5.2.1 (Totstandkoming van de) Europese voorschriften
3 Elementen van de identiteit: identifiers
3.2 Aspecten en dimensies van identifiers
In deze paragraaf ga ik nader in op de aspecten van identifiers en de dimensies. Daarbij komen ook fouttypen aan de orde als onderdeel van het aspect zekerheid.
99Er bleken vanuit de literatuur nagenoeg geen eisen te kunnen worden
verbonden aan de vierde categorie zodat is uitgegaan van de driedeling.
100 De Vries e.a. spreken in dit verband over een bureaucratische identiteit:
"door overheids- en particuliere instellingen gehanteerde kenmerken van een
persoon, zoals adresgegevens uit de gemeentelijke basisadministratie, burgerservicenummer of creditcardgegevens" [De Vries e.a. 2007, p. 11.]
Mogelijk aspecten van identifiers
Identifiers kunnen naar een aantal aspecten worden onderscheiden waaruit duidelijk wordt hoe goed ze werken in bepaalde situaties met elk een sterk en een zwak voorbeeld [Harper 2006, p. 57-62]. Harper
onderscheidt drie aspecten zoals weergegeven in tabel 3.3.
aspect enkele voorbeelden
afzonderlijk of gecombineerd
sterk: zwak:
Fixity: onlosmakelijk verbonden met de persoon zoals moeilijk te
verwijderen, moeilijk over te dragen, moeilijk na te maken
biometrie zoals vingerafdrukken en DNA-profiel (H) kleding en administratieve gegevens101 (H) 102 Distinctiveness: uniek, exclusief,
onderscheidbaar (binnen een zekere populatie) DNA-profiel, vingerafdruk, irisscan, sterk wachtwoord (H) haarkleur, lichaams-gewicht (H), -lengte (W) Permanence: permanent, gelijkblijvend gedurende langere tijd.
DNA-profiel, geboortedatum, geboorteplaats (H)
handtekening, manier van lopen (H) Tab. 3.3 Mogelijke aspecten van identifiers
De Groep Gegevensbescherming [2003, p. 4] formuleert aspecten voor biometrische identifiers. Ook Asha & Chellappan [2012, p. 36] hanteren een classificatie voor biometrische aspecten. Voor de opsporingsdienst als betrokken organisatie van dit proefschrift, zijn karakteristieken bruikbaar die eenvoudig te meten zijn, onveranderlijk zijn, niet
eenvoudig zijn te veranderen en gemakkelijk meetbaar zijn [Nash 1978, p. 19]. Clarke [1994] benoemt als wenselijke eigenschappen van een menselijke identifier: universaliteit, uniciteit, duurzaamheid/
permanentie, aanwezigheid, afneembaarheid, op te slaan, exclusiviteit, nauwkeurigheid/onderscheidend, eenvoud in afname en verzending, betaalbaar, gemak, snelheid en acceptatie.
Als ik de onderscheiden indelingen van de bovengenoemde auteurs
101 Inzake administratieve gegevens wordt, met name als het een elektronische entiteit betreft, ook wel de term linkability gebruikt om aan te geven dat transacties aan een identiteit kunnen worden gerelateerd [Custers 2004, p. 170].
naast elkaar leg en daar het aspect zekerheid103 aan toevoeg Mosley & Brackett [2009, p. 296], kom ik uit op de voor de identiteitsvaststelling vereiste aspecten zoals weergegeven in tabel 3.4, zonder daarbij een rangorde of belang aan te geven. De aspecten zijn allen relatief van aard zoals hiervoor al bleek uit de termen 'zwak' en 'sterk'. In de benaming van het aspect kan men dan ook overal 'de mate waarin' lezen.104
aspect (mate van) omschrijving (het is...)
