Biometrie

Bijgewerkt 21-08-2022 Originele publicatie 27-07-2021 0

Wet- en regelgeving
Het toepassen van biometrie en het verwerken van biometrische gegevens (bijzondere persoonsgegevens) kent uitgebreide wet- en regelgeving. Denk aan de paspoort- en rijbewijzenwet waarin wordt gesteld hoe vingerafdrukken, pasfoto’s en handtekeningen worden afgenomen en verwerkt. Opslag ervan vindt plaats op de chip van het identiteitsdocument. 

De onlangs in werking getreden EU-verordening 2019/1157 artikel 3 lid 5[1] verplicht het plaatsen van gezichtsopname en twee vingerafdrukbeelden op identiteitskaarten en wordt momenteel geïmplementeerd in Nederland. Hiermee neemt de beschikbaarheid van biometrische templates op wettelijke identiteitsdocumenten verder toe. 

De AVG bepaalt dat de verwerking van biometrische persoonsgegevens als verwerking van bijzondere persoonsgegevens geldt. Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden. Nederland heeft in de Uitvoeringswet AVG bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Huidige internationale standaarden en richtlijnen voor biometrie zijn vooral gericht op gezicht- en vinger-biometrie en worden nog onvoldoende breed toegepast. 

Rapport InnoValor
In het rapport van InnoValor[2] wordt over biometrie gesteld:

  • Biometrie is niet binair: in tegenstelling tot het gebruik van een wachtwoord of PIN levert biometrie geen binair goed of fout antwoord, maar een waarschijnlijkheid dat het iemand betreft. Er bestaat een kans op een onterechte match (False Acceptance Rate of FAR) of een onterechte afwijzing (False Rejection Rate of FRR). Daarnaast werkt biometrie gewoonweg niet bij bepaalde gebruikersgroepen (Failure To Enroll of FTE) waardoor er altijd een alternatief scenario moet blijven bestaan. 
  • Biometrie is niet geheim: daar waar wachtwoorden of PINs geheim zijn, is de biometrische factor dat niet. Er moet rekening worden gehouden met zogenaamde risico’s als het hergebruik van biometrie door anderen (door een foto te laten zien van iemand anders). 
  • Biometrie is privacygevoelig: het verwerken van persoons- en biometrische gegevens is privacygevoelig en vereist passende maatregelen. De diverse manieren van opslag (centraal vs. decentraal) en verwerking van biometrische gegevens bepalen de gevoeligheid en welke maatregelen nodig zijn. 

[2] Biometrie voor identiteitsverificatie, Verkenning van de mogelijkheden, InnoValor 2020