Een studie van de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) van de KU Leuven maakt brandhout van de beslissing van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart (eID). De maatregel, die in april van kracht moet gaan, is onduidelijk, overbodig, disproportioneel en bovendien ook nog eens bijzonder risicovol, zo is de vernietigende conclusie. Minister van Binnenlandse Zaken Pieter De Crem (CD&V) “neemt akte” van de studie.
De Kamer zette in november ondanks een negatief advies van de Gegevensbeschermingsautoriteit het licht op groen om vanaf april elke identiteitskaart van digitale vingerafdrukken te voorzien. De onderzoekers van COSIC namen de technologie achter het voorstel onder de loep in een technische analyse, en raden nu aan om af te zien van het voorstel. Concreet zien ze een handvol ernstige valkuilen, waaronder de veiligheid. “De technologie zoals momenteel gebruikt biedt onvoldoende garanties om het uitlezen van de vingerafdrukken door onbevoegden te verhinderen”, luidt het.
Daarnaast stelt de studie dat de maatregel disproportioneel is. Volgens de onderzoekers maakt de overheid nu al onvoldoende gebruik van de biometrische gegevens die wel al op de kaart staan, zoals de digitale foto. “Voor zover bekend wordt de chip van de eID amper uitgelezen bij identiteitscontroles (…) en al helemaal niet om de opgeslagen foto uit te lezen, laat staan te vergelijken”, klinkt het.
De controle van de vingerafdruk op een eID zou bovendien identiteitsfraude moeten tegengaan, maar de maatregel is enkel effectief bij één soort fraude: namelijk wanneer een persoon een geldige identiteitskaart aanbiedt die niet van hem is. Dergelijke fraude kan echter ook gemakkelijk worden gedetecteerd op basis van de foto. Bij verschillende andere scenario’s – het onklaar maken van de chip, vervalsing van de identiteitskaart – heeft de maatregel geen nut, klinkt het.
“Levenslange impact”
De onderzoekers klagen ook het gebruik van een centrale databank aan, waarin de vingerafdrukken worden opgeslagen. Ze vrezen voor “function creep”, een fenomeen waarbij het doel en gebruik van gegevens langzaamaan verandert. Zo zou het kunnen dat de vingerafdrukken weliswaar verzameld werden in de strijd tegen identiteitsfraude, maar in de toekomst voor heel andere doeleinden gebruikt worden.
Tot slot wijst de studie erop dat de “paspoorttechnologie” die de overheid gebruikt “gedateerd is en niet meer voldoet aan de huidige stand van de techniek”. En dat maakt het onveilig. Zoals het systeem er nu voor staat, kan niet gegarandeerd worden dat de vingerafdrukken niet gestolen worden. Als de vingerafdrukken uitlekken, zou dat een “levenslange impact” hebben, waarschuwen de onderzoekers: een uitgelekt wachtwoord kan je nog veranderen, je vingerafdrukken nooit meer.
De onderzoekers raden de overheid in hun conclusie aan om de vingerafdrukken nog niet op te nemen op de eID, of minstens veiligere alternatieven te zoeken om de technologie te gebruiken.
Bron: Belga
En ondertussen loopt de campagne van Stop de Vingerafdruk als een trein.
Jawel, jawel, het is tijd voor een fantastische (!) vrijdagupdate bij @Stopvinger!
1. Vernietigend onderzoeksrapport KU Leuven,
2. Neerlegging verzoekschrift,
3. 😱 We zitten boven de 20.000 euro in donaties!Vrijdag? Toch altijd een beetje feest. #stopvingerafdruk pic.twitter.com/HiwnM8AdSi
— Matthias Dobbelaere-Welvaert (@deJuristen) 22 februari 2019