Staat GDPR innovatie rond authenticatie in de weg?

De technologische ontwikkelingen rond biometrie en gezichtsherkenning zijn de afgelopen jaren erg hard gegaan. Zo hard, dat het de wetgeving voorbij dreigde te steken. In Europa is getracht dat voor te zijn met privacywetgeving, met de Algemene Verordening Gegevensbescherming (AVG) voorop. Maar de rest van de wereld kijkt er toch een beetje anders tegenaan, zo blijkt uit de afgelopen editie van TRUSTECH, een grote beurs op het gebied van authenticatie-technologie in het Zuid-Franse Cannes.

Op de dag dat Uber in Nederland onder de oude privacywetten een boete krijgt van 600.000 euro voor het niet-melden van een lek in 2016, zetten producenten van identificatiesystemen, betaalterminals en smartcardpersen hun stands op in Cannes. De grens tussen authenticatie en gebruiksgemak is dunner dan ooit. Het is ironisch dat de Europese privacywetten ze in een lastige spagaat dwingt. Voor sterke authenti-catie en identificatie moet immers een database worden aangelegd van persoonsgegevens. Die moet weer voldoen aan de strenge wetgeving in Europa, waardoor de prikkel er is om vooral niet té veel gegevens te verzamelen. Minder data maakt de identificatie-systemen echter ook weer minder nauwkeurig.

Vlucht nemen

Niemand had kunnen verwachten dat authenticatie-technologie zo’n vlucht zou nemen. Michiel van der Veen, de Chief Executive van de European Association for Biometrics, haalde tijdens TRUSTECH een recent rapport van het NIST aan die stelt dat de prestaties van identiteitssystemen tussen 2013 en 2018 met een factor 20 zijn verbeterd.

“Tussen 2010 en 2013 zagen we slechts een verbetering met een factor twee”, zo zegt hij. “Dit komt vooral door zelflerende machines. De technologie wordt alsmaar beter, de precisie steeds groter. Maar het biometrische is op zichzelf al een belangrijk persoonskenmerk.”

Privacy by Design

Dat laatste is cruciaal, omdat de procedures in veel gevallen nog helemaal niet bij zijn. “Toen ik aankwam in mijn hotel, maakten ze meteen een kopie van mijn paspoort”, vertelt Van der Veen. “Het is iets eenvoudigs, maar het is een teken dat Privacy by Design nog niet is meegenomen, zelfs niet in deze simpele procedures.”

Dat heeft grote gevolgen voor het gebruik van biometrische gegevens. Je kunt niet zomaar alle technologie toepassen enkel en alleen om volledig accuraat te hebben wie bijvoorbeeld een gebouw betreedt. De discussie is niet langer technisch, maar vooral ook ethisch, zo zegt Van der Veen. “Kun je gezichtsherkenning gaan inzetten bij de ingang van een kantoorpand?”, vraagt hij retorisch. “Bij een kerncentrale wellicht wel, maar bij een normaal bedrijf is een pasje eigenlijk genoeg. Het gaat om het verschil tussen authenticatie, dat legitiem is, en identificatie, dat in veel gevallen een stap te ver gaat.” Iedereen heeft immers maar één gezicht en twee wijsvingers. Komt dat op straat te liggen, dan kunnen de gevolgen volgens hem enorm zijn.

Contra-intuïtief

Voor leveranciers is dit echter volledig contra-intuïtief, zo is wel duidelijk na een wandeling over de beursvloer. Europa blijft voor hen weliswaar een belangrijke markt voor bestaande systemen, maar de echte geavanceerde (en daarmee lucratieve) omzet zit in markten daarbuiten, in de wereld zonder AVG. “We leveren in Europa vooral aan opsporingsinstanties”, zegt Radoslava Balgova, marketing coördinator bij het Slowaakse Innovatrics die op hun stand een gezichtsherkenningssysteem demonstreert. “Maar nieuwe systemen leveren we wereldwijd, vooral in Latijns-Amerika en Afrika.” Vooral dat laatste continent is voor Innovatrics uiterst interessant. “In sommige Afrikaanse landen kun je stemmen met je vinger­afdruk. Ik zou willen dat dit ook in Slowakije kon.”

De grootste vertegenwoordiging op TRUSTECH komt uit China, een land dat radicaal anders tegen biometrie en privacy aankijkt dan Europa. Tijdens het evenement kwam het nieuws naar buiten over Dong Mingzjoe, een airconditioning­magnate die een bekeuring op de mat kreeg voor lopen door rood licht. Het bleek echter dat het gezichtsherkennings­systeem haar beeltenis had opgepikt van een reclameboodschap op een passerende bus. Leveranciers leggen zich vooral toe in het vinden van een balans tussen beveiliging en gebruikersgemak. En zien in de uitdagingen rond privacy vooral een rol weggelegd voor hun klanten.

Bescherming moet beter

Beperking van gegevens die in grote databases terechtkomen is een ding, maar ook dan moet de bescherming beter. Daar blijkt het punt echter dat de bescherming in theorie reeds zeer sterk is. Nat Sakimura, de voorzitter van de OpenID Foundation, ging in zijn keynote tijdens TRUSTECH in op de vraag hoe digitale identiteit zich heeft ontwikkeld. “U moet Ali Baba bijvoorbeeld zo zien dat de veertig rovers met Sesam Open U een zwakke gedeelde sleutel op de lange termijn gebruikten”, begint hij. “Zo kwamen ze aan hun einde.”

Technieken zijn onderhand een heel eind gekomen, met sterke persoonlijke sleutels. Dat is mede aangezwengeld door de smartphone-revolutie van 2008, waardoor opeens grote aantallen nieuwe onbeschermde apparaten het ecosysteem in kwamen.

Grote hacks

Grote hacks zijn dan ook vrijwel nooit een gevolg van fouten in de versleuteling zelf. “Heel soms zit er een fout in het bewijs van de cryptologen”, zegt Remi Geraud-Stewart van de Information Security Group van de Ecole Normale Superieure, tijdens zijn presentatie. “Dat had je met het WPA2-lek van vorig jaar bijvoorbeeld. Maar dat is een uitzonde­ring. Als we de veiligheid van onze tools kunnen bewijzen, leg dan maar eens uit waarom we nog steeds lekken hebben.”

Die uitleg zit ‘m erin dat cryptologen andere mensen zijn dan de specialisten die het uiteindelijk moeten implemen­teren. ”Systemen, programma’s en gebruikers zijn niet abstract en de visie van de persoon die de feitelijke implementatie doet wijkt af van het ontwerp van de cryptograaf. Daardoor krijg je onvoldoende resultaat.”

Vertrouwen

Uiteindelijk wordt bij TRUSTECH vooral gehamerd op het concept van vertrou­wen, en daar blijft de branche een taaie kluif houden. Dat gaat verder dan de groeiende complexiteit door Internet of Things of de introductie van blockchain waarmee decentrale databases dichterbij komen.

“Je moet naar de toekomst kijken niet door te vragen wat over tien jaar anders is, maar wat over tien jaar hetzelfde is gebleven”, stelt Patrick Gauthier, Vice President bij Amazon Pay. “Consumen­ten willen nooit minder vertrouwen, minder gemak of minder waarde. Startend vanuit dit uitgangspunt heb je altijd een voorsprong.”

Het aantal online transacties stijgt hard, zo merkt hij, “maar tegelijkertijd daalt het vertrouwen. In de overheid, in de media, in techbedrijven, enzovoorts. Het aantal gedownloade mobiele applicaties heeft een plateau bereikt.”

Vertrouwen is volgens de Amazon-bestuurder een absolute voorwaarde geworden voor je kunt gaan innoveren. Leveranciers kunnen niet meer verwachten dat ze overtuigen met het verkooppraatje dat iets snel, makkelijk en veilig is. “Wil je je onderscheiden in de markt? Dan moet het vooral traag, moeilijk en onveilig zijn.”

Michiel van Blommestein is journalist