Uitdagingen bij het beschermen van uw identiteit
Earlier this summer, the Digital Delta works team highlighted the need for a passport-grade Digital Identity and the potential use of biometrics to safeguard against identity misuse. We realize that biometrics do not provide complete protection, but security is significantly higher with biometrics than without.
In het begin van deze zomer benadrukte het Digital Deltawork team de noodzaak van een Digitale Identiteit van paspoort kwaliteit en het mogelijke gebruik van biometrie om misbruik van identiteit te voorkomen. We beseffen dat biometrie niet een volledige bescherming biedt, maar de beveiliging is fors hoger met biometrie dan zonder. Deze elementen zouden moeten worden opgenomen in de herziening van eIDAS, die tot doel heeft alle EU-burgers in staat te stellen een wallet te activeren voor het uitwisselen van attestaties in zowel de publieke als private sector. Helaas schieten de details van de regelgeving tekort in het beschermen van iemands identiteit tegen misbruik: De voorgestelde Persoonlijke Identificatie Data (PID), gedetailleerd in de bijlage van de uitvoeringshandeling “persoonsidentificatiegegevens en elektronische attesteringen van attributen”, missen de vereisten om het een digitale identiteit van paspoort kwaliteit te maken. Bijvoorbeeld, Europese wallets zijn niet verplicht biometrie te ondersteunen, waardoor niet alle burgers de optie hebben om hun identiteit hiermee te beschermen. Bovendien is de mogelijkheid om liveness-detectie (een techniek dat op basis van videobeelden kan controleren of de geautoriseerde natuurlijk persoon het apparaat bedient) te gebruiken voor remote toepassingen, genoemd in het Architecture and Reference Framework, niet volledig uitgewerkt. Aangezien biometrie geen verplicht beschikbaar attribuut is in de PID, wordt verwacht dat liveness-detectie ook niet verplicht zal zijn in wallets.
Deze situatie laat je identiteit in een wallet kwetsbaar voor diefstal of misbruik. Het is immers gemakkelijk om een apparaat samen met de toegangscodes te verliezen of uit te lenen, waardoor iemand anders zich als jou kan voordoen. Dit risico moet worden verminderd om burgers te beschermen, vergelijkbaar met hoe fysieke identiteitsbewijzen, zoals paspoorten, worden beschermd. Vanwege deze kwetsbaarheid kunnen sectoren die wettelijk sterke gebruikersauthenticatie vereisen, zoals de financiële sector, niet volledig vertrouwen op deze digitale middelen, ook al zijn ze verplicht deze te accepteren. Daarom is er een dubbel belang bij het verbeteren van het concept van gebruikersbinding om ervoor te zorgen dat de gebruiker van het apparaat de houder is van de PID en andere attestaties in de Europese Digitale Identiteit Wallet (EDIW):
- Om de identiteit van burgers te beschermen tegen manipulatie en diefstal.
- Om partijen die identiteit uitvragen te beschermen tegen identiteitsfraude.
Oplossing met huidige technologie
Huidige technologie kan de risico's van identiteitsdiefstal verminderen en helpen uitvragende partijen te beschermen tegen identiteitsfraude door gebruik te maken van biometrie. We hebben het Digital Deltaworks-team uitgebreid met technologieaanbieders die al delen van de oplossing op de markt aanbieden. Ons volgende doel is om deze componenten te integreren in een Proof of Concept (PoC) om onze bevindingen te demonstreren. De PoC zal de volgende flow demonstreren, die bestaat uit twee delen: een initiële setup die slechts één keer hoeft te worden uitgevoerd, en een verificatieproces dat indien nodig herhaald kan worden. Deze PoC beschrijft de Happy Flow. We begrijpen dat er gevallen zullen zijn waarin deze flow niet succesvol zal zijn. Daarom is het cruciaal om een alternatief proces te hebben dat hetzelfde niveau van zekerheid biedt.
Initiële Setup
- Bob heeft een wallet geïnstalleerd op zijn telefoon, cryptografisch gebonden aan het apparaat.
- Bob haalt een PID op zonder biometrie, die cryptografisch is gebonden aan de wallet-instantie.
- Om te bewijzen dat Bob degene is die het apparaat met de gebonden wallet en PID gebruikt, en niet iemand die de controle over zijn apparaat heeft gekregen, scant Bob zijn identiteitsdocument. De relevante informatie om het identiteitsdocument aan de PID te koppelen en foto wordt opgehaald. Als de informatie overeenkomt met de PID, kan Bob doorgaan.[1] Wanneer bij uitgifte van de PID de biometrie al is mee genomen, is het proces sterker omdat er geen mismatch kan plaatsvinden.
Verificatieproces
- Bob wordt gevraagd een selfie-video[2] op te nemen om te bewijzen dat hij daadwerkelijk het apparaat gebruikt en een echte, levende persoon is, geen AI-gegenereerde bedrieger. De selfie-video wordt vergeleken met de foto die uit het document is gehaald.
- Als de matching succesvol is, ontvangt Bob een "proof of user" in de vorm van een attestatie met een beperkte levensduur, gegenereerd door de Qualified Trust Service Provider (QTSP), waarin staat dat de persoon die het apparaat hanteert dezelfde is als het onderwerp van de PID, en het tijdstip waarop de verklaring is gegenereerd. Dit bewijs van gebruiker is gebonden aan de wallet (die gebonden is aan het apparaat) en de PID.
- Bob kan dit bewijs van gebruiker aan een uitvragende partij presenteren, samen met eventuele andere vereiste presentaties, om een transactie te starten.
Juridische complexiteit en de zwakste schakel
Gezichtsbiometrie kan een sterke vorm van gebruikersbinding bieden, maar heeft ook een Achilleshiel: als biometrische gegevens worden gecompromitteerd, kunnen ze worden misbruikt om iemands identiteit te misbruiken. Dit risico wordt steeds duidelijker met het wijdverbreide gebruik van deepfake-technologie. Dit is een van de redenen waarom de AVG standaard de geautomatiseerde verwerking van biometrie voor identificatiedoeleinden verbiedt. Er zijn een paar uitzonderingen: biometrie kan worden gebruikt voor huishoudelijk gebruik (bijv. het ontgrendelen van uw telefoon of app), en op basis van de grondslag van expliciete, geïnformeerde toestemming. Terwijl sommigen beweren dat “identificatie” het herkennen van een individu binnen een groep inhoudt, en het gebruik dat wij onderzoeken meer een een-op-een verificatie is (en daarmee geen identificatie), stellen juridische experts die het Digital Deltaworks team bijstaan dat er nieuwe specifieke juridische gronden moeten worden geformuleerd voor deze verwerking. Zelfs artikel 29 van de UAVG, waarin staat dat het verbod op het gebruik van biometrie voor identificatie niet van toepassing is als de verwerking noodzakelijk is voor authenticatie- of beveiligingsdoeleinden, wordt als onvoldoende beschouwd. Momenteel verwerken banken biometrie onder expliciete gebruikersinstemming, waarbij een alternatieve route wordt geboden voor klanten die geen toestemming geven. Dit is echter een arbeidsintensieve oplossing.
Het koppelen van een Nederlandse PID aan een identiteitsdocument is een zwakke schakel. Er is een identifier nodig om de relatie vast te stellen, maar de voorgestelde Nederlandse PID bevat alleen de voornaam, achternaam en geboortedatum, wat geen unieke match garandeert. Het is dus mogelijk
om een identiteitsdocument en bijbehorende biometrie te koppelen aan een PID van iemand anders met dezelfde namen en geboortedatum. Het opnemen van het door de overheid uitgegeven identificatienummer (BSN) in de Nederlandse PID zou de noodzakelijke uniciteit kunnen waarborgen, maar dit zou de PID nutteloos maken voor de meeste toepassingen in de private sector vanwege de strenge beperkingen op het gebruik van dit identificatienummer door private entiteiten. Dit probleem zou kunnen worden aangepakt met technologieën zoals Attribute Based Encryption, maar dergelijke geavanceerde beschermingsmechanismen zijn momenteel niet geïntegreerd in de ARF.
Perspectief is belangrijk
Hoewel huidige technologie sterke gebruikersbinding kan realiseren, is het perspectief van waaruit het wordt geïmplementeerd cruciaal. Er is een dubbel belang bij het verbeteren van gebruikersbinding: het beschermen van de identiteit van burgers tegen diefstal en het beschermen van uitvragende partijen tegen identiteitsfraude.
Vanuit het perspectief van een uitvragende partij zou de biometrische controle door zichzelf kunnen worden beheerd. Dit zou inhouden dat de uitvragende partij de (versleutelde) biometrie ontvangt en technologieaanbieders inschakelt voor matching. Dit compromitteert echter de privacy van de gebruiker, aangezien biometrie moet worden gedeeld met de uitvragende partij, en de technologieaanbieder voor matching zich bewust wordt van de relatie tussen de gebruiker en de uitvragende partij.
Vanuit het perspectief van een burger zou alle functionaliteit om identiteit aan biometrie te koppelen aanwezig moeten zijn in de wallet. Het bewijs van gebruikersbinding zou dan binnen de wallet kunnen worden gegenereerd, waardoor ongeautoriseerde presentaties worden voorkomen. Biometrie zou nooit gedeeld hoeven te worden, en als een uitvragende partij gebruikersbinding vereist, zou alleen het bewijs worden gedeeld. Deze aanpak staat echter momenteel niet op de roadmap voor de EDIW ontwikkeld door de Nederlandse overheid.
Pad vooruit voor gebruikersbinding
Wij geloven dat het perspectief van de burger de wijzere benadering is voor het implementeren van gebruikersbinding. Burgers in staat stellen hun identiteit te beschermen met biometrie zou een verplichte functie van elke EDIW moeten zijn. Het gebruik van biometrie voor dit doel moet een stevige juridische basis hebben, maar het gebruik ervan moet altijd een individuele keuze blijven.
Daarom stellen we voor dat de volgende ideeën worden opgenomen in de uitvoeringshandelingen:
- Het moet verplicht zijn voor PID-aanbieders om biometrie op te nemen in de PID als het onderwerp dit wenst.
- EDIW-implementaties moeten verplicht worden om liveness-detectie toe te voegen aan de wallet om bewijs van gebruikersaanwezigheid te genereren, maar het gebruik van deze functionaliteit moet altijd vrijwillig zijn
- EDIW-implementaties moeten technologieën zoals Attribute-Based Encryption ondersteunen om het gebruik van gevoelige informatie, zoals door de overheid uitgegeven identificatienummers, mogelijk te maken en tegelijkertijd te beschermen tegen lekken of misbruik.
[1] Deze technologie wordt nu gebruikt door QTSP’s en financiële instellingen. Inverid heeft aangeboden hun oplossing in onze Proof of Concept (PoC) te integreren.
[2] Deze technologie wordt nu gebruikt door financiële instellingen in combinatie met ID-scan technologie. iProov heeft aangeboden hun oplossing in onze Proof of Concept (PoC) te integreren.
Deel deze pagina