Vingerafdrukken: als de veiligheidscultuur gevaarlijk wordt

In maart 2016 tijdens een bezoek aan Marokko liet minister van Binnenlandse Zaken Jan Jambon (N-VA) al weten dat hij voorstander was van een systeem om de vingerafdrukken van alle 11 miljoen Belgen digitaal op te slaan. Hij noemde het een instrument in de strijd tegen misdaad en zei erbij: “Mensen die niets verkeerd doen, moeten toch geen schrik hebben dat hun vingerafdrukken in een systeem zitten?”

De Privacycommissie schoot het ballonnetje meteen af. “De algemene opslag van vingerafdrukken is strijdig met het Europees Verdrag van de Rechten van de Mens”, klonk het.

Vorige week gaf de Kamercommissie Binnenlandse Zaken echter groen licht voor een nieuw wetsontwerp om vingerafdrukken toe te voegen aan de identiteitskaart. Opvallend: de Gegevensbeschermingsautoriteit (de nieuwe naam voor de Privacycommissie) gaf nu ook officieel een negatief advies, maar de regering slaat dat in de wind.

0,0041% fraude

De maatregel moet volgens Jambon dienen om identiteitsfraude door terroristen tegen te gaan.

Maar fraude met identiteitsdocumenten komt amper voor. Uit het antwoord van de minister op een parlementaire vraag blijkt dat de fraude met identiteitskaarten en verblijfskaarten al jaren daalt: van 655 gevallen in 2014 naar 397 in 2017. Dat komt neer op een fraudepercentage van … 0,0041%. En die fraude staat op zich los van terrorisme.

Volgens de minister is het geenszins de bedoeling alle vingerafdrukken op te slaan in een centrale databank. De vingerafdrukken mogen maar opgeslagen worden voor de duur van het maken van de identiteitskaart. Daarna moeten ze binnen de drie maanden vernietigd worden, en blijven ze enkel bewaard op de chip van de identiteitskaart.

Veiliger? Gevaarlijker!

Maar het is duidelijk dat hier wel degelijk een eerste stap wordt gezet naar het systematisch digitaal opslaan van vingerafdrukken.

Het gebruik van biometrische gegevens (denk naast vingerafdrukken ook aan gezichtsherkenning, irisscans …) rukt steeds verder op in onze samenleving: voor de toegang tot gebouwen, voor betalingen, om je smartphone te ontgrendelen … Hoe kan de regering garanderen dat geen misbruik wordt gemaakt van onze vingerafdruk op de chip van onze identiteitskaart?

Het is allemaal zogezegd voor onze veiligheid, maar eigenlijk wordt het net gevaarlijker.

Biometrische gegevens zijn per definitie niet veranderlijk, in tegenstelling tot gewone wachtwoorden. Maar daar schuilt net het gevaar. Als je e-mail- of je Facebookaccount gehackt is, is dat meestal vlot verholpen door eenvoudigweg je wachtwoord te veranderen. Als je vingerafdruk gehackt wordt, dan is er geen mogelijkheid meer om zelf iets nieuws te bedenken, dan ben je de controle over je gegevens gewoon kwijt.

5,6 miljoen vingerafdrukken gestolen

Dat het fout kan lopen, is al gebleken. In 2015 slaagden hackers erin binnen te dringen in de computersystemen van het Office of Personnel Management – zeg maar de HR-afdeling van de Amerikaanse overheid – en de vingerafdrukken van 5,6 miljoen ambtenaren buit te maken. De data en de vingerafdrukken werden door de ambtenaren afgegeven in standaard screeningsprocedures. Onder de slachtoffers medewerkers van FBI, NASA, het ministerie van Defensie … De vingerafdrukken zijn gelinkt aan erg gevoelige informatie, zoals alcohol- en druggebruik, seksueel gedrag, financiële situatie, psychische aandoeningen, een eventueel crimineel verleden … Genoeg info om mensen op sleutelposities met toegang tot staatsgeheimen te chanteren.

Voor zes euro

Ook in India liep het mis. De centrale database van de Indiase overheid bevat de biometrische en persoonlijke gegevens (vingerafdruk en irisscan) van zowat de hele Indiase bevolking. Naar schatting 98% van de 1,3 miljard Indiërs zijn al in de databank opgenomen. Aadhaar, zo heet het systeem, is daarmee de grootste biometrische databank ter wereld.

Maar het blijkt ook lekken te bevatten. Een journaliste verschafte zich toegang tot een portaalsite waar ze voor slechts 500 roepies (omgerekend zo'n zes euro) aan de persoonlijke gegevens van Indiërs kon.

Aadhaar begon als een systeem om aan een identiteitskaart te geraken, maar ondertussen moet je als Indiër al je Aadhaar-gegevens afgeven voor zowat alles: concerttickets kopen, je belastingaangifte invullen, internet installeren bij je thuis … “Het voelt aan als een digitale leiband rond mijn nek”, zo verklaarde Mishi Choudhary, juridisch directeur van het Software Freedom Law Center.

Het Indiase Hooggerechtshof boog zich over Aadhaar en erkende dat privacy een grondrecht is dat gegarandeerd wordt door de Indiase grondwet, maar oordeelt toch dat de voordelen zwaarder doorwegen dan de privacyrisico’s.

Gevaar voor massacontrole

Een ander gevaar is dat deze massa aan gegevens in handen komt van regeringen die minder terughoudend zijn om er misbruik van te maken en de bevolking onder permanente controle te stellen. Biometrische gegevens mogen daarom nooit centraal opgeslagen worden in een databank. Het gevaar op massacontrole en op inbreuken op de privacy is groot. Dat zien we nu al bij camera’s met gezichtsherkenning. Door middel van gezichtsherkenning kan de overheid met zo’n databank een algemeen controlesysteem installeren. De camera’s die nu al overal hangen zouden dan gezichten kunnen herkennen en linken aan de gegevens in een databank.

#ikweiger

Op de sociale media kwam er al massaal protest tegen de plannen om vingerafdrukken op te slaan op de identiteitskaart. Met de hashtag #ikweiger geven tal van mensen aan dat ze niet van plan zijn hun vingerafdruk af te staan. De PVDA steunt deze protestbeweging. Als er voldoende druk komt kan de goedkeuring van het wetsontwerp misschien nog worden tegen gehouden.