Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

Een lezer vroeg me:

Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?
Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Arnoud

Ja, je mag een verdachte (licht) dwingen zijn vinger op zijn telefoon te zetten

Levert onder dwang gebruikmaken van vingerafdruk van verdachte ter ontgrendeling van bij hem in gebruik zijnde smartphone met het oog op bewijsgaring inbreuk op het o.m. in art. 6 EVRM vervatte nemo tenetur-beginsel op? Die vraag kreeg de Hoge Raad onlangs voorgelegd in een strafzaak, en het antwoord is nu gegeven: nee

We hebben het vaker over onder dwang ontgrendelen gehad. Lagere rechters hebben tot nu toe eigenlijk steeds gezegd dat dat mag, verdachte in de handboeien en dan de vinger gedwongen op de sensor om de telefoon zo te openen. (Wat je daarna mag doorzoeken, is weer een andere discussie. Maar open gaat ‘ie, want die agent is sterker dan jij.)

Het ging in deze zaak om de biometrische ontgrendeling van een in beslag genomen smartphone van een verdachte om ten behoeve van het opsporingsonderzoek (kort gezegd: diefstal in vereniging en oplichting) toegang te krijgen tot de inhoud daarvan. De iPhone die verdachte bij zijn aanhouding bij zich had, is in beslag genomen en door de politie meteen in ‘Flight Mode’ gezet, zodat de telefoon niet van afstand kon worden gewist.

Tijdens zijn verhoor heeft verdachte verklaard dat de in beslag genomen iPhone zijn toestel is en dat niemand anders dat toestel gebruikt. Aan verdachte is gevraagd, en daarna bevolen, de toegangscode van zijn telefoon te geven. Dat wilde hij niet.  Vervolgens is verdachte geboeid en is zijn rechterduim met fysieke dwang maar zonder geweld op de vingerafdrukscanner van de iPhone geplaatst. Hierdoor werd de iPhone ontsloten.

Nu dus bij de Hoge Raad de vraag: mocht dit, op deze manier? Voorop staat, aldus de HR, dat het mogelijk moet zijn om in beslag genomen voorwerpen te doorzoeken bij verdenkingen van misdrijven. Dat geldt ook voor de inhoud van smartphones, dus die moeten open kunnen als ze dicht zijn. Daarbij mag dwang worden toegepast: het afpakken van dingen die iemand vasthoudt, bijvoorbeeld. Idem voor vingers op smartphones zetten.

Alleen, dan loop je ook tegen dat rechtsbeginsel aan dat mensen niet tegen zichzelf hoeven te getuigen, of meer algemeen mee te werken aan zijn eigen veroordeling (artikel 6 EVRM, nemo tenetur voor de juristen). Maar dat is geen absoluut recht

In artikel 6 EVRM ligt besloten dat, indien ten aanzien van een verdachte sprake is van een “criminal charge” in de zin van die bepaling, deze het recht heeft “to remain silent” en “not to incriminate oneself”. Beslissend voor de vraag of in een strafrechtelijke procedure het nemo tenetur-beginsel is geschonden, is of het gebruik tot het bewijs van het onder dwang van de verdachte verkregen materiaal in een strafzaak zijn recht om te zwijgen en daarmee zijn recht om zichzelf niet te belasten van zijn betekenis zou ontdoen.
Men citeert vervolgens een zaak van een verdachte die gedwongen braakmiddelen toegediend kreeg, om zo doorgeslikte drugs uit diens spijsverteringskanaal te krijgen. Dat was géén overtreding van artikel 6, want de verdachte hoefde zelf niets te zeggen of doen. (Wel was het een overtreding van het martelverbod uit artikel 3 EVRM, omdat dit veel te invasief is voor het beoogde doel en niet vergelijkbaar met bijvoorbeeld bloed of dna afnemen.)

De HR concludeert dan ook instemmend dat de verdachte hier ook niets hoefde te zeggen of doen, zodat hij niet gedwongen werd mee te werken aan zijn veroordeling. De mate van dwang was zeer beperkt, zodat ook artikel 3 niet overtreden werd. Deze werkwijze was dus legaal.

Arnoud

Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nagedacht hebt en vooraf hebt onderbouwd waarom het op deze manier moet. Heb je niet nagedacht, dan mag het niet. Zoals hier.

De zaak was aangespannen* door een werknemer die het niet eens was met deze verwerking van bijzondere persoonsgegevens (biometrie) bij de Manfield-keten. Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, dat verplicht moest worden gebruikt om te kunnen afrekenen. Volgens Manfield was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel. En tsja, de AVG verplicht tot gebruik van passende state of the art technische beveiliging en zo’n pincodetje zoals vroeger, dat is natuurlijk wel een tikje verouderd he meneertje. (Oh pardon, ga ik weer met mijn AVG cynisme.)

(* Met compliment voor Manfield, dat er een gezamenlijke stap naar de kantonrechter van maakte om duidelijkheid te krijgen én de griffiekosten betaalde.)

Een iets serieuzere reden was zo te lezen dat er in de oude systemen nog wel eens fraude werd gepleegd, je kunt immers elkaars pincode afkijken en dan valse transacties onder elkaars account boeken – of een collega inloggen die eigenlijk nog niet op het werk was, en zo toch voor de hele dag betaald kan krijgen. Er was “nagedacht” over alternatieven zoals pasjes, maar dat bleek niet 100% waterdicht.

Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland staat er (art. 29 UAVG) dat het mag als noodzakelijk voor beveiliging of authenticatie. “Noodzaak” wil hier niet zeggen “we hebben geen reëel alternatief” en dat vereist een uitwerking van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet) als van de risico’s en hun maatregelen voor de privacy van de werknemer (dit is hoe we het netjes houden). En die uitwerking ontbrak bij Manfield, en dan ben je gewoon direct af onder de AVG. Had Manfield op papier de alternatieven uitgewerkt met hun voors en tegens en was er dán uiteindelijk dit systeem uitgekomen, dan had het zeer waarschijnlijk wel gemogen.

Wie nu denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er dus weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat toegangsbeveiliging met irisscan of vingerafdrukken regelt, is dit bijvoorbeeld een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware), er komen veel wisselende mensen en er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Dat zie ik dus niet als een probleem.

(Meelezende DC security officers: doe me alleen een lol en ga je bezoekers geen consentformulier laten tekenen voor vingerafdrukgebruik. Consent is voor nieuwsbrieven.)

Arnoud

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu of de AVG een uitzonderingsgrond biedt voor deze categorie verwerkingen. Dat komt met name door een fout antwoord van de minister op Kamervragen hierover.

Biometrische gegevens zoals vingerafdrukken worden onder de AVG aangemerkt als bijzondere persoonsgegevens, waarmee ze in beginsel helemaal niet mogen worden gebruikt. Alleen als de AVG daar een aparte grondslag voor biedt, kan dat toegestaan zijn. Naast uitdrukkelijke vrijwillige toestemming -die werknemers niet kunnen geven- is voor biometrie eigenlijk de enige optie dat je je beroept op een nationale regeling die het onder voorwaarden toelaat (art. 9 lid 2 AVG). De politieke achtergrond hiervan is namelijk dat de lidstaten het niet eens konden worden over de toelaatbaarheid en risico’s van biometrie, zodat iedereen het maar zelf in zijn eigen wet moet regelen.

In Nederland is er sinds 25 mei de Uitvoeringswet AVG, waarin een aantal nationale regels zijn opgenomen die de AVG nader uitwerken of aanvullen, waaronder op het punt van biometrie. In artikel 29 daarvan wordt het verbod op gebruik van biometrie opgeheven wanneer

de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Opvallend daarbij is dat bij de invoering alleen over beveiligingsnoodzaak is gesproken. Biometrie is natuurlijk primair bedoeld voor de veiligheid, zeker weten dat je de juiste persoon binnen of buiten laat. In de zeer korte behandeling van dit wetsartikel komt men dan ook niet verder dan de inzet voor toegangscontrole.

In de beantwoording van de Kamervragen uit februari gaat de minister ook niet verder dan dat:

Het criterium van de regeling in de UAVG betekent dat het gebruik van vingerafdrukken noodzakelijk moet zijn voor de beveiliging van de toegang van gebouwen of ICT systemen. Het vastleggen van de biometrische gegevens moet voorts proportioneel zijn en noodzakelijk voor de toegangscontrole.

