Vraag;
Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Klopt dat?
Antwoord;
Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, "fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon" (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.
De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij "mag naar binnen ja/nee" zonder namen of rugnummers valt gewoon onder de AVG.
Alles bij de bron; Security
Belgische privacyactivisten hebben het beroep dat zij aanspanden tegen de opslag van vingerafdrukken op de elektronische identiteitskaart (eID) verloren. Het Grondwettelijk Hof ziet geen reden om het wetsartikel dat dit mogelijk maakt te vernietigen (pdf).
De zaak was mede aangespannen door privacyjurist Matthias Dobbelaere-Welvaert, die de campagne "Stop de Vingerafdruk" startte. Ook de Liga voor Mensenrechten stapte naar het Grondwettelijk Hof. Zij stellen dat de opslag van de vingerafdruk niet wettelijk, niet proportioneel en niet veilig is. Het Hof oordeelde echter dat de bestrijding van identiteitsfraude de inbreuk op de privacy rechtvaardigt.
Daarnaast stelt het Hof dat er geen "onevenredige gevolgen" zijn voor het recht op privacy, omdat de wet voldoende waarborgen voorziet. Zo wordt er geen permanent centraal register van vingerafdrukken ingevoerd en is er een beperkte lijst van autoriteiten die de gegevens mogen inzien. De tijdelijke centrale opslag van drie maanden vindt het Grondwettelijk Hof acceptabel. Tevens ziet het geen problemen dat veiligheidsdiensten de vingerafdrukken uitlezen.
Dobbelaere-Welvaert stelt dat de Belgische overheid nog altijd niet heeft aangetoond waarom de maatregel noodzakelijk is tegen identiteitsfraude. Ook hekelt hij het Hof omdat het geen prejudiciële vraag wil stellen aan het Europees Hof van Justitie. De privacyjurist gaat kijken of het haalbaar is om naar het Europees Hof voor de Rechten van de Mens te stappen.
Alles bij de bron; Security
De registratie van vingerafdrukken op de elektronische identiteitskaart is niet in strijd met de privacy. Dat heeft het Grondwettelijk Hof geoordeeld. Privacyjurist Matthias Dobbelaere-Welvaert, die geld inzamelde om de zaak op te starten, reageert teleurgesteld.
Toenmalig minister van Binnenlandse Zaken Jan Jambon (N-VA) besliste in 2018 om, ondanks een negatief advies van de Gegevensbeschermingsautoriteit (GBA), digitale vingerafdrukken toe te voegen aan de elektronische identiteitskaart. In maart 2019 startte privacyjurist Matthias Dobbelaere-Welvaert een procedure op om de maatregel te laten vernietigen door het Grondwettelijk Hof, onder meer omdat die niet wettelijk, niet proportioneel en niet veilig zou zijn.
Volgens het Hof wordt “de inmenging in het recht op eerbiediging van het privéleven en op bescherming van persoonsgegevens, redelijk verantwoord door het doel identiteitsfraude te bestrijden”. “Zij heeft daarenboven geen onevenredige gevolgen voor de rechten van de betrokken personen, rekening houdend met de waarborgen. Bij de bepaling wordt immers geen centraal register van de vingerafdrukken van alle houders van een identiteitskaart ingevoerd.”
“Als het Grondwettelijk Hof in deze zaak geen schending ziet van de privacy, dan vrees ik voor elke andere privacyzaak in de toekomst”, zegt hij op Twitter in een eerste reactie op het vonnis. “Vandaag is een uitermate trieste dag voor de privacy van alle burgers in dit land. Bijzonder, bijzonder teleurgesteld.”
Alles bij de bron; HLN
De nieuwe, biometrische identiteitskaart ziet er anders uit en heeft ook andere functionaliteiten. De belangrijkste nieuwigheid is dat deze eID ook je vingerafdruk bevat.
"De nieuwe elektronische identiteitskaart (eID) vervangt de oude identiteitskaart die al dateert van 2002", legt schepen Joske Dexters uit. "Op die manier voldoet ze aan de strenge internationale regels, die als doel hebben om identiteitscontroles efficiënter te laten verlopen. De nieuwe kaart is dus niet alleen universeel, maar ook een nog veiliger reisdocument. Bij een identiteitskaart met enkel een foto is de kans op misbruik groot. De vingerafdruk voorkomt dit."
De vingerafdruk op de elektronische identiteitskaart is een verplichting door Europa. Enkel het bedrijf dat de kaarten aanmaakt, heeft tijdens de productiefase van drie maanden toegang tot de vingerafdruk. Daarna worden de vingerafdrukken gewist. Ze worden niet in een databank bewaard. Naast de vingerafdruk zijn er nog een aantal nieuwigheden. Zo staat de foto aan de linkerkant in plaats van rechts. De contactchip staat op de achterzijde, samen met een geperforeerd beeld van de