verbondenheid
(onlosmakelijkheid) <id5> moeilijk te verwijderen, over te dragen aan een ander persoon of na te maken
uniciteit <id6> (nagenoeg) uniek bij elke persoon (binnen een
zekere populatie en een zekere tijdspanne) permanentie <id7>
(onveranderlijkheid) stabiel in de loop der tijd dan wel voorspelbaar in veranderlijkheid externe toekenning <id8> toegekend door de samenleving/ouders/overheid
/natuur105
zuiverheid<id9>
(ongevoeligheid) alleen bruikbaar om de identiteit vast te stellen (niet bijvoorbeeld een gezichtsweergave waaraan een dokter wellicht een ziektebeeld kan
ontlenen106)
universaliteit<id10> verkrijgbaar van nagenoeg alle mensen (en daarbij
onderscheidend)
afneembaarheid<id11> kwantitatief meetbaar bij elke persoon
zekerheid<id12a> (foutloos)
de juiste persoon (zie uitwerking verderop in deze paragraaf in relatie tot false accept rate, false reject rate en failure to enroll)
Tab. 3.4 Vereiste aspecten van identifiers voor identiteitsvaststelling
Elk van de aspecten heeft volgens mij geen absolute of binaire waarde doch kan worden gezien als een relatieve grootheid; zo geven
103 Zie apart kopje verderop in de tekst.
104 De begrippen en omschrijvingen zijn door mij herschreven voor een meer
uniforme opzet van de aspecten.
105 Maar behoeft dan niet altijd permanent te zijn zoals een legitieme wijziging
van personalia.
106 "Een specifiek probleem kan zich voordoen omdat biometrische gegevens
vaak meer informatie bevatten dan wat voor identificatie of authenticatie/ verificatie nodig is. Dit komt waarschijnlijk vaker voor bij het originele beeld (ruwe gegevens) aangezien de template mag en, technisch gezien, alleen maar op een zodanige manier kan worden opgesteld dat verwerking van gegevens die niet noodzakelijk zijn, uitgesloten is" [Groep
bijvoorbeeld permanentie versus veranderlijkheid de beide uiterste waarden aan van hetzelfde aspect. Ter illustratie schets ik in bijlage 3 hoe de aspecten zich volgens mij kunnen verhouden tot de soorten van identifiers.
De aspecten (a) uniciteit, (b) externe toekenning en (c) zekerheid hebben enige toelichting nodig die ik hierna zal geven.
a. Uniciteit
Het al dan niet uniek zijn van een enkele identifier is op zich niet van doorslaggevende betekenis voor het doel van het proefschrift. In de definitie van identifier gebruik ik bewust de term 'voldoende' omdat een identiteit gezien dient te worden in een zekere context in de vorm van een populatie en/of een tijdspanne. Het aspect uniciteit van een
identifier zie ik daarmee als een variabele grootheid en niet als absolute waarde.
Saks & Koehler [2008] spreken over de illusie van individualisatie met als voorbeelden DNA-profielen en vingerafdrukken107. Rechters,
advocaten en experts gaan volgens hen bij DNA-bewijs uit van de illusie dat als een combinatie van genetische markers eens op de 5 miljard keer voorkomt, de combinatie daarmee uniek is [Saks & Koehler 2008, p. 203]. Saks en Koehler stellen dat de gedachte van individualisatie alleen in een metafysische of retorische betekenis bestaat, niet wetenschappelijk is gevalideerd en grotendeels berust op het
gelijkstellen van zeldzaamheid met uniciteit. Zij spreken daarom liever over "discernible uniqueness' [Saks & Koehler 2008, p. 205-206]. Saks & Koehler noemen Quételet als eerste wetenschapper die het begrip uniciteit gebruikte met als hypothese dat de natuur zich nooit herhaald. Quételet beargumenteerde dit volgens Saks & Koehler op een wijze die nauw aansluit bij de zienswijze van een identiteit in dit
proefschrift in de vorm van een entiteit met attributen. Als een object veel attributen heeft, die elk veel waarden kunnen aannemen en elk attribuut niet samenhangt met de een ander, dan is de kans zeer klein dat de reeks van waarden van de attributen zich herhaalt [Saks & Koehler 2008, p. 207]. Saks & Koehler geven aan dat degenen die geloofden in de uniciteit van vingerafdrukken, handschrift, et cetera uitsluitend uitgingen van de hypothese van Quételet en de onafhanke-lijkheid van de attributen verder niet onderzochten. Saks & Koehler [2008, p. 209-214] stellen dat de hypothese niet wetenschappelijk bewezen is en betwijfelen of het mogelijk is om de hypothese te
107 In §3.3.2 ga ik verder in op de vermeende uniciteit van vingerafdrukken. Het
axioma van het uniek zijn van vingerafdrukken kan ook opgaan voor andere vormen van biometrie doch omdat vingerafdrukken worden beschouwd als de 'oudste' vorm van biometrie, komt de discussie daarover vaak naar voren.
bewijzen. (Forensische) identificatiewetenschappers zouden volgens Saks & Koehler [2008, p. 219] geen overdreven, absolute conclusies moeten trekken doch wetenschappelijk beredeneerbare en
probabilistische conclusies. b. Externe toekenning
Identifiers kunnen zijn toegekend door de samenleving, de ouders of de overheid et cetera dan wel door de natuur; deze duid ik aan als externe toekenning. Bij de samenleving, ouders en overheid valt te denken aan de personalia als identifier. De natuur geeft een persoon biometrische kenmerken. Ook kan iemand zich zelf een identifier toekennen, denk aan een alias of een tatoeage; deze duid ik aan als interne toekenning. Als kenmerken extern worden toegekend, zullen volgens mij deze van meer betekenis zijn voor de identiteitsvaststelling omdat de persoon zelf dit nagenoeg niet kan beïnvloeden; de kenmerken kunnen dan ook minder gemakkelijk door een andere persoon worden verkregen en misbruikt.
c. Zekerheid
Een belangrijk aspect van de identiteitsvaststelling is de zekerheid (ook wel aangeduid als accuratesse) over het proces en het product. Bij de verificatie probeert men per type identifier zoveel mogelijke zekerheid te verkrijgen (een absolute score van overeenkomst boven de minimum-waarde dan wel een procentuele score als er sprake is van een glijdende schaal van waarden). Het identificatie- en verificatieproces kan daarmee volgens mij leiden tot de situaties of foutmarges in tabel 3.5 <id12b>:
Opname Goed Fout
Kenmerk bestaat (niet)
Kenmerk is aanwezig en kan worden verkregen
Kenmerk is afwezig en kan niet worden verkregen (FTA) Kenmerk kan (niet)
worden opgenomen
Kenmerk kan worden opgenomen (en vastgelegd)
Kenmerk kan niet worden opgenomen (FTE)
Geaccepteerd (match) Terecht geaccepteerd Ten onrechte geaccepteerd
(FAR) Verworpen
(non-match) Terecht verworpen Ten onrechte verworpen (FRR)
Tab. 3.5 Foutsituaties
c.1. Failure to acquire en failure to enroll
Een kenmerk komt niet altijd voor bij elke persoon (failure to acquire: FTA). Ook kan een kenmerk niet altijd bij elke persoon worden genomen (failure to enroll: FTE). Een biometrisch kenmerk kan permanent
ontbreken zoals bij vingerafdrukken: geen handen/vingers, geamputeerde vingers, verminkte vingers of geen zichtbare
papillairlijnen [Willemsen 2008, p. 25]. Het biometrisch kenmerk kan ook tijdelijk niet beschikbaar zijn zoals vingers in een verband, vuile vingers, afgesleten vingers door manipulatie (denk aan asielzoekers), werk (denk aan bouwvakkers) of ziekte. Het biometrisch kenmerk is in al deze gevallen permanent of tijdelijk afwezig. De ‘failure to acquire’ speelt met name een rol bij het kiezen van een op te nemen biometrisch kenmerk. Dit betreft het hiervoor benoemde aspect van universaliteit. Het biometrisch kenmerk kan weliswaar aanwezig zijn doch niet of lastig op te nemen zoals vingerafdrukken bij kinderen en ouderen waar de papillairlijnen nog niet of niet meer in voldoende mate aanwezig zijn, vingers te vochtig of te droog zijn, er wordt te veel of te weinig druk op de sensor uitgeoefend of de persoon werkt niet mee. Het biometrisch kenmerk is wel aanwezig doch beneden de ingestelde kwaliteit (van onder andere het beeld en de sensor) om te worden genomen en (digitaal) vast te leggen. Dit betreft het eerder benoemde aspect van afneembaarheid.
Vingerafdrukken zijn niet altijd ideaal door de conditie van de huid, onjuiste opname, vuile sensoroppervlakten en onjuist contact van de vinger met de sensor. De afbeelding die wordt genomen, kan daarmee van slechte kwaliteit zijn (de FTE wordt hoger) en het extraheren van ‘features’ wordt lastiger (de FAR en de FRR worden hoger). Tabassi, Wilson & Watson [2004, p. 12] onderscheiden de kwaliteit van het vergelijken van vingerafdrukken naar drie aspecten: de kwaliteit van het genomen beeld, de kwaliteit van de extractie van kenmerken en de kwaliteit van het matchen van deze kenmerken met kenmerken die eerder zijn vastgelegd in het Automated Fingerprint Information System (AFIS). Een vingerafdrukbeeld van een goede kwaliteit heeft
onderscheidbare patronen en kenmerken waardoor de kenmerken geëxtraheerd kunnen worden en vingerafdrukken gematcht kunnen worden.
Betekenis voor de identiteitsvaststelling
Failure to acquire; het is een probleem als er permanent geen of
onvoldoende vingers beschikbaar zijn om een vingerafdruk op te nemen. De opsporingsdienst zal dan een andere vorm van biometrie moeten kiezen. Als een vingerafdruk tijdelijk niet beschikbaar is, kan de
opsporingsfunctionaris wachten tot papillairlijnen weer zichtbaar zijn, de vingers droogmaken, et cetera.
Failure to enroll; dit hoeft volgens mij bij vingerafdrukken voor de doelgroep van verdachten en illegale vreemdelingen geen probleem te zijn omdat kinderen van beneden de leeftijd van twaalf evenals vele ouderen buiten de doelgroep vallen. De opsporingsfunctionaris kan de vingers droog/nat maken, de vingers goed op de sensor drukken, et cetera om het probleem te verhelpen.
vingerafdrukken worden vastgelegd in een register. Ik onderscheid hier geen kengetallen voor ten aanzien van het product in het toetsings-kader. Wel leidt het tot te stellen eisen aan het proces <bi0>. c.2. False accept(ance) rate en false reject(ion) rate
Als het kenmerk goed is genomen, is er vervolgens de onnauwkeurig-heid bij de vergelijking met het kenmerk in het register. De kans op het ten onrechte accepteren (false accept(ance) rate: FAR oftewel false match rate: FMR108) betekent dat bijvoorbeeld een genomen
vingerafdruk ten onrechte in het register wordt herkend en aan de verkeerde persoon wordt gerelateerd. De tegenhanger is de kans op het ten onrechte verwerpen (false reject(ion) rate: FRR of false non match rate: FNMR) oftewel de kans dat bijvoorbeeld een correcte vingerafdruk niet wordt herkend. Voor beide kansen moet een goed optimum voor het beoogde doel worden gekozen, waarop de apparatuur moet worden ingesteld [Willemsen 2008, p. 25]. Men spreekt ook wel van de equal error rate (EER) als de FAR en de FRR aan elkaar gelijk zijn. Zowel de FAR en de FRR als de grootte van de populatie en de mogelijkheid tot 'liveness' detectie moeten volgens de Groep Gegevensbescherming [2012a, p. 6] worden beschouwd om te komen tot een acceptabele nauwkeurigheid van een biometrisch systeem. De consequenties van de onderscheiden typen fouten als FAR en FRR kunnen ernstig zijn:
"(…)met name de onterechte weigering van geautoriseerde personen en
de onterechte aanvaarding van niet geautoriseerde personen kunnen (…) heel wat ernstige problemen opleveren" [Groep
Gegevensbescherming 2003, p. 10].
De false match rate (FMR) en de false nonmatch rate (FNMR) zijn
afhankelijk van de ingestelde drempelwaarde; een lage drempel leidt tot een lage FMR ten koste van een hoge FNMR. Een Automated Fingerprint Information System (AFIS) kan niet beide typen fouten tegelijkertijd reduceren. De performance van een AFIS wordt gemeten in de false positive identification rate (FPIR) en de false negative identification rate (FNIR). Er is sprake van een false positive identification als het AFIS een vingerafdruk herkent, die niet is vastgelegd in het AFIS. FPIR en FNIR zijn aan elkaar gerelateerd en afhankelijk van het aantal personen van wie de vingerafdrukken zijn vastgelegd in het AFIS. Als het aantal geregistreerde personen toeneemt, dient de FMR extreem laag te zijn, om het AFIS effectief te laten zijn. Als bijvoorbeeld een FPIR nodig is van 1 percent met 100 miljoen geregistreerde personen dan dient de FMR in grootte te liggen van 1 op 10 miljard. Aan zo’n stringente eis voor de FMR kan doorgaans alleen worden voldaan als alle tien
108 False match is een algemenere term waarbij een live genomen kenmerk
wordt vergeleken met een biometrisch template [Asha & Chellappan 2012, p. 37].
vingerafdrukken van een persoon worden gebruikt voor de identiteits-vaststelling [Jain, Feng & Nandakumar 2010, p. 40]. De vereiste FMR en FNMR zijn afhankelijk van de applicatie. Zo opereert het vingerafdruk-toegangssysteem van Disney World met een lage FNMR om betalende bezoekers niet af te schrikken met als consequentie een hogere FMR. Daarentegen vereist een betaalautomaat gebaseerd op verificatie met vingerafdrukken, een lage FMR met als consequentie een hogere FNMR [Jain, Feng & Nandakumar 2010, p. 41].
Jain, Ross & Nandakumar kijken naar de oorsprong van de soorten fouten en onderscheiden twee soorten variaties waardoor een biometrisch kenmerk niet altijd uniek is. Variaties kunnen zijn de
intrapersoonsvariatie en de interpersoonsvariatie oftewel de variatie van een persoon en de variatie tussen personen. De variaties van een
biometrisch kenmerk van eenzelfde persoon komen doordat een
biometrisch kenmerk niet tijdens het gehele leven permanent behoeft te zijn. Ook is de digitale opname van een biometrisch kenmerk een
afgeleid gegeven, afhankelijk van omgevingsfactoren zoals de gebruikte sensor en vertoont de opname meer variatie dan het kenmerk zelf. De variatie van een biometrisch kenmerk tussen personen hangt samen met de genetische overeenkomst van verwante personen [Jain, Ross & Nandakumar 2011, p. 13]. De beide soorten variaties veroorzaken twee type fouten bij een biometrisch systeem en wel false non match en false match. Een hoge intrapersoonsvaratie leidt tot een grote false non match rate en een hoge interpersoonsvariatie leidt tot een grote false match rate. De FNMR en de FMR geven de accuratesse van een
biometrisch system weer. Een false non match rate van 5% betekent dat in 5 van de 100 gevallen authenticatie van de (juiste) persoon niet slaagt. Veelal is dat een gevolg van een onjuiste interactie van de
persoon met de sensor en kan de fout worden hersteld door het opnieuw aanbieden van het biometrisch kenmerk. Een false match rate van 0,02% geeft aan dat in 1 op de 5.000 pogingen een bedrieger succesvol is [Jain, Ross & Nandakumar 2011, p. 17]
De FNMR en de FMR zijn niet geheel identiek aan de FRR en de FAR omdat de eerste groep werkt met het percentage pogingen tot matching van een biometrisch system en de tweede groep met het percentage transacties van een biometrisch systeem. De auteurs gaan ervan uit dat de begrippen door elkaar kunnen worden gebruikt hetgeen ik verder ook zal doen [Jain, Ross & Nandakumar 2011, p. 18]. De FAR en FRR hebben niet dezelfde distributie over alle personen heen. Jain, Ross &
Nandakumar onderscheiden hiertoe vier typen personen: sheep (sterk onderscheiden biometrische kenmerken met lage foutkansen), goats (grote intrapersoonsvariatie en vatbaar voor false reject), lambs (hoge interpersoonsvariatie en hoge false accept) en wolves (succesvol bewust kunnen manipuleren van biometrische kenmerken in het bijzonder
gedragskenmerken zoals bijvoorbeeld een handtekening [Jain, Ross & Nandakumar 2011, p. 22].
Specifiek voor identificatie spreken Jain, Ross & Nandakumar over de false positive identification rate (FPIR) als het percentage van de personen waarvan geen gegevens zijn vastgelegd in het systeem en waarbij toch een identiteit wordt bevestigd. Als een database
bijvoorbeeld uit 10.000 personen bestaat en de FPIR is 1% dan levert dat bij een watchlist van bijvoorbeeld luchtvaartpassagiers voor 100 personen ten onrechte een treffer op [Jain, Ross & Nandakumar 2011, p. 25].
Jain, Ross & Nandakumar [2011] belichten ook classificaties van een biometrisch systeem die ik elders in de literatuur niet ben tegen-gekomen en die in het bijzonder van belang kunnen zijn voor de personen die geïdentificeerd worden door de opsporingsdienst. Deze classificaties worden doorgaans niet expliciet benoemd doch hebben belangrijke gevolgen voor het ontwerper van het biometrische systeem. Ik benoem de classificaties in de 1e en 2e kolom van tabel 3.6 en geef in de 3e kolom zelf de betekenis aan voor de identiteitsvaststelling van verdachten en van illegale vreemdelingen.
Classificaties van biometrische toepassing Betekenis voor de identiteitsvaststelling
Coöperatief; de persoon werkt mee want hij heeft belang bij een
vergelijking, bijvoorbeeld een betaalautomaat met biometrische vergelijking.
Niet-coöperatief; de persoon werkt tegen zoals een terrorist op een luchthaven. Hij zal bijvoorbeeld eerder een vinger verkeerd op de glasplaat leggen.
Veelal niet-coöperatief; de verdachte en de illegale vreemdeling hebben veelal geen belang om hun ware identiteit prijs te geven. Bewust; bijvoorbeeld
vingerafdrukherkenning dat niet ongemerkt kan gebeuren. Men moet het biometrisch kenmerk bewust aanbieden.
Onbewust; bijvoorbeeld
gezichtsvergelijking. Bewust; de verdachte en de illegale vreemdeling weten dat hun
biometrische kenmerken worden opgenomen. Gewend; de gebruiker
heeft ervaring en weet hoe hij het kenmerk moet presenteren.
Ongewend; de persoon is niet op de hoogte van de manier van opname of doet het niet frequent.
Verschillend voor een first offender of een
veelpleger. Onder toezicht;
begeleiding, hulp van een functionaris.
Zonder toezicht; bijvoorbeeld bij een betaalautomaat met biometrische
vergelijking
Onder toezicht van een opsporingsfunctionaris.
Beheerst;
Classificaties van biometrische toepassing Betekenis voor de identiteitsvaststelling
belichting en temperatuur zijn in te stellen, veelal bij opname in een gebouw.
eisen voor de inrichting van de ruimte. Als de opname mobiel gebeurt dan is het onbeheerst maar dat zal alleen spelen bij verificatie en niet bij identificatie. Open; de biometrische
template kan over meerdere systemen heen gebruikt worden,
bijvoorbeeld met open standaarden en dezelfde compressiemethoden.
Gesloten; afzonderlijke biometrische templates per toepassing.
Gesloten met een beweging naar open naarmate
vingerafdrukken, foto’s en DNA-profielen worden uitgewisseld binnen landen en tussen landen. Tab. 3.6 Classificaties van een biometrisch systeem; eerste twee kolommen vrij naar [Jain, Ross & Nandakumar 2011, p. 28-29].
Een biometrisch systeem voor de identiteitsvaststelling kan daarmee