Gezichtsherkenning. Vingerafdruk scannen. Hoe zit het met privacy?

Blog door Andy | Geplaatst op vrijdag januari 25 2019

Als Missie onmogelijk, Missie Onmogelijk 2, Missie onmogelijk III, Missie Onmogelijk - Ghost Protocol, Missie Onmogelijk - Rogue Nation en Missie Onmogelijk - Fallout iets hebben geleerd, is dat beveiliging, identiteit en authenticatie een steeds complexer en complexer landschap is.

Tenminste, dat is wat ik ervan heb geleerd. Niet veel zin in motorstunts.

Tom Cruise lijkt ook een voorliefde te hebben voor de theorie en praktijk van beveiliging. Een ander opmerkelijk uitstapje naar het rijk was in de gedaante van een ander soort agent, met de rol van PreCrime Captain John Anderton in Steven Spielbergs film uit 2002. Minderheidsrapport. De film voorspelde een dystopische wereld waarin misdaden konden worden voorspeld door ‘Precogs’ - wezens die gezegend waren met de ‘gave’ om in de toekomst te kijken en deze misdaden konden worden voorkomen voordat ze plaatsvonden. Het voorzag ook een wereld waarin bevolkingen voortdurend worden gevolgd en geïdentificeerd door zowel overheidsinstanties als privébedrijven met behulp van biometrische herkenning. Oh, en het besturen van computers via spraak en gebaren. Op klassieke muziek.

Allemaal heel bekend, toch? Ok, misschien niet Minderheidsrapport’Precogs, dat de verschillen onderzoekt tussen vrije wil en het lot en de ethiek die komt kijken bij pogingen om beide te beheersen. Gezegd moet worden dat de vooruitgang in AI en Machine Learning algoritmes probeert te maken die de toekomst voorspellen op basis van Big Data en kansberekeningen.

Biometrische identificatie is nu echter gemeengoed. Smartphones gebruiken vingerafdrukken en gezichtsherkenning voor gebruikersverificatie en beveiligingstoepassingen variëren nu van eenvoudige toegangscontrole en tijdregistratie tot bankieren, wetshandhaving en grensbewaking.

Een beetje eng allemaal, niet? Combineer de technologie om mensen waar dan ook te herkennen aan de hand van allerlei meetgegevens met software die belangrijke historische gegevens over hen vastlegt om te proberen toekomstig gedrag te beïnvloeden, en we zijn al zo'n beetje op het punt dat we een winkel binnenlopen en op maat gemaakte advertenties naar ons toe gestraald krijgen terwijl camera's ons gezicht scannen. Gerichte marketing vindt al plaats wanneer je online bent en ingelogd of je cookies hebt ingeschakeld.

En het is mogelijk nog invasiever als het gaat om gezichtsherkenning, omdat, zoals Jennifer Lynch, een advocaat voor de privacyrechtengroep Electronic Frontier Foundation, zei in een interview met Bloomberg: “Gezichtsherkenningsgegevens kunnen zonder medeweten van een persoon worden verzameld. Het komt zelden voor dat een vingerafdruk zonder je medeweten wordt verzameld.”

Het tij bestrijden

Is er dan wel een rem op de onstuitbare opmars van biometrische gegevens en de toepassing ervan in ons hele leven? Nou, ja, er is weerstand die zich uit in zorgen over privacy en de daaruit voortvloeiende regelgeving. Het blijkt dat mensen niet graag overal gevolgd willen worden (ondanks onderzoek waaruit blijkt dat de meeste consumenten vertrouwen hebben in de grote online bedrijven die hun gegevens bewaren) en het recht op privacy is vastgelegd in verschillende regelgevingen die bepalen hoe gegevens worden verzameld, opgeslagen en gebruikt. De meest opvallende hiervan in de afgelopen jaren is natuurlijk de General Data Protection Regulation, of GDPR, die op 25 mei 2018 van kracht werd. Herinner je je die stortvloed aan e-mails van iedereen en hun hond met de vraag of je communicatie van hen wilt blijven ontvangen, terwijl je je helemaal niet kunt herinneren dat je gevraagd hebt om op de mailinglijst te worden geplaatst? Dat.

