Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

Een lezer vroeg me:

Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?
Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Arnoud

27 reacties

  1. Art. 9.1 AVG stelt, dat met uitzondering van de voorwaarden genoemd in het 2e lid van dit artikel, “…… en verwerking van ……., biometrische gegevens met het oog op de unieke identificatie van een persoon, …….zijn verboden.” In art. 4.14 AVG worden biometrische gegevens omschreven als: “persoonsgegevens ……….op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;”

    Meestal worden geen biometrische persoonsgegevens voor authenticatie of beveiligingsdoeleinden in de zin van de wet opgeslagen, maar een objectvector of code en is het regenereren van de oorspronkelijke invoer niet mogelijk, en geeft, afhankelijk van de mate van beveiliging, geen 100% relatie naar één, unieke, persoon. Overweging 51 AVG geeft een toelichting op beide voornoemde artikelen: “ De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.”

    Er wordt dus vaak gebruik gemaakt van genoemde objectvectoren of codes, waarbij het niet meer mogelijk is deze terug te herleiden naar één individu of naar de afbeelding van een individu. Daarmee voldoet die verwerking niet aan de definitie van biometrie gesteld in de bovenstaande artikelen uit AVG en Overweging 51: “unieke lichaamskenmerken die zijn te herleiden naar één individu.”

    Hierdoor valt te verdedigen, dat dan de rechtsgrondslagen voor de verwerking van ‘gewone’ persoonsgegevens gebruikt kunnen worden.

    1. Wanneer de opgeslagen gegevens niet zijn te herleiden naar 1 specifieke persoon, dan zijn deze gegevens ook niet te gebruiken. Dan zou de oorspronkelijke persoon toegang/rechten krijgen, maar iemand anders ook. Dus de afmetingen, afstanden, verhoudingen enz. moeten op een redelijk herkenbaar unieke manier worden vastgelegd. Bij te weinig gegevens gaat dat niet lukken.

      1. Daarbij zul je altijd een naam of personeelsnummer aan de hash moeten koppelen om toegang in te kunnen trekken lijkt me. Als Pietje, Jantje en Klaasje toegang hebben en Jantje gaat uit dienst, moet je toch weten welke van de hashes geen toegang meer mag hebben.

    2. Je geeft nu een motivatie waarom de feature vectors geen biometrisch persoonsgegeven zijn. Ik zie daar wel wat in, maar feit is dat bij zowel de enrollment als bij de authenticatie mensen hun vinger op een sensor leggen. Hoe je het ook wendt of keert, op dat moment wordt een biometrisch persoonsgegeven uitgelezen van de sensor en omgezet naar digitale codes die dan naar een feature vector leiden. Dát is de verwerking van een biometrisch persoonsgegeven, ook al is dat in 0.1 seconde klaar. Dus dat proces moet wel degelijk het verbod van 9.1 AVG zien te omzeilen. Hoe zie jij dat?

        1. Die herleidbaarheid is 100% want de scanresultaten zijn gekoppeld aan een ID of andere identificator in de zin van artikel 4 lid 1 AVG. Je doet pas enrollment als je ook weet welke persoon je enrollt, ik ken geen systeem waarbij je de vingerafdruk neemt zonder enige login, aanmelding etc.

          Echter zelfs als je dat wel doet, dan is de vingerafdruk (het plaatje dus) “een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon” en daarmee een persoonsgegeven. Ook als er geen naam of personeelsnummer bij zit. De vingerafdruk-code IS de identificatie. (Het is een misverstand dat je pas identificeert als je er een naam of “officieel” nummer bij hebt. “Die meneer achterin die zijn hand opsteekt” is al genoeg, ook al weet niemand hoe deze persoon heet.)

          1. Nou ja, ik kan me best een systeem voorstellen dat de link tussen vingerafdruk en individu ontkoppelt, juist om dit soort discussies te voorkomen. Althans, er zullen er genoeg zijn die het proberen.

            Wat betreft je stelling dat een vingerafdruk per definitie een persoonsgegeven is zie ik dat niet zo terug in art. 4 lid 14 AVG:

            „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische … op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeel­dingen of vingerafdrukgegevens;
            Daar staat volgens mij dat de persoonsgegevens het resultaat moeten zijn van een verwerking van fysieke kenmerken, niet dat die fysieke kenmerken dat per definitie zijn. Natuurlijk is een vingerafdruk zo’n beetje de definitie van herleidbaar, maar hoe zie jij dat gebeuren tijdens zo’n scanproces van 0.1 seconde?

            1. De verwerking is dat de sensor die ribbels omzet naar zeg 1010101010. Die bitstring is dan het resultaat van die verwerking van de fysieke kenmerken. En die bitstring is dan een “element [dat] kenmerkend [is] voor de fysieke … identiteit” zoals artikel 4 lid 1 het definieert. Die bitstring is immers een representatie van mijn vingerafdruk, van mij dus.

              1. Klopt, maar hoe ga je die 1010101010 herleiden tot een natuurlijk persoon als die maar voor 0.1 seconde bestaan?

                Anders verwoord; als ik jouw naam, vingerafdruk en DNA op een harde schijf versleutel op zodanige wijze dat er nooit meer iemand bij kan (even met hypothetische absolute zekerheid) dan zijn het niet langer persoonsgegevens omdat ze nooit meer herleidbaar zijn tot een natuurlijk persoon. Zoveel blijkt n.b. uit een recente opinie van het EDPB. Wat is dan het verschil met die bitstring van 0.1 seconde waar ook niemand bij kan?

                  1. Als jouw medisch dossier anoniem op internet staat, en niet zo specifiek is dat jij identificeerbaar bent, dan mag het wel.

                    Zelfde systeem kun je (misschien, speculatief) gebruiken bij vingerafdrukken: Als je instelt ‘de persoon met de vingerafdrukhash die de komende 10 seconden op de scanner komt, mag naar binnen’ en dan de vingerafdruk in stukjes scannen om wel een hash te kunnen berekenen maar nooit voldoende nauwkeurigheid/volledigheid te hebben om een identificeerbaar persoonsgegeven te hebben.

          2. Dat is altijd wat ik van dit blog heb weggenomen: Stel de politie k0mt langs met een vingerafdruk. Kunnen ze dit via jouw systeem naar een identiteit herleiden? Als de vingerafdruk overeen komt met de verdachte in het systeem, dan ja.

            Al dit hashen valt gewoon onder standaard veiligheidsprotocol bij verwerking van bijzonder gevoelige persoonsgegevens, en is geen truuk om iets te omzeilen. Je gaat toch hopelijk geen volledige vingerafdrukken opslaan?

            1. Lastig. Als bedrijf heb je maar de afdruk van 1 vinger nodig. Dus als de politie met een vingerafdruk aan komt zetten is er 10% kans dat deze overeen komt met de gekozen vinger, mits de persoon die ze zoeken in het systeem staat. De vraag is dan ook of een bedrijf om twee of zelfs meer vingerafdrukken mag vragen. Geldt de AVG per vinger? 😉

              En dan is er nog het probleem dat de politie een gedeeltelijke vingerafdruk heeft en door het ontbreken van een klein deel kan de vingerafdruk al niet meer overeen komen met de opgeslagen waarde. Doordat alleen een hash wordt opgeslagen is het een stuk lastiger om een goede match te krijgen. Er is een goede kans dat er twee of meer personen uiteindelijk dezelfde hash produceren. De kans op een Hash Collision hangt af van het aantal meetpunten, en het aantal bits per waarde in combinatie met het hash algoritme. Voor een vingerafdruk moet je een snel hashing algoritme hebben en is precisie niet al te belangrijk. Uiteindelijk is het geen groot probleem als twee medewerkers beiden dezelfde hash als vingerafdruk hebben, mits ze ernaast ook een ander soort identificatie moeten gebruiken. (Pasje of gebruikersnaam.) Het moet dan ook snel gebeuren, en dat doet de precisie ook teniet. Het is dan ook verbazingwekkend dat niemand alle “false positives” opmerkt binnen dit soort systemen. Maar voor juridische kwesties is die onnauwkeurigheid te problematisch. De vingerafdruk die de politie aanlevert kan misschien wel 10 tot 20 matches opleveren, mits het bedrijf maar genoeg medewerkers heeft.

              Natuurlijk hangt veel af van het hashing algoritme maar veel hashing algoritmes zijn relatief traag om brute-force aanvallen af te kunnen weren. Het is erg vervelend als een hacker 10.000 pogingen per seconde kan doen. Je moet daarbij rekening houden met afwijkingen die er zijn bij het apparaat dat de vingerafdruk uitleest, bijvoorbeeld omdat de vinger niet precies op de juiste plek zit. Of iets schever. Dat betekent dat er na het uitlezen van de vingerafdruk even op een handige manier gezocht moet worden binnen de database van hashes. Bij veel hash algoritmes is 1 bit verschil al een volledig andere waarde. Dus om een vingerafdruk te kunnen vertalen naar de juiste hash mag je niet te nauwkeurig zijn met het uitlezen van een vingerafdruk. Want als een vuiltje op de vinger al 1 bit van 0 naar 1 verandert krijg je nooit een match.

              Het is dus best grappig want er is een kans dat iemand anders met hun vingerafdruk jouw telefoon kan ontgrendelen omdat deze toevallig dezelfde hash-waarde oplevert. Die kans is wel erg klein, maar niet onmogelijk. Maar voor de politie misschien genoeg om een verdachte te vinden maar voor een rechter te twijfelachtig om betrouwbaar te zijn…

              1. Dus om een vingerafdruk te kunnen vertalen naar de juiste hash mag je niet te nauwkeurig zijn met het uitlezen van een vingerafdruk.

                Men gebruikt vaak een type similarity hash, of gebruikt een algoritme dat bepaalde punten detecteerd, en de afstand berekend tussen deze punten, zodat het niet uitmaakt of je vinger wat scheef zit. Voor een collision heb je dan echt dezelfde vinger nodig. Daarom weer de afstand tussen een enkele opname en de vector in het systeem, en deze thresholden: indien onder een bepaalde afstand, dan is het een geldige toegang.

                De vingerafdruk die de politie aanlevert kan misschien wel 10 tot 20 matches opleveren, mits het bedrijf maar genoeg medewerkers heeft.

                Je kan dat ook weer precies uitrekenen, maar is hele ingewikkelde wiskunde. Zelfs met duizenden werknemers zul je niet in de problemen komen. Er worden vectoren en similarity hashes berekend voor de gezichten van een miljoen verschillende mensen, en daarna met 99% geclassificeerd. Dat is van een foto, niet een precieze scanner van de unieke gleuven op je vingers.

                1. Ja, maar het probleem is de nauwkeurigheid want zoals gezegd, 1 verkeerde bit en een hash is compleet anders. Je moet dus bij een vingerafdruk dan ook de precieze hash berekenen die in de database staat. Als je de afstand berekent tussen 10 punten op een vinger die je via een bepaald algoritme hebt bepaald dan kan er nog steeds een kleine afwijking zitten per meting. Hoe hard je met de vinger drukt heeft ook invloed, evenals het vochtgehalte in je vinger en of je net gezwommen hebt of lang in bad hebt gezeten.

                  En natuurlijk is er het AVG probleem. Als je algoritme de kans op collisions klein genoeg maakt dan is de hash dus toch een persoonsgegeven. Een 1024-bit hash zou binnen de AVG dus een probleem kunnen opleveren maar een 32-bit hash heeft een grote kans op collisions (1 op 65.536) waardoor het niet meer uniek is, maar toch zeldzaam genoeg om als beveiliging gebruikt te worden. (Want als een pincode van 4 cijfers voor velen al genoeg is, is een 32-bit hash dat zeker ook!)

                  Het hash algoritme is dus zeer belangrijk. En ja, dit soort systemen kunnen de kans op collisions vrijwel 99.9999999999999999% uitsluiten maar dan is het wel een uniek persoonsgegeven. Dus hoe nauwkeurig wil je het hebben om de AVG te omzeilen? Niet al te nauwkeurig, dus. 🙂

  2. verwijzen naar hashes en roepen dan dat het anoniem is.

    Een handige stelregel wanneer een hash anoniem is: als er een zeer grote kans is op dubbele hashes. Bijvoorbeeld de laatste 4 cijfers van een telefoonnummer. Als je alleen dat opslaat als ‘hash’ dan is het geen persoonsgegeven meer gok ik zo.

    En daarmee is het uiteraard ook meteen ongeschikt voor authenticatie, want met een 9 cijferig telefoonnummer zijn er dus al snel enkele honderdduizend andere mensen met een zelfde telefoonnummer.

  3. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

    Voor de zekerheid even de kanttekening: dit is een heel erg slecht idee, want je kunt op die manier nooit rechten van een persoon intrekken, want je weet (als het goed is!) niet welke vingerafdruk van die persoon is. Als je dat wel kunt weten, is het niet anoniem meer.

    Als die persoon dus niet meewerkt door zijn vingerafdruk te geven om die te herleiden tot die in het systeem, moet je de hele database opnieuw opbouwen…

    1. Mijn inschatting is dat het voorbeeld bewust zo platgeslagen was om te bandrukken dat zelfs zonder “namen of rugnummers” (voor iedereen herkenbaas als persoonsgegeven) een gegeven een persoonsgegeven kan zijn.

  4. De noodzaak voor vingerafdrukken is natuurlijk ook omdat pasjes en sleutels uitgeleend of gestolen kunnen worden. Ook een pasje met toegangscode kan gewoon misbruikt worden. Een vingerafdruk is wat moeilijker te stelen, tenzij je iemands vinger afhakt. (Hoewel er mogelijk ook minder extreme manieren zijn om een vingerafdruk te “jatten”.)

    Probleem met andere beveiligingsmethodes is dat mensen pasjes verliezen of zelfs uitlenen aan een collega. Een manager die b.v. aan een medewerker een pasje uitleent met pincode zodat de medewerker even iets kan ophalen omdat de manager er geen tijd voor heeft. Of andere redenen waarom een collega even mijn pasje nodig heeft…

    1. Daarom ook dat er vaak in regelementen is opgenomen dat de pasjes (met bijbehorende codes) persoonlijk zijn en niet mogen worden uitgeleend (of anderszins gedeeld). Nee, daarmee voorkom je niet 100%. Maar dát er misbruik gemaakt kán worden rechtvaardigt niet automatisch of per definitie dat er dus (alleen) met biometrie gewerkt mag worden.

      1. Het probleem is niet dat er misbruik van gemaakt kan worden, maar dat het misbruik wordt gepleegd door personen met wat hogere rangen binnen het bedrijf. Een beetje werknemer zal niet snel risico’s nemen want de regels overtreden kan hem zijn baan kosten. Maar een manager die even druk bezig is of een CEO die “iets beters” te doen heeft zal al snel de neiging kunnen krijgen om een ondergeschikte even iets voor hem te laten doen. En het is een stuk lastiger om zo’n baas binnen het bedrijf te ontslaan, simpelweg omdat het dan een “bestuurs-beslissing” was waarvoor de veiligheid maar even moest wijken. Tegen dit soort managers en bazen werkt alleen een vingerafdruk. Opvoeden lukt niet bij hen en als beheerder heb jij ook geen zeggenschap over hun handelen. Wil je dan toch een manager-proof systeem hebben dan is een vingerafdruk nog het beste.

        Kijk, op een algemene werkvloer is biometrie overbodig. Maar als je toegang krijgt tot kluizen en bedrijfsgeheimen dan zou biometrie een goed idee kunnen zijn, omdat je dan een betere garantie hebt dat alleen die mensen toegang hebben die er bij mogen komen, en niet hun secretaresse die even hun mobiele telefoon moet ophalen die ze op hun bureau hebben laten liggen…

    1. Nee, zie Thomas’ quote uit de wet, eerder in de discussie: „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking.

      Het zijn dus pas biometrische gegevens als de verwerking klaar is. Tot die tijd zijn het gewoon ‘persoonsgegevens’. En die vallen NIET onder de AVG als ze niet zodanig gedetailleerd zijn dat ze herleidbaar zijn naar een specifieke persoon.

        1. Volgens mij niet.

          Gewoon scannen en als beeld (‘foto’) opslaan is verwerken van een gewoon persoonsgegeven, pas na een specifieke technische verwerking (gericht op compacter opslaan, beter classificeerbaar/opzoekbaar maken, en ook hashen?) wordt het een biometrisch persoonsgegeven.

          Dus als je een series foto’s maakt die elk te onnauwkeurig zijn om als persoonsgegeven te tellen, en individueel onderwerpt aan de specifieke technische verwerking en dan weggooit, en dan de resultaten van de specifieke technische verwerkingen samenvoegt zodat ze wel voldoen voor jouw gewenste doel maar nog steeds niet terug te herleiden zijn naar een persoon, werk je in overeenstemming met de AVG.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.