Een Spaans outsourcingsbedrijf heeft wegens meerdere AVG-overtredingen bij het gebruik van een inlogsysteem met vingerafdruk een boete van 365.000 euro gekregen. Het bedrijf liet medewerkers twee jaar lang inloggen via hun vingerafdruk. De Spaanse privacytoezichthouder AEPD ontving een klacht over het systeem en besloot onderzoek te doen.
Het bedrijf liet weten dat de vingerafdrukscanner geen identificatiesysteem was, maar een authenticatiesysteem. Er werden dan ook geen vingerafdrukken opgeslagen, maar hashes van vingerafdrukken. De vingerafdruk zou na de scan meteen verwijderd worden. Tevens stelde het bedrijf dat medewerkers via een werknemersportaal over de gegevensverwerking werden ingelicht.
Volgens de Spaanse privacytoezichthouder was de informatievoorziening over de gegevensverwerking onjuist, te algemeen en onvoldoende informatief. Er werd alleen gemeld dat er een vingerafdruk-inlogsysteem werd gebruikt.
Verder stelde de toezichthouder vast dat er onvoldoende beveiligingsmaatregelen waren genomen om de vingerafdrukgegevens te beschermen. De derde AVG-overtreding die de toezichthouder vaststelde betrof het niet uitvoeren van een data protection impact assessment (DPIA) voor het verwerken van de vingerafdrukgegevens.
Alles bij de bron; Security
Een vingerafdruk is als een persoonlijke stempel. En je hebt er (waarschijnlijk) tien van, want elke vingerafdruk aan je hand is anders. Tenminste, dat dachten we. Kunstmatige intelligentie ‘denkt’ daar anders over. Is AI dan toch slimmer dan de mens?
De afdruk die je met je vingers achterlaat is voor de technische recherche essentieel voor het opsporen van misdadigers. Alleen laten die boeven niet bij elk misdrijf dat ze plegen dezelfde afdruk achter. Soms die van hun wijsvinger, soms een duim. Dan is het lastig om twee delicten aan elkaar te koppelen.
Daar brengt AI mogelijk verandering in. Een nieuw AI-aangestuurd computersysteem kan van twee verschillende vingerafdrukken zeggen of ze van dezelfde persoon komen. Met 77 procent zekerheid, ontdekten onderzoekers. Uit een openbare database in Amerika gebruikten ze zestigduizend afdrukken, waarna het AI-systeem afzonderlijke vingerafdrukken aan elkaar kon koppelen.
Als dus bij het ene misdrijf een afdruk van een linkermiddelvinger opduikt, en bij het andere slechts een afdruk van een rechterpink, kan AI die twee in het vervolg koppelen aan één dader.
Maar wat doet AI nu precies beter dan mensen, de ontdekking zit in de manier van kijken naar de afdrukken.
Wij mensen keken altijd naar de vertakkingen en uiteindjes van al die lijnen op je vinger, de papillairlijnen. Het nieuwe AI-systeem bekijkt juist de hoeken en krommingen van de lusjes en kriebellijntjes in het midden van je vingertop. En daarin vindt AI dus toch overeenkomsten tussen verschillende vingers van dezelfde persoon.
Alles bij de bron; Quest
Een Nederlands bedrijf krijgt een boete van 725.000 euro opgelegd vanwege het gebruik van vingerafdrukscanners voor aanwezigheids- en tijdregistratie. Het bedrijf mag geen vingerafdrukken van medewerkers verwerken zo meldt de Autoriteit Persoonsgegevens (AP).
Het verwerken van vingerafdrukken is alleen toegestaan indien een bedrijf zich kan beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. Dat is in dit geval niet het geval, concludeert de toezichthouder.
Monique Verdier, vicevoorzitter van de AP: "Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand."
Alles bij de bron; DutchITChannel
Onderzoekers zijn erin geslaagd om op drie verschillende laptops van Dell, Lenovo en Microsoft de vingerafdrukcontrole van Windows Hello te omzeilen. Via Windows Hello kunnen gebruikers onder andere door een scan van de vingerafdruk inloggen.
