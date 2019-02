Een studie van de KU Leuven maakt brandhout van de beslissing van de regering-Michel om digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart. De maatregel, die in april van kracht gaat, is “onduidelijk, overbodig, disproportioneel en bovendien ook nog eens bijzonder risicovol”, zo is de vernietigende conclusie.

De Kamer zette in november (ondanks een negatief advies van de Gegevensbeschermingsautoriteit, de vroegere Privacycommissie) het licht op groen voor het wetsontwerp. Vanaf april zal de identiteitskaart digitale vingerafdrukken bevatten.

Die zouden niet langer dan drie maanden worden opgeslagen in een centrale databank, maar volgens de onderzoekers van de Computer Security and Industrial Cryptography (COSIC) van de KUL is de wet te onduidelijk over de werking van die centrale opslag. “Bovendien maakt de wet geen enkele melding of nog maar een suggestie van technische maatregelen die de gegevens moeten beschermen”, luidt het. “Dat is zorgwekkend.”

“Onduidelijk, overbodig, disproportioneel én bijzonder risicovol”

Daarnaast stelt de studie dat de maatregel, die officieel als doel heeft om identiteitsfraude te bestrijden, disproportioneel is. Volgens de onderzoekers maakt de overheid onvoldoende gebruik van de mogelijkheden van de biometrische gegevens die wel al op de kaart staan (met name de foto). Bovendien is de maatregel slechts effectief bij één vorm van identiteitsfraude, waarbij een persoon een geldige identiteitskaart die niet van hem is ter controle aanbiedt, en dergelijke fraude kan gemakkelijk worden gedetecteerd op basis van de foto. Bij verscheidene andere scenario’s heeft de maatregel geen nut, klinkt het.

Dat de wet ook oplegt dat een “digitaal beeld” van de vingerafdrukken moet worden bewaard op de chip van de eID en bovendien kan worden “uitgelezen”, is eveneens problematisch. “Het volstaat dat de desbetreffende personen en organisaties in staat zijn om de opgeslagen vingerafdrukken te vergelijken met de vingerafdrukken van de houder van de kaart, hiervoor is het uitlezen niet noodzakelijk”, luidt het. De onderzoekers sommen vier veiligere alternatieven op, die onder meer al worden gebruikt door MasterCard en bij Spaanse eID’s.

Uitlekken, misbruik en manipulatie

De onderzoekers klagen ook het gebruik van een centrale databank aan, terwijl de vingerafdrukken bijvoorbeeld perfect in te laden zijn op de chip bij het afhalen van de eID. Ze vrezen voor ‘function creep’ - een verschijnsel waarbij de gegevens aangewend worden voor een ander doel dan oorspronkelijk voorzien - en voor het uitlekken, misbruik en manipulatie van de gegevens.

Tot slot wijst de studie erop dat het beschermingsprotocol dat de overheid gebruikt voor de chips van eID’s “niet meer voldoet aan de huidige stand van de techniek”.