Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Beveiliging, Privacy | 27 reacties

iphone-vingerafdrukDeze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon.

Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn oude telefoon plaatsmaken voor een state-of-the-art smartphone. Vol met nieuwe snufjes, inclusief handige vingerafdruk scanner. Geweldig: geen gezeur meer met het onthouden en vegen van specifieke patronen of het intikken van een pincode. Alleen: wordt mijn vingerafdruk wel veilig opgeslagen? Hoe weet ik zeker dat mijn unieke afdruk niet gebruikt of doorgestuurd wordt naar een bepaalde app of leverancier?

De General Data Protection Regulation (GDPR) Aangezien ik een juridische achtergrond heb, begon ik mijn zoektocht bij wet- en regelgeving. Mijn startpunt was de nieuwe General Data Protection Regulation (GDPR, in het Nederlands ook wel de Privacyverordening) die in mei 2018 van kracht gaat samen met de huidige Wet bescherming persoonsgegevens (wbp). In vergelijking met de Wbp gaat er behoorlijk wat veranderen in 2018, waaronder de uitgangspunten omtrent het gebruik van biometrische gegevens.

Volgens de GDPR zijn alle biometrische gegevens bijzondere persoonsgegevens. De verwerking van biometrische gegevens is hiermee verboden, tenzij is voldaan aan een van de uitzonderingssituaties. Bovendien moet in het geval van een uitzonderingssituatie de verwerking van persoonsgegevens voldoen aan het subsidiariteit en proportionaliteit principe en aan strenge organisatorische en technische maatregelen.

Werp je een vlugge blik op de limitatief opgesomde uitzonderingen in de GDPR, dan lijkt het opslaan van biometrische gegevens ten behoeve van authenticatie door commerciële bedrijven hier niet direct onder te vallen. De meeste uitzonderingssituaties vallen namelijk binnen de publieke sector (zoals publieke gezondheid, werkgelegenheid en sociale veiligheid). Ik kan bijvoorbeeld geen situatie bedenken waarbij het gebruik van je vingerafdruk voor het ontgrendelen van je smartphone noodzakelijk is voor je werkgever.

Wettelijke uitzondering: toestemming De enige situatie waarin commerciële bedrijven wel biometrische persoonsgegevens mogen verwerken is de situatie waarin het datasubject expliciete toestemming heeft gegeven. Mijn mobiele telefoon mag dus mijn vingerafdruk gebruiken, omdat ik hiervoor expliciete toestemming heb gegeven. Of niet?

De vraag is namelijk of mijn toestemming wel expliciet genoeg was. Je kunt je namelijk, net zoals bij cookies, afvragen wanneer er sprake is van expliciete toestemming. Zoals ik al zei was ik bij ingebruikname vooral gedreven door het voor mij nieuwe en interessante technologische snufje. Ik dacht op het moment van instellen niet na over mogelijke gevolgen voor mijn privacy. Ik heb bovendien nergens zien staan wat er precies met mijn vingerafdruk gebeurt. Heeft de fabrikant nu ook mijn vingerafdruk in een database staan?

Toestemming of niet? Op basis hiervan zou ik dus kunnen beargumenteren dat ik geen expliciete toestemming hebben gegeven. Ik heb immers niet alle consequenties afgewogen. Door het gebrek aan informatie was dit bovendien ook niet echt mogelijk. De fabrikant daarentegen zou kunnen zeggen dat ik een keuze heb gehad. Het was namelijk ook mogelijk om mijn smartphone niet te beveiligen, of om enkel een wachtwoord of patroontje te gebruiken. Doordat ik toch heb gekozen voor mijn vingerafdruk, zou de fabrikant kunnen zeggen dat ik expliciet toestemming heb gegeven.

Wie heeft er nu gelijk? Ik weet het niet. Ik denk wel dat dit vraagstuk een stuk makkelijker wordt wanneer de biometrische gegevens versleuteld worden opgeslagen. Als je dit doet, zijn de data immers niet meer direct herleidbaar tot een natuurlijke persoon. In de GDPR staat bovendien dat persoonsgegevens data zijn die direct of indirect herleidbaar is tot een geïdentificeerd of identificeerbaar persoon. Maakt de versleutelmethode de data onherleidbaar tot een persoon? Dan is de kans groot dat deze data niet meer als persoonsgegeven te bestempelen zijn. De GDPR is dan niet meer van toepassing.

Toekomst Er zijn tegenwoordig legio van functionaliteiten te verzinnen waarbij biometrische gegevens gebruikt kunnen worden om de gebruiker te authenticeren. Continuous authentication kijkt bijvoorbeeld niet meer naar fysieke kenmerken, maar ‘leert’ van het gedrag van de gebruiker. Op basis van deze informatie kan de applicatie bijvoorbeeld bepalen om de toegang van de gebruiker te blokkeren, of extra bewijs te vragen, als zijn handelingen te veel afwijken van hoe de gebruiker normaliter acteert. Ook dit soort informatie valt binnen de GDPR onder bijzondere persoonsgegevens. In mijn situatie is het gebruik van een vingerafdruk nog redelijk behapbaar en is het uitleggen aan de gebruiker wat er met deze gegevens gebeurt nog vrij eenvoudig. In het kader van zelflerende techniek wordt dat een behoorlijke uitdaging.

De toekomst van biometrische authenticatiemethoden is enigszins onzeker. De GDPR lijkt immers enkele barrières op te werpen die het gebruik van biometrische authenticatiemethoden kunnen vertragen of tegenhouden. De lat voor het verkrijgen van expliciete toestemming lijkt namelijk steeds hoger te worden. Voor mij zal de regeling in de GDPR voor het verwerken van biometrische gegevens geen directe gevolgen hebben. Ik zal nog steeds elke dag blij zijn dat het zo makkelijk is om mijn telefoon met mijn vingerafdruk te ontgrendelen. Of mijn toestemming nou expliciet was of niet.

Xinthia Krielaart is Associate Advisory bij Everett B.V. Dit is een advies- en systeemintegratiebureau dat gespecialiseerd is in digitale identiteiten. Xinthia heeft een achtergrond in Privaatrecht en in Communicatie. Haar interesses liggen op het vlak van IT en dataprotectie.

Deel dit artikel

  1. In het geval van Apple’s iPhone schijnen de vingerafdrukken opgeslagen te worden in een speciaal beveiligd deel van de telefoon: de Secure Enclave. De vingerafdrukken zelf zijn hieruit niet opvraagbaar voor de software van de telefoon, de software kan alleen aan de Secure Enclave vragen of alles OK is en op basis daarvan wel of niet toegang geven tot andere gegevens/diensten/etc.

    Als vingerafdrukken die Secure Enclave inderdaad nooit verlaten, geldt dit dan nog wel als een verwerking van persoonsgegevens door Apple? Apple heeft het apparaat geproduceerd, maar als ze geen toegang hebben tot gegevens lijkt het me ook lastig om ze te verwerken.

  2. Ik heb meerdere keren gelezen dat je door politie/justitie niet gedwongen zou kunnen worden om je telefoon te ontgrendelen als deze beveiligd is met alleen een wachtwoord/patroon (informatie die in je hoofd zit), maar dat je wel gedwongen kan worden om de telefoon te ontgrendelen met je vingerafdruk (een fysieke eigenschap van je lichaam). Dat zou een reden kunnen zijn om geen vingerafdrukken te gebruiken voor de beveiliging van je telefoon. Maar ja, het is inderdaad wel zo makkelijk om je wachtwoord niet meer continu in te hoeven voeren. En dan krijg je vervolgens vast weer dat je automatisch verdacht bent als je je telefoon niet met biometrische gegevens beveiligt…

      • Het is nog erger: je vingerafdruk kan aan een breder publiek van kwaadwillenden bekend worden, door een hack, of fysiek, bijvoorbeeld door jou wat te drinken aan te bieden, en het glas na afloop niet schoon te maken maar de vingerafdruk op te nemen. Zodra dat gebeurt kan je jouw vingerafdruk nooit meer als betrouwbaar authenticatiemiddel gebruiken. Je kunt ook niet je vingerafdruk wijzigen, behalve misschien met creepy operaties die je niet moet willen.

        Als jouw wachtwoord bekend wordt, dan kan je altijd nog een nieuw wachtwoord gebruiken. Het is ook privacy-vriendelijker, want je kunt best meerdere virtuele identiteiten hebben met verschillende wachtwoorden, maar verschillende vingerafdrukken wordt lastiger. Of je moet, zoals hackers, fake vingerafdrukken gebruiken, maar dan worden het meer een soort wachtwoorden.

        Ik zie daarom wachtwoorden (“iets wat je weet”) nog steeds als beter+veiliger dan biometrische data (“iets wat je bent”). Wachtwoorden kunnen lastig zijn, en soms niet voldoende veilig; afhankelijk van de vereiste makkelijkheid en beveiliging kan je voor een andere beveiliging kiezen. Voor een smart phone met niet al te gevoelige data er op lijkt me zo’n swipe-patroon een best geschikte oplossing: niet zo heel veilig, maar wel vrij eenvoudig.

    • Voor zakenreizenden naar de USA is dit inderdaad relevant. Amerikaanse rechtbanken hebben geoordeelt, dat het geven van een wachtvoord of PIN niet verplicht kan worden voor de vrijgave van een phone, tablet of computer, maar het geven van een vingerafdruk wel.

      En nog iets. Stel je bent aan het barbyknoeien en je verbrandt je vingers. Kan je dus even een weekje of zo niet aan je phone. Wel lekker rustig dus 🙂

  3. Ik vermoed dat een toezichthouder de versleutelde vingerafdruk kwalificeert als gepseudonimiseerd persoonsgegeven (vgl art. 4.5 AVG), d.w.z. wel als persoonsgegeven (art. 4.1 AVG).

    Als uitzonderingsgrond ligt toestemming (art. 4.11 AVG) van de betrokkene (art. 9.2(a) AVG) erg voor de hand. Maar dat de wetgeving met deze nieuwe regeling niet bijdraagt aan het gebruik van biometrische gegevens t.b.v. authenticatie (enz) lijkt wel duidelijk.

    Gerrit-Jan

    • Waarom zou een versleutelde vingerafdruk minder een persoonsgegeven zijn dan de vingerafdruk zelf? In beide gevallen is het makkelijk om te testen “ik heb hier een persoon, even kijken of ‘ie bij deze data past”, maar moeilijk om te testen “ik heb hier wat data, even kijken bij welke persoon dat hoort”, tenminste, bij afwezigheid van een database van alle mensen met hun vingerafdrukken (nog zo iets waarop de Nederlandse overheid zich gruwelijk slecht heeft gedragen). De test “ik heb hier twee sets data met (versleutelde) vingerafdrukken, even kijken of ze matchen” is afhankelijk van de versleutelmethode; ik denk dat de goede methoden die voor wachtwoorden beschikbaar zijn voor vingerafdrukken niet werken, dus zal ook op dat punt een versleutelde vingerafdruk geen ander privacy-karakter hebben dan een niet-versleutelde.

  4. Het lijkt mij dat versleuteling van vingerafdrukken veel minder veilig is dan versleuteling van wachtwoorden. Wachtwoorden zijn altijd exact het zelfde, en kunnen daardoor versleuteld worden met een “eenrichtingsverkeer”-functie. Ontsleutelen is dan niet mogelijk, maar ook niet nodig: de volgende keer dat je je wachtwoord invult, wordt het gewoon opnieuw versleuteld, waarna er wordt gekeken of het resultaat het zelfde is als opgeslagen.

    Voor zover ik weet maakt een vingerafdrukscanner een plaatje van je vingerafdruk. Zo’n plaatje zal nooit precies het zelfde zijn, en daardoor kan je de truc met de eenrichtingsverkeer-functie niet toepassen. Misschien kan een slimme uitvinder een techniek bedenken om uit een vingerafdruk een abstracte beschrijving te maken die wel telkens het zelfde is (misschien een topologische beschrijving van lijnen, splitsingspunten e.d. in het midden van de afdruk), maar het lijkt me sterk dat dat betrouwbaar genoeg te maken is.

    Het alternatief is dan om elke keer de versleutelde vingerafdruk te ontsleutelen, om de opgeslagen vingerafdruk te vergelijken met de recent gescande. Om dat ontsleutelen te doen moet de sleutel aanwezig zijn, en dat maakt de versleuteling eigenlijk al meteen nutteloos. Iemand die kwaad wil kan die sleutel dan ook vinden, en zelf de ontsleuteling doen.

    Een alternatief voor versleuteling is misschien beveiligde hardware, zoals Apple gebruikt. Een chip die de vingerafdruk opslaat op een plek die onbereikbaar is voor de rest van de elektronica+software, en alleen aan de software aangeeft of de vingerafdruk wel of niet matcht. In principe zijn dat soort chips wel te kraken in een laboratorium door ze open te maken, ook al deed de FBI alsof ze het niet konden. Misschien zijn de chips daar dan weer tegen te beveiligen, bijv. door ze een ingebouwde batterij te geven, en ze zo te programmeren dat ze hun geheugen wissen als ze open worden gemaakt; ik heb niet voldoende verstand van elektronica om te weten hoe veilig+goedkoop dat kan.

    • In het geval van de Apple telefoons, wordt niet een plaatje van de vingerafdruk opgeslagen, maar een aantal parameters voor een algorithme dat een ja/nee antwoord geeft op een specifieke sensor output. De leer procedure bij het instellen van de vingerafdruk unlock procedure levert die parameters op, en die worden vervolgens in de Secure Enclave opgeslagen. Die parameters komen dus niet meer buiten die omgeving. Overigens zijn die parameters herleidbaar tot een specifiek individu, anders zou authenticatie niet werken. Als dit als een schending van de verwerking van persoonsgegevens zou opleveren, dan is het opslaan van selfies en dergelijke ook een dergelijke verwerking. Het lijkt dus nogal vergaand om alle lokaal opgeslagen informatie als een verwerking van persoonsgegevens op te vatten.

      • Als je meerdere keren je vinger scant, en elke keer de parameters bepaalt, krijg je dan telkens exact de zelfde parameters, of alleen parameters die op elkaar lijken? In het eerste geval zou je die parameters met een “eenrichtingsverkeer”-functie (een secure hash) kunnen encrypten. In het tweede geval blijft mijn verhaal ongewijzigd.

  5. Ik vind de juridische vraag een beetje theoretisch. Het is zoiets als, voordat je een donker steegje in loopt, je afvragen of gewapende overval is toegestaan volgens de wet. Natuurlijk is dat niet toegestaan, maar dat is toch niet voldoende om je veilig te voelen?

    De praktische vraag is: ben jij de baas over je telefoon? Bepaal jij, en kan jij controleren, wat er allemaal gebeurt in je telefoon? Is je telefoon een verlengstuk van jou, of van Google, Apple of Microsoft? Als jij de baas bent, dan zou het veilig moeten zijn om een vingerafdrukscanner te gebruiken. In ieder geval: veilig in de zin dat je vingerafdrukken niet via die route zouden moeten kunnen uitlekken. Het is nog steeds onveilig in de zin dat, als je vingerafdrukken op een andere manier uitlekken (je laat ze praktisch overal achter), iemand anders jouw telefoon zou kunnen unlocken.

    Het blijft lastig om echt de baas te blijven over complexe elektronica. Je kunt niet alles zelf controleren; daar is het te complex voor. Het scheelt een boel als je alleen open source software gebruikt die ontwikkeld wordt in een grote community van onafhankelijke ontwikkelaars die een ethos hebben waarbij de wil van de gebruiker centraal staat: elke leugen lekt dan wel een keer uit. Dat is niet voldoende: de hardware is tegenwoordig ook enorm geavanceerd, en kan mogelijk de beveiliging van de beste software saboteren. Open source hardware zou mooi zijn, maar hoe controleer je dat je chips overeen komen met het open source ontwerp? Als open source software-expert loop je een paar stappen voor op de gemiddelde consument, maar uiteindelijk is het niet genoeg.

    • Is jouw wantrouwen tegenover de grote softwaremakers terecht? Ja, want het is algemeen bekend dat ze software maken die vol beveiligingsgaten zit, maar die proberen ze wel weer snel te verhelpen. Sommige ontwerpkeuzes, zoals cloud opslag en login, houden grote privacyrisico’s in; andere keuzes, zoals support voor versleutelde communicatie, versterken de privacy weer. Ik wijt een groot deel van hun fouten aan gebrekkige competentie en maar een beperkt deel aan moedwil.

      Ik ben het eens dat het lastig is om de controle te houden over complexe systemen; zelfs Microsoft en Apple hebben hun systemen niet onder controle. Misschien is het beter om je leven niet aan systemen op te hangen waar niemand is die nog precies weet hoe het werkt en hoe het gerepareerd moet worden als het echt fout gaat.

      • Gebrekkige competentie: klopt; zeker in Microsoft heb ik niet veel vertrouwen op dit punt. Apple en Google hebben in mijn ogen meer verstand van beveiliging, maar het blijft ook een kwestie van prioriteiten.

        Moedwil: soms gaat een goede privacy in tegen de belangen van het bedrijf, dat ook jouw gegevens wil hebben. Wat dat betreft heb ik dan weer minder vertrouwen in Google, maar Microsoft gaat met windows 10 ook die kant op. Daarnaast zitten deze bedrijven allemaal in de VS, waar ze te maken hebben met PRISM-achtige programma’s van de NSA. Tot nu toe hebben deze bedrijven nog niet de moedwil getoond om naar betere landen te verhuizen.

        Tot slot: het lijkt alsof Apple het beste uit deze analyse komt, maar Apple is desastreus als het gaat om de vrijheid van de gebruiker, om de gebruiker in staat te stellen zelf baas te zijn over eigen telefoon. De nadelen van Microsoft en Google kunnen ook goed bij Apple aanwezig zijn; dat is lastig te controleren, en dat is juist precies mijn punt.

        Voorlopig houd ik het bij een geroote telefoon met een Android versie erop waar alle niet-open source spullen uit zijn gesloopt. Voor zover ik überhaupt al met zo’n onding rondloop.

  6. Er zitten een aantal haken en ogen aan deze analyse. Los van het feit dat de GDPR ‘AVG’ heet in het Nederlands en niet samen met de WBP in 2018 van kracht wordt, maar juist in plaats daarvan “van toepassing” wordt (de AVG is al op 25 mei jl van kracht geworden), mis ik een aantal anderen elementaire juridische en technische afwegingen. 1. Is de AVG überhaupt van toepassing op de vingerafdruk in jouw telefoon? Daarvoor moet jouw werkgever of de fabrikant een verwerkingsverantwoordelijke zijn in de zin van de AVG. Maar als de telefoon ogv je arbeidsvoorwaarden jouw eigendom is geworden, dan is er in casu sprake van persoonlijk gebruik en is de AVG dus niet van toepassing. 2. De biometrische authenticatie is in het algemeen een veiligere vorm van beveiliging dan wachtwoorden. Aannemende dat jouw telefoon van je werkgever is, dan heeft die een belang om de (persoons)gegevens die op je telefoon staan of via de apps op je telefoon toegankelijk zijn te beveiligen. Niets mis mee om daar een ‘state-of-of-the-art’ beveiligingsmethode voor te gebruiken. Sterker nog, je zou kunnen zeggen dat de AVG hem daartoe verplicht. In zoverre is het verbod in artikel 9 AVG niet bedoeld om beveiliging onder de maat te houden. 3. Waar wordt de vingerafdruk opgeslagen en wat gebeurt daarmee als je je telefoon moet inleveren? En ben je verplicht om de vingerafdruk als authenicatiemiddel te gebruiken? Je zou kunnen beargumenteren dat de vingerafdruk nog steeds persoonlijk gebruik is en dus niet onder de AVG valt als je niet verplicht bent om de vingerafdruk in te stellen of als die vingerafdruk alleen in de telefoon wordt opgeslagen en alleen in gebruik is zolang jij de gebruiker bent van de telefoon en de vingerafdruk wordt gewist als er een nieuwe gebruiker wordt aangemaakt op de telefoon. 4. Er bestaan tegenwoordig uitstekende vormen van biometrische encryptie die er voor zorgen dat je vingerafdruk alleen kan worden gebruikt om je bij je telefoon aan te melden, zodat je vingerafdruk dus nergens anders gebruikt kan worden. Daarnaast, het technische beperken van het nevengebruik maakt dat het juist eerder acceptabel is om die vingerafdruk als authenicatiemiddel te gebruiken. 5. Het aanmaken van een biometrisch authenicatiemiddel is op zich wel een vorm van toestemming geven (‘adformatie action’). Wat er aan schort, is de vraag of je voldoende geïnformeerd bent door de verwerkingsverantwoordelijke. En als dat wel je werkgever is, dan is er nog het issue van vrijwilligheid. Daar heb je dus wel een punt. Ik ga dat eens opnemen met de wetgever.

    • Zoals ik hier in andere posts schrijf, is biometrische data helemaal niet zomaar veiliger dan wachtwoorden. Het is niet zo dat biometrische data “state of the art” is en wachtwoorden niet. Het lijkt me alleen daarom al ongewenst om in een brede context het gebruik van biometrische data te verplichten. In een specifieke context verplichten zou qua beveiliging kunnen, als er goed is gekeken naar het andere beveiligingskarakter van biometrische data vgl. met wachtwoorden, maar loopt aan tegen zwaarwegende privacy-bezwaren van de gene van wie de biometrische data is. Dat lijkt me dus ook niet kunnen, zeker niet in context waarin die persoon niet helemaal vrij is, en er consequenties hangen aan het weigeren van het afgeven/gebruiken van biometrische data. Dit is bijvoorbeeld het geval als de verplichting is gekoppeld aan het werknemerschap bij een bedrijf of het burgerschap in een land.

      1. Mij lijkt van wel, ook bij zaken die formeel eigendom werknemer zijn. De werkgever beslist nog steeds of de telefoon voor werk mag worden ingezet, en bepaalt daarmee doel en middelen van de verwerking.

      2. Het is onjuist althans onbewezen dat biometrie in het algemeen veiliger is dan wachtwoorden. Het ziet er geavanceerder uit, dat wel. Maar triviaal tegenvoorbeeld: mijn wachtwoord kan ik wijzigen, mijn vinger niet.

      Artikel 9 AVG kent geen belangenafweging, van bijzondere persoonsgegevens heb je af te blijven. Ik zie “noodzakelijk voor de beveiliging” niet terug in lid 2 van artikel 9.

      1. Onjuist, zie 1.

      2. Dat geloof ik graag, maar je blijft zitten met het probleem van artikel 9. Bovendien, waarom is het daarom eerder acceptabel het middel in te zetten dan een ander middel zoals een wachtwoord of een fysiek token?

      3. Heb je het telefoonnummer van de wetgever voor me?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS