Je kunt je gezicht niet veranderen: Waarom biometrische gegevens een permanent veiligheidsrisico zijn
Als je wachtwoord lekt, verander je het. Als je biometrische gegevens lekken, ben je voor altijd gecompromitteerd.
Ik postte vorige week iets op social media.
Een simpel bericht over biometrische gegevens. Over wat er gebeurt als wachtwoorden lekken versus wat er gebeurt als je gezicht lekt.
Meer dan 1.000 mensen deelden het.
Dat is niet normaal voor mijn berichten. Maar deze raakte iets.
Als je wachtwoord lekt:
→ Verander je wachtwoord
>→ Probleem opgelost
Als je biometrische gegevens lekken:
→ Je kunt je gezicht niet veranderen
→ Je kunt je vingerafdrukken niet veranderen
→ De compromittering is permanent
→ Voor altijd in breach-databases
Het resoneerde omdat het waar is.
Maar een probleem delen is niet genoeg. We moeten begrijpen waar we hier eigenlijk mee te maken hebben.
Het ding met gezichten
Denk eens aan alle inloggegevens die je online gebruikt.
Je wachtwoord wordt gelekt? Vervelend, maar je verandert het. Probleem opgelost.
Je creditcard wordt gestolen? Je annuleert hem, krijgt een nieuwe. Klaar.
Je e-mail wordt gecompromitteerd? Je maakt een nieuw adres aan. Verder gaan.
Je telefoonnummer wordt blootgesteld? Neem een nieuw nummer. Geregeld.
Zelfs je huisadres—als het echt een probleem wordt, kun je verhuizen.
Maar je gezicht?
Je gezicht is de enige inloggegevens die je niet kunt veranderen, roteren of intrekken.
Het ben jij. Voor altijd.
Als een wachtwoorddatabase wordt gehackt, verandert iedereen zijn wachtwoorden. Als een biometrische database wordt gehackt, behoudt iedereen hetzelfde gezicht.
Permanente blootstelling.
Daarom is verplichte gezichtsherkenning voor leeftijdsverificatie niet zomaar een privacyzorg. Het is een veiligheidsramp die staat te gebeuren.
"Maar biometrische databases zijn veiliger"
Is dat zo?
Laat me je vertellen over BioStar 2.
In 2019 ontdekten beveiligingsonderzoekers een onversleutelde database met 27,8 miljoen records. Vingerafdrukken. Gezichtsherkenningsgegevens. Gebruikt door banken, politie, de UK Metropolitan Police, defensiecontractanten.
De vingerafdrukken waren niet gehasht. Ze werden opgeslagen als echte afbeeldingen. Afbeeldingen die gekopieerd konden worden.
De wachtwoorden? Opgeslagen in platte tekst.
De onderzoekers ontdekten dat ze "de URL-zoekcriteria in Elasticsearch konden manipuleren" om overal toegang toe te krijgen. Dat is het. Zo geavanceerd hoefde de aanval te zijn.
Dan is er Clearview AI.
In 2020 stalen hackers hun volledige klantenlijst. De FBI. Department of Homeland Security. ICE. Meer dan 600 wetshandhavingsinstanties.
Clearview had 3 miljard gezichtsafbeeldingen geschraapt van social media. En toen stal iemand de lijst van iedereen die die database gebruikte.
Clearview's reactie? "Helaas zijn datalekken onderdeel van het leven in de 21e eeuw."
Senator Ed Markey zei wat we allemaal denken: "Als je wachtwoord wordt gehackt, kun je je wachtwoord veranderen. Als je creditcardnummer wordt gehackt, kun je je kaart annuleren. Maar je kunt biometrische informatie zoals je gezichtskenmerken niet veranderen als een bedrijf zoals Clearview die gegevens niet veilig bewaart."
India's Aadhaar-systeem is 's werelds grootste biometrische database. 1,1 miljard vingerafdrukken en irisscans. Het is meerdere keren over meerdere jaren gehackt.
Het Global Risks Report 2019 van het World Economic Forum noemde het "het grootste datalek ter wereld."
In 2023 verschenen 815 miljoen records te koop op dark web forums. De vraagprijs? $80.000.
De FBI heeft 641 miljoen gezichtsafbeeldingen in zijn gezichtsherkenningsdatabase. De meeste werden verzameld voor niet-criminele doeleinden—rijbewijzen, paspoorten. De FBI weigert de nauwkeurigheid te beoordelen van zijn eigen systemen. Geen huiszoekingsbevel vereist voor zoekopdrachten.
Zie je het patroon?
Een database wordt aangemaakt "voor veiligheid" of "voor verificatie." Hij groeit. Mission creep voegt meer use cases toe. En uiteindelijk wordt hij gehackt.
De vraag is niet OF biometrische databases worden gehackt. De vraag is WANNEER. En hoe erg de schade is als het gebeurt.
Met wachtwoorden is de schade tijdelijk. Wachtwoord veranderen, probleem opgelost.
Met biometrische gegevens is de schade permanent. Je kunt je gezicht niet veranderen.
Wat Discord eigenlijk vraagt
Discord's aankondiging klinkt redelijk op het eerste gezicht.
"Om tieners te beschermen, moeten gebruikers hun leeftijd verifiëren met gezichtsschatting."
Laat me vertalen wat ze eigenlijk vragen.
Ze willen je gezicht. Een onherroepelijke biometrische identificatie. Gescand door een derde partij genaamd Yoti. Voor een binaire controle—ouder dan 18 of niet. "Kort verwerkt en dan verwijderd," zeggen ze.
Wat krijg je ervoor terug?
Voortgezet gebruik van een chat-app.
Wat riskeer je?
Biometrische blootstelling als er iets misgaat. Toegang van derden tot je gezichtsgegevens—je vertrouwt niet alleen Discord, je vertrouwt Yoti. Geen verhaal als de gegevens verkeerd worden behandeld, want je kunt je gezicht niet veranderen. En misschien wel het belangrijkste: je normaliseert de praktijk. Je accepteert dat dit een redelijke ruil is.
Hier is de context die dit bijzonder zorgwekkend maakt.
Dit is hetzelfde bedrijf waarvan de leeftijdsverificatieleverancier werd gehackt in september 2025. Het lek onthulde 70.000 overheids-ID's. Vijf maanden later rollen ze wereldwijde gezichtsverificatie uit.
Discord beweert dat "deze leveranciers niet betrokken waren" bij dat lek. Maar ze gebruiken nu meerdere leveranciers. We weten niet welke. We kennen hun beveiligingstrack record niet.
Je verstrekt biometrische identificaties om een gaming chat-app te gebruiken.
De risico/beloningsverhouding slaat nergens op.
Waarom "geanonimiseerd" niet veilig betekent
Discord's verdediging klinkt geruststellend.
"De gezichtsgegevens worden op het apparaat verwerkt en nooit opgeslagen."
Laten we onderzoeken wat dat eigenlijk betekent.
Je gezicht wordt gescand. Gezichtskenmerken worden geëxtraheerd—geometrie, afstanden, patronen. Een algoritme schat je leeftijd. Discord zegt dat de afbeelding wordt verwijderd.
Maar hier is wat ze je niet vertellen.
Het proces extraheert nog steeds biometrische kenmerken. Zelfs als de originele afbeelding wordt verwijderd, zijn kenmerken geëxtraheerd en verwerkt. Onderzoek toont aan dat gezichtsembeddings—wiskundige representaties van je gezicht—kunnen worden gebruikt om herkenbare gezichten te reconstrueren.
"Verwerking op het apparaat" is niet altijd op het apparaat. Discord verklaart dat de video-selfie ofwel op je apparaat wordt verwerkt OF "kort door Yoti wordt verwerkt en dan verwijderd."
Die "of" doet ertoe.
Recent onderzoek is zorgwekkend. Studies tonen aan dat "gereconstrueerde gezichten kunnen worden gebruikt voor toegang tot andere echte gezichtsherkenningssystemen." Een uitgebreid overzicht over inverse biometrie vond dat reconstructietechnieken zijn "toegepast op vingerafdrukken, iris, handvorm, gezicht en handschrift."
De aanname dat "biometrische templates niet genoeg informatie bevatten om te worden terugontwikkeld" is steeds meer verouderd.
Je moet de implementatie vertrouwen. Hoe sterk is de verwijdering? Worden metadata ernaast opgeslagen? Wat gebeurt er tijdens de verzending? De code is propriëtair—je kunt het niet auditen.
Lekken gebeuren in elke fase. Het gaat niet alleen om definitieve opslag. Gegevens kunnen worden onderschept tijdens vastlegging. Tijdens verzending. Tijdens verwerking. Voordat de verwijdering is voltooid.
Een rapport van 2024 vond tientallen kwetsbaarheden in biometrische systemen, waaronder een waarbij aanvallers "toegang konden krijgen tot en op afstand de biometrische database van de machine konden wijzigen" en "hun eigen gezicht naar het systeem konden uploaden."
Het precedentprobleem
"Het is alleen leeftijdsverificatie. Wat is het probleem?"
Het probleem is het precedent.
Ik heb dit patroon eerder gezien.
Eerst is er een redelijke rechtvaardiging. "We moeten leeftijd verifiëren om kinderen te beschermen." Wie gaat daar tegenin?
Dan, beperkte scope. "Alleen voor leeftijdsverificatie." "Alleen met je toestemming."
Dan, scope-uitbreiding. "Ook voor identiteitsverificatie." "Ook voor betalingsverificatie." "Ook voor toegang tot inhoud."
Dan, universele vereiste. "Om aan regelgeving te voldoen..." "Om veiligheidsredenen..." "Alle accounts moeten verifiëren..."
En tot slot, genormaliseerde surveillance. Gezichtsherkenning wordt verwacht. Elk platform vereist het. Je kunt niet deelnemen zonder je te onderwerpen.
We hebben dit patroon gezien met telefoonnummers. Begon als "optioneel herstel." Nu vereist voor de meeste platforms.
We hebben het gezien met echte namen. Begon als een Facebook-experiment. Nu een standaardverwachting.
We hebben het gezien met locatietoegang. Begon als een "optionele functie." Nu werken veel apps niet zonder.
Biometrische gegevens zijn de laatste grens.
Zodra we gezichtsscans normaliseren voor "leeftijdsverificatie," hebben we geaccepteerd dat platforms onherroepelijke biometrische inloggegevens kunnen eisen. Dat derden onze gezichtsgegevens kunnen verwerken. Dat gemak permanente veiligheidsrisico's rechtvaardigt.
Als we het hier accepteren, zal elk platform volgen.
Wat je kunt doen
Je hebt opties.
Niet verifiëren. Behoud je biometrische privacy. Geen permanent blootstellingsrisico. Je stuurt een marktsignaal—lage verificatiepercentages betekenen slecht beleid. Je kunt toegang verliezen tot sommige Discord-functies. Maar als je het je kunt veroorloven om Discord-toegang te verliezen, is dit de veiligste optie.
Verifiëren met gezichtsscan. Volledige Discord-toegang behouden. Maar je gezicht wordt door derden verwerkt. Je hebt de praktijk genormaliseerd. Onbekende langetermijngevolgen. Overweeg dit alleen als Discord kritieke infrastructuur voor je is EN je de risico's begrijpt.
Discord verlaten. Volledige privacybescherming. Stem met je voeten—het krachtigste marktsignaal. Je moet communities migreren en nieuwe platforms leren. Maar als het haalbaar is, is dit de principiële keuze.
Alternatieven voor Discord
Als je overweegt te vertrekken, bestaan er privacy-respecterende alternatieven.
Voor communities en groepen raad ik Matrix / Element aan. End-to-end versleutelde berichten en spraak/video. Gedecentraliseerd—geen enkel bedrijf controleert het. Open source, dus de code is auditeerbaar. Er is zelfs een brug naar Discord voor de transitie. Geen biometrische gegevens vereist. Gratis.
Revolt heeft een Discord-achtige interface als je iets vertrouwds wilt. Privacy-gefocust. Zelf te hosten. Geen biometrische vereisten. Ook gratis.
Voor privéberichten blijft Signal de gouden standaard. End-to-end versleuteld inclusief metadata. Open source. Geen biometrische gegevens. Groepen tot 1.000 mensen.
Session is als Signal maar gedecentraliseerd. Geen telefoonnummer vereist. Onion-gerouteerd voor een extra privacylaag.
Voor sociale communities biedt Mastodon een gedecentraliseerd sociaal netwerk. Geen surveillance. Kies je server of draai je eigen. Geen biometrische gegevens vereist.
Waarom ik Snugg bouw
1.000 mensen deelden mijn bericht over biometrische gegevens.
Dat leerde me iets belangrijks. Mensen weten dat surveillance een probleem is. Ze weten niet dat oplossingen bestaan.
Dus laat me expliciet zijn over wat we bouwen.
Snugg zal nooit gezichtsherkenning gebruiken. Niet nu, niet ooit. Geen vingerafdrukscans. Geen irisscans. Geen stemafdrukken. Geen biometrische gegevens van welke aard dan ook.
Wat we wel gebruiken: alleen e-mail—herroepbaar indien gecompromitteerd. Optionele gebruikersnaam—standaard pseudoniem. Geen telefoonnummer. Geen echte naam tenzij je ervoor kiest te delen.
Waarom kunnen we dit doen?
Bedrijfsmodel.
Gratis platforms hebben advertenties nodig. Advertenties hebben surveillance nodig om te targeten. Surveillance heeft identiteitsverificatie nodig. Identiteitsverificatie leidt tot biometrische vereisten.
Snugg kost €5 per maand. We dienen gebruikers, niet adverteerders. Geen surveillance nodig. Geen onherroepelijke identiteit nodig.
We kozen een bedrijfsmodel dat je biometrische gegevens niet nodig heeft.
We zullen nooit biometrische gegevens verzamelen. Niet voor verificatie. Niet voor veiligheid. Niet voor functies. Niet voor regelgeving. Nooit.
We kunnen geen gegevens misbruiken die we niet verzamelen. Kunnen geen gezichten lekken die we nooit scannen. Kunnen geen metadata verkopen die we nooit vastleggen. Kunnen geen AI trainen op gegevens die we niet hebben.
Jij bent de klant, niet het product. Abonnementsmodel betekent dat we jou dienen. Geen advertenties betekent geen surveillance-stimulans. Geen dataverkoop betekent dat je gegevens van jou blijven.
Open source betekent auditeerbaar. Code wordt openbaar. Je kunt onze beloftes verifiëren. Community kan inspecteren op achterdeurtjes.
De wachtlijst is nu open met meer dan 3.000 leden. We lanceren in maart 2026. De eerste 500 krijgen levenslang 40% korting—€3 per maand voor altijd.
Schrijf je in op de wachtlijst →
De keuze
Verplichte gezichtsherkenning is niet alleen een platformprobleem.
Het is een precedent.
Als we accepteren dat chat-apps onherroepelijke biometrische identificaties kunnen eisen, hebben we geaccepteerd dat alle platforms dat kunnen.
Je wachtwoord lekt—je verandert het. Je biometrische gegevens lekken—je bent gecompromitteerd. Voor altijd.
De afweging slaat nergens op.
Ik bouw het alternatief. Social media dat nooit je gezicht hoeft te zien.
Omdat we geen biometrische gegevens kunnen lekken die we nooit verzamelen.
Word een van de oprichtende leden →
Lancering: maart 2026 | Eerste 500: Levenslang 40% korting
Gerelateerde lectuur
- Discord wil je gezicht scannen. Hier is waarom ik bezorgd ben. – Onze gedetailleerde analyse van Discord's specifieke aankondiging
- Platformvergelijking: Welke apps beschermen echt je privacy
- Gratis betekent niet zonder kosten: De echte prijs van social media
Bronnen & verdere lectuur
Biometrische datalekken:
- BioStar 2 Database Breach - The Register - Augustus 2019
- BioStar 2 onthult 28 miljoen records - Avast - Augustus 2019
- Clearview AI volledige klantenlijst gestolen - CNN - Februari 2020
- Clearview AI datalek - WeLiveSecurity - Februari 2020
- Aadhaar datalek analyse - Huntress
- Aadhaar beveiligingsfouten - Privacy International
- Indiase Aadhaar ID's op Dark Web - Resecurity - Oktober 2023
- FBI gezichtsherkenning: GAO Rapport - Juni 2019
- FBI kan 400 miljoen gezichtsherkenningsfoto's doorzoeken - EFF - Juni 2016
Biometrische hash-kwetsbaarheden:
- Gezichtsreconstructie uit gezichtsembeddings - arXiv - 2026
- Gezichtsreconstructie met adaptermodellen - arXiv - November 2024
- Het onherroepelijke omkeren: Overzicht van inverse biometrie - arXiv - Januari 2024
Discord leeftijdsverificatie:
- Discord Teen-by-Default instellingen aankondiging - Februari 2026
- Discord Age Assurance FAQ - Discord Support
- Hoe Age Assurance op Discord te voltooien - Discord Support
- Discord datalek: 5CA Vendor Hack - Bitdefender - Oktober 2025
Grote datalekken (Context):
- Equifax datalek schikking - FTC - 147,9 miljoen records
- 2017 Equifax datalek - Wikipedia
- Yahoo 3 miljard accounts breach - BreachSense
Over de auteur
Ik ben jachtexpert in het Caribisch gebied en de oprichter van Snugg. Na 15 jaar te hebben gezien hoe social media platforms winst boven privacy stellen, besloot ik het alternatief te bouwen. Ik ben geen privacy-activist—gewoon iemand die vindt dat je je gezicht niet zou moeten hoeven scannen om met vrienden te chatten.
Verbinden: Twitter/X | LinkedIn | E-mail
Over Snugg: Ik bouw het social media platform dat ik wenste dat bestond. Geen advertenties. Geen tracking. Geen algoritmes. Geen surveillance. Alleen jij, je vrienden en echte controle over je digitale leven. Meer leren
Als dit bij je resoneerde, deel het alsjeblieft. Hoe meer mensen begrijpen wat er gebeurt, hoe moeilijker het is om te normaliseren.