En bij het antwoord op vraag 3 (mag een werknemer straffeloos weigeren zich met vingerafdruk in de prikklok te registreren) is men nog stelliger: Ja. Dat wekt natuurlijk wel héél erg de indruk dat biometrie voor prikklokken niet de bedoeling is – het is geen toegangscontrole, en de werknemer mag niet worden gestraft met niet-uitbetaling van gewerkte uren als hij er niet aan wil meewerken. Daar zou ik ook wat zenuwachtig door worden als werkgever.

Het klopt natuurlijk niet. “Authenticatie” is een veel breder begrip dan enkel “toegangscontrole”. Authenticatie is algemeen gesteld het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Er is geen enkele reden om dat te lezen als beperkt tot nagaan in de context van toegang tot controle of bijvoorbeeld een ict-systeem. De Uitvoeringswet noemt in de tekst ook nergens die beperking.

Relevant is natuurlijk wel of de inzet van biometrie noodzakelijk is voor het goed functioneren van de prikklok. Er zijn immers alternatieven, zoals authenticatie met een persoonlijk pasje. De vraag wordt dan of die alternatieven onwerkbaar zijn, bijvoorbeeld omdat er te makkelijk mee kan worden gefraudeerd. Je kunt immers het pasje van je collega meenemen en scannen, om zo fictief zijn uren op te hogen. In de praktijk gaat het vooral om gemak, zo lees ik in het FD:

‘De praktijk leert echter dat veel medewerkers de voorkeur hebben voor het gemak van de vingerscan boven het gedoe van een pasje. We hebben dan ook diverse klanten gehad die een groot deel van hun passen hebben teruggestuurd’, aldus Matthijs van den Ende van [prikklok-leverancier] Dyflexis.

Gemak zou ik zien als een te zwak argument om de noodzaak te ondersteunen. Als mensen liever met vingerafdrukken werken vanwege het gemak, dan zou je dat kunnen zien als een uitdrukkelijke toestemming. Dan kom je uit bij een prikkloksysteem dat én met vingerafdruk én met pasje werkt, zodat de werknemer de keuze heeft. Dat lost het probleem dan op, zij het dat je nog blijft zitten met de mogelijkheid van pasjesfraude. Maar dat is een al bekend probleem waar -neem ik aan- ook al oplossingen voor zijn.

Arnoud

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk bevel. Helaas werkte het niet in het recentste geval, omdat ook een pincode nodig was. Desondanks: handige jongens die agenten, maar is het legaal?

Een risico van biometrische gegevens voor identificatie of authenticatie is altijd dat die gegevens tegen de wil van de eigenaar kunnen worden verkregen. Juridisch gezien ligt het namelijk nogal anders of je iemands wachtwoord opeist of iemands vingerafdruk. Een wachtwoord is een stukje kennis, iets dat men weet. Kennis opeisen van een verdachte ligt moeilijk vanwege het verbod om tegen jezelf te getuigen. Maar medewerking eisen aan een fysieke handeling – ga deze kamer in, ga hier zitten, leg je vinger op dit stempelkussen en nu op dit papier – is lang aanvaard als een legitieme bevoegdheid.

Het doet hier vooral raar aan omdat deze persoon overleden is. Juridisch gezien is de status van een overleden persoon altijd wat ingewikkeld, maar in de praktijk worden dingen er vooral simpeler op. Een overleden persoon heeft bijvoorbeeld geen privacyrechten – de AVG en andere privacywetgeving geldt alleen voor levende mensen (“natuurlijke personen”) en dus niet voor overledenen.

Maar in het strafrecht ligt dat anders: als iemand overlijdt, dan stopt de strafvervolging (art. 69 Strafrecht). Daarmee komt in principe ook een einde aan de bevoegdheid om de voor die vervolging gebruikte bewijsmiddelen te doorzoeken. Maar niet helemaal: die gegevens kunnen immers ook voor andere onderzoeken nog relevant zijn, en daarom mogen ze langer (tot twee jaar na overlijden, art. 6 Wet justitiële en strafvorderlijke gegevens) bewaard worden.

Ik kan in het Nederlands recht niets vinden dat de bevoegdheid geeft om de vinger van een overledene op een telefoon te plaatsen om die daarmee te unlocken. Ik denk dat het mag, omdat niets het verbiedt en het niet raakt aan de privacy van de eigenaar – die is immers overleden en hééft dus geen privacy meer. Hoe cru dat ook klinkt. Dit is dus een uitzondering op de regel dat men telefoons niet zomaar mag doorzoeken.

Arnoud

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud