Bescherm de Europese Digitale Identiteit Wallet met een biometrisch slot

Met grote voordelen komen grote risico's 

Fraudeurs buiten de digitale wereld al geruime tijd uit. Huidige schattingen over de omvang zijn alarmerend. De Universiteit Twente heeft onderzocht dat 16% ooit slachtoffer is geworden van fraude, 42% heeft een poging tot fraude ervaren, en de totale fraude in Nederland bedraagt naar schatting jaarlijks 2,75 miljard euro. Fraude wordt vaak gepleegd door je identiteit over te nemen en criminelen hebben hier geavanceerde methodes voor ontwikkeld. Toegang krijgen tot je eIDAS-wallet is zeer aantrekkelijk voor fraudeurs. Ze kunnen transacties uitvoeren met een hoog “Level of Assurance”, contracten ondertekenen, je voorgeschreven medicijnen ophalen en toegang krijgen tot het financiële systeem dat we juist actief proberen te zuiveren van criminele activiteiten middels AML/CFT-initiatieven 

Het onboarden van een eIDAS-wallet is strikt om een hoog niveau van zekerheid voor de basis van je identiteit te waarborgen: je Persoonlijke Identificatie Data (PID). De PID zal stevig verankerd zijn met je wallet en apparaat en is niet gemakkelijk te compromitteren. Echter, zowel tijdens het onboardingsproces als bij het latere gebruik van de wallet moet wel worden geverifieerd dat de persoon aan de PID is gekoppeld is, dezelfde persoon is die de wallet bedient. Hierin liggen onze zorgen. Met de bestaande methodes kunnen fraudeurs gemakkelijk je identiteit aannemen. Via shoulder surfing wordt je eIDAS-wallet-pincode afgekeken en vervolgens wordt  je telefoon gezakkenrold. Ook is het eenvoudig om  katvangers in te zetten voor frauduleuze activiteiten, of kunnen mensen samenzweren om digitale bewijzen van verschillende personen te mixen en matchen. Controle over iemands identiteit te krijgen is dus relatief eenvoudig is als het alleen wordt beschermd met iets dat je bezit (je telefoon) en iets dat je weet (je toegangspincode). Het is dan ook belangrijk dat je onmiddellijk je apparaat en eIDAS wallet blokkeert indien telefoon wordt gestolen. Timing is cruciaal in dergelijke situaties, maar vaak gaat niet zo snel: je moet eerst beseffen dat je telefoon ontbreekt, waarna je meestal enige tijd besteed aan het zoeken ernaar voordat je realiseert dat hij echt weg is. Vervolgens moet je weten hoe je het verlies moet melden zonder dat je toegang hebt tot je telefoon. Tegen die tijd kan er al aanzienlijke schade zijn aangericht, aangezien fraudeurs snel hun nieuw verworven bezittingen exploiteren. Kunnen we de robuustheid van dit systeem niet verbeteren door een extra factor in te voeren die minder makkelijk te compromitteren is, waardoor frauduleus gebruik van eIDAS-wallets aanzienlijk moeilijker wordt? 

Biometrie zou kunnen dienen als een derde factor voor identiteitsbescherming. We zouden iedereen in staat moeten stellen hun identiteit te beschermen met een biometrisch slot. Met biometrie kun je ongeautoriseerde toegang tot je informatie voorkomen en de controle over je wallet bewijzen aan uitgevende en verifiërende partijen. Dit biometrische slot moet wel sterker zijn dan de huidige biometrie verificatie op je telefoon. Deze kan gemakkelijk worden gecompromitteerd door fraudeurs. Om je eIDAS-wallet te beschermen, moet de biometrische verificatie worden verbonden met de PID in de wallet. Gelukkig zijn er geavanceerde oplossingen beschikbaar die kunnen worden gebruikt op een privacy vriendelijke manier om een bewijs van je actuele aanwezigheid te genereren: een “Proof of Presence” (PoP) 

Een biometrisch slot. Is dat mogelijk? 

Er zijn niet alleen veel biometrische verificatieoplossingen beschikbaar, het Architecture and Reference Framework  (ARF) beschrijft deze diensten als optionele beveiligingsfuncties. Aanvankelijk richtte ARF zich op gebruik in de fysieke wereld, maar sinds versie 1.5 vermeldt het expliciet dat biometrie ook ingezet kan worden voor online verificatie. Een geverifieerde portret foto moet dan aanwezig zijn in de wallet. Deze kan zijn toegevoegd tijdens het onboarden of later door een QTSP met behulp van een fysiek identiteitsdocument met een chip (paspoort, identiteitskaart). Overheden, waaronder de Nederlandse, overwegen nu om portretten toe te voegen aan de PID voor gebruik in de fysieke en online wereld. 

Ondanks dat biometrische verificatie onderdeel is van het eIDAS-framework, blijft er een obstakel voor het gebruik ervan. De GDPR beperkt het gebruik van biometrie in geautomatiseerde processen, tenzij er expliciete en geïnformeerde toestemming van de gebruiker is. Voor een biometrisch slot zou dit geen probleem zijn, aangezien gebruikers bewust deze extra beveiligingsfunctie activeren. Echter, zowel uitgevende als verifiërende partijen kunnen ook meer zekerheid vereisen dat ze attestaties uitgeven aan of ontvangen van de juiste gebruiker. Het gebruik van deze biometrische functionaliteit is in de ARF beschreven vanuit het perspectief van een verifiërende partij, en daar kan niet eenvoudig  geleund worden op de toestemming van de gebruiker. 

In onze vorige blog legden we uit hoe een Proof of Presence (PoP) kan worden gegenereerd. Deze methode deelt biometrie alleen met de QTSP die de PoP-attestatie genereert. De uitgevende of verifiërende partij ontvangt bevestiging dat de QTSP de aanwezigheid van de gebruiker heeft geverifieerd en dat die overeenkomt met de PID  op een specifiek tijdstip. Hoewel dit het delen van biometrie aanzienlijk vermindert in vergelijking met huidige processen, vereist het nog steeds een solide juridische grondslag 

De Algemene Verordening Gegevensbescherming (AVG) staat biometrische verificatie alleen toe met expliciete toestemming van de gebruiker of in situaties waarin geen andere alternatieven bestaan om het algemeen belang te beschermen. Men zou kunnen stellen dat het bestrijden van fraude in het algemeen belang is. Echter, deze grond is onvoldoende omdat waar dit wordt toegepast slechts een kleine groep mensen biometrische verificatie ondergaat om het gehele maatschappelijke belang te beschermen. Als biometrische verificatie wordt gebruikt om fraude te bestrijden, onderwerpt het meer individuen aan dergelijke maatregelen. Na overleg met juridische experts van onze partners hebben we geconcludeerd dat het noodzakelijk is om juridische gronden voor biometrische verificatie om fraude te bestrijden in de wet te verankeren. Zo is de Vreemdelingenwet 2000 onlangs gewijzigd om biometrische verificatie bij zelfbedieningspaspoortcontrole mogelijk te maken en wacht nu op goedkeuring door de eerste kamer. 

Wanneer biometrische verificatie is opgenomen in de EU-wallet implementatie en juridische gronden heeft in alle lidstaten, is het belangrijk om ervoor te zorgen dat er geen afhankelijkheid is van een specifieke leverancier van biometrische verificatie. Standaardisatie van de PoP-attestatie zou hierbij kunnen helpen 

Als een PoP-attestatie voldoet aan een standaard gedefinieerd in een Rulebook, zoals ook ontwikkeld voor de PID, kan elke QTSP met biometrische verificatiemogelijkheden een PoP-attestatie uitgeven. Zo kan de functie om een Proof of Presence te genereren deel uitmaken van elke wallet, maar de keuze van de partij die de PoP genereert, zal aan de gebruiker zijn. Het Deltaworks-team heeft een eerste versie van zo'n rulebook gecreëerd, met gebruik van open standaarden voor maximale interoperabiliteit. Professionals op dit gebied worden aangemoedigd om het rulebook te gebruiken in hun implementatie en feedback te geven voor verbetering. De eerste pilot zal waarschijnlijk plaatsvinden binnen het ecosysteem van of Company Passport.  

Vertrouwen in de digitale wereld 

eIDAS zal alle EU-burgers in staat stellen om de online wereld met hetzelfde vertrouwen te navigeren als de fysieke wereld. Het bewijzen van je identiteit en bijbehorende attestaties kan een naadloze en grenzeloze digitale reis vergemakkelijken, terwijl efficiëntie wordt verbeterd en fraude wordt verminderd. Echter, de kern van je identiteit moet onbetwistbaar zijn. Als de basis  van je identiteit wordt gecompromitteerd en een kwaadwillende actor zich als jou kan voordoen, zal het vertrouwen in de digitale wereld instorten. 

Daarom is het essentieel om iemands identiteit op het hoogste mogelijke niveau te beschermen. Niet alleen met iets dat je bezit en iets dat je weet, maar ook iets dat je bent. Een anonieme PoP-attestatie bevestigt dat de persoon die het apparaat vasthoudt overeenkomt met de PID op een specifiek tijdstip. Dit zal je wallet beschermen tegen kwaadwillende actoren, waardoor uitgevende en verifiërende partijen erop kunnen vertrouwen dat de wallet onder controle is van de rechtmatige eigenaar 

We dringen er bij alle EU-lidstaten op aan om functionaliteit voor privacy vriendelijke biometrische verificatie op te nemen in hun EUDI-wallet implementaties. Dit moet worden gedaan met behulp van een standaard voor Proof of Presence om vendor lock-in te voorkomen en ervoor te zorgen dat de bescherming van iemands identiteit wettelijk is verankerd voor biometrisch gebruik. Laten we fraudeurs te slim af zijn en identiteiten onvervalsbaar maken 

Partners van de Digitale Deltawerken
Dit project wordt ondersteund door vijf van onze Core Partners: ABN AMRO, ING, Belastingdienst, Achmea en TNO.
Drie liaison-partners hebben een bijdrage met hun expertise en ontwikkelcapaciteit: iProov, Inverid en Itsme.