Microsoft betaalde onderzoekers van securitybedrijf Blackwing om te onderzoeken of het mogelijk was de authenticatie te omzeilen. Bij alle drie de laptops (Dell Inspiron 15, Lenovo ThinkPad T14 en Microsoft Surface Pro Type Cover met Fingerprint ID) blijkt dat het geval.
De vingerafdruksensors waarop de onderzoekers het hadden voorzien maken gebruik van een 'match on chip' of MoC, in plaats van 'match on host'. Doordat de vingerafdruk-templates nooit de chip verlaten moet dit het risico wegnemen dat biometrisch materiaal opgeslagen op het host-systeem wordt gestolen als de host wordt gecompromitteerd.
Deze aanpak moet ook voorkomen dat een aanvaller een afbeelding van een geldige vingerafdruk naar de host stuurt om te laten controleren en zo de authenticatie te omzeilen.
MoC-sensoren zijn echter kwetsbaar voor spoofing- en relay-aanvallen. Om dit tegen te gaan bedacht Microsoft het Secure Device Connection Protocol (SDCP). Het protocol moet ervoor zorgen dat de vingerafdruksensor wordt vertrouwd en in goede conditie is en dat de invoer tussen de sensor en host wordt beschermd. Het eerste dat de onderzoekers ontdekten was dat SDCP op twee van de drie laptops niet was ingeschakeld.
Daarnaast bleek het bij alle drie de laptops mogelijk Windows Hello te misleiden. De onderzoekers doen fabrikanten verschillende aanbevelingen, waaronder het inschakelen van SDCP.
Alles bij de bron; Security
Door middel van een aangepast smart lock is het mogelijk om vingerafdrukken te stelen om zo toegang tot beter beveiligde systemen en accounts te krijgen. Ook het oprapen van een op het eerste gezicht onschuldig lijkend apparaatje maakt diefstal van biometrische data mogelijk, zo blijkt uit onderzoek.uitgevoerd door Steve Kerrison van de James Cook University uit Singapore (pdf).
In het verleden is er geregeld aandacht geweest voor het omzeilen van de vingerafdruksensor van bijvoorbeeld smartphones. Minder aandacht heeft het gebruik van dergelijke sensoren gekregen voor het stelen van vingerafdrukken. Steeds vaker beschikken goedkope IoT-apparaten, zoals smart locks, over vingerafdruksensoren.
Deze apparaten hebben minder krachtige processors, goedkopere sensoren en bieden niet dezelfde beveiliging als een smartphone. Een aanvaller zou via het minder beveiligde IoT-apparaat een vingerafdrukafbeelding kunnen stelen om daarmee toegang tot een ander apparaat of account te krijgen. Kerrison noemt dit de "droplock" aanval.
...Het lukte de onderzoeker om door middel van een debug-interface de firmware van een niet nader genoemd smart lock te overschrijven. Zo is het mogelijk om vingerafdrukken te scannen en via bluetooth naar een apparaat of aanvaller in de buurt te sturen.
Om dergelijke aanvallen te voorkomen adviseert de onderzoeker het uitschakelen van debug-interfaces en alleen toestaan van gesigneerde firmware-updates.
Alles bij de bron; Security
Nederland geeft de Amerikaanse autoriteiten toegang tot de Nederlandse strafdatabank die ruim zes miljoen vingerafdrukken van 1,5 miljoen veroordeelden en verdachten bevat. Ook het Verenigd Koninkrijk heeft een aanvraag tot koppeling gedaan. Al twintig landen hebben toegang tot Het Automatisch Vingerafdrukkensysteem Nederlandse Kollektie (HAVANK), zoals de database wordt genoemd.
Jaarlijks worden zo'n 150.000 vingerafdrukken ingevoerd en gecontroleerd. Dit zijn vingerafdrukken van verdachten van een misdrijf waarop voorlopige hechtenis staat of die weigeren zich te identificeren. Deze vingerafdrukken mag de politie gebruiken voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en identificatie van onbekende lijken.
