Archief - Vingerafdrukken op identiteitskaart?

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

Renegadexxripxx

Legacy Member
Dieter85 zei:
Het is juist om identiteitsfraude tegen te gaan dat men niet de raw vingerafdruk wil opslaan toch.
Leg dat dan eens uit met een voorbeeld hoe een beperkte compressie identiteitsfraude in de hand kan wekken.
Een raw vingerafdruk, 1x gestolen is voor altijd gestolen. Een gecomprimeerde kan je met een nieuw algoritme laten updaten elke 5 jaar.

Ik dacht dat dit alleen diende, zodat de politie iemand op straat kan controleren, en kan verifieren dat het paspoort dat hij bij zich heeft aan hem toebehoort.
Daarbij kan hij dan gebruik maken van alle fysieke kenmerken zoals foto, leeftijd, geslacht, nationaliteit, certificaat + een compressie van zijn vingerafdruk.
Wat is jouw vrees daar bij? Dat deze man toevallig iemand gevonden heeft met allemaal dezelfde kenmerken inclusief de gecomprimeerde vingerafdruk, en zo zijn identiteit aanneemt?
Ik heb het al gezegd, misschien dat dit foutief was in de doelstelling van wat men er wilde mee doen, maar voor mij was het eerder een manier om te bepalen dat er een unieke identificatie is over wie dat jij bent. Waarbij uw vingerafdruk zodanig uniek is dat op het moment dat men ooit een vingerafdruk er ooit in de toekomst uitkomt dat jij dit exact bent.

Ik zie de meerwaarde niet in iets dat bevestigt dat uw vingerafdruk degene is die bij de identiteitskaart hoort. Dat wordt geprogrammeerd, en dus kan men in de toekomst altijd dit falsifiëren. Waardoor ik de meerwaarde ervan naar beveiliging of als anti- fraudetool gewoon niet zie. Er is al duidelijke info dat vingerafdrukken op basis van die foutemarge enorm kwetsbaar en manipuleerbaar zijn.

Voor mij is een gecentraliseerde databank van belang als aanvulling op het rijksregistratienummer. Dat je deze info wegsteekt achter een gans plethora aan beveiligingen en aparte netwerken, heb ik geen probleem mee. Al zou ik wel een andere registratiewijze nemen dan de vingerafdruk...

Didymus zei:
Triestig dat de discussie op dit niveau moet verlopen. Juridisch gesproken is hier helemaal geen sprake van gegevensverwerking: vingerafdrukken verlaten het toestel niet en betrokken bedrijven hebben geen toegang tot de data.

Met wat teksten bij elkaar te googelen ga je er in dit debat echt niet komen hoor.

Tuurlijk is dit gegevensverwerking. .. het principe dat hier echter gebruikt wordt is dezelfde als dewelke er hoger voorgesteld werd, met name de vergelijking met een lokaal opgeslagen patroon. Maar dit heeft niets te maken met VEILIGHEID, dit heeft gewoon puur te maken met gebruiksgemak. Daarom ook dat men er niet over valt.
Maar dit is en blijft volledig onderhevig aan de privacywetgeving... de enigste reden waarom er niemand over valt is omdat ja het toch zo gemakkelijk is en we onze gsm dagdagelijks gebruiken en ontgrendelen. Maar dit is geen veilige manier van ontgrendelen.
Op het moment dat we onze identiteitskaart dagdagelijks moeten bovenhalen... gaat het gemak ook primeren boven veiligheid.

Echter lijkt het mij, dat voor iets dat je dan toch niet zoveel gebruikt, dat ik dan liever de meest veilige werkwijze heb. En het feit dat men uw vingerafdruk kan stelen of geregistreerd staat is gewoon onbelangrijk. Omdat als ik dat echt wil, ik veeeeeeeel makkelijkere manieren heb om die te stelen... Daarom ook de bemerking die er staat dat er best gebruik gemaakt wordt van andere biometrische gegevens dan een vingerafdruk. Juist omdat die veiligheid 0 is.

https://gdpr.wolterskluwer.be/nl/nieuws/vingerscan-en-gezichtsherkenning-hoe-zit-dat-nu-met-de-gdpr/

