Studie maakt brandhout van vingerafdrukken op identiteitskaart

door

Belga

Gepubliceerd op 22 Februari 2019 om 12h12Leestijd 2 min.

Een studie van de onderzoeksgroep Computer Security and Industrial Cryptography (COSIC) van de KU Leuven maakt brandhout van de beslissing van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart (eID). De maatregel, die in april van kracht gaat, is onduidelijk, overbodig, disproportioneel en bovendien ook nog eens bijzonder risicovol, zo is de vernietigende conclusie. De Kamer zette in november ondanks een negatief advies van de Gegevensbeschermingsautoriteit het licht op groen voor het wetsontwerp. Vanaf april zal de identiteitskaart digitale vingerafdrukkenbeelden bevatten, die niet langer dan drie maanden zouden worden opgeslagen in een centrale databank. Volgens de onderzoekers van COSIC is de wet te onduidelijk over de werking van en toegang tot de centrale opslag. "Bovendien maakt de wet geen enkele melding of nog maar een suggestie van technische maatregelen die de gegevens moeten beschermen", luidt het. "Dat is zorgwekkend."

Daarnaast stelt de studie dat de maatregel, die officieel als doel heeft om identiteitsfraude te bestrijden, disproportioneel is. Volgens de onderzoekers maakt de overheid nu al onvoldoende gebruik van de mogelijkheden van de biometrische gegevens die wel al op de kaart staan (met name de foto). Bovendien is de maatregel slechts effectief bij één vorm van identiteitsfraude, waarbij een persoon een geldige identiteitskaart die niet van hem is ter controle aanbiedt, en dergelijke fraude kan gemakkelijk worden gedetecteerd op basis van de foto. Bij verscheidene andere scenario's heeft de maatregel geen nut, klinkt het.

Dat de wet ook oplegt dat een "digitaal beeld" van de vingerafdrukken moet worden bewaard op de chip van de eID en bovendien kan worden "uitgelezen", is eveneens problematisch. "Het volstaat dat de desbetreffende personen en organisaties in staat zijn om de opgeslagen vingerafdrukken te vergelijken met de vingerafdrukken van de houder van de kaart, hiervoor is het uitlezen niet noodzakelijk", luidt het. De onderzoekers sommen vier veiligere alternatieven op, die onder meer al worden gebruikt door MasterCard en bij Spaanse eID's.

De onderzoekers klagen ook het gebruik van een centrale databank aan, terwijl de vingerafdrukken bijvoorbeeld perfect in te laden zijn op de chip bij het afhalen van de eID. Ze vrezen voor "function creep" - waarbij de gegevens aangewend worden voor een ander doel dan oorspronkelijk voorzien - en uitlekken, misbruik en manipulatie van de gegevens.

Tot slot wijst de studie erop dat het beschermingsprotocol dat de overheid gebruikt voor de chips van eID's "niet meer voldoet aan de huidige stand van de techniek".

bron: Belga