Onderzoek vernietigend voor vingerafdrukken op identiteitskaart: "Onnodig en gevaarlijk"

22 februari 2019

15u05

Bron: Belga 0 Een studie van de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) van de KU Leuven maakt brandhout van de beslissing van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart (eID). De maatregel, die in april van kracht gaat, is onduidelijk, overbodig, disproportioneel en bovendien ook nog eens bijzonder risicovol, zo is de vernietigende conclusie.

De Kamer zette in november ondanks een negatief advies van de Gegevensbeschermingsautoriteit het licht op groen voor het wetsontwerp. Vanaf april zal de identiteitskaart digitale vingerafdrukkenbeelden bevatten, die niet langer dan drie maanden zouden worden opgeslagen in een centrale databank.



De onderzoekers van COSIC namen de technologie achter het voorstel onder de loep in een technische analyse, en kwamen tot een duidelijke conclusie. Het voorstel is compleet overbodig en houdt veel risico’s in. Concreet zien ze maar liefst zes valkuilen.

Onduidelijk en onnodig

De wet is om te beginnen te onduidelijk over de werking van en toegang tot de centrale opslag. "Bovendien maakt de wet geen enkele melding of nog maar een suggestie van technische maatregelen die de gegevens moeten beschermen", luidt het. "Dat is zorgwekkend.”



Daarnaast stelt de studie dat de maatregel disproportioneel is. Volgens de onderzoekers maakt de overheid nu al onvoldoende gebruik van de mogelijkheden van de biometrische gegevens die wel al op de kaart staan, zoals de foto. “Voor zover bekend wordt de chip van de eID amper uitgelezen bij identiteitscontroles (...) en al helemaal niet om de opgeslagen foto uit te lezen, laat staan te vergelijken”, klinkt het.

Bovendien is de maatregel slechts effectief bij één vorm van identiteitsfraude, waarbij een persoon een geldige identiteitskaart aanbiedt die niet van hem is. Maar dergelijke fraude kan ook gemakkelijk worden gedetecteerd op basis van de foto. Bij verscheidene andere scenario's - het onklaar maken van de chip, vervalsing van de identiteitskaart - heeft de maatregel geen nut, klinkt het.

Onveilig

Dat de wet ook oplegt dat een "digitaal beeld" van de vingerafdrukken moet worden bewaard op de chip van de eID en bovendien kan worden "uitgelezen", is eveneens problematisch. "Het volstaat dat de desbetreffende personen en organisaties in staat zijn om de opgeslagen vingerafdrukken te vergelijken met de vingerafdrukken van de houder van de kaart, hiervoor is het uitlezen niet noodzakelijk", luidt het. Er zijn verschillende veiligere alternatieven waarbij de vingerafdruk niet wordt gedeeld, volgens de onderzoekers.

“Levenslange impact”

De onderzoekers klagen ook het gebruik van een centrale databank aan, terwijl de vingerafdrukken bijvoorbeeld perfect in te laden zijn op de chip bij het afhalen van de eID. Ze vrezen voor "function creep”, een fenomeen waarbij het doel en gebruik van gegevens langzaamaan verandert. Zo zou het kunnen dat de vingerafdrukken weliswaar verzameld worden in de strijd tegen identiteitsfraude, maar in de toekomst voor heel andere doeleinden gebruikt worden.



Tot slot wijst de studie erop dat de “paspoorttechnologie" die de overheid gebruikt “gedateerd is en niet meer voldoet aan de huidige stand van de techniek". En dat maakt het onveilig. Zoals het systeem er nu voor staat, kan niet gegarandeerd worden dat de vingerafdrukken niet gestolen worden. Dat zou een “levenslange impact” hebben, waarschuwen de onderzoekers: een uitgelekt wachtwoord kan je nog veranderen, je vingerafdrukken nooit meer.



De onderzoekers raden de overheid in hun conclusie aan om de vingerafdrukken nog niet op te nemen op de eID, of minstens veiligere alternatieven te zoeken om de technologie te gebruiken.