Didymus

Legacy Member
Renegadexxripxx zei:
Tuurlijk is dit gegevensverwerking. .. het principe dat hier echter gebruikt wordt is dezelfde als dewelke er hoger voorgesteld werd, met name de vergelijking met een lokaal opgeslagen patroon. Maar dit heeft niets te maken met VEILIGHEID, dit heeft gewoon puur te maken met gebruiksgemak. Daarom ook dat men er niet over valt.
Maar dit is en blijft volledig onderhevig aan de privacywetgeving... de enigste reden waarom er niemand over valt is omdat ja het toch zo gemakkelijk is en we onze gsm dagdagelijks gebruiken en ontgrendelen. Maar dit is geen veilige manier van ontgrendelen.
Op het moment dat we onze identiteitskaart dagdagelijks moeten bovenhalen... gaat het gemak ook primeren boven veiligheid.

Als dit verwerking van persoonsgegevens is, wie is hier dan de verwerkingsverantwoordelijke? Als ik dus mijn persoonsgegevens op mijn eigen device opsla, is dat volgens jou gegevensverwerking.

Het zou hilarisch zijn mocht het niet zo triest zijn...

SithCloud

Legacy Member
Didymus zei:
Als dit verwerking van persoonsgegevens is, wie is hier dan de verwerkingsverantwoordelijke? Als ik dus mijn persoonsgegevens op mijn eigen device opsla, is dat volgens jou gegevensverwerking.

Het zou hilarisch zijn mocht het niet zo triest zijn...

1) particulier
2) je bent jezelf. Je mag toch ook de gegevens van je familieleden verwerken

Renegadexxripxx

Legacy Member
Didymus zei:
Als dit verwerking van persoonsgegevens is, wie is hier dan de verwerkingsverantwoordelijke? Als ik dus mijn persoonsgegevens op mijn eigen device opsla, is dat volgens jou gegevensverwerking.

Het zou hilarisch zijn mocht het niet zo triest zijn...

De fabrikant van uw gsm die de software heeft voorzien om om te gaan met vingerafdrukken en de vingerafdruklezer.
Hiernaast is het elke firma die gebruik maakt van authenticatie via vingerafdrukken via de gsm. Die moet ervoor zorgen dat ze voor die authenticatie in orde zijn met deze regels. Op het moment dat ze niet enkel gebruik maken van een patroon van de vingerafdruk die via het lokale toestel geverifiëerd wordt (dus via die hogervermelde software van de fabrikant) maar een andere wijze toepassen (wat mag, wees daar van op de hoogte) dan moeten ze echter wel ten alle tijden kunnen garanderen dat ze conform deze regels werken. Het feit dat jij ermee akkoord bent gegaan ontslaat hen niet om de verwerking te doen via deze regels.

Als jij achteraf hen aanklaagt omdat er iets is misgegaan rond uw privacy zijn en blijven zij verantwoordelijk. (uitgezonderd een paar gevallen waar de eindbeslissing ten alle tijden bij u wordt gelegd via verschillende interactieve authenticeringsprotocollen)

PS: wanneer jij uw gsm jailbreaked of root, ontsla je bij voorbeeld de firma van de software van zijn verantwoordelijkheid wanneer iemand op die manier aan uw privacygerelateerde gegevens geraken die door een ander programma opgeslagen worden. Het feit dat jij gegevens hebt opgeslagen die vallen onder de gdpr en die worden op die manier gelekt stellen u verantwoordelijk voor de inbreuk op de privacy. Dit is natuurlijk far fetched zoals men zou zeggen, maar dit zijn wel de consequenties van die regels. Dat jij dit hilarisch vindt is niet mijn probleem.
PPS: koop jij een telefoontoestel dat niet voor onze markt geratificeerd is, dan ontsla je hen ook van die verantwoordelijkheid.

Didymus

Legacy Member
SithCloud zei:
1) particulier
2) je bent jezelf. Je mag toch ook de gegevens van je familieleden verwerken

Dat je verwerkingsverantwoordelijke zou zijn van je eigen persoonsgegevens is juridisch absurd, maar laten we nog aannemen dat het wel zou kunnen... Wat is de relevantie van een verordening waarin letterlijk staat dat ze niet geldt voor natuurlijke personen bij persoonlijke of huishoudelijke activiteiten?

Renegadexxripxx zei:
De fabrikant van uw gsm die de software heeft voorzien om om te gaan met vingerafdrukken en de vingerafdruklezer.

Je hebt duidelijk geen flauw idee wat een verwerkingsverantwoordelijke is. Geef gewoon toe dat je boven je niveau probeert te boksen en geen enkele diepgaande kennis hebt over het onderwerp, want dit is echt gênant.

SithCloud

Legacy Member
Didymus zei:
Dat je verwerkingsverantwoordelijke zou zijn van je eigen persoonsgegevens is juridisch absurd, maar laten we nog aannemen dat het wel zou kunnen... Wat is de relevantie van een verordening waarin letterlijk staat dat ze niet geldt voor natuurlijke personen bij persoonlijke of huishoudelijke activiteiten?
.

AVG is ook niet op zoiets gestaafd. Wat er an sich ontbreekt is een algemene wet die gewoon verplicht aan elke ontwikkelaar (hard-, en software) aan bepaalde eisen te voldoen.

In geval van een nokia 3310 bijvoorbeeld is er noch een gegevensverantwoordelijke, noch een verwerker. Tenzij dat een bedrijfstoestel is waar je de telefoonnummers van je klanten zet (de lokale loodgieter zal zoiets nog wel doen) maar in geval van uw smartphone zijn dat er al meteen 20 of zo.

Didymus

Legacy Member
Waarop is de AVG niet gestaafd?

Hoe je het ook draait of keert, de ontwikkelaar kan nooit de verwerkingsverantwoordelijke zijn voor persoonsgegevens op een smartphone.

Epyon

Legacy Member
Vandaag is het wetsontwerp omtrent o.a. de vingerafdrukken op de ID kaart goedgekeurd. Alhoewel alle technische details helaas enkel in het komende KB uit de doeken worden gedaan, bevat het verslag van de plenaire vergadering wel wat interessante informatie.

Niets is toevallig. Net vandaag was er een communicatie vanuit de Raad van de EU over een akkoord: "Better security for ID-documents, Council agrees its position". Daarin staat klaar en duidelijk:
"Security standards for ID-cards will also need to include a photo and two fingerprints of the cardholder stored in a digital format on a contactless chip". Met andere woorden, niet op de chip, maar contactloos. Dat is net wat wij doen en België neemt hierin duidelijk het voortouw.


Zo zullen de vingerafdrukken worden bewaard op de kaart, niet op de chip en komt er geen algemene databank. De eID-producent mag de vingerafdrukken slechts drie maanden bijhouden. Het lezen ervan zal enkel mogelijk zijn voor diensten met de juiste machtiging.

Verder is nog sprake van 'een onzichtbare chip' en 'certificaten' om te kunnen uitlezen.

Het ziet er dus naar uit dat dezelfde technologie als in de internationale paspoorten gebruikt zal worden, zijnde een aparte versleutelde NFC chip met daarop twee vingerafdrukken. Enkel instanties die over de juiste certificaten beschikken kunnen ze uitlezen. Dat is alvast positief, omdat dit tot nu toe ongevoelig voor hacking is gebleken. Ook interessant is de opmerking dat 'de eID-producent' de vingerafdrukken slechts drie maanden mag bijhouden. Dit kan betekenen dat de vingerafdrukken enkel tijdens de creatie eenmalig en tijdelijk opgeslagen worden, of dat toestellen die ze uitlezen onder een andere regeling zullen vallen.

Het ontwerp-KB met de details wordt nog voor het einde van het jaar verwacht.

Five-seveN

Legacy Member
Epyon zei:
Vandaag is het wetsontwerp omtrent o.a. de vingerafdrukken op de ID kaart goedgekeurd. Alhoewel alle technische details helaas enkel in het komende KB uit de doeken worden gedaan, bevat het verslag van de plenaire vergadering wel wat interessante informatie.

Niets is toevallig. Net vandaag was er een communicatie vanuit de Raad van de EU over een akkoord: "Better security for ID-documents, Council agrees its position". Daarin staat klaar en duidelijk:
"Security standards for ID-cards will also need to include a photo and two fingerprints of the cardholder stored in a digital format on a contactless chip". Met andere woorden, niet op de chip, maar contactloos. Dat is net wat wij doen en België neemt hierin duidelijk het voortouw.


Zo zullen de vingerafdrukken worden bewaard op de kaart, niet op de chip en komt er geen algemene databank. De eID-producent mag de vingerafdrukken slechts drie maanden bijhouden. Het lezen ervan zal enkel mogelijk zijn voor diensten met de juiste machtiging.

Verder is nog sprake van 'een onzichtbare chip' en 'certificaten' om te kunnen uitlezen.

Het ziet er dus naar uit dat dezelfde technologie als in de internationale paspoorten gebruikt zal worden, zijnde een aparte versleutelde NFC chip met daarop twee vingerafdrukken. Enkel instanties die over de juiste certificaten beschikken kunnen ze uitlezen. Dat is alvast positief, omdat dit tot nu toe ongevoelig voor hacking is gebleken. Ook interessant is de opmerking dat 'de eID-producent' de vingerafdrukken slechts drie maanden mag bijhouden. Dit kan betekenen dat de vingerafdrukken enkel tijdens de creatie eenmalig en tijdelijk opgeslagen worden, of dat toestellen die ze uitlezen onder een andere regeling zullen vallen.

Het ontwerp-KB met de details wordt nog voor het einde van het jaar verwacht.
In theorie zeer goed nieuws. Al vraag ik me nog steeds af waarom men de vingerafdruk niet kan invoeren zoals men de pin invoert. We moeten onze pincode ook niet opsturen en 3 maanden in bewaren laten.

Graag had ik ook de vingerafdruk achter de pin vergrendeld gezien. Maar ja dan zullen de excuses ik ben mijn pin vergeten weer boven komen. Toch weegt dat niet op tegen het privacy issue van fysieke vingerafdrukken die god weet waar 3 maand gestockeerd zouden liggen.

Certificaten ongevoelig voor hacking? Nee dat klopt niet. Er zijn al verschillende bedrijven die certificaten uitdelen gehackt geweest waaronder ook de leverancier van de Nederlandse overheid en ziekenhuizen. Er zijn toen duizenden nep certificaten en duplicaten aangemaakt waaronder Google.com etc. Duurt jaren eer alles gepatched is en deze vendor in elk toestel op de zwarte lijst stond. Een andere manier is om het certificaat private key te stelen bij de overheid zelf. Als dit certificaat in duizenden politiescanners zit lijkt me dat ook niet ondenkbaar. Laat staan dat iemand de scanner zelf steelt.

Dus pin+certificaat was op dat vlak veiliger geweest.

Didymus

Legacy Member
Met pin + certificaat zou je natuurlijk geen vingerafdrukken kunnen uitlezen zonder medewerking van de kaarthouder. En laat dat laatste nu net het doel van de maatregel zijn...

Epyon

Legacy Member
Dieter85 zei:
ICertificaten ongevoelig voor hacking? Nee dat klopt niet. Er zijn al verschillende bedrijven die certificaten uitdelen gehackt geweest waaronder ook de leverancier van de Nederlandse overheid en ziekenhuizen.
Toch is PKI imo het meest veilige en nog steeds hanteerbare systeem wanneer versleutelde data door diverse partijen ontsleuteld moet kunnen worden, omdat de beheerder van de PKI certificaten kan intrekken.

Ik denk overigens niet dat je een CA voor websites kan vergelijken met de CA voor EID. Die eerste hebben een grotendeels geautomatiseerd proces waarvan de servers waarop dit draait gevoelig voor hacking zijn. De PKI zelf is niet gehacked geweest. Bij EID kan dit proces veel veiliger verlopen, gezien het verkrijgen van certificaten daar eerder uitzonderlijk zal gebeuren (er zullen er geen duizenden gemaakt worden) en men de tijd voor manuele verificatie en offline aanmaken en eventueel zelfs bezorging kan nemen.

Five-seveN

Legacy Member
Didymus zei:
Met pin + certificaat zou je natuurlijk geen vingerafdrukken kunnen uitlezen zonder medewerking van de kaarthouder. En laat dat laatste nu net het doel van de maatregel zijn...
Zever want je kan ook gewoon uw pas niet afgeven dan hebben ze uw vingerafdruk ook niet.

Didymus

Legacy Member
Dan kunnen ze je sowieso daarvoor administratief aanhouden. Je pincode niet meer weten kan en zal nooit een misdrijf zijn.

Epyon

Legacy Member
Dat is ook nog zo'n blinde vlek in het voorstel van wetgeving: wie zal de vingerafdrukken mogen lezen, en onder welke omstandigheden? Zal dit enkel op vrijwillige basis zijn, bijv. om je te authentificeren zoals bij je internationaal paspoort? Zal dat daarnaast enkel kunnen indien je van iets verdacht wordt?

Five-seveN

Legacy Member
Ik ken de oplossing

Het scantoestel bij politie moet zo werken:

Je steekt uw ID in de scanner.
Vervolgens leg je uw vinger op de scanner.
De scanner brandt groen als de vingerafdruk overeen komt. Geen pin nodig hiervoor. De scanner heeft geen andere intelligentie (buiten een overheidcertificaat dat elk jaar vernieuwd moet worden)..

De vingerafdruk wordt op de kaart gezet via een gecertificeerde fingerprint reader op het gemeentehuis zelf en waar wel de juiste pin voor nodig is. Een vingerafdruk ruw uitlezen via een gestolen ID, lek bij de kaartmaatachappij (3 maanden??) , gestolen certificaat of gestolen scanner kan dan niet. Centrale DB kan niet bestaan. Alle vliegen in 1 klap toch.

Epyon

Legacy Member
Ik neem idd aan dat het zo zal werken, en dat de kaartlezer niet meer informatie vrijgeeft dan 'match' of 'geen match', noch de vingerafdruk bijhoudt. In een ideale implementatie gebeurt de controle zelfs op de EID zelf, zodat de vingerafdruk nooit de kaart verlaat. Een beetje zoals in in een bankkaart de PIN ook nooit de chip verlaat, maar een berekende challenge/response uitwisseling met de terminal gebeurt om te verifieren of de ingetoetste PIN overeen komt met de opgeslagen PIN. De technologie hiervoor is beschikbaar.

Five-seveN

Legacy Member
Epyon zei:
Ik neem idd aan dat het zo zal werken, en dat de kaartlezer niet meer informatie vrijgeeft dan 'match' of 'geen match', noch de vingerafdruk bijhoudt. In een ideale implementatie gebeurt de controle zelfs op de EID zelf, zodat de vingerafdruk nooit de kaart verlaat. Een beetje zoals in in een bankkaart de PIN ook nooit de chip verlaat, maar een berekende challenge/response uitwisseling met de terminal gebeurt om te verifieren of de ingetoetste PIN overeen komt met de opgeslagen PIN. De technologie hiervoor is beschikbaar.
Inderdaad, dus als ze gaan beginnen met een pot zwarte inkt waar ik mijn vinger moet in duwen, dan weet ik hoe laat het is.
Voor mij is dat het bewijs van een verborgen agenda.

Je zou misschien nog kunnen zeggen dat de vingerafdruk "geprint" moet worden in de EID door de kaartdrukker (in de magnetische laag ofzo?) en niet in de chip zelf mag zitten, als extra veiligheid tegen hackers, daar ken ik niet veel van. Jij wel? Want dat las ik precies zo, dat het niet in de chip mag komen. Lijkt me vreemd als banken dat wel al meer dan 15 jaar zo kunnen, maar de overheid nog met inkt en persen gaat werken.

Epyon

Legacy Member
Ik dacht uit vorige berichtgeving begrepen te hebben dat het een puur elektronisch gebeuren zou zijn. Je legt je vingers op een elektronische scanner en die digitaliseert de afdruk, die daarna op de hiervoor bestemde chip wordt overgebracht. Waarom dat toestel überhaupt de vingerafdruk tot drie maand zou bijhouden is me niet duidelijk.

De vingerafdruk zou idd niet in de elektronische chip mogen komen, maar wel in een aparte NFC chip. Ik vermoed dat dit is om compatibiliteit met lezers voor paspoorten en andere buitenlandse EIDs te creëren, wat de kostprijs sterk kan drukken gezien dan van een off-the-shelf oplossing gebruik gemaakt kan worden.

Renegadexxripxx

Legacy Member
Werkwijze lijkt mij uitgevoerd te zijn zoals ze momenteel voorzien is voor de reispas.

Five-seveN

Legacy Member
Renegadexxripxx zei:
Werkwijze lijkt mij uitgevoerd te zijn zoals ze momenteel voorzien is voor de reispas.

En wie mag/kan die vingerafdrukken dan allemaal uitlezen?
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan