Een lezer vroeg me:
Vanwege zorgen over wachtwoord-delen heb ik mijn werknemers nieuwe laptops gegeven, waarbij ze met hun vingerafdruk de laptop kunnen unlocken en alleen toegang krijgen tot die delen van ons systeem die voor hen relevant zijn. Ik krijg nu klachten dat ik hiermee de AVG schend omdat ik met deze nieuwe aanpak ongeoorloofd biometrische gegevens van hen op zou slaan. Hebben ze daar een punt?Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.
De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:
… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.Hier is precies sprake van dat geval. Met de vingerafdruk wordt de gebruiker geauthenticeerd. De vingerafdruk gaat nergens naar toe, maar blijft in de laptop. Dat is dus een keurige implementatie die aan de beveiligingseisen van de AVG voldoet.
Het probleem is dan of het ‘noodzakelijk’ is in de zin van artikel 29. Hierover staat een passage in de memorie van toelichting bij de invoering van dit wetsartikel, die regelmatig discussie oproept:
Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Aan de andere kant kan biometrie soms juist een belangrijke vorm van beveiliging zijn voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten, waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.Uit dat “zoals bij een kerncentrale” wordt vaak afgeleid dat de lat dus heel hoog ligt, want wie is er nou vergelijkbaar met een kerncentrale. De Autoriteit Persoonsgegevens zegt dat het “moet gaan om een zwaarwegend algemeen belang”, een uitzonderlijke situatie. De gemiddelde mkb-organisatie komt daar niet aan.
In 2019 vond winkelbedrijf Manfield dat vingerafdruksensoren nodig waren voor authenticatie bij de kassasystemen, omdat je daarmee toegang kreeg tot klantgegevens en personeelsgegevens. Dit sluit mooi aan bij die laatste zin: informatiesystemen met veel persoonsgegevens vergen extra beveiliging, ook als het geen kerncentrales zijn.
De rechter oordeelde anders, maar vooral omdat Manfield niet had onderbouwd dat alternatieven zoals pasjes niet goed genoeg zouden zijn. Had men een afweging met voors en tegens van de diverse technologieën overlegd en was daaruit de vingerafdruksensor als meest geëigend gekomen, dan had dit wel eens anders uit kunnen vallen.
Dit probleem zien we vaker bij de AVG: er is weinig jurisprudentie, en de oorspronkelijke kaders (2016-2018) zijn sterk verouderd. De technologie is snel gegroeid maar de “waarom” vraag blijft daar fors bij achter. Dus dan is de vingerafdruksensor nu het meest voor de hand liggend (haha), maar waarom het echt béter is dan de alternatieven, blijft onduidelijk.
Arnoud
Dan ben ik benieuwd over welk soort bedrijf het gaat. Gaat het om een webshop met fiets onderdelen, of een organisatie werkzaam in de thuiszorg?
Ik gooi drie suggesties over de schutting:
het probleem is de verplichting. Windows hello for business is zodanig in te richten dat het optioneel is ( https://www.sikich.com/insight/making-windows-hello-for-business-optional-on-microsoft-entra-joined-computers/ ) en daarmee verwerk je biometriche authenticate na explicite toestemming omdat de medewerker een bewuste handeling moet uitvoeren door het te configureren. Wil je je toestemming intrekken? ga even langs bij IT en je machine wordt opnieuw geimaged.
correctie: in sign-in opties kan je een authenticatiemethde eenvoudig weer intrekken. Daarmee voldoe je aan de eis dat interkken zo envoudig moet zijn als consent geven. de laatste belangijke eis is dat de toestemming weloverwogen moet zijn. het beschijven van de werking van WHFB kan je doen in de (digitale) handleiding die je de medewerkers geeft bij het uitreiken van een nieuw apparaat.
“explicite toestemming omdat de medewerker” medewerker en toestemming gaat eigenlijk nooit samen in een zin. Die kan niet vrij gegeven worden dus je zult het elders moeten zoeken.
Juist in dit geval kan het vaak wel. Uiteindelijk is het de vraag of het een werkelijk vrije keuze is. Als er een negatief gevolg in de arbeidsrelatie zou kunnen ontstaan (of er is een niet onredelijke angst daarop) dan is het waarschijnlijk geen vrije toestemming. Als de keuze echter is tussen snel inloggen met vingerafdruk en langzamer inloggen met een andere methode en er verder geen werkgeversdruk is dan is het waarschijnlijk wel een vrije toestemming.
Het zal (vooraf) ook duidelijk moeten zijn welke (verandering van) verantwoordelijkheidsverdeling het gevolg is van de keuze. Dus ook duidelijkheid over wie, waarop wordt aangesproken als er iets mis gaat.
Ja, optioneel is geen probleem en het aanzetten door de werknemer is bewijs dat er geen bezwaar (artikel 21 AVG) is. De casus is, de werkgever verplicht het.
Sowieso zou ik windows Hello puur optioneel maken. In enterprise-omgevingen waar je veel werkt met SSO/online identiteiten voor bijvoorbeeld CRM-systemen kan het zijn dat de authorisatie op je laptop (windows hello) niet lief samenwerkt met de brede identiteit (bijvoorbeeld in je online CRM-systeem) waardoor je allemaal interessante authenticatieproblemen kunt krijgen.
Mogelijk is dit al opgelost, maar voor mij een reden om windows hello niet te gebruiken.
Van een werknemer toestemming vragen biometrische gegevens te gebruiken, daar zie ik bezwaren vanwege de gezagsverhouding. Niet of verplicht.
Maar puur vrijwillig, in de zin dat bv. iedereen username/pass/MFA kan gebruiken maar Hello niet hard is uitgeschakeld? Dan een vrij keuze, me dunkt.
Terzijde, zijn er LLM’s die geen biometrische gegevens kunnen verwerken? Zojuist er een gevraagd te zeggen wie die blonde man met oranje hoofd is waarbij het aangaf geen naam te kunnen geven. Maar wel allerhande biometrische gegevens oplepelen zoals haarkleur, vorm van gezicht, etc.
Taalmodellen verwerken taal. Zolang de taal woorden bevat als roodharig, blond, blank, Aziatisch, etc. zal een taalmodel in staat zijn om biometrische gegevens te verwerken.
Een vingerafdruk is meestal een onveilig systeem en dan krijg je het nooit AVG conform.
a) Je kan je vingerafdruk niet wijzigen, dus bij een probleem is het einde volledig systeem. Dit is een nogo b) Voor een kwaadwillende is het relatief eenvoudig om een vingerafdruk te bekomen/stelen. Of gebruik jij altijd handschoenen? c) De vingerafdruksensor in een laptop moet goedkoop zijn en is een algemeen verkrijgbaar product. –> Een kwaadwillende kan eindeloos testen en proberen om het te omzeilen -met zijn eigen vingerafdruk copie-.
Ik zie vooral ideeên voor systemen waar de beveiligingseis niet hoog is en men een efficiëntiewinst wil bekomen. Maar dat mag nu net niet van de AVG.
Het is misschien niet heel moeilijk om een vingerafdruk te stelen, maar de vingerafdruk stelen én de laptop stelen is al een stuk meer werk en ook een stuk opvallender. Daarnaast moet je dan nog die sensor weten te omzeilen met je kopie vingerafdruk voordat ik met één belletje naar de ICT afdeling je hele diefstal waardeloos maak. Ik kan me niet voorstellen dat er veel organisaties zijn waar laptops zulke belangrijke informatie bevatten dat het deze tijdsinvestering en de bijbehorende risicos de moeite waard maakt.
Volgens mij is die vingerafdruksensor prima AVG proof in te richten, maar dan wel als optie die de werknemer zelf kan activeren naast een sterk wachtwoordbeleid.
Behalve dat op de laptop hoogstwaarschijnlijk goede vingerafdrukken staan.
Inloggen op de laptop is meestal inloggen op het centraal systeem.
Als er niets belangrijk op staat is, kan er geen AVG grondslag gevonden worden.
Wel als het gebruik van biometrische gegevens niet verplicht is gesteld door de werkgever. Als je ook gewoon voor wachtwoord + MFA kan kiezen, maar Windows Hello staat aan zodat je ook met biometrie in kan loggen (zonder dat de werkgever enige druk richting A of B legt), valt dat gewoon onder toestemming voor de AVG.
Daar komt nog bij dat bij Windows Hello/ laptops de vingerafdruk alleen is opgeslagen in de secure enclave van de laptop en niet centraal. Niet alleen kan de werkgever die gegevens niet opvragen, je kan ze zelf niet eens opvragen.
Er is maar één weg voor de vingerafdruk, namelijk van sensor naar een beveiligd opgeslagen hash. En er komt maar 1 signaal terug uit de secure enclave: hash van de sensor komt overeen met een opgelsgane has of komt niet overeen.
Technisch gezien is er dus geeneens een vingerafdruk opgeslagen, maar slechts een onomkeerbare hash van een vingerafdruk.
Voor een centraal systeem dat meerdere deuren moet openen is de hash wel voor de werkgever beschikbaar, maar beschikt die – in een fatsoenlijk systeem – nog steeds niet over de feitelijke vingerafdruk.
Het is dus een behoorlijke storm in een glas water als je je druk maakt over die hash.
Maar hoe wijzig jij je vingerafdruk als ik een mal heb waarmee ik een kopie van jouw vingerafdruk kan maken om daarmee in te loggen?
(Ik heb een demonstratie hiervan gezien op een CCC ettelijke jaren geleden.)
Ik heb niet alleen een demonstratie gezien, maar er zelfs zelf één gemaakt met de handleiding die ze publiceerde.
En het is zeker een issue voor een goedkoopste aanbieder sensor. Maar een beetje knappe sensor trapt daar tegenwoordig niet meer in.
En zoals iemand anders al aankaarte ze moeten dan niet alleen jouw vingerafdruk hebben, maar ook jouw laptop met een goedkope sensor die daar intrapt.
Ik gebruik zelf geen vingerafdruk, omdat ze dan kunnen forceren dat ik mijn systemen ontgrendel. En met ze bedoel ik overijverige ambtenaren die mij onterecht ergens van verdenken. Een crimineel die met een knuppel en/of wapen naast me staat krijgt gewoon mijn wachtwoord.
DeXKCD waar je naar zocht..
Het is ongetwijfeld een probleem van mijn soms recalcitrante persoonlijkheid, maar als mijn werkgever het zou verplichten zou ik het pertinent weigeren. Ik zie geen noemenswaardig verschil met een persoonlijk pasje dat je langs een scanner haalt.
Pasjes kun je uitlenen, je vinger niet. En ik snap je, maar als uit de juridische analyse blijkt dat de werkgever dit mag eisen, dan blijft er voor jou weinig anders over dan ontslag nemen.
Als zou blijken dat de werkgever het mag eisen dan wel ja. Maar als ik je antwoord goed begrijp is dat op het moment verre van duidelijk, en ligt de lat heel hoog. Het zou helpen als we meer wisten over de specifieke omgeving van je lezer. Ik begrijp de noodzaak tot meer beveiliging bij zeer gevoelige systemen zoals de apothekers uit je voorbeeld echt wel, maar ik kan uit de vraag niet opmaken dat dat speelt. Sterker nog, er staat duidelijk “laptops”, in mijn ervaring staan er bij apothekers en autodealers vaste schermen, geen laptops. Bij rondslingerende laptops op de groep in een kinderdagverblijf zou ik zeggen om eerst eens te beginnen met een vaste plek, ergens waar geen kinderen en ouders kunnen komen. Een extra stevig derde slot op je raam zetten maakt je huis ook niet veiliger als je deur geen slot heeft.
Het gaat dus om medewerkers die laptops gebruiken, maar ook wachtwoorden delen. De eerste vraag is dan: waarom worden er wachtwoorden gedeeld? Kan het zijn dat het zo lang duurt voordat medewerkers de juiste authorisaties krijgen dat dit gedaan wordt omdat het werk anders stil valt? Bij wachtwoord delen zijn er al minstens twee personen betrokken, wat is er aan de hand dat iedereen dus werkt op een persoonlijke laptop maar dat het desondanks toch nodig is om wachtwoorden te delen? Het klinkt voor mij als een situatie waarbij de processen niet werken, medewerkers proberen daar omheen te werken om normaal hun werk te doen, en dat er nu gezocht wordt naar een technische oplossing om die work-arounds te verbieden. De onderliggende problemen oplossen lijkt mij de eerste stap, als die processen goed zijn ingericht dan zou er geen noodzaak moeten zijn om wachtwoorden te delen, en is het ook niet nodig om vingerafdrukken te verplichten.
Een pasje kan vervangen worden een vingerafdruk niet. Naar beveiliging een zeer belangrijke.
Dat verschil is heel duidelijk. Een pasje kun je verliezen of kan gestolen worden.
Pasjes, yubikeys, en wachtwoorden kunnen (en worden) door medewerkers onderling gedeeld, hetzij voor gemak (pasje vergeten) of meer frauduleus (alvast inchecken voor iemand die te laat is).