De Deense privacytoezichthouder Datatilsynet heeft fitnessketen Sporting Health Club berispt voor het invoeren van toegang door middel van gezichtsherkenning. Dat meldde Security.nl vorige week. De kern: je moet héél duidelijk zijn over de alternatieven en die als gelijkwaardig presenteren.
De sportschool wilde 24/7 open zijn, maar kon (of wilde) niet altijd personeel daar aanwezig laten zijn. De oplossing is dan vaak biometrie, in dit geval gezichtsherkenning, om naar binnen te mogen.
Onder de AVG is biometrie voor authenticatiedoeleinden een moeilijke optie, omdat het een zwaar middel is. De sportschool koos dan ook voor de grondslag van toestemming, waarmee je de complicaties van de andere grondslagen omzeilt. Alleen moet die dan wel vrijwillig worden gegeven, en deel daarvan is dat er een equivalent alternatief is.
Dat ging hier niet helemaal goed:
De Deense Autoriteit voor Gegevensbescherming is van oordeel dat het feit dat u tijdens de openingstijden van de receptie de mogelijkheid heeft om via persoonlijke service in te checken bij de receptie tijdens de openingstijden van de receptie op zichzelf niet als een soortgelijk alternatief kan worden beschouwd, aangezien u daardoor beperkt wordt in uw toegang tot het centrum vergeleken met wanneer u toestemming geeft voor gezichtsherkenning.Tijdens de bemensde openingstijden binnengelaten worden is niet hetzelfde als 24/7 automatisch naar binnen kunnen. Maar omdat er ook een optie was om op ieder moment (24/7 dus) een externe ondersteuning te bellen die je dan binnenlaat, was uiteindelijk het alternatief toch equivalent.
Alleen, dat alternatief was niet duidelijk aangegeven bij de toestemmingsvraag. Die was op zich uitdrukkelijk en expliciet genoeg over wat er zou gebeuren met je gegevens (niets raars, overigens), maar die moet dus ook benoemen wat er gebeurt als je géén toestemming geeft.
Arnoud
Toestemming is wellicht de verkeerde grond. Want de belangenafweging over de mate van inbreuk op de privacy lijkt best goed rond te zijn. Je hebt zonder gezichtsherkenning toegang tijdens (ongetwijfeld) de meest gangbare tijdstippen,dus dat zit goed. Als je dan om 4:00 naar binnen wilt, is het best uitlegbaar dat er op dat moment niet iemand klaarzit te wachten om je gezicht te checken, voor de enkeling die dan naar binnen wil. Mensen midden in de nacht laten werken heeft overigens ook best invloed op hun gezondheid, dus er is ook een te respecteren belang om daar juist niet al te veel menskracht op te zetten. Daarmee valt de afweging door naar redelijk om dan wel gezichtsherkenning te doen. In het algemeen niet verplicht, alleen als je op bijzondere tijden erin wilt. Dus was gerechtvaardigd belang als grondslag hier misschien wel OK geweest?
Waarom is gewoon een persoonlijke pas o.i.d. om de deur mee te openen niet voldoende? Mijn fitness is ook 24/7 open, maar ik kan daar gewoon naar binnen door de deur te openen met mijn token. Is het uitlenen van pasjes aan mensen die zelf geen lid zijn van de fitnessclub maar wel ineens midden in de nacht willen gaan sporten echt zo’n veelvoorkomend verschijnsel?
Volgens sommige fitnessketens is het gebruik van geleende of gestolen passen juist wel een probleem. Het zit hem dan niet zo zeer in gemiste abonnementsinkomsten, maar in de schade die (dronken) vandalen ’s nachts aanrichten. Wanneer de gezichtsherkenning een match met een bekend lid registreert is het een stuk makkelijker om die persoon juridisch aan te spreken voor de schade.
Maar dat is natuurlijk geen grond ten opzichte van mij. Ik ben in 57 jaar nooit een dronken vandaal geweest, dus de kans dat ik er een zal worden is miniem.
De sportschool wil MIJN gegevens verwerken omdat ze daardoor schade door ANDEREN makkelijker kunnen verhalen? Hoe is dat een grond om MIJN gegevens te verwerken?
Het is toch geen regeling specifiek met jou? Het is een regeling voor klanten van die sportschool in het algemeen. Die regeling wordt gedragen door de gerechtvaardigde zorg over schade en vandalisme.
Hetzelfde argument zou opgaan bij beveiligingscamera’s in een winkel tegen diefstal. Ik steel niet, maar dat is niet relevant. De regeling is er om alles en iedereen in de gaten te houden. Daar kun je discussiëren over zaken als noodzaak, effectiviteit en subsidiariteit maar dat doe je niet op individueel niveau, dat gaat over “de klanten” en “het personeel” in abstracte zin.
Ik ben niet overtuigd.
Waar het hier om gaat is authenticatie dmv biometrie vs authenticatie door een persoonlijke toegangspas. Ook met een persoonlijke toegangspas kunnen ze, met redelijke zekerheid, op basis van beveiligingscameras in de algemene ruimte en een timestamp, nagaan wie die vandaal was (of op wiens toegangspas die vandalen zijn binnengekomen) en dus de schade verhalen.
Het biometrische aspect specifiek bij de authenticatie draagt niet noemenswaardig bij aan dat doel.
Ik ben trouwens over het algemeen niet zo voor gronden als ‘als er wat gebeurt, weten we wie het is, en daarom ontmoedigt het ongewenst gedrag’. Te indirect, te onbewezen.
En zelfs als het waar is, kom je in de knoop met een belangenafweging: is die gereduceerde jaarlijke schadepost aan vandalisme de inbreuk op de privacy van honderden of duizenden of tienduizenden niet-daders waard? Die schadepost moet je niet afwegen aan de privacy van 1 persoon, maar aan de privacy van alle personen wiens gegevens je verwerkt.
De ‘persoonlijke’ toegangspas is geen authenticatie, omdat die niet aan de persoon is gebonden. Dat ‘persoonlijk’ is gebaseerd op vertrouwen en de ervaring is helaas dat het vertrouwen vaak misplaatst is.
Om te authenticeren zal je dus een manier moeten hebben om te identificeren dat de juiste persoon de pas gebruikt en de pas is dus louter een autorisatie middel.
Wat is het verschil van een kaart met een sleutel?
Volgens mij dat je individueel kunt controleren en het lijkt me beter dan een sleutel.
Ik snap ‘m even niet? Leden lenen hun pas uit aan dronkenlappen? Of leden gaan zelf dronken naar binnen en ontkennen dan “ik leende m’n pas uit” of “mijn pas was gestolen”?
Is in het laatste geval gewone camerabewaking bij de ingang niet voldoende om te laten zien dat “ja dat was jij wel zelf”?
Uitlenen, in de hal van je gedeeld appartement laten liggen, doorverkopen en dan liegen dat je ‘m kwijt was, al die dingen. Een camera bij de ingang helpt niet perse, mensen hebben hoodies op of kijken weg en dan heb je geen link tussen persoon-in-sportkleding binnen en persoon-in-dikke-jas buiten.
De waarde van een geleende of gestolen toegangspas is een stuk kleiner als hij niet werkt voor derden. Het ontmoedigt niet alleen “kleine broertjes of zusjes” om er misbruik van te maken, maar ook oneerlijke vinders.
Een technisch alternatief is toegang door een clubpas met chip, magneetstrip of QR code te scannen. Je moet daarom van goede huize (lees zwaar beveiligde gebouwen als een kerncentrale) komen om gerechtvaardigd belang voor gezichtsherkenning in te roepen.
Je bedoelt die pas, met chip of magneetstrip, die je zo even meegeeft aan een vriend of huisgenoot als die ’s avonds als er geen controle is naar de sportschool wil? Of die QR code die je even op de scanner gooit en onder je vrienden verspreid?
Die pas regelt autorisatie, maar is waardeloos zonder authenticatie/identificatie.
Wat deze onzin uitspraak feitelijk zegt is ‘ga ’s avonds maar dicht, of accepteer makkelijke fraude of hogere kosten omdat er toch personeel moet zitten.
Elk automatisch systeem dat moet voorkomen dat een pasje misbruikt word, moet per definitie biometrische gegevens gebruiken. Het vervangt immers een mens die ook biometrische gegevens gebruikt om te identificeren.
Een voorbeeld van wat er gebeurt als je niet goed nadenkt over de gevolgen van de wet die je hebt gemaakt.
Mijn werkgever gebruikt geen biometrische gegevens en ik heb toegang tot iets meer dan een fitnessruimte.
Ook niet voor computertoegang…
Dat jouw werkgever er vanuit gaat dat zijn werknemer betrouwbaar is en zijn pasje niet uitleent, mede omdat dat hem zijn inkomen kost. Is een bewust risico wat hij neemt.
Daarnaast heeft hij waarschijnlijk die iets meer dingen waar je toegang toe hebt beveiligd met wachtwoorden, zodat een verloren pasje niet zomaar gebruikt kan worden. Zo niet, dat is dan een bewust risico dat jouw werkgever neemt.
Ik kan je ook een legio voorbeelden noemen van organisaties die dat risico niet nemen en waar op het pasje een foto staat en bij de ingang een bewaker die jou met die foto vergelijkt. En zelfs organisaties waar je zonder pasje en biometrische gegevens niet binnenkomt.
Het risico wordt gedefinieerd door kans (op misbruik) en impact (kosten van misbruik). Bij veel organisaties met biometrische toegangscontrole zal het voornamelijk om de impact gaan, bij deze sportschool is de kans op misbruik heel groot.
Wat jouw werkgever doet en wat zijn risk appetite is, is zijn keuze en heeft helemaal niets met deze casus te maken.
De sportschool waar ik was kon je ook overdag betreden met alleen een pasje. Dat pasje kon ik ook meegeven aan huisgenoten, daar betaalde ik ook voor. Er was wel personeel aanwezig, maar dat controleerde niet wie wel of niet binnenkwam. Dus geen gezichtsherkenning om iemand te identificeren. Dat kon ook niet want er stond geen foto op het pasje of in de lidmaatschapsregistratie. Als je je pasje scande ging het hek open en dan was er geen medewerker die een extra controle deed. Alleen als een pasje weigerde, kon je met een aannemelijk verhaal de medewerker overtuigen alsnog het hek open te doen.
Daar zeg je wat: je betaalde voor een overdraagbaar pasje.
Dat is overigens ook een deels alternatief voor die sportschool. Voer een duurder, overdraagbaar, abonnement in en doe de sportschool ’s nachts alleen open voor die abonnementen.
Dat lost alleen niet het probleem op van vandalen die onherkenbaar en met gestolen pasjes binnen komen. Geen idee hoe groot dat probleem is. Als dat financieel een groter probleem is, dan ben je nog niets opgeschoten.
Als er s’nachts geen personeel aanwezig is zal er neem ik aan camerabewaking zijn zodat er alarm geslagen kan worden bij ongelukken of calamiteiten. En die beelden worden vast gedurende een bepaalde periode opgeslagen. Daarmee vergeleken lijkt een systeem wat mijn foto vergelijkt met wat 1 specifieke camera ziet behoorlijk onschuldig.
Ik wordt een beetje moe van de AVG, het is mij inmiddels wel duidelijk dat het een goed idee is dat volledig doorgeslagen is en zijn doel voorbijschiet.
Die fitnessketen doet niets verkeerd, de wet is verkeerd.
Dat ben ik niet met je eens. Ik vind gezichtsherkenning een gevaarlijke ontwikkeling en vind niet dat dat nodig zou moeten zijn om op een normale manier mee te doen in de maatschappij (dus zaken doen zoals naar de fitness of winkelen). Er zijn best goede omstandigheden te bedenken waar biometrie op z’n plaats is, maar kunnen fitnessen lijkt me niet zo’n omstandigheid. Ik heb er geen vertrouwen in dat zo’n sportschool of winkel die gegevens afdoende kan beveiligen, en als het aantal plaatsen waar men dat gaat gebruiken groter wordt, wordt de kans dat die data gestolen en misbruikt wordt ook steeds groter.
Er zijn ook voor die fitnessketen echt andere oplossingen te bedenken. Bijvoorbeeld de combinatie van een pasje en een pin-code; met alleen het pasje kom je dan niet binnen, dus als iemand met het pasje van iemand anders binnen komt weet je dat diegene ook de code heeft verstrekt en die schendt dan uiteraard de voorwaarden en kan aangesproken worden. Diefstal, verlies en mede-gebruik is dan opgelost.
En hoe ga je achter het delen van pas en pincode komen als je geen enkele andere identificatie methode hebt?
Ik snap je zorgen om gezichtsherkenning, deels heb ik die ook. Niet zozeer bij een opt in om te mogen sporten op ongebruikelijke tijden.
Ik maak me meer zorgen over het koppelen van allerlei systemen door de overheid al dan niet in combinatie met gezichtsherkenning. Het VK, met name de City of London, zijn een goed voorbeeld van ‘1984’. Overal camera’s met uitgebreide inzet van gezichtsherkenning.
Zolang je losse systemen niet gaat koppelen en alleen gebruikt voor het doel waarvoor toestemming is gevraagd, levert een gezichtsherkenningssysteem geen extra privacy beperking op ten opzichte van een pasjes systeem eigenlijkgebruik van pasjes. Het beperkt wel de privacy bij oneigenlijk gebruik. Ik kan me daar niet druk over maken, dat is juist het – volkomen begrijpelijke – doel.
In plaats van ons druk te maken over losse systemen kunne we ons beter druk maken over wat de overheid doet. Camera’s op straat, met koppeling en gezichtsherkenning, door de overheid is het echte probleem. En laat die nu juist een bijzondere positie hebben met veel meer mogelijkheden.