Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

| AE 13390 | Ondernemingsvrijheid, Privacy | 20 reacties

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

| AE 12721 | Privacy, Security | 27 reacties

Een lezer vroeg me:

Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?
Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Arnoud

Ja, je mag een verdachte (licht) dwingen zijn vinger op zijn telefoon te zetten

| AE 12505 | Regulering | 32 reacties

Levert onder dwang gebruikmaken van vingerafdruk van verdachte ter ontgrendeling van bij hem in gebruik zijnde smartphone met het oog op bewijsgaring inbreuk op het o.m. in art. 6 EVRM vervatte nemo tenetur-beginsel op? Die vraag kreeg de Hoge Raad onlangs voorgelegd in een strafzaak, en het antwoord is nu gegeven: nee

We hebben het vaker over onder dwang ontgrendelen gehad. Lagere rechters hebben tot nu toe eigenlijk steeds gezegd dat dat mag, verdachte in de handboeien en dan de vinger gedwongen op de sensor om de telefoon zo te openen. (Wat je daarna mag doorzoeken, is weer een andere discussie. Maar open gaat ‘ie, want die agent is sterker dan jij.)

Het ging in deze zaak om de biometrische ontgrendeling van een in beslag genomen smartphone van een verdachte om ten behoeve van het opsporingsonderzoek (kort gezegd: diefstal in vereniging en oplichting) toegang te krijgen tot de inhoud daarvan. De iPhone die verdachte bij zijn aanhouding bij zich had, is in beslag genomen en door de politie meteen in ‘Flight Mode’ gezet, zodat de telefoon niet van afstand kon worden gewist.

Tijdens zijn verhoor heeft verdachte verklaard dat de in beslag genomen iPhone zijn toestel is en dat niemand anders dat toestel gebruikt. Aan verdachte is gevraagd, en daarna bevolen, de toegangscode van zijn telefoon te geven. Dat wilde hij niet.  Vervolgens is verdachte geboeid en is zijn rechterduim met fysieke dwang maar zonder geweld op de vingerafdrukscanner van de iPhone geplaatst. Hierdoor werd de iPhone ontsloten.

Nu dus bij de Hoge Raad de vraag: mocht dit, op deze manier? Voorop staat, aldus de HR, dat het mogelijk moet zijn om in beslag genomen voorwerpen te doorzoeken bij verdenkingen van misdrijven. Dat geldt ook voor de inhoud van smartphones, dus die moeten open kunnen als ze dicht zijn. Daarbij mag dwang worden toegepast: het afpakken van dingen die iemand vasthoudt, bijvoorbeeld. Idem voor vingers op smartphones zetten.

Alleen, dan loop je ook tegen dat rechtsbeginsel aan dat mensen niet tegen zichzelf hoeven te getuigen, of meer algemeen mee te werken aan zijn eigen veroordeling (artikel 6 EVRM, nemo tenetur voor de juristen). Maar dat is geen absoluut recht

In artikel 6 EVRM ligt besloten dat, indien ten aanzien van een verdachte sprake is van een “criminal charge” in de zin van die bepaling, deze het recht heeft “to remain silent” en “not to incriminate oneself”. Beslissend voor de vraag of in een strafrechtelijke procedure het nemo tenetur-beginsel is geschonden, is of het gebruik tot het bewijs van het onder dwang van de verdachte verkregen materiaal in een strafzaak zijn recht om te zwijgen en daarmee zijn recht om zichzelf niet te belasten van zijn betekenis zou ontdoen.
Men citeert vervolgens een zaak van een verdachte die gedwongen braakmiddelen toegediend kreeg, om zo doorgeslikte drugs uit diens spijsverteringskanaal te krijgen. Dat was géén overtreding van artikel 6, want de verdachte hoefde zelf niets te zeggen of doen. (Wel was het een overtreding van het martelverbod uit artikel 3 EVRM, omdat dit veel te invasief is voor het beoogde doel en niet vergelijkbaar met bijvoorbeeld bloed of dna afnemen.)

De HR concludeert dan ook instemmend dat de verdachte hier ook niets hoefde te zeggen of doen, zodat hij niet gedwongen werd mee te werken aan zijn veroordeling. De mate van dwang was zeer beperkt, zodat ook artikel 3 niet overtreden werd. Deze werkwijze was dus legaal.

Arnoud

Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

| AE 11437 | Ondernemingsvrijheid, Privacy | 18 reacties

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is… Lees verder

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de… Lees verder

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

| AE 10911 | Privacy | 12 reacties

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Informatiemaatschappij | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland): I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me? (Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst… Lees verder