Biometrische verificatie controleert iemands identiteit aan de hand van unieke lichaamskenmerken, zoals een gezicht of een vingerafdruk. In plaats van iets dat je weet (een wachtwoord) of iets dat je hebt (een pasje), gebruikt het iets dat je bent. Voor organisaties die zeker willen weten wie er tegenover ze staat, is dat een betrouwbaardere manier om identiteit vast te stellen. Maar het werkt met gevoelige gegevens, en daar gelden strikte regels voor.
In het kort
- Biometrische verificatie vergelijkt een live kenmerk (gezicht, vingerafdruk, iris, stem) met een eerder vastgelegde referentie om iemands identiteit te bevestigen.
- Verificatie is een 1-op-1-controle (“ben jij wie je zegt te zijn?”). Identificatie is 1-op-veel (“wie ben jij?”). Authenticatie is toegang verlenen op basis daarvan.
- Het systeem slaat geen foto op, maar een versleutelde template: een wiskundige weergave van het kenmerk.
- Liveness-detectie controleert of er een echt, levend persoon voor de camera zit en niet een foto, masker of deepfake.
- Identiteitsfraude is een reëel probleem: het CMI ontving in 2025 bijna negenduizend meldingen van mogelijke identiteitsfraude.
- Biometrische gegevens voor identificatie zijn bijzondere persoonsgegevens onder de AVG. Verwerking is in principe verboden, tenzij een wettelijke uitzondering geldt.
- In de praktijk gebruiken organisaties biometrie vooral bij digitale onboarding, KYC en het op afstand controleren van een identiteitsbewijs.
In dit artikel
- Wat is biometrische verificatie?
- Verificatie, identificatie en authenticatie: wat is het verschil?
- Welke biometrische kenmerken zijn er?
- Hoe werkt biometrische verificatie in de praktijk?
- Biometrische gegevens en de AVG: wat mag wel en niet?
- Waar komt biometrische verificatie van pas?
- Hoe DataChecker helpt
Wat is biometrische verificatie?
Biometrische verificatie is het bevestigen van iemands identiteit op basis van een uniek, meetbaar lichaamskenmerk. Denk aan een gezichtsscan, een vingerafdruk of een irisscan. Het systeem vergelijkt een kenmerk dat op dat moment wordt vastgelegd met een referentie die eerder is opgeslagen, en bepaalt of die twee bij dezelfde persoon horen.
Het verschil met een wachtwoord of een pasje is fundamenteel. Een wachtwoord kun je delen, vergeten of laten uitlekken. Een pasje kun je verliezen of uitlenen. Een biometrisch kenmerk zit aan één persoon vast. Dat maakt het lastiger te vervalsen, maar ook gevoeliger: een wachtwoord reset je, je gezicht niet.
Let op: “biometrie” betekent niet overal hetzelfde. In de zorg verwijst het naar oogmetingen voor een staaroperatie, en in de verloskunde naar echometingen. Deze blog gaat over biometrie in de context van identiteit: het vaststellen of iemand echt is wie hij zegt te zijn. Dat is het gebied waarop ID Verificatie draait.
Verificatie, identificatie en authenticatie: wat is het verschil?
Drie termen die door elkaar lopen, maar iets anders betekenen.
Verificatie is een 1-op-1-vergelijking. Iemand zegt wie hij is, en het systeem controleert of dat klopt: past dit gezicht bij het paspoort dat is geüpload? Dat is biometrische verificatie.
Identificatie is een 1-op-veel-vergelijking. Het systeem heeft alleen een kenmerk en zoekt in een database naar een match: van wie is deze vingerafdruk? Dit speelt bijvoorbeeld in opsporing.
Authenticatie is het verlenen van toegang nadat de identiteit is bevestigd. Je telefoon ontgrendelen met je gezicht is authenticatie: het apparaat checkt of jij het bent en geeft daarna toegang.
Voor het vaststellen van identiteit bij onboarding of een klantcontrole gaat het bijna altijd om verificatie: er ligt een claim (“dit ben ik, hier is mijn document”) en die wordt gecontroleerd.
Drie begrippen
Verificatie, identificatie, authenticatie
Drie termen die door elkaar lopen, maar iets anders betekenen. Voor identiteitscontrole bij bedrijven gaat het bijna altijd om de eerste.
Verificatie
Een 1-op-1-controle. Iemand doet een claim en het systeem checkt of die klopt.
“Ben jij wie je zegt te zijn?”
Identificatie
Een 1-op-veel-vergelijking. Het systeem zoekt een match in een database.
“Wie ben jij?”
Authenticatie
Toegang verlenen nadat de identiteit is bevestigd.
“Je mag erin.”
Welke biometrische kenmerken zijn er?
Biometrische kenmerken vallen grofweg in twee groepen.
Fysieke kenmerken zijn eigenschappen van het lichaam: het gezicht, de vingerafdruk, de iris of het netvlies, en de vorm van de hand. Dit zijn de kenmerken die het meest worden gebruikt voor identiteitsverificatie, omdat ze stabiel zijn en goed te meten.
Gedragskenmerken gaan over hoe iemand iets doet: de manier van typen, de stem, of de handtekening. Deze worden vaker ingezet voor doorlopende beveiliging dan voor een eenmalige identiteitscheck.
In identiteitsverificatie zijn twee kenmerken dominant. Het gezicht, omdat een selfie eenvoudig op afstand te maken is en te vergelijken met de foto op een identiteitsbewijs. En de vingerafdruk, die als biometrisch gegeven is opgeslagen in de chip van moderne paspoorten en identiteitskaarten. Die chip uitlezen via NFC is een betrouwbare manier om het document aan de persoon te koppelen, en is de basis onder Digital ID.
Hoe werkt biometrische verificatie in de praktijk?
Een biometrische controle verloopt in een paar stappen.
Eerst wordt het kenmerk vastgelegd: de gebruiker maakt een selfie of scant een vingerafdruk. Dat beeld wordt niet bewaard als foto, maar omgezet in een template: een versleutelde, wiskundige weergave van de unieke punten in het kenmerk. Uit een template valt het oorspronkelijke gezicht niet terug te bouwen.
Vervolgens vergelijkt het systeem die template met de referentie, bijvoorbeeld de gezichtsfoto uit de paspoortchip. Het resultaat is geen simpel ja of nee, maar een matchscore: de mate van overeenkomst. Een organisatie bepaalt zelf welke drempel hoog genoeg is om de identiteit als bevestigd te beschouwen.
De belangrijkste stap tegen fraude is liveness-detectie. Die controleert of er een echt, levend persoon voor de camera zit, en niet een foto, een masker, een scherm of een deepfake. Zonder liveness is een gezichtscontrole te misleiden met een afdruk of een video. Het is precies het onderdeel dat handmatige controle, waarbij iemand een geüploade scan beoordeelt, niet kan bieden.
Die dreiging is niet theoretisch. Met algemeen beschikbare AI-tools is een gezicht van een foto in korte tijd om te zetten in een knipperende, pratende deepfake. Daarmee verschuift de controle van “ziet het er echt uit?” naar “is dit een echt, levend persoon?”.
In de praktijk
Zo verloopt een biometrische controle
Vastleggen
De gebruiker maakt een selfie of scant een vingerafdruk.
Template
Het beeld wordt geen foto, maar een versleutelde wiskundige weergave.
Vergelijken
Template tegen de referentie. De uitkomst is een matchscore, geen simpel ja of nee.
Liveness-detectie
Zit er een echt, levend persoon voor de camera? Of een foto, masker of deepfake?
Liveness is de stap die handmatige controle niet kan bieden. Zonder die check is een gezichtsmatch makkelijk te misleiden.
Biometrische gegevens en de AVG: wat mag wel en niet?
Hier wordt het juridisch belangrijk. Zodra biometrische gegevens worden verwerkt met als doel iemand uniek te identificeren, zijn het bijzondere persoonsgegevens onder de AVG. Daarvoor geldt in principe een verwerkingsverbod, tenzij je je op een wettelijke uitzondering kunt beroepen (bron: Autoriteit Persoonsgegevens).
Of iets onder die strenge regels valt, hangt volgens de Autoriteit Persoonsgegevens af van drie punten samen: de aard van de gegevens (een fysiek, fysiologisch of gedragskenmerk), een specifieke technische verwerking (het omzetten naar een template), en het doel: unieke identificatie. Een gewone foto in een personeelssysteem valt daar niet automatisch onder; een gezichtsscan die wordt omgezet in een template om iemand te identificeren wel.
Wanneer geldt het verbod?
Bijzondere persoonsgegevens onder de AVG?
Volgens de Autoriteit Persoonsgegevens moet je drie punten samen wegen. Pas als ze alle drie gelden, vallen de gegevens onder het strenge regime.
1. Aard van de gegevens
Een fysiek, fysiologisch of gedragskenmerk.
2. Technische verwerking
Het kenmerk wordt omgezet naar een template.
3. Het doel
Iemand uniek identificeren.
Alle drie aanwezig: dan zijn het bijzondere persoonsgegevens. Verwerking is in principe verboden, tenzij een wettelijke uitzondering geldt.
De twee meest genoemde uitzonderingen zijn uitdrukkelijke toestemming van de betrokkene, en het geval waarin verwerking noodzakelijk is voor authenticatie of beveiliging (bron: Autoriteit Persoonsgegevens). Let op de context: in een verhouding tussen werkgever en werknemer is “uitdrukkelijke toestemming” volgens de AP vrijwel nooit geldig, omdat een werknemer afhankelijk is van de werkgever en toestemming dan niet vrij gegeven is.
Deze blog legt uit hoe de regels werken, niet wat u in uw specifieke situatie moet doen. Voor een concrete inschatting van wat in uw organisatie is toegestaan, is juridisch advies op zijn plaats.
Waar komt biometrische verificatie van pas?
Biometrische verificatie wordt vooral ingezet waar identiteit op afstand en op schaal moet worden vastgesteld.
Bij digitale onboarding van klanten of medewerkers vervangt een selfie-plus-documentcheck de fysieke balie. Bij klantonderzoek in het kader van Know Your Customer hoort vaststellen dat een klant echt bestaat en is wie hij beweert te zijn. En bij het controleren van het recht om te werken, Right to Work, helpt het koppelen van persoon aan document om documentfraude eruit te filteren.
De operationele pijn die het oplost is concreet. Handmatige controle van geüploade documenten is tijdrovend en foutgevoelig, en een mens ziet een goed gemaakte vervalsing of een deepfake niet betrouwbaar. Een geautomatiseerde biometrische check met liveness vangt precies dat af.
De omvang van het probleem is meetbaar. Bij het Centraal Meldpunt Identiteitsfraude kwamen in 2025 bijna negenduizend meldingen van mogelijke identiteitsfraude binnen (bron: Rijksdienst voor Identiteitsgegevens). Voor organisaties die op afstand klanten of medewerkers aannemen, is het koppelen van persoon aan document een van de plekken waar die fraude wordt afgevangen.
Hoe DataChecker helpt
DataChecker combineert documentcontrole met biometrische verificatie in één proces. Een gebruiker scant het identiteitsbewijs, leest waar mogelijk de NFC-chip uit, en maakt een selfie die met liveness-detectie wordt gecontroleerd en gekoppeld aan het document. Zo wordt persoon en bewijsstuk aan elkaar verbonden, in plaats van los beoordeeld.
Dat verkort de doorlooptijd van een identiteitscontrole en haalt een groot deel van het handwerk weg, zonder dat de controle zwakker wordt. DataChecker neemt de wettelijke verantwoordelijkheid niet over, maar levert de techniek om identiteit betrouwbaar vast te stellen.
Bekijk hoe ID Verificatie van DataChecker werkt en wat het voor jouw onboarding betekent.
Veelgestelde vragen over biometrische verificatie.
Some description text for this item
Wat is biometrie precies?
Biometrie is het meten en gebruiken van unieke lichaams- of gedragskenmerken om iemand te herkennen of te bevestigen. In de context van identiteit gaat het om kenmerken als gezicht, vingerafdruk of iris.
Wat is het verschil tussen biometrische gegevens en biometrie?
Biometrie is het vakgebied en de techniek. Biometrische gegevens zijn de concrete data die daaruit voortkomen, zoals een gezichtstemplate of een vingerafdruk. Worden die gegevens gebruikt om iemand uniek te identificeren, dan zijn het bijzondere persoonsgegevens onder de AVG.
Is biometrische verificatie veilig?
De techniek is moeilijk te vervalsen omdat een kenmerk aan één persoon vastzit, en systemen bewaren een versleutelde template in plaats van een foto. Het risico zit vooral in opslag en misbruik: een uitgelekt wachtwoord wijzig je, een vingerafdruk niet. Daarom gelden er strenge beveiligingseisen.
Mag een werkgever biometrie gebruiken voor toegang of controle?
Dat mag alleen onder strikte voorwaarden. Biometrische gegevens voor identificatie zijn bijzondere persoonsgegevens, en uitdrukkelijke toestemming van een werknemer wordt volgens de Autoriteit Persoonsgegevens meestal niet als vrij gegeven gezien. Een wettelijke uitzondering of noodzaak is dan vereist.
Wat is liveness-detectie?
Liveness-detectie controleert of er een echt, levend persoon voor de camera zit en geen foto, masker, scherm of deepfake. Het is de stap die een gezichtscontrole bestand maakt tegen voor de hand liggende fraude.
Is een vingerafdruk een biometrisch gegeven?
Ja. Een vingerafdruk die wordt vastgelegd en omgezet om iemand te identificeren is een biometrisch gegeven, en daarmee een bijzonder persoonsgegeven onder de AVG.
Wat is het verschil met een wachtwoord?
Een wachtwoord is iets dat je weet en kunt wijzigen of delen. Biometrie is iets dat je bent: uniek en vast. Dat maakt het betrouwbaarder voor identiteitscontrole, maar ook gevoeliger, omdat je het niet kunt resetten.
Wat is een NFC-chip?
NFC (Near Field Communication) is de contactloze chip in moderne paspoorten en identiteitskaarten. Die chip bevat onder meer de gezichtsfoto en persoonsgegevens van de houder, beveiligd opgeslagen. Door de chip via NFC uit te lezen met een smartphone haal je die gegevens rechtstreeks van het document, wat betrouwbaarder is dan een foto of scan die nagemaakt kan zijn.