Een lezer vroeg me:
Mijn werkgever heeft gekozen voor implementatie van schermsloten met vingerafdrukherkenning. Echter, mij is nu onduidelijk of dit als verwerking van biometrische gegevens telt onder de AVG. Immers: er wordt geen foto van de vingerafdruk opgeslagen maar een vectorpatroon dat niet (her-)gebruikt kan worden als vingerafdruk. Dat vectorpatroon wordt opgeslagen in een speciale chip waar het niet uitgehaald kan worden. De “vingerafdruk” verlaat dus nooit de laptop, zelfs niet de chip.Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.
Het vectorpatroon blijft in een speciale plek, een chip die op een veilige manier een nieuw vectorpatroon (van een nieuw aangeboden vinger) vergelijkt met het opgeslagen patroon. Daar komt een “ja” of “nee” uit en daar kan de rest van het systeem mee verder. Dit is qua beveiliging van de persoonsgegevens prima, en het lijkt me ook meer algemeen een keurige implementatie.
Het is alleen niet zo dat je daarmee geen biometrische persoonsgegevens verwerkt. Je doet dit heel adequaat, veilig en zorgvuldig, maar je doet het uiteindelijk wel. En dat is dan verder prima, mits je maar je houdt aan de algemene regels over biometrie.
De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:
… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
In dit specifieke geval zie ik de noodzaak wel, met name omdat het een optionele extra is naast de gewone authenticatie en de authenticatie op de laptop blijft waar deze ingebouwd zit. De noodzaak is dan “ik als gebruiker wil sneller en toch veilig me authenticeren op mijn laptop” en in die kleine context lijkt me dat verdedigbaar.
Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een ‘iemand’ en dat is genoeg om van een persoonsgegeven te spreken.
De vraagsteller zegt dat de vingerafdruk niet hergebruikt kan worden als reden dat het misschien geen biometrisch gegeven is onder de AVG. Maar er zijn twee aspecten aan het opslaan van een vingerafdruk (of ander gegeven van een persoon):
Wat mij betreft dus echt weer persoonsgegevens omdat punt 2 wel mogelijk is.
Wat ik er over heb gelezen, is dat biometrische beveiliging slechts als een noodzakelijkheid en als gerechtvaardigd kan worden gezien in uitzonderlijke gevallen, zoals voor de toegang in kerncentrales en andere zwaar beveiligde ruimtes.
In gewone gevallen zijn andere, geen biometrische, beveiligingen afdoende en zou een biometrische beveiliging niet afgedwongen mogen worden.
Wel zien veel mensen het gemak van het ontsluiten van een telefoon of laptop met vingerafdruk of gezichtsherkenning en zetten zij dit zelf aan. Op vrijwillige basis lijkt mij dat prima.
Wat de autoriteit persoonsgegevens er over zegt:
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie
Is het feit dat het gebruik van biometrische gegevens een ‘optionele extra’ niet per definitie strijdig met noodzakelijkheid? Kennelijk kan men prima zonder die extra laag.
Die efficiëntie wordt m.i. praktisch net zo bereikt met een usb-token (waarbij geen biometrie wordt gebruikt). En stel dat het sneller is dan andere vormen van 2FA, is efficiëntie dan een argument voor noodzakelijkheid? En bij hoeveel tijdswinst is het van doorslaggevend belang?
De Autoriteit Persoonsgegevens is hier ook (voor de afwisseling) vrij duidelijk over. Alleen met de uitdrukkelijke toestemming van de persoon in kwestie mag je alsnog biometrische gegevens verwerken als het niet absoluut noodzakelijk is. Dus bij een kerncentrale mag je het verplichten, bij een laptop in een kantoorsetting moet je altijd een alternatief bieden.
Zie ook https://autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie
Dat van die kerncentrale komt uit de parlementaire behandeling, en ik heb me altijd gevraagd wie bedacht heeft dat daar de lat moet liggen.
Wat ik vooral vreemd vind, is dat na die opmerking het gewoon verder gaat met “denk er even goed over na” in plaats van “voor u als gewoon bedrijf zult u hier niet aan komen, dus zoek wat anders”. “Gaat het om een zwaarwegend algemeen belang om het gebouw of informatiesysteem met biometrie te beveiligen?” komt immers neer op “bent u net zo belangrijk als een kerncentrale”, en ik vind het raar om dat dan te brengen op zo’n casual manier.
In de Manfield-zaak over biometrische authenticatie op de kassa vond de rechter dat de wetgever eigenlijk zéér negatief was en dat het erop neerkomt dat er altijd een alternatief moet zijn. Dat lijkt me een betere lijn.
In de redelijk standaard gebruikte Windows Hello authenticatie wordt er geen biometrisch gegeven opgeslagen op het netwerk. Een graaf representatie van je vingerafdruk zit encrypted in een secure chip op de laptop die je zelf bij je hebt en je werkgever heeft er geen toegang toe. Ook als je de laptop inlevert kan niemand bij de encrypted (AES 256) informatie over je vingerafdruk.
Een vingerafdruk is uniek voor een persoon maar zegt verder niets over een persoon en je laat ze overal achter zodat het een gegeven is met een lage privacy waarde maar een hoge identificatiewaarde.
Niet op het netwerk, maar wel op de chip in het device. Dat lijkt me een “geheel of gedeeltelijk geautomatiseerde verwerking” (artikel 2 lid 1 AVG). Dat de werkgever er geen toegang toe heeft, doet daar toch niets aan af?
Je hebt helemaal gelijk. Alleen is niets van wat je zegt, relevant voor de vraag of de AVG van toepassing is. Je geeft wel een sterk antwoord op de vraag of aan de beveiligingseisen uit de AVG is voldaan en of het principe van pseudonimisering goed wordt toegepast. Dat is namelijk helemaal top geregeld hier.
Wel een vraag is hier of de werkgever wel een verwerker is.
De werkgever heeft op geen enkel moment controle over de vingerafdruk. Je krijgt gewoon een device dat autonome biometrische functies aanbiedt.
Verwerkt een werkgever ook biometrische als de werkgever telefoons beschikbaar stelt met biometrische functies daarop? En zo nee waarom zou het bij een laptop met vergelijkbare biometrische functies wel zo zijn!!
De werkgever kiest voor inzet van deze laptops en het activeren (dan wel niet deactiveren) van deze functionaliteit. Daarmee bepaalt de werkgever doel en middelen van de verwerking, en is zij dus verwerkingsverantwoordelijke. Dat het allemaal technisch heel mooi is afgeschermd is een knap stukje privacy by design en heel fijn voor de werkgever.
Ik denk dat je helemaal gelijk hebt dat je bij een telefoon met vingerafdruksensor als werkgever ook biometrische gegevens verwerkt. De enige escape is dat we dit toch een huishoudelijke verwerking door de werknemer mogen noemen, omdat het optioneel is (zowel in Android als iPhone hóef je geen vingerafdrukauthenticatie) en het enkel alleen ten behoeve van unlocken door de werknemer is.
Ik vind het wat vergezocht dat het een keuze is van de werkgever. Je moet als werkgever steeds betere security toepassen en de biometrische is een veilige en logische optie aangezien het op telefoons ook al de meest gebruikte vorm van authenticatie is.
Je hebt als werkgever op geen enkel moment inzage of controle over de biometrische gegevens op de laptop chip net als bij de biometrische gegevens op een telefoon. Als je geen inzicht en geen controle hebt over data en ook niemand anders heeft inzicht of controle over de data kun je dan een verwerker van die data zijn.
En bovendien is er nog een mogelijk vreemd issue. Zijn Apple voor de telefoon of Dell voor de laptop dan de eigenlijk verwerkers en moet je als organisatie die deze producten gebruikt en dus een verwerkingsverantwoordelijke bent een verwerkingsovereenkomst sluiten met deze bedrijven.
Nou ja, je vergelijkt toch laptops en hun security features? Dat is een keuze maken. Er zijn genoeg zakelijke laptops zonder biometrie, en je kunt het ook uitzetten. Ik hoor je over “veilig en logisch” maar dat is een motivatie om je keuze mee te maken, geen dwang toch?
Dat je er geen inzage over hebt, is niet relevant. Het gaat erom dat jij dat middel wil inzetten, dat en dat alleen maakt dat de AVG van toepassing is. Al die andere dingen maken dat het mág van de AVG, dus het is allemaal prima. Je bent verwerkingsverantwoordelijke als je beslist wat er gaat gebeuren, niet pas als je bij de ruwe data kan of als je het algoritme ontworpen of geaudit hebt of iets dergelijks.
Apple en Dell zijn geen verwerkingsverantwoordelijke aangezien zij geen biometrische gegevens verwerken met die sensoren. Zij zetten die dingen niet aan en instrueren hun werknemers niet om die feature te gebruiken.
Mijn bedrijf kiest voor Office 365 Enterprise en je kan kiezen tussen Windows Hello (6 cijfer PIN, Vingerafdruk, Gezichtsscan etc) of een fysieke FIDO enabled security key. Het is dus een eigen keuze maaar 99 procent kiest voor Windows Hello met biometrie omdat dat natuurlijk veel makkelijker is.
Blijft natuurlijk hoe “secure” deze secure chip is. Sommige mensen zijn daarin nogal goedgelovig.
Zelf even testen is ook niet aan de orde.
Fundamenteel probleem is dat je je vingerafdruk niet kan wijzigen. één keer gelekt en hij kan nooit meer voor een belangrijk systeem gebruikt worden.
Inderdaad, vingerafdrukken zijn relatief makkelijk na te maken, net als Lips-sleutels.
Maar omdat dat toch wel wat effort kost is het in de praktijk geen probleem. Een lips-sleutel is prima voor de voordeur (alsdus de inboedelverzekering). En een vingerafdruk is prima voor een laptop.
Maar je gebruikt ook geen lips-sleutel voor een kerncentrale, dus wellicht ook geen vingerafdruk.
Eigenlijk zeg je dat een vingerafdruk nooit gebruik kan worden.
Voor AVG moet het over zware beveiligingseisen gaan “een kerncentrale” Jij stelt dat het daarvoor niet geschikt is, wat wel eens waar zou kunnen zijn.
Vingerafdrukken zijn geschikt voor identificatie (wie is dit?), niet voor authentificatie (bewijs dat jij het bent). Dat ligt dicht bij elkaar, maar is niet hetzelfde.
Voor laag risico-beveiliging (de voordeur, 95% van alle laptops) is het prima. Namaken is de moeite niet waard.
Los daarvan kun je discussiëren of de zware eisen van de AVG mbt biometrische gegevens wel zo wenselijk zijn bij vingerafdrukken. Het is immers geen foto waar je details van kunt afleiden waarmee je iemand kun discrimineren (geslacht, geloof, huidskleur)
Identificatie door een in te tikken gebruikersnaam is zeer gevoelig voor misbruik. Bij het gebruik van een vingerafdruk is de identificatie een stuk sterker gekoppeld aan de persoon. Met deze extra factor is de identificatie van de gebruiker bij de aanmeldprocedure betrouwbaarder uit te voeren.
In een aanmeldprocedure komen identificatie en authenticatie bij elkaar en een versterking van ieder van de componenten versterkt de procedure.
Vingerafdrukken zijn prima geschikt voor zowel identificatie als authenticatie.
Ik snap de gedachte gang niet dat het ongeschikt zou zijn voor dat laatste.
Je moet alleen wel zorgen dat je de identificatie goed hebt gedaan als je de authenticatie op zet, maar dat geldt voor andere methodes van authenticatie net zo goed.
Is het nou bij het gebruiken van biometrische gegevens altijd noodzakelijk om een DPIA uit te voeren? Op de website van de AP (1) staat immers:
“Voordat u mag beginnen met het gebruik van biometrische gegevens voor identificatie, moet u eerst een data protection impact assessment (DPIA) uitvoeren. Het verwerken van biometrische gegevens staat namelijk op de lijst met verwerkingen waarvoor een DPIA verplicht is.”
Maar als ik naar die lijst (2) kijk, staat dat een DPIA verplicht is bij o.a.:
“Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren”.
Bij een bedrijf dat niet duizenden medewerkers heeft, zou ik zeggen dat het gebruik van biometrische gegevens ter identificatie geen ‘grootschalige’ verwerking is en een volledige DPIA dus niet per definitie nodig is. Terwijl de eerste quote van het AP suggereert dat elk bedrijf -groot of klein- dat Windows Hello inschakelt, een volledige DPIA moet uitvoeren daarvoor.
(1) https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie#u-moet-een-dpia-doen (2) https://www.autoriteitpersoonsgegevens.nl/uploads/imported/stcrt-2019-64418.pdf
Dan denk ik ook dat dat geld voor grote bedrijven die bijvoorbeeld een iPhone verstrekken.