Natuurlijk vind je de meest spectaculaire voorbeelden van de toepassing van biometrie in Amerika. Bij een kleuterschool in New Mexico moeten ouders hun hand op een scanner leggen voordat ze hun kind mogen meenemen. Klanten van een Texaanse bank kunnen sinds 1999 hun pincode vervangen door hun iris; de Bank of America laat klanten thuis bankieren als ze zich met een vinger identificeren.
Kenmerk
Het is allemaal biometrie: automatische herkenning van een persoon door het meten van een lichamelijk kenmerk. Zonder dat die persoon een wachtwoord hoeft te kennen of een sleutel hoeft te hebben. Een machine kan een mens herkennen aan elk lichaamsdeel dat uniek is en levenslang grotendeels gelijk blijft. Voorbeelden van zulke biometrische kenmerken zijn het lijnenpatroon van de iris, de vorm van het gezicht en de vingerafdruk. Zelfs eeneiige tweelingen hebben verschillende uitvoeringen van deze kenmerken, alleen hun gezicht vormt een probleem. Wat maakt een biometrisch kenmerk uniek? Het gaat om het aantal typica dat je kunt beschrijven. In een patroon van vingerlijnen zijn dat bijvoorbeeld vertakkingen, eindpunten en eilanden. Een vinger bevat er enkele tientallen en als twee afdrukken op zestien of zelfs maar twaalf typica overeen komen, is het volkomen zeker dat die twee afdrukken van dezelfde persoon en van dezelfde vinger afkomstig zijn. Dat heeft niets te maken met een statistische rekensom, maar met de eeuw ervaring die we met vingerafdrukken hebben. Het vlekkenpatroon van de iris bevat honderden typica, dus waarschijnlijk is een iris nog unieker dan een vinger. Een exact bewijs voor het uniek zijn van een kenmerk is natuurlijk nooit te leveren, maar er zijn tot nu toe nooit twee personen gevonden met identieke patronen. Het voordeel van biometrische kenmerken boven bijvoorbeeld de pincode is dat je ze nooit kunt vergeten en dat niemand ze kan vervalsen of stelen. Hoewel, het is natuurlijk mogelijk om iemands vinger te stelen. Gelukkig zijn sommige apparaten al in staat te controleren of het aangeboden lichaamsdeel leeft: ze meten hartslag, lichaamswarmte, onwillekeurige bewegingen of bepaalde eigenschappen van de levende huid.
Bedriegers
Voordat enig apparaat je toegang zal geven tot een gebouw of computernetwerk op basis van een biometrisch kenmerk, moet het je registreren. Het scant bijvoorbeeld je vingerafdruk en zet die door signaalbewerking om in een digitaal sjabloon. Deze zogeheten historische sjabloon is uniek en niemand kan er de oorspronkelijke vingerafdruk uit herleiden.
De historische sjabloon wordt opgeslagen om hem te kunnen vergelijken met de vingerafdruk die je straks aanbiedt om naar binnen te mogen. Dat kan in een computerbestand met daarbij gegevens als naam en adres of alleen een registratienummer. Als je naar binnen wilt, bied je je vingerafdruk aan, waarop het systeem in het bestand op zoek gaat naar de sjabloon die er het meest op lijkt. Als daarmee voldoende overeenkomst is, neemt het aan dat jij inderdaad de persoon bent die in het bestand vermeld staat en mag je naar binnen. Het systeem kan de sjabloon ook opslaan op de chip van een identiteitskaart. Naast je vingerafdruk moet je dan straks ook die ‘smartcard’ aanbieden: je mag doorlopen als de sjabloon op de kaart en je vinger overeenkomen. Omdat er verder geen persoonsgegevens aan te pas komen – je hebt alleen aangetoond dat je de rechtmatige eigenaar van de betreffende kaart bent – heet dit anonieme biometrie. De opgeslagen sjabloon en de sjabloon die je aanbiedt bij het plaatsen van een vingerafdruk zijn zelden of nooit helemaal gelijk. De manier waarop je je vinger aanbiedt, verschilt namelijk steeds een klein beetje. Ook biometrische kenmerken zelf zijn aan lichte veranderingen onderhevig. De geometrie van de hand verandert licht met de leeftijd, en ook de temperatuur heeft invloed. Naast fysieke kenmerken zijn ook gedragskenmerken biometrisch. De dynamiek van je handtekening of toetsaanslag bijvoorbeeld, of de stem. Anders dan fysieke kenmerken zijn gedragskenmerken afhankelijk van je gemoedstoestand: als je haastig of boos bent, zet je je handtekening anders dan wanneer je kalm bent.
Tolerant
Een biometrisch apparaat heeft een bepaalde tolerantie om niet steeds ten onrechte mensen tegen te houden. Als het aantal overeenkomstige typica tussen de aangeboden en de historische sjabloon boven het ingestelde minimum ligt, volgt acceptatie. Net als bij pinnen mag je meestal meer pogingen wagen als het misgaat. Hoe tolerant moet zo’n biometrisch apparaat zijn? Als het te tolerant is, laat het gemakkelijk ‘bedriegers’ door. We spreken dan van een hoge False Acceptance Rate (FAR). Als het apparaat te streng is, wijst het welkome mensen af en is er sprake van een hoge False Rejection Rate (FRR). Het hangt van de situatie af of het erger is dat een biometrisch apparaat foute personen wel doorlaat of juist goede personen niet. Bij een gevangenis of kernreactor is het belangrijk dat geen ongewenste personen toegang krijgen, maar banken betalen liever een keertje de diefstalschade als een rekening is geplunderd, dan dat ze ten onrechte klanten weigeren bij het pinnen. Irritatiegevoelens van klanten kosten op den duur namelijk meer. Bij banken mogen daarom slechts een op honderdduizend mensen onterecht worden geweigerd. Wat betreft het laten pinnen door bedriegers zijn ze tevreden met een waarde van een op twintig. Ook de vertrouwde geldautomaten weigeren trouwens integere klanten: als je je pincode vergeet of per ongeluk drie keer een fout getal intoetst, kun je ten onrechte geen geld opnemen. Alleen wijt je het dan aan jezelf en niet aan een apparaat.
Lek als een zeef
Je kunt wel streven naar bepaalde foutpercentages van biometrische apparatuur, maar het probleem is dat ze moeilijk zijn te bepalen. Een fabrikant kan gemakkelijk zeggen dat de FRR van zijn apparaat maar een kleine fractie van een procent is, maar dat zegt weinig als hij dat heeft bepaald in een laboratoriumtest met mensen die met de apparatuur vertrouwd zijn. Een representatieve steekproef geeft heel andere resultaten dan een zorgvuldige laboratoriumtest. Als leveranciers een lage FAR én een lage FRR garanderen, is het bovendien maar de vraag of ze beide wel hebben gemeten bij dezelfde tolerantie-instelling. Meer dan van het apparaat, hangt het van de gebruiker af in hoeverre biometrische apparatuur voldoet. Een apparaat moet zo zijn ontworpen dat het tegemoet komt aan ergonomische eisen, maar sommige gebruikers zullen er altijd onhandig mee omgaan. Er is ook altijd wel een groep mensen waarvoor een bepaalde techniek niet geschikt is. Zo hebben Afrikanen en Aziaten soms zo’n zwak vingerlijnenpatroon, dat het moeilijk valt te registreren. Als je een bril gaat dragen of je baard afscheert, heb je een probleem bij de gezichtsscan. Ook veroudering helpt niet mee. Voor dit probleem bestaat een oplossing: elke keer dat je verschijnt, werkt de camera de historische sjabloon bij. Als je echter niet vaak genoeg langskomt, wijst het systeem je uiteindelijk toch af.
Bedreigend?
In principe biedt biometrie het sterkste bewijs van identiteit. Als je echt zekerheid wilt, kun je zelfs aan gelaagde biometrische veiligheidstechnieken komen. Het Belgische bedrijf Keyware levert een systeem dat mensen pas doorlaat als hun vinger, hun stem én hun gezicht kloppen met opgeslagen sjablonen. Maar techniek is niet alles. Een echte doorbraak van biometrie kan pas plaatsvinden als de maatschappij de methode accepteert. Mensen ervaren het soms als opdringerig en bedreigend als ze hun oog dicht bij een scanapparaat moeten brengen; het geven van vingerafdrukken associëren ze met criminaliteit. Het is wel zo dat wat mensen nu onaanvaardbaar vinden, over een paar jaar doodnormaal voor ze kan zijn. Zo ging het immers ook met de geldautomaat. Het is een kwestie van afwachten. “Beveiliging met wachtwoorden is zo lek als een zeef”, zeggen verwoede voorstanders van biometrie ongeduldig. “Na verloop van tijd weten je collega’s je wachtwoord, omdat ze beslist bij dat ene document moesten komen toen je ziek was.” Hoe moet dat nu als je ziek wordt in het biometrische tijdperk?
Handscan in Rotterdamse haven
Achtduizend Nederlandse vrachtwagenchauffeurs rijden sinds twee jaar rond met een Cargo Card: een pasje met persoonsgegevens en informatie over hun hand. Als ze bij het Rotterdamse containerbedrijf ECT een container komen halen of brengen, moeten ze dat zo’n zes keer laten scannen, waaronder één keer in combinatie met hun hand. Telkens schrijft het systeem dan informatie op de chip, zodat bekend is dat de chauffeur daadwerkelijk bij een procespunt is langs geweest. Bij ECT gaat de slagboom omhoog zodra een aankomende chauffeur zijn pasje door de kaartlezer haalt. ECT ziet dan wie er binnenkomt en waarom. Daarna heeft hij het pasje nog nodig bij de aanmeldingsbalie, de douane, de ‘routeringskas’ (daaruit komt dan een bonnetje waarop staat waar hij moet zijn op het kilometersgrote terrein), de opslagplaats waar de container achterblijft en de uitgang. Tussendoor passeert hij nog een inspectiepoort waar hij behalve het pasje ook zijn hand laat scannen. Dat gebeurt niet bij de ingang, omdat er dan een opstopping zou kunnen ontstaan op de drukke weg waaraan het terrein ligt. Er zitten nu nog mensen bij alle inspectiepoortjes, maar dat zal veranderen. De Cargo Card levert naast beveiliging – die misschien op den duur korting op verzekeringspremies oplevert – tijdwinst op. Niet alleen voor ECT, maar ook voor de chauffeurs. Zij hoeven nu nog maar één keer hun enorme truc te parkeren en uit te stappen, op termijn hoeft het misschien helemaal niet meer. Normaal gesproken moet je je rechterhand op een handscanner leggen, maar om het voor de vrachtwagenchauffeurs gemakkelijk te maken, werkt de Cargo Card met de linkerhand. De stichting Port Community Rotterdam (PCR), die IT-projecten voor de Rotterdamse haven coördineert, ontwikkelde het systeem. Behalve ECT, dat verantwoordelijk is voor tachtig procent van het Nederlandse containertransport, maken ook andere bedrijven in de haven gebruik van de Cargo Card. “Natuurlijk waren er kinderziekten in het begin”, zegt Wim van der Stam van PCR. Er waren gebruikers die het eng vonden om hun hand te laten scannen, ze vonden het maar niets dat hun gegevens werden vastgelegd. Ook technisch moest het even op gang komen, maar inmiddels handelt ECT met de Cargo Card 96 procent van de chauffeurs af zonder problemen. Een false rejection rate van vier procent dus.
Handscan voor junks
Drugsverslaafden in en om Den Helder die via het plaatselijke CAD (het Consultatiebureau voor Alcohol en Drugs) methadon krijgen, moeten zich sinds afgelopen juli identificeren met een chipkaart en hun hand. Het is een experiment in opdracht van enkele ministeries; de resultaten lijken tot nu toe erg goed. In Zwolle liep eerder een experiment waarin de dynamiek van de handtekening als identificatie diende, maar omdat tien procent van de verslaafden problemen ondervond bij het zetten van een stabiele handtekening – dus een false rejection rate van tien procent – beproeft men nu de handgeometrie. Ook vingerafdrukken komen misschien nog aan de beurt. Op termijn moeten de experimenten leiden tot het maken van een landelijke verwijsindex. Elke verslaafde die bij het CAD bekend is, komt daarin te staan met een nummer en bij welke CAD dit nummer is geregistreerd. Het komt namelijk voor dat mensen zich op twee plaatsen inschrijven en zo een dubbele dosis ontvangen. Ook kunnen er ongelukken gebeuren als iemand in de gevangenis komt en snel moet afbouwen. Als hij na twee maanden vrij komt en meteen weer de oude dosis ontvangt, gaat het mis. De verwijsindex moet ook toegankelijk worden voor gevangenissen en artsen. Omdat ook zij zich biometrisch moeten identificeren om toegang te krijgen en omdat de verslaafden alleen met een nummer in het systeem staan, is de kans op misbruik minimaal. De coördinerende stichting Informatievoorziening in de Verslavingszorg zet bij wijze van test een verwijsindex voor Noord-Holland op. Een landelijk systeem zou later ook nuttig kunnen zijn voor andere hulpverlening, medicijnen en zorgtaken. Voor verslaafden op Texel heeft de proef in Den Helder extra voordelen. Voorheen moesten ze twee keer per week met de boot naar Den Helder, nu maar eens per twee weken, omdat op hun chip extra informatie staat. Als ze zich melden met hun kaart, krijgen ze er een methadonsaldo op dat voor twee weken voldoende is. In de plaatselijke apotheek identificeren ze zich weer met hun hand en de kaart, waarna het saldo wordt gewist in ruil voor de hoeveelheid methadon die het aangaf.
Dit artikel verscheen in Natuur en Techniek 2001, jaargang 69, afl. 1