Het grote aantal vingerafdrukken in de database komt volgens Riemen door de lange bewaartermijnen en de hoeveelheid aanhoudingen. Vingerafdrukken van personen die geen verdachte meer zijn, moeten uiteindelijk worden gewist. Tenzij ze nog verdachte zijn in een andere zaak of zijn veroordeeld. De wet schrijft dan ook voor dat de politie alleen vingerafdrukken mag verwijderen in opdracht van de Justitiële Informatiedienst (Justid). Er wordt nu onderzocht of dit proces moet worden aangepast.
De politie maakt sinds 1989 gebruik van HAVANK. Ook is er een smartphone-app ontwikkeld om aangetroffen vingerafdrukken direct te vergelijken met de sporen in HAVANK.
Alles bij de bron; Security
FNV heeft elektronicawinkel MediaMarkt opgeroepen te stoppen met het gebruik van vingerafdrukscanners. Werknemers moeten hun vingerafdruk laten scannen om op bepaalde plekken in de winkel te komen.
FNV vindt dat de noodzaak voor het afnemen van vingerafdrukken bij werknemers ontbreekt. De vakbond pleit voor andere manieren om afgeschermde plekken binnen de winkels te beveiligen, zoals een druppel of een pasje. "Dat heeft MediaMarkt in het verleden ook gebruikt en maakt geen inbreuk op de privacy van de werknemer", zegt Onur Erdem, bestuurder van FNV Handel. "Het moet toch niet gekker worden? We hebben het hier over de MediaMarkt, niet over een kerncentrale of het hoofdkwartier van de geheime dienst", schreef hij eerder.
Ook zou de MediaMarkt niet toelichten hoe de vingerafdrukscans van zijn werknemers worden bewaard. Daarom moet er snel een einde komen aan de veiligheidsmaatregel, vindt de FNV-bestuurder. "Er werken veel jongeren bij het bedrijf die niet weten wat hun rechten zijn op het gebied van privacy. Die moeten beschermd worden."
De AP heeft vorig jaar een boete van 725.000 euro opgelegd aan een bedrijf dat vingerafdrukken van werknemers scande. Het bedrijf gebruikte een vingerscan om werktijden te registreren, maar overtrad daarmee de privacywet. Het is niet bekend om welk bedrijf het gaat. Een rechter bepaalde dat de AP de naam van het bedrijf niet openbaar mag maken.
Eind 2019 bleek al dat verschillende winkels zouden stoppen met het gebruik van een vingerscan voor personeel, zoals de supermarkten Dirk en DekaMarkt en schoenenzaak Manfield.
Alles bij de bron; NU
De news-feed komt ineens met oude artikelen over de vingerafdruk op de proppen. Toch leuk zo'n oud artikel dat inmiddels alweer deels is ingehaald door de realiteit van vandaag.
Vingerafdrukken die worden genomen bij de uitgifte van een paspoort worden alleen nog opgeslagen op de chip in de pas zelf en niet meer bij de gemeente of uitgiftepunt. Voorlopig is hiermee de landelijke databank met vingerafdrukken van de baan...
...Donner kondigt woensdag verder aan dat de Nederlandse identiteitskaart een andere wettelijke status krijgt. Dit betekent dat er nog steeds met de kaart in Europa gereisd kan worden, maar dat daar niet meer verplicht vingerafdrukken in moeten worden opgenomen. Vanuit Europa is opgelegd dat gezichtsopname en twee vingerafdrukken worden vastgelegd in reisdocumenten. Uit een inventarisatie blijkt die regel voor nationale identiteitskaarten in geen enkele lidstaat van de Europese Unie wordt toegepast, behalve in Letland.
Max snijder, biometrieconsultant en voorzitter van het European Biometrics Forum, noemt het project met een centrale opslag van biometrische gegevens "heel onvolwassen". "Politici laten zich leiden door beelden uit 'CSI', maar je kunt met biometrie echt geen terroristen vangen."
Alles bij de bron; Trouw
Wie een identiteitskaart aanvraagt moet voortaan ook verplicht twee vingerafdrukken afstaan, die op de chip van het identiteitsbewijs worden opgeslagen. De verplichting om vingerafdrukken af te staan volgt uit een Europese verordening, die stelt dat alle identiteitskaarten in de EU twee vingerafdrukken van de houder moeten bevatten.
Privacyfirst is daar niet blij mee. 'De vingerafdrukken zitten eigenlijk voor niets in de database', zegt Vincent Böhre. 'Vingerafdrukken zijn biometrische persoonsgegevens. Die mogen normaal gesproken niet verwerkt worden zonder dat je er toestemming voor geeft. De paspoortwet is nu aangepast om dit mogelijk te maken. Maar eigenlijk was het al vanaf 2009 gaande', legt Böhre uit. 'De bezwaren van destijds gelden nog steeds. Ter bestrijding van identiteitsfraude met jouw vingerafdruk.'
Maar volgens Böhre komt die identiteitsfraude nauwelijk voor. 'Het gaat om zogenaamde look-a-like-fraude. Maar dat blijkt wel mee te vallen. Enkele tientallen gevallen per jaar. Dat gaat wat ons betreft nu dus veel te ver om dan de vingerafdrukken te registreren.'
Gezichten zitten al in de database en omdat die fraude dus nauwelijks voorkomt denkt Böhre dat een gezicht voldoende is ter identificatie. 'Vingerafdrukken zijn onnodig en overbodig.'
De vingerafdrukken die bij de aanvraag moeten worden afgestaan worden tijdelijk opgeslagen in de reisdocumentenadministratie. Bij het afhalen van de identiteitskaart verdwijnen de vingerafdrukken automatisch uit deze administratie, zo stelt de RvIG. "De vingerafdrukken staan dan alleen op de chip van je identiteitskaart of paspoort, die je zelf in bezit hebt."
Verder staat het Burgerservicenummer (BSN) in een qr-code op de achterzijde van de identiteitskaart. Het BSN is hiermee verwijderd uit de machineleesbare strook en de chip. Naast het verwerken van het BSN in een qr-code, staat het ook nog als leesbare cijfers op de achterzijde van de id-kaart aan de rechterkant.
Alles bij de bronnen; BNR & Security
Sinds 2009 bestaat de controversiële Europese verplichting om vingerafdrukken in paspoorten op te nemen. Tot nu toe waren identiteitskaarten van deze Europese verplichting uitgezonderd. Sinds 2009 werden ook in Nederlandse identiteitskaarten vingerafdrukken opgenomen, maar wegens privacybezwaren werd deze Nederlandse verplichting per januari 2014 afgeschaft. Inmiddels bestaat er echter nieuwe Europese wetgeving waardoor de opname van vingerafdrukken in identiteitskaarten per 2 augustus 2021 alsnog weer verplicht wordt.
Nederlandse burgers kunnen tot 2 augustus as. nog een nieuwe identiteitskaart zonder vingerafdrukken aanvragen. Daarna niet meer, tenzij u "tijdelijk of permanent fysiek niet in staat bent om vingerafdrukken te laten afnemen."
Naar verwachting zal de Eerste Kamer op 13 juli as. debatteren over de wijziging van de Paspoortwet i.v.m. de herintroductie van vingerafdrukken in Nederlandse identiteitskaarten. In dat verband stuurde Privacy First gisteren onderstaande email aan de Eerste Kamer:
....Na lezing van het huidige verslag van uw Kamer bij de wijziging van de Paspoortwet ter herinvoering van vingerafdrukken in identiteitskaarten, attendeert Privacy First u hierbij dan ook op onderstaande aandachtspunten. In dit verband verzoeken wij u om tégen de betreffende wetswijziging te stemmen, ook tegen het Europese beleid in. Immers:
Zie voor achtergrondinformatie het WRR-rapport ‘Happy Landings’ dat Privacy First directeur Vincent Böhre schreef in 2010. Mede naar aanleiding van dit kritische rapport (en de grootschalige rechtszaak van Privacy First c.s. tegen de Paspoortwet) werden de decentrale (gemeentelijke) en geplande centrale opslag van vingerafdrukken in 2011 afgeschaft.
Alles bij de bron; PrivacyFirst