Digitale gezichtsopname moet identiteitsfraude tegengaan
Toen in de zomer van 2022 bleek dat corrupte ambtenaren betaald kregen door criminelen om valse identiteitsbewijzen uit te geven, kondigde (inmiddels demissionair) staatssecretaris digitalisering Alexandra van Huffelen een uitgebreid pakket aan maatregelen tegen deze vorm van identiteitsfraude aan. Hoe staat het daar nu mee?
Valse identiteitsbewijzen
Het was groot nieuws in de zomer van 2022: een aantal ambtenaren bleek erin geslaagd om valse identiteitsbewijzen voor criminelen te maken in ruil voor geld. Daarmee konden de criminelen onopgemerkt reizen en criminele activiteiten ontplooien in het buitenland. Het ging om een beperkt aantal ambtenaren, het vond plaats in meerdere gemeenten en Van Huffelen liet het er niet bij zitten.
Verouderde ict-architectuur
In een voortgangsbrief laat ze weten hoe het gaat met het pakket maatregelen dat indertijd werd aangekondigd om deze vorm van identiteitsfraude tegen te gaan. In samenwerking met gemeenten werkt Van Huffelen aan ‘een strategische meerjarenvisie op het reisdocumentenstelsel’. Dat stelsel is voor flinke verbetering vatbaar: de ict-architectuur voor het reisdocumentenstelsel is verouderd en tussen de instanties die zich met identiteitsbewijzen bezighouden, bestaan verschillen in regelgeving, eisen aan personeel en inrichting van procedures.
Maatregelen
De maatregelen richten zich op:
- verbetering van de onderliggende technologie
- standaardisering van processen en procedures
- gecontroleerde gegevens
- betrouwbaar personeel
- versterking van het toezicht
Betere bescherming tegen fraude
Voor de aanvraag en uitgifte van paspoorten en identiteitskaarten wordt informatie opgehaald uit verschillende centrale en decentrale systemen, die niet altijd bijgewerkt zijn, schrijft Van Huffelen. Dat kost tijd en is fout- en fraudegevoelig. Digitalisering, centralisering en standaardisering van alle processen, procedures en systemen moet stapsgewijs gaan zorgen voor een sneller proces achter de balie, met minder ruimte voor fouten en betere bescherming tegen fraude. Maar door een gebrek aan capaciteit bij de ICT-leverancier komt het traject niet snel genoeg van de grond. Daarom wil de Rijksdienst voor Identiteitsgegevens (RvIG) minder afhankelijk zijn van deze leverancier. Als het in juli lukt om alle neuzen dezelfde kant op te krijgen, zal er een transitieproject worden opgestart.
StopID
Met StopID gaat het volgens de demissionair staatssecretaris goed. Dit is een online service om zelf de geldigheid van een paspoort of identiteitskaart te stoppen op het moment dat deze gestolen of kwijt is. Daarvoor is inloggen met DigiD vereist. De eerste pilots met StopID dateren uit 2016. De ontwikkeling ervan is inmiddels ‘vergevorderd’, schrijft Van Huffelen. Echter, ‘het starten van een proef is afhankelijk van de capaciteit bij de ict-leverancier.’
Digitale gezichtsopname
Topprioriteit heeft de invoering van live enrolment; het vervangen van de papieren pasfoto door een digitale gezichtsopname. Gemeenten maken daarbij zelf de digitale pasfoto’s. Er is onderzoek gedaan bij verschillende gemeenten naar de inrichting van een opstelling voor de opname. Deze zomer worden er knopen doorgehakt over techniek, inkoop, financiering, beheer en implementatie. Er wordt een businesscase uitgewerkt om over deze vraagstukken te kunnen beslissen, schrijft Van Huffelen.
Wetgeving aanpassen
In België vindt live enrolment in gemeenten al plaats, tot chagrijn van beroepsfotografen, weet Security.nl. Volgens de Europese regels moet het ministerie van Buitenlandse Zaken in 2026 live enrolment binnen het visumproces hebben gerealiseerd. Eerst moeten de Paspoortwet en de Wegenverkeerswet 1994 voor rijbewijzen worden aangepast.
Functiescheiding
Om te zorgen dat het personeel betrouwbaar en weerbaar is, wordt een Verklaring Omtrent Gedrag (VOG) voor ambtenaren in het aanvraag- en uitgifteproces verplicht, met een tweejaarlijkse herhaling. Ook moet het proces door minimaal drie ambtenaren worden uitgevoerd, die allemaal hun eigen eenduidige taken hebben. Die functiescheiding biedt bescherming tegen invloeden van buitenaf. De VNG onderzoekt wat dat in de praktijk betekent voor gemeenten. Zolang de Paspoortwet nog niet is aangepast, wil Van Huffelen dat gemeenten wel al naar deze voornemens handelen.
Toezicht
Tot slot de maatregelen om het toezicht op het hele proces te verbeteren. Op korte termijn moeten zelfevaluaties en beveiligingsfunctionarissen daarvoor zorgen. ‘Voor de lange termijn onderzoeken wij hoe toezicht passend bij de verantwoordelijkheid vorm gegeven zou moeten worden,’ aldus Van Huffelen. Ze realiseert zich dat er in de toekomst extra geld nodig is om mensen aan te nemen en ondersteunende middelen te gebruiken. Daar komt ze in de volgende brief op terug.
Biometrie GOED doen is een VAK. Laten we dus wel fris nadenken bij dit vraagstuk.
Een chauffeur bijvoorbeeld, mag niet zomaar het terrein van een chemiefabriek op, maar je mag ook niet zomaar foto’s van hem maken. Er zijn een paar oplossingen voor dit dilemma al grootschalig operationeel gemaakt door 100% Nederlandse bedrijven. Denk aan https://www.20face.com/, of aan de al door duizenden beroepschauffeurs gebruikte XS-ID biometrie kaart van https://www.secure-logistics.nl/nl/ die ook al is opgenomen in het http://www.ishare.eu Trust & Governance Framework.
Een XS-ID kaart bevat een beetje wiskunde van de foto, die op locatie fysiek en live wordt vergeleken met een live camerabeeld als een chauffeur ergens binnen wil. Hij heeft dus ZELF zijn biometrische gegevens bij zich op een kaart, maar met alleen die kaart kun je niets. Alleen in combinatie met de levende persoon kun je er wat mee. Er staat nergens data centraal.
Of lift mee op het netwerk van een specialistisch bedrijf, zoals http://www.sedicii.com dat al door diverse landen, zoals Portugal, Estland en Ierland wordt gebruikt voor vergelijkbare cases. Laten we nu niet weer de fout maken om in te zetten op weer een infrastructuur of een appje of een nieuw systeem van weer een Usual Suspect. Dit gaat om credential verificatie. Daar horen technieken bij, zoals Self-Sovereign Identity (SSI) en Distributed Identities. SSI is een concept waarbij individuen en organisaties volledige controle hebben over hun eigen identiteitsinformatie. Dit betekent dat identiteitsgegevens niet langer gecentraliseerd worden opgeslagen bij een enkele entiteit, maar gedistribueerd en gecontroleerd worden door de gebruiker zelf. Decentralized Identifiers (DiD) (je vindt er veel meer over op https://identity.foundation/ is een standaard, ontwikkeld door het W3C die gedecentraliseerde, wereldwijd unieke identifiers definieert. Deze identifiers zijn ontworpen om verificatie van identiteitsinformatie mogelijk te maken zonder afhankelijk te zijn van een centrale autoriteit. Combineer die technieken en je krijgt superbetrouwbare diensten. Zo zou je bijvoorbeeld onder http://www.ishare.eu een combinatie kunnen maken van gezichtsherkenners met het Nederlandse bedrijf Spherion. Spherion biedt een gedecentraliseerd identiteitsbeheerplatform dat gebruik maakt van DiD en SSI om identiteitsverificatie te verbeteren. Zo kun je het gebruik van verifiable credentials zo ondersteunen dat gebruikers cryptografisch veilige identiteitsbewijzen kunnen delen. Al die credentials kun je dan weer verwerken in cloud-gebaseerde oplossingen onder Identity Planes, waardoor realtime toegang en updates mogelijk worden, van – uiteindelijk data – die je middels een gestandaardiseerde interface weer aan kunt bieden voor identiteitsverificatie. Allemaal technologie die al gebruikt wordt voor VOG uitgave, voor gezichtsherkenning, voor de implementatie van digitale wallets die identiteitsbewijzen opslaan en verifiëren met behulp van DiD en SSI standards, zodat je ze weer kunt gebruiken in processen met smart contracts op een blockchain om de naleving van identiteitsverificatieprocessen te waarborgen. Een land waarin mensen en middelen onder de maatschappelijke realiteit van dataficering en virtualisatie niet meer van ‘echt’ te onderscheiden zijn, heeft keiharde behoefte aan zoveel mogelijk in elkaar grijpende Trust Ankers. Wat je wilt kunnen is het creëren van digitale identiteiten die moeilijker te vervalsen zijn dan fysieke documenten. maar wel zo dat Data Soevereiniteit verzekerd is: de gebruiker, de burger, moet volledige controle hebben over zijn of haar identiteitsinformatie en kunnen delen op een veilige en gecontroleerde wijze. In een rechtsstaat. Het is niet voor niets dat een bedrijf als http://www.sedicii.com een dienst heeft die een nieuw paspoort helpt bestellen als de verdenking gerechtvaardigd is dat het gepresenteerde paspoort niet bij de betreffende persoon hoort. Service voor aardige mensen in een aardige samenleving, vereist dat iedereen zich netjes aan wet- en regelgeving houdt.
Dit vraagstuk gaat beyond gezichtsherkenning. Door moderne technieken en werkwijzen zoals SSI, DiD, blockchain-technologie, en geavanceerde AI-gestuurde processen te implementeren, kan de Nederlandse overheid een robuust en fraude-resistent identiteitsbeheer ontwikkelen. Dit zal niet alleen de integriteit van identiteitsbewijzen waarborgen, maar ook de efficiëntie en betrouwbaarheid van het gehele proces verbeteren.