GDPR komt neer op een reeks richtlijnen voor het verzamelen en opslaan van persoonlijke gegevens, dus elke organisatie die dergelijke gegevens beheert moet passende maatregelen treffen (zowel operationeel als technisch) om binnen de gedefinieerde regelgeving te werken. Als verzamelaar van dergelijke informatie moet je toestemming krijgen en het verder opslaan en gebruiken van persoonlijke gegevens rechtvaardigen. Hieronder vallen naam, leeftijd, locatie en alle andere gegevens die gebruikt kunnen worden om je te identificeren. Hieronder vallen natuurlijk ook biometrische gegevens.

Het goede nieuws is dat GDPR en dergelijke wetgeving handhavingstechnieken met veel meer tanden dan voorheen heeft geïntroduceerd. Bedrijven kunnen boetes krijgen die mogelijk zeer schadelijk zijn, wat betekent dat de stimulans om zich aan de regels te houden sterk is. Hoe goed de bedoelingen ook zijn, gegevens zullen altijd onder vuur liggen en aanvallers zullen manieren vinden om verdedigingen te doorbreken. Dan rijst de vraag welke gegevens worden opgeslagen en wat er gebeurt als ze in verkeerde handen vallen.

In je gezicht

Een van de grootste zorgen van consumenten over gezichtsherkenning en vingerafdrukken als authenticatiemethoden is het feit dat de gegevens opgeslagen moeten worden om te kunnen werken, en dat biometrische gegevens dus opzettelijk of op slinkse wijze verspreid zouden kunnen worden. Dit maakt veel mensen ongemakkelijk, met de veronderstelling dat hun vingerafdrukken of afbeeldingen van hun gezicht het risico lopen om verspreid te worden.

Maar is deze bezorgdheid terecht? Hoe worden biometrische gegevens opgeslagen en gebruikt en zou het verlies ervan een ernstig veiligheidsrisico inhouden?

Enorme nerds

Vingerafdruklezers, iris- en retinascanners en gezichtsherkenning klinken allemaal heel verschillend wat betreft het soort informatie dat ze opslaan, maar ze lijken eigenlijk erg op elkaar wat betreft de processen en mechanismen die ze gebruiken om gegevens te verzamelen, op te slaan en te gebruiken. Wanneer je je vingerafdruk of gezicht op een apparaat ‘registreert’, scant het apparaat de grafische gegevens. Maar computers zijn de ultieme enorme nerds. Het maakt ze niet uit hoe dingen eruit zien. Ze houden van getallen. Nul en één zijn favoriet.

Om biometrische gegevens te gebruiken als een in wezen wiskundig apparaat, worden de scans van je gezicht of vingerafdruk vertaald naar een set ‘knooppunten’ - metingen van locatie en afstand die samen een unieke algoritmische gegevensset vormen die kan worden gebruikt om jou als persoon te identificeren. Zodra een apparaat deze gegevens heeft, heeft het alles wat het nodig heeft en moet het de ‘originele’ scans weggooien. Bij gezichtsherkenningsapparaten die voor authenticatie worden gebruikt, worden de scans sowieso in 3D gemaakt en werken ze bij zeer weinig licht, dus in veel gevallen is het zinloos om de originele ‘scans’ te bewaren. Het andere belangrijke punt is dat de opgeslagen gegevens niet kunnen worden gebruikt om de originele afbeeldingen opnieuw te maken.

Dit betekent dat je biometrische gegevens in alle opzichten niet meer zijn dan een set coördinaten en getallen in het formaat dat wordt gedefinieerd door en nuttig is voor het apparaat in kwestie. Het is minder nuttig dan de rest van de gegevens die over je kunnen worden bewaard, dus zorgen over privacy zijn bij biometrische gegevens meestal niet groter dan bij andere soorten gegevens.

Zolang bedrijven zich aan de richtlijnen houden en de juiste voorzorgsmaatregelen treffen om de toegang tot gegevens te beschermen, waar mogelijk te versleutelen en alleen gegevens op te slaan die ze daadwerkelijk nodig hebben om hun diensten aan klanten uit te voeren, kan de bezorgdheid over gegevensprivacy grotendeels worden weggenomen en kunnen we allemaal wat meer gerust zijn. Als je als organisatie vragen hebt over hoe je dit allemaal kunt bereiken, laat het ons dan weten. Wij weten daar wel het een en ander van.

Extreme maatregelen met gezichtsherkenning

Natuurlijk moet gezegd worden dat als het aankomt op toegang via gezichtsherkenning, je je niet kunt verdedigen tegen oude Tom als Ethan Hunt en zijn vlekkeloze vermommingen ...

Verder lezen