Het Spaanse identiteitsbedrijf Veridas organiseert voor de tweede keer de Identity & Business Day in Den Haag. De bijeenkomst brengt banken, verzekeraars, telecomspelers en overheden samen om veilige digitale identiteit te bespreken. Centraal staan kunstmatige intelligentie, biometrie en Europese regels zoals de AI-verordening en eIDAS 2.0. Doel is om fraude te beperken en digitale processen sneller en gebruiksvriendelijker te maken.
Focus op veilige verificatie
Veridas ontwikkelt systemen voor gezichts- en stemherkenning en voor het controleren van identiteitsdocumenten. Biometrie is het meten van unieke kenmerken, zoals een gezicht of stem, om iemands identiteit te bevestigen. De technologie gebruikt algoritmen die een selfie of spraakopname vergelijken met een referentie, bijvoorbeeld een paspoortscan of een eerder klantprofiel. Om misbruik te voorkomen wordt vaak een ‘liveness’-controle gedaan, die nagaat of er echt een persoon voor de camera of microfoon staat.
De belofte is duidelijk: sneller inloggen en aanmelden, minder handmatige controles en lagere fraude. Tegelijk zijn er risico’s, zoals foutmarges en verschillen in prestaties per huidtint, leeftijd of accent. Daarom vragen grote afnemers om meetbare foutpercentages, transparante testresultaten en onafhankelijke evaluaties. Tijdens het evenement delen organisaties praktijkvoorbeelden en eisenpakketten die zij aan leveranciers stellen.
Voor Nederlandse instellingen is de impact direct. Banken en financiële dienstverleners moeten voldoen aan de Wwft en willen tegelijk hun uitval bij online onboarding verlagen. Telecom en overheid zoeken veilige manieren om gebruikers op afstand te herkennen, zonder drempels voor burgers. Het gesprek in Den Haag draait daarom om balans: veiligheid, privacy en gemak.
AI-verordening verhoogt eisen
De Europese AI-verordening plaatst veel biometrische verificatiesystemen in de categorie hoog risico. Dat betekent extra plichten voor leveranciers: risicobeheer, datakwaliteit, logging, menselijk toezicht en een conformiteitsbeoordeling met CE-markering. Op het moment van schrijven wordt de verordening gefaseerd van kracht, met deadlines die per verplichting verschillen. Organisaties moeten hun modellen en processen tijdig laten toetsen en documenteren.
Voor Nederland raken deze regels aan bestaand toezicht door de Autoriteit Persoonsgegevens (AVG) en sectortoezichthouders zoals De Nederlandsche Bank. Afnemers zullen technische dossiers en modelkaarten willen zien, met uitleg over trainingsdata, prestaties en beperkingen. Ook wordt verwacht dat leveranciers duidelijke gebruikersinformatie bieden, in begrijpelijke taal. Dit alles maakt inkoop en due diligence zwaarder, maar vergroot het vertrouwen.
Belangrijk is het onderscheid tussen identificatie en verificatie. Real-time biometrische identificatie in de openbare ruimte is in principe verboden, met beperkte uitzonderingen in de wet. Eén-op-één verificatie, bijvoorbeeld een selfie vergeleken met een pasfoto, blijft toegestaan maar valt vaak onder de hoge-risicoregels. Dit verschil bepaalt welke technische en organisatorische maatregelen nodig zijn.
“Onder de Europese AI-verordening vallen veel biometrische verificatiesystemen in de hoge-risicoklasse; leveranciers moeten aantoonbaar aan strengere eisen voldoen voordat zij de markt op mogen.”
eIDAS 2.0 stuurt identiteiten
Naast de AI-regels verandert ook het identiteitslandschap door eIDAS 2.0 en de Europese Digitale Identiteitswallet (EUDI Wallet). Deze wallet moet burgers laten inloggen en gegevens delen met betrouwbare middelen, binnen Europa. Integratie met sterke authenticatie en verifieerbare verklaringen staat centraal. Voor aanbieders van identiteitsdiensten betekent dit aansluiten op open standaarden en interoperabiliteit.
De Nederlandse overheid werkt al jaren met DigiD en eHerkenning, en verkent pilots met de Europese wallet. Voor banken en bedrijven opent dit de deur naar herbruikbare, door de gebruiker beheerste identiteitsbewijzen. Dat kan onboarding versnellen en het aantal valkuilen in het klantproces verlagen. Tegelijk vraagt het goede inrichting van toestemming en dataminimalisatie.
Leveranciers zoals Veridas zullen hun algoritmen moeten laten samenwerken met deze nieuwe infrastructuur. Denk aan het verifiëren van een gezicht als tweede factor in een wallet-flow. Ook het veilig uitlezen van de NFC-chip in identiteitsdocumenten kan een rol spelen. Zo ontstaat een keten waarin document, wallet en biometrie elkaar versterken.
Banken willen minder fraude
Financiële instellingen staan onder druk door strengere KYC- en AML-regels en door slimmere fraude. Identiteitsfraude, rekeningovernames en misbruik van gelekte gegevens nemen toe. AI-ondersteunde verificatie kan risicosignalen sneller vinden en werk uit handen nemen. Maar elke extra stap in het proces kan klanten laten afhaken.
De praktijk zoekt daarom naar een mix van controles die ongemak beperkt. Liveness-checks, documentcontrole met computer vision en soms een korte stemverificatie vormen samen een flexibele workflow. Risicogebaseerde routes laten lage-risicoklanten sneller door, en vragen meer bewijs waar dat nodig is. Zo blijven kosten beheersbaar en wordt fraude geremd.
Privacy blijft een randvoorwaarde onder de AVG. Biometrische data geldt als bijzonder gevoelig en vereist een duidelijke grondslag, strikte bewaartermijnen en sterke versleuteling. Organisaties moeten een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren en een alternatief kanaal bieden voor wie geen biometrie wil. Dat is niet alleen juridisch nodig, maar ook goed voor vertrouwen.
Deepfakes vragen liveness
Deepfakes en stemklonen maken misleiding eenvoudiger. Aanvallers gebruiken synthetische video’s of audio om beveiliging te omzeilen. Liveness-detectie probeert dat te voorkomen door te controleren of de input van een echt, aanwezig persoon komt. Dit kan via subtiele signaaltjes uit camera en microfoon of door slimme checks in het algoritme.
Detectie werkt beter in combinatie met andere factoren. Het uitlezen van de NFC-chip van een paspoort geeft een sterke extra bron. Ook helpt het om device-informatie en gedragssignalen mee te wegen, mits dataminimalisatie wordt toegepast. Zo ontstaat een gelaagde verdediging tegen steeds betere namaak.
Standaarden en tests helpen kwaliteit te meten. Europees gelden ETSI- en ISO-richtlijnen voor presentatie-aanvallen en liveness. Onafhankelijke labs toetsen of systemen maskers, schermopnames of afgespeelde stemmen doorhebben. Afnemers doen er goed aan om zulke testrapporten expliciet op te vragen in aanbestedingen.
Transparantie en toezicht cruciaal
Heldere uitleg aan gebruikers is noodzakelijk, zeker bij biometrie. Mensen moeten weten wat er gebeurt, waarom het nodig is en hoe lang gegevens blijven bewaard. Op het moment van schrijven vragen toezichthouders om begrijpelijke privacy-informatie en gemakkelijke bezwaarmogelijkheden. Dat helpt klachten te voorkomen en versterkt de legitimiteit.
Ook technische transparantie telt. Organisaties moeten loggen welke beslissingen een systeem neemt en wanneer een mens overneemt. Dat is nodig voor audits en om fouten te herstellen. Het maakt het bovendien eenvoudiger om voor de AI-verordening de juiste documentatie te leveren.
Tot slot telt inrichting van governance. Benoem eigenaarschap, toets regelmatig op bias en houd foutpercentages bij per doelgroep. Neem in contracten met leveranciers eisen op voor prestaties, support en updates. Zo blijft digitale identiteit veilig en bruikbaar, ook als regels en dreigingen veranderen.
