Biometrie-onderzoek: helft consumenten deelt biometrische gegevens met private partijen

Gepubliceerd op 5-7-2021 door Quirine Storm van Leeuwen

Het einde van een dikke portemonnee vol pasjes en een hoofd vol wachtwoorden is wellicht nabij. Betalen voor de boodschappen, inloggen bij online accounts of toegang krijgen tot locaties kan namelijk ook door onze unieke lichaamskenmerken in te zetten als identiteitsbewijs. Biometrische verificatie is synoniem aan comfort en consumenten omarmen de technologie, afhankelijk van de kenmerken die worden gemeten en wie de gegevens verzamelt, blijkt uit ons onderzoek.

Biometrie

Biometrische authenticatie is niet meer voorbehouden aan spionagefilms of aan streng beveiligde locaties. Tegenwoordig wordt biometrie in steeds meer alledaagse situaties gebruikt. Denk maar aan het ontgrendelen van een smartphone met face-ID of het verkrijgen van toegang tot een locatie met vingerafdrukherkenning (touch-ID). Ook de overheid maakt gebruik van biometrie. Zo hebben Nederlanders bijvoorbeeld een biometrisch paspoort met een chip waarin onze vingerafdruk zit opgeslagen. De onlangs aangekondigde digitale Europese ID-kaart/portemonnee zal waarschijnlijk ook met biometrie beveiligd worden

Dit onderzoek werpt een blik op het gebruik van biometrie door Nederlandse consumenten en peilt hun bereidwilligheid en voorkeuren in het gebruik van deze technologie, lettend op de verschillen tussen toepassingen in de publieke en private sector. Aan dit onderzoek deden 1014 Nederlanders mee. De volledige methodologie staat onderaan het artikel. 

Uitgelichte resultaten onderzoek biometrie

  • Helft ondervraagde Nederlanders (49%) heeft biometrische gegevens aan private partijen verstrekt.
  • 64% van deze gebruikers stapte in de laatste twee jaar over van traditionele authenticatie op biometrische authenticatie, vooral uit nieuwsgierigheid of omdat ze het graag wilden uitproberen.
  • De gebruikers (49%) zeggen dat het veiliger is dan een wachtwoord (64%). En als ze moeten kiezen tussen een wachtwoord en biometrische authenticatie, dan gaat hun voorkeur uit naar biometrie (66%).
  • 41% van de ondervraagde Nederlanders zou de digitale Europese identiteitskaart aanvragen als deze beschikbaar wordt, maar 30% niet. 
  • 41% van de ondervraagde consumenten heeft er geen probleem mee als de e-ID-kaart beschikbaar komt via een smartphone-app met biometrische authenticatie, 33% zou liever een andere vorm van authenticatie gebruiken. 

Wat is biometrische authenticatie?

Biometrische authenticatie is een gemakkelijke manier om mensen te identificeren zonder dat er een wachtwoord of een pasje bij nodig is. Via een sensor, camera of scanner worden unieke fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon gemeten, zoals een vingerafdruk, een irisscan of de manier van typen op een toetsenbord. Deze lichaams- of gedragskenmerken zijn uniek aan elk persoon en kunnen daarom als identiteitsbewijs dienen. 

Biometrische authenticatie kan gebruikt worden om te controleren of iemand echt is wie hij zegt te zijn (verificatie) of om iemand te identificeren (identificatie). 

Biometrische verificatie

Bij verificatie worden twee biometrische gegevens met elkaar vergeleken om na te gaan of ze overeenstemmen. Deze vorm van authenticatie wordt ook wel met 1-op-1 aangeduid. Verificatie wordt gebruikt om toegang te geven tot systemen, apparaten of plaatsen. Een voorbeeld van deze methode is de eGate op Schiphol, die je paspoort scant en deze scan vervolgens met het gezicht van de reiziger vergelijkt in de gezichtsherkenningspoort. Wordt je herkend, dan gaat het poortje open. 

Biometrische identificatie

Bij biometrische identificatie, ook wel aangeduid met 1-op-n, worden de gemeten biometrische data vergeleken met die van meerdere personen om de identiteit van die persoon te bepalen. Een voorbeeld hiervan is wanneer de politie de foto van een verdachte in een gezichtsherkenningsdatabank invoert om te zien of die overeenkomt met andere foto’s.

Welke soorten biometrische persoonsgegevens zijn er?

Behalve vingerafdruk en gezichtsherkenning worden nog veel meer biometrische kenmerken gebruikt voor authenticatie. Meerdere banken bieden al de mogelijkheid om te bankieren met je stem via de Google Assistent of Alexa. Het Palm-ID toegangscontrole systeem is een technologie gebaseerd op aderpatroonherkenning dat binnen de justitiesector wordt ingezet voor toegang tot gebouwen of ruimten daarbinnen. Het Amerikaanse leger heeft een apparaat waarmee mensen op afstand aan hun hartslag herkent kunnen worden. Ook de manier van lopen of de snelheid en druk bij het zetten van een handtekening bevat veel informatie die een persoon uniek maakt. 

Gezichtsherkenning is een van de meer in opspraak zijnde toepassingen. We zullen dit onderwerp in ons volgende artikel nader bekijken. 

soorten biometrische gegevens

Vaak worden biometrische gegevens in combinatie met andere vormen van (biometrische) authenticatie gebruikt. Dit gebeurt omdat biometrie geen goed of fout antwoord oplevert zoals bij een wachtwoord, maar een waarschijnlijkheid dat het iemand betreft. Er bestaat dus een kans dat het algoritme tot onjuiste resultaten komt en iemand niet herkend wordt. 

Bias in algoritme biometrie

Bij het inzetten van biometrie is het dus wenselijk om rekening te houden met deze False Acceptance of Rejection Rate en de mogelijkheid tot een aanvullende verificatiemethode aan te bieden.  

Helft consumenten gebruikt al biometrie 

Biometrische authenticatie is gemeengoed aan het te worden. Dat is geen understatement wanneer de helft van de respondenten (49%) al eens vrijwillig biometrische persoonsgegevens heeft verstrekt aan private bedrijven (zorgverleners en overheidsinstellingen buiten beschouwing gelaten). 

De meerderheid (64%) stapte in de laatste twee jaar over op biometrische authenticatie, uit nieuwsgierigheid of omdat ze het graag wilden uitproberen (68%). Dat wijst op de groeiende populariteit van biometrie in de private sector.

Populariteit biometrie groeit

De scenario’s waarin de meeste mensen biometrie hebben gebruikt zijn: 

  • Het ontgrendelen van een smartphone (46%) 
  • Voor een mobiele betaling of het uitvoeren van financiële transacties online (27%)
  • Identificatie bij een paspoortcontrole op het vliegveld of een treinstation (24%). 

Biometrische toepassingen die nog in de experimentele fase zitten zijn nauwelijks gebruikt, zoals betalen in een winkel door je hand boven een scanner te houden, iets wat Amazon in Amazon-Go supermarkten in de VS heeft getest. Of biometrische creditcards waarmee je betalingen in fysieke winkels kunt verifiëren met je vinger in plaats van met een pincode. Samsung en Mastercard zijn van plan om deze vingerafdrukcreditcards in Zuid-Korea te introduceren.  

Situaties waarin consumenten biometrische gegevens aan private partijen verstrekt hebben

Wat vinden consumenten van biometrische authenticatie? 

Wat vinden consumenten van het gebruik van biometrische kenmerken als middel om hun identiteit te verifiëren of controleren? De gebruikers (49%) zeggen dat het veiliger is dan een wachtwoord (64%). En als ze moeten kiezen tussen een wachtwoord en biometrische authenticatie, dan gaat hun voorkeur uit naar biometrie (66%). De meeste mensen die het hebben geprobeerd zijn dus enthousiast. Er komt geen wachtwoord meer aan te pas en gedoe met pasjes is voorbij. De belangrijkste voordelen die genoemd worden zijn dan ook het gemak voor klanten (21%) en de veiligheid (26%) en dat het niet van persoon tot persoon overdraagbaar is (22%).

Maar hoe consumenten in het algemeen (en niet alleen gebruikers) denken over biometrische authenticatie is wel afhankelijk van welke kenmerken worden gemeten en wie de kenmerken meet.

Wanneer het een overheidsinstellingen is die biometrie inzet dan wordt het breed geaccepteerd (67%). Maar minder dan de helft van de respondenten (46%) vindt het gebruik van biometrie voor authenticatie in de private sector acceptabel. Een derde (33%) vindt het gebruik van biometrie door private partijen zelfs (enigszins tot zeer) onacceptabel.

Accptatie gebruik biometrie

31% zou helemaal geen biometrische gegevens aan private partijen verstrekken

We vroegen consumenten welke soort biometrische gegevens zij bereid zouden zijn te delen met particuliere bedrijven voor identificatie- of verificatiedoeleinden. 

Vingerafdrukken blijken het meest laagdrempelige type biometrische gegeven te zijn. Bijna de helft van de ondervraagde respondenten (46%) is bereid hun vingerafdruk te verstrekken. Een kwart (24%) is bereidwillig om hun gezichtsscan te delen. De irisscan komt op de derde plaats (21%). Maar bijna een derde (31%) is huiverig en wil überhaupt geen biometrische gegevens met particuliere bedrijven delen. 

beriedheid vestrekken biometrische gegevens

De voorkeur van consumenten voor vingerafdrukbiometrie en gezichtsbiometrie hangt waarschijnlijk samen met het feit dat de meeste mensen hier al ervaring mee hebben opgedaan. 77% van de gebruikers heeft namelijk ervaring met vingerafdrukherkenning en 50% met gezichtsherkenning.

Bedrijven die minder gebruikelijke of opkomende biometrische methoden willen invoeren, moeten rekening houden met dit sentiment. Slecht 3% van de ondervraagde consumenten zou bijvoorbeeld bereid zijn gegevens voor gedragsherkenning (zoals toetsenborddynamiek, muismanipulatie, stemintonatie of loopanalyse), aan particuliere bedrijven te verstrekken. 

Weinig vertrouwen in integere verwerking biometrische persoonsgegevens door Big Tech 

We hebben consumenten ook gevraagd wie ze vertrouwen met hun biometrische gegevens. Het blijkt dat het vertrouwen sterk verschilt naar gelang het soort organisatie dat de gegevens verzamelt. Banken, overheidsinstellingen en de eigen werkgever worden het meest vertrouwd, terwijl tech bedrijven minder betrouwbaar worden geacht op het gebied van de verwerking van biometrische persoonsgegevens.

vertrouwen organisaties verwerking biometrische persoonsgegevens

Terwijl we ons privéleven vrij achteloos delen op social media, is het delen van biometrische gegevens iets waar de meeste respondenten toch huiverig voor zijn. Al helemaal als de verwerker tot Amerikaanse techreuzen als Facebook of Amazon behoort. Respectievelijk 58% en 50% van de ondervraagde respondenten zegt er geen vertrouwen in te hebben dat deze techreuzen hun biometrische gegevens veilig verwerken. Verschillende datalekken in het nieuws of het gebrekkige beheer van persoonsgegevens bij Facebook dragen daar zeker aan bij. 

Vertrouwen biometrische authenticatie Big Tech

Daarentegen wordt een bedrijf als Microsoft, dat al vele jaren toonaangevend is op het gebied van technologie, een stuk betrouwbaarder gevonden: 48% vertrouwt het bedrijf enigszins met hun biometrische gegevens en slechts 27% van de respondenten vertrouwt het bedrijf er niet mee. Voor Apple gelden vergelijkbare cijfers. 

Europees digitaal kluisje biedt soelaas

73% van de ondervraagde consumenten denkt dat de kans groot is dat bedrijven uit de particuliere sector hun biometrische gegevens zouden delen met andere bedrijven zonder hun toestemming. Toch zijn het juist deze Big Tech bedrijven die vaak de toon aangeven op het gebied van biometrische technologie en mensen voor het dilemma zetten hun privacyzorgen te laten varen ten gunste van een moeilijk te negeren optimalisatie van nuttige diensten. 

De aankondiging van de nieuwe Europese digitale identiteitsportemonnee (e-ID-kaart) dat burgers zowel “controle over hun online identiteit en gegevens als toegang tot publieke, private en grensoverschrijdende diensten” moet gaan geven, biedt wellicht een oplossing voor dit dilemma. 

Het idee is dat dit multifunctionele mapje als identificatiemiddel dient in de Europese publieke sector, maar ook als authenticatiemiddel voor toegang tot private diensten. Via een app op de telefoon bepaalt de consument zelf welke gegevens hij deelt en zo blijft de regie van de data bij de consument. Als de e-ID-kaart daadwerkelijk toegang gaat bieden tot diensten van Amerikaanse techreuzen, dan komt dit de privacy dus ten goede. 

41% van de ondervraagde Nederlanders zou de digitale Europese identiteitskaart aanvragen als deze beschikbaar gesteld wordt, maar 30% niet. De rest twijfelt nog. 

Europese ID-kaart aanvragen

Wij vroegen of ze het ook zouden gebruiken als de app beschikbaar komt via een smartphone-app met biometrische authenticatie (vingerafdruk/gezichtsherkenning). De meerderheid (41%) heeft in dit geval geen bezwaar tegen het gebruik van biometrische technologie. En derde zou liever een andere vorm van authenticatie gebruiken, de rest (26%) twijfelt nog. Deze cijfers zijn vergelijkbaar met het huidige aantal gebruikers van biometrie (49%). Wat erop duidt dat consumenten die momenteel al biometrie gebruiken welllicht de eerst zijn die dit Europese e-ID omarmen. 

Het grootste voordeel dat ondervraagde consument in de digitale portemonnee zien is dat het processen vereenvoudigt en versnelt. Daarnaast lijkt het hun veiliger dan een papieren document. Het toegang kunnen krijgen tot publieke en private diensten tegelijk ziet 31% als voordeel.

Voordelen Europese e-ID

Meeste angst voor identiteitsdiefstal 

Waar zijn consumenten concreet bezorgd over bij het delen van biometrische gegevens? Identiteitsdiefstal baart de meeste respondenten (58%) zorgen. Het namaken van een vingerafdruk met textiellijm of gelatine, op basis van een door een persoon op een bepaald oppervlak achtergelaten afdruk is mogelijk. Naast dergelijke ‘spoofing’ aanvallen, of ‘presentation attacks’, kunnen biometrische systemen ook voor de gek worden gehouden met morphing. Dit is bijvoorbeeld het namaken van gezichten, met make-up, 3D-prints of met Deepfake, een zeer realistische manier van manipuleren van foto’s en video’s. 

Biometric Presentation Attack Detection (PAD) technologie is een methode die tegen dergelijke aanvallen wordt gebruikt. Met PAD-methoden kan worden bepaald of een levend persoon ook daadwerkelijk aanwezig is op het opnamepunt (liveness detectie) en dat het geen 3D-masker of foto is. Hiervoor kan een actie van de gebruiker nodig zijn, zoals een hoofdbeweging of het volgen van de blik van de gebruiker naar een trigger point, maar het kan ook op passieve manieren, door knipoog detectie. 

zorgen over biometrische authenticatie

56% maakt zich zorgen dat er misbruik van hun persoonsgegevens wordt gemaakt, zoals het doorgeven van persoonsgegevens aan derden of overmatige profilering. Als biometrische gegevens buit worden gemaakt dan valt er ook vaak meer dan alleen informatie over de identiteit te halen. Uit bepaalde lichaamskenmerken kan namelijk iets afgeleid worden over de gezondheidstoestand. Dus wanneer iemands biometrische persoonsgegevens worden gehackt, dan is dat al snel een indringender probleem dan als het om een wachtwoord gaat.  

Wanneer bedrijven biometrische autorisatie inzetten is duidelijke communicatie over gegevensverwerking dus zeer belangrijk. 

De helft (49%) van de consumenten maakt zich zorgen over hun privacy en datalekken (54%). Het opslaan of verwerken van biometrische data door systemen impliceert helaas ook potentiële bedreigingen van de dataveiligheid. 

Biometrie moet gerechtvaardigd en het risico waard zijn

Biometrie roept de vraag op in hoeverre gemak en efficiëntie opwegen tegen de potentiële inbreuk op onze privacy. Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden, tenzij de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden of er uitrukkelijk toestemming is gegeven door de betrokkenen. En er wordt streng gehandhaafd met boetes die oplopen tot €725.000.

Bedrijven die ervoor kiezen biometrische authenticatie toe te passen, moeten het gebruik ervan dus kunnen rechtvaardigen en kunnen uitleggen waarom het de voorkeur verdient boven traditionele authenticatiemethoden die over het algemeen als minder ingrijpend worden beschouwd. Met andere woorden: een irisscanner kan gerechtvaardigd zijn voor toegang tot een speciaal onderzoekslaboratorium, maar waarschijnlijk niet voor toegang tot een kantine op kantoor.

Gebruikers van een biometrisch verificatiesysteem moeten goed geïnformeerd zijn hoe hun biometrische gegevens worden gebruikt. Biometrische gegevens moeten veilig worden opgeslagen, indien nodig geanonimiseerd, in rust versleuteld zijn en verwijderd worden wanneer ze niet langer nodig zijn. Als deze maatregelen worden gevolgd, zal dat zowel de consument geruststellen als het bedrijfsrisico beperken.

Meer weten? Bekijk ons online overzicht met authenticatie software om de juiste keuze te maken.

OPMERKING: Dit document is weliswaar geschreven om onze klanten te informeren over de huidige uitdagingen op het gebied van gegevensbescherming en -beveiliging waarmee IT-bedrijven op de wereldmarkt worden geconfronteerd, maar is geenszins bedoeld om juridisch advies te verstrekken of om een specifieke handelswijze aan te bevelen. Voor advies over uw specifieke situatie dient u uw juridisch adviseur te raadplegen.


Onderzoeksmethodologie

Het onderzoek werd uitgevoerd middels een online enquête bij een ISO 20252 gecertificeerd platform. Er deden 1014 respondenten aan dit onderzoek mee.

De respondenten zijn werkzaam in verschillende sectoren en tussen de 18 en 65 jaar (behalve 2% 65-plussers). Het ging om 49% mannen en 51% vrouwen. Van de ondervraagde respondenten werkt 63% in fulltime dienstverband en 26% in parttime dienstverband. 6,3% was freelancer, de rest anders. Dit biometrie-onderzoek liep in de maand juni 2021.


In dit artikel wordt er mogelijk naar producten, programma’s of diensten verwezen die niet in uw land beschikbaar zijn, of die misschien niet voldoen aan de wet- of regelgeving van uw land. Wij raden u aan om de softwareleverancier rechtstreeks te benaderen voor informatie over de beschikbaarheid van de producten en overeenstemming met lokale wetgeving.


Deel dit artikel

Over de auteur

As a Content Analyst at Capterra, Quirine highlights the technological possibilities for improvement in SMEs. She focuses on digitization, software and technological trends.

As a Content Analyst at Capterra, Quirine highlights the technological possibilities for improvement in SMEs. She focuses on digitization, software and technological trends.