Inloggen met biometrie: Doen of niet?

Inloggen of jezelf identificeren met behulp van biometrische gegevens – vingerafdruk, irisscan, gezichtsherkenning, etc. – begint langzaam ingeburgerd te raken: ongeveer de helft van de consumenten doet het. Maar er zijn nog veel verschillen in het gebruik en (deels terechte) zorgen over privacy en veiligheid.

Krijg jij deze melding ook steeds vaker bij het starten van bepaalde applicaties op je telefoon? “Beveilig je account nog beter – Activeer inloggen met biometrie”. Tja, wat nu? Doen of niet?

Deze vraag wekt bij veel mensen best nog wat twijfel op, blijkt uit onderzoek naar het gebruik van biometrie onder ruim 1000 Nederlanders dat GetApp deed. Hoeveel mensen gebruiken al biometrie en delen hun vingerafdruk of gezichtsscan om toegang te krijgen tot applicaties of apparaten? Voor welke diensten gebruiken ze biometrische authenticatie en met wie zijn ze bereid hun gegevens te delen? Dat werd gepeild door GetApp.

Meer dan vingerafdruk- of gezichtsherkenning

Met je vinger je smartphone ontgrendelen, dat is biometrie. Maar er is meer. Niet alleen je vinger, maar ook andere lichaamskenmerken kunnen als middel dienen om je te identificeren of je identiteit te verifiëren. Denk aan je gezicht, je iris, je stem of het aderpatroon in je hand en zelfs je hartslag. Ook de manier waarop je bepaalde dingen doet is uniek aan jouw persoon en ook deze gedragingen vallen onder biometrie. Zo kun je dus ook herkend worden aan de manier waarop je typt, loopt, een handtekening zet of andere acties uitvoert.

Helft consumenten gebruikt biometrie voor private diensten

Sinds 2009 hebben we in Europa een biometrisch paspoort met een chip waarin twee vingerafdrukken van de houder zitten opgeslagen. Dus met de overheid hebben de meeste mensen al biometrische data gedeeld. Maar het delen van biometrische data om van private diensten gebruik te maken is een vrije keuze. Uit het onderzoek blijkt dat bijna de helft (49%) van de ondervraagde consumenten er al eens voor heeft gekozen om dit te doen.

De situaties waarvoor de meeste mensen biometrie hebben gebruikt zijn:

• Het ontgrendelen van een smartphone (46%)
• Het inloggen om een mobiele betaling te doen of financiële transacties online uit te voeren (27%)
• Het identificeren bij een paspoortcontrole op het vliegveld of een treinstation (24%)
• Om een spraakassistent te activeren (16%)

De e-Gate op Schiphol is een voorbeeld van biometrische identiteitsverificatie. Reizigers scannen eerst hun paspoort en de foto die daarop staat. Vervolgens lopen ze door een poortje met gezichtsherkenning. Komen de twee beelden overeen dan gaat het poortje open.

Biometrische toepassingen die nog in de experimentele fase zitten, zoals betalen in een winkel door je hand boven een scanner te houden, iets dat Amazon in Amazon-Go supermarkten in de VS heeft getest, zijn in ons land vrijwel onbekend. Hetzelfde geldt voor biometrische creditcards waarmee je betalingen in fysieke winkels kunt verifiëren met je vinger in plaats van met een pincode. Samsung en Mastercard zijn van plan om deze vingerafdrukcreditcards in Zuid-Korea te introduceren.

Populariteit biometrie groeit

De meeste gebruikers (64%) zijn in de laatste twee jaar overgestapt van traditionele authenticatiemethoden op biometrische methoden. Dat toont de groeiende populariteit van biometrische technologie. 68% stapte over uit nieuwsgierigheid – om het een keer uit te proberen – en 21% kreeg een melding van de app of het apparaat en ging daarop in.

Wanneer biometrie eenmaal is geprobeerd, dan geniet het in de meeste gevallen (66%) de voorkeur boven een wachtwoord. Ook denken gebruikers dat het veiliger is dan een wachtwoord (64%). Biometrische data zijn ook niet overdraagbaar op andere personen (22% noemt dit als voordeel). Andere voordelen die worden genoemd zijn het gebruiksgemak (21%). Bovendien kun je biometrische inloggegevens niet vergeten of kwijtraken (17%).

Kan een vingerafdruk worden nagemaakt?

De bedoeling van biometrie is een verhoogde veiligheid. Daarom doet het ons ook denken aan toegang tot streng beveiligde locaties of spionagefilms. Het namaken van biometrische gegevens is dan ook zeer gecompliceerd, maar theoretisch gezien is het wel mogelijk. Presentation attacks en morphing zijn methodes die fraudeurs gebruiken om biometrische systemen om de tuin te leiden.

Zo kan er met textiellijm of gelatine, op basis van een door een persoon op een bepaald oppervlak achtergelaten vingerafdruk, een vingerafdruk worden nagemaakt. Ook een gezicht kan worden nagemaakt met make-up, 3D-prints of met deepfake-technologie, wat een zeer realistische manier van manipuleren van foto’s en video’s is.

Veel biometrische systemen zijn echter uitgerust met tegenmaatregelen om deze namaakbiometrie te onderscheppen. Biometric Presentation Attack Detection (PAD)-technologie is daar een voorbeeld van. Met PAD-methoden kan worden bepaald of een levend persoon ook daadwerkelijk aanwezig is op het opnamepunt (liveness-detectie) en dat het niet om een 3D-masker of foto gaat. Hiervoor kan een actie van de gebruiker nodig zijn, zoals een hoofdbeweging of het volgen van de blik van de gebruiker naar een trigger point. Maar het kan ook op passieve manieren, bijvoorbeeld door knipoogdetectie.

31% wil geen biometrie gebruiken

Ook al maakt 49% van de ondervraagde consumenten wel gebruik van biometrische authenticatie, bijna een derde (31%) is huiverig en wil geen biometrische data delen met private diensten. Mensen maken zich zorgen over verschillende zaken. Bijvoorbeeld over wat er kan gebeuren als biometrische data worden gestolen. Je kunt deze moeilijk even veranderen, zoals een wachtwoord. Eenmaal gestolen, voor altijd gestolen dus.

Als biometrische data worden buitgemaakt dan valt er ook vaak meer dan alleen informatie over de identiteit te halen. Uit bepaalde lichaamskenmerken kan namelijk ook afgeleid worden wat iemands gezondheidstoestand of ras (pdf) is. Dus wanneer iemands biometrische persoonsgegevens worden gehackt, dan is dat al snel een indringender probleem dan wanneer het om een wachtwoord gaat. Het risico dat biometrische data gestolen worden bestaat als deze data in een database worden opgeslagen en deze gehackt wordt.

Het verwerken van biometrische gegevens om iemand te identificeren is volgens de AVG dan ook in beginsel verboden, tenzij de verwerking noodzakelijk is voor authenticatie- of beveiligingsdoeleinden, of als de betrokkenen uitdrukkelijk om toestemming is gevraagd.

Bedrijven die ervoor kiezen biometrische authenticatie toe te passen, moeten het gebruik ervan kunnen rechtvaardigen en kunnen uitleggen waarom het de voorkeur verdient boven traditionele authenticatiemethoden, die over het algemeen als minder ingrijpend worden gezien. Met andere woorden: een irisscanner kan gerechtvaardigd zijn voor toegang tot een speciaal onderzoekslaboratorium, maar waarschijnlijk niet voor toegang tot een kantine op kantoor.

Aan wie vertrouwen we biometrische data toe?

Wanneer bedrijven of organisaties biometrische authenticatie inzetten is de grondslag voor (en duidelijk communicatie over) gegevensverwerking dus zeer belangrijk. Het gebruik van biometrie door de overheid of de politie lijkt in bepaalde situaties relevant. Bijvoorbeeld voor het identificeren van een verdachte op basis van een vingerafdruk. De acceptatie van biometriegebruik in de publieke sector ligt dan ook een stuk hoger dan in de private sector (67% tegenover 46%):

In de private sector genieten banken en de eigen werkgever wel meer vertrouwen, terwijl techbedrijven juist minder betrouwbaar worden geacht op het gebied van de verwerking van biometrische persoonsgegevens.

Het wantrouwen in particuliere bedrijven komt wellicht voort uit het feit dat 41% van de ondervraagde consumenten denkt dat het gebruik van biometrische data door particuliere bedrijven niet wordt gereguleerd door wetgeving. Dat wordt het echter wel. Daarnaast denkt 73% van de ondervraagde consumenten zelfs dat de kans groot is dat bedrijven uit de particuliere sector hun biometrische data zouden delen met andere bedrijven zonder hun toestemming. Dit mag natuurlijk nooit, maar door eerder gebrekkig beheer van persoonsgegevens bij grote techbedrijven als Facebook (pdf), is het niet vreemd dat mensen denken dat dit ook met hun biometrische gegevens zou kunnen gebeuren.

Waar moet je op letten?

Toch zijn het juist deze Big Tech-bedrijven die vaak de toon aangeven op het gebied van biometrische technologie en mensen voor het dilemma stellen hun privacyzorgen te laten varen ten gunste van een moeilijk te negeren optimalisatie van nuttige diensten.

Biometrie roept dus de vraag op in hoeverre gemak en efficiëntie opwegen tegen de potentiële risico’s. Als gebruiker is het verstandig om vooraf goed uit te zoeken hoe je biometrische gegevens beschermd worden. Of ze opgeslagen worden, en zo ja, of ze dan op één plek of over meerdere plekken verdeeld opgeslagen zijn, of ze in rust versleuteld en geanonimiseerd opgeslagen worden, wie er toegang tot de gegevens heeft, of je ze kunt wissen, en welke andere veiligheidsmaatregelen er zijn genomen. Je zou jezelf kunnen afvragen in hoeverre het gemak van gebruik opweegt tegen de potentiële risico’s alvorens voor biometrie te kiezen. Met die overwegingen in je achterhoofd maak je de volgende keer als je een melding krijgt hopelijk een weloverwogen keuze of je biometrie wilt activeren of niet.

Over de auteur: Quirine Storm van Leeuwen werkt als Contentanalist Nederland bij GetApp.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.