van de vernietigende studie die onderzoekers van de KU Leuven uitvoerden naar de maatregel van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart (eID). In een reactie benadrukt het kabinet-De Crem dat het om een dossier gaat dat afgerond werd onder de vorige minister van Binnenlandse Zaken Jan Jambon (N-VA). 'Wij hebben het onderzoek zelf nog niet gezien', zegt een woordvoerder. 'We hebben contact opgenomen met de administratie, waar aan specialisten gevraagd wordt om de studie te bekijken en te analyseren.'  

Privacyjurist Matthias Dobbelaere-Welvaert reageert alvast tevreden op de publicatie. De initiatiefnemer van 'Stop de Vingerafdruk', een crowdfundingactie om de wet aan te vechten voor het Grondwettelijk Hof, vindt het goed dat een onafhankelijk instituut zich op basis van een technische analyse uitspreekt tegen de maatregel. 'Dit is fantastisch nieuws voor onze zaak', zegt hij. 'Juridische en ethische of maatschappelijk argumenten zijn vaak moeilijk te verdedigen, maar hier staat het nu zwart op wit op basis van een technische analyse.'  Ondertussen hebbben al meer dan 800 mensen een financiële bijdrage aan 'Stop de Vingerafdruk' gegeven. Dobbelaere-Welvaert verwacht dat het verzoekschrift tegen de maatregel volgende week of de week daarna zal worden ingediend bij het Grondwettelijk Hof.

Lees verder

Advertentie
Advertentie

Tijd Connect