Begin februari bleek dat een meerderheid van de Tweede Kamer tegen de centrale opslag van vingerafdrukken uit het nieuwe paspoort is. Maar daarmee is het onderwerp nog niet van de politieke agenda. Op 20 april belegt de parlementaire commissie Binnenlandse Zaken een rondetafelgesprek over biometrische data in paspoorten. Het is daarom goed nog eens stil te staan bij de argumenten tegen centrale opslag van onze vingerafdrukken.

Het nieuwe paspoort bevat de vingerafdrukken van de eigenaar om look-alike fraude te voorkomen. Bij deze vorm van fraude misbruikt een persoon die lijkt op de werkelijke eigenaar een gestolen of verloren paspoort. Door bij controle aan de grens, bijvoorbeeld op Schiphol, de vingerafruk van de passagier te vergelijken met de vingerafdruk die in het paspoort staat opgeslagen, wordt dergelijk misbruik gedetecteerd. De vingerafdruk op het paspoort dient dus ter verificatie van de identiteit van de houder.

Anders dan in het verleden door de toenmalige minister is betoogd, is centrale opslag van vingerafdrukken niet noodzakelijk voor verificatie. Zo’n centrale database dient een ander doel, namelijk het bepalen van de nog onbekende identiteit die hoort bij een gevonden vingerafdruk. Bijvoorbeeld als de politie een persoon zonder identiteitsbewijs staande houdt die weigert zijn naam te noemen, of als een vingerafdruk wordt gevonden op de plaats van een misdrijf. Centrale opslag van vingerafdrukken dient dus ter identificatie van vooralsnog onbekende personen. Dit is dus een ander doel dan waar de vingerafdruk in het paspoort oorspronkelijk voor bedoeld is, en daarmee dus in tegenspraak met de doelbindingsvereiste in de Wet bescherming persoonsgegevens. Centrale opslag schiet haar doel voorbij.

Om niet afhankelijk te zijn van een bepaalde techniek of een bepaalde producent van herkenningssoftware van vingerafdrukken, is er bij het ontwerp van het paspoort voor gekozen om simpelweg een digitale afbeelding van de vingerafdruk op te slaan in het paspoort. Dat is een begrijpelijke keuze. Het is echter een slecht idee om diezelfde afbeelding ook op te slaan in een database.

Ten eerste is het gebruik van vingerafdrukken als sterke vorm van authenticatie in Nederland dan niet langer mogelijk. De betrouwbaarheid van een dergelijk authenticatie middel neemt sterk af als er een database is waarin alle vingerafdrukken staan opgeslagen. Personen die toegang hebben tot deze database, kunnen met behulp hiervan de biometrische authenticatie omzeilen. Dit is natuurlijk niet de bedoeling bij een dergelijke vorm van authenticatie die voor een hoog nivo van veiligheid bedoeld is.

Ten tweede is de database een aantrekkelijk doelwit voor hackers. Een database met authentieke vingerafdrukken is geld waard. Dergelijke gestolen vingerafdrukken kunnen bijvoorbeeld gebruikt worden om een andere identiteit aan te nemen, biometrische authenticatie te omzeilen, en misschien zelfs wel om een vals paspoort te maken. De schade van dergelijke identiteitsfraude kan aanzienlijk zijn, en is zeer ingrijpend voor de slachtoffers.

Zaak gesloten zou je zeggen. Niet helemaal.

Er moet ook gezorgd worden dat paspoorten veilig uitgegeven worden. Dit om te voorkomen dat een crimineel een paspoort op naam van een ander kan aanvragen (nadat het paspoort eerst als vermist is opgegeven). De uitdaging is om dit op een zodanige manier in te richten dat een crimineel dit niet lukt, terwijl een burger die bijvoorbeeld bij een brand alle officiële papieren is verloren wel gewoon een nieuw paspoort kan aanvragen.

Hiervoor zou bijvoorbeeld een vingerafdruk gebruikt kunnen worden, die bewaard is bij een eerdere aanvraag van een paspoort. Deze hoeft daarvoor echter niet centraal worden opgeslagen. Hiervoor volstaat de decentrale opslag bij gemeenten, zoals dat nu ook al gebruikelijk is. Wel moet de beveiliging van deze decentrale databases sterk worden verbeterd. Een bekend privacy voorvechter verzuchtte onlangs dat hij eigenlijk wel voorstander was van een centrale database, omdat dan wellicht de gegevens eindelijk eens goed beveiligd zouden worden! Het is wel gesuggereerd dat hashing technieken gebruikt kunnen worden om dergelijke databases te beveiligen. Hierdoor bevat de database niet de waardevolle vingerafdruk zelf, maar enkel een digitale hash daarvan die niet gebruikt kan worden om de oorspronkelijke vingerafdruk te reconstrueren.

Dit lost een aantal beveiligingsproblemen op, maar het privacy probleem wordt daarmee niet voorkomen. Ook een database met gehashte vingerafdrukken kan immers nog doorzocht worden om een match met een gevonden vingerafdruk te vinden. Om dit te voorkomen moet de hash ook afhangen van andere, min of meer willekeurige data. Deze zogenaamde salt mag niet samen met de hash van de vingerafdruk worden opgeslagen, en mag niet makkelijk te raden zijn. Aan de andere kant moet een burger die een nieuw paspoort aanvraagt deze salt kunnen overleggen (om samen met zijn vingerafdruk aan te kunnen tonen dat hij inderdaad is wie hij claimt te zijn). Voor en achternaam zouden misschien als salt kunnen dienen – maar nader onderzoek is nodig in hoeverre dit echt de privacy afdoende beschermd.
[Update: zie hiervoor mijn latere blog post]

Vooralsnog lijkt het er op dat het opslaan van vingerafdrukken, of dat nu met of zonder hashes gebeurd, een privacy probleem oplevert. Het is daarom interessant om te onderzoeken of de aanvraag procedure voor een nieuw paspoort ook op een andere manier veilig is te maken, dat wil zeggen zonder gebruik te maken van een vingerafdruk. Bijvoorbeeld door bij aanvraag van een eerste paspoort, of bij verlies van een eerder paspoort, de aanvrager te laten vergezellen door mensen die voor zijn identiteit in kunnen staan (en die wel een paspoort hebben).

Opslaan van vingerafdrukken zelf is hoe dan ook een slecht idee, of dat nu centraal of decentraal gebeurd. En centrale opslag dient geen enkel doel, anders dan identificatie ten behoeve van de opsporing van misdrijven. Dat kan een belangrijk doel zijn, maar laat de regering daar dan duidelijk over zijn en eerlijk voor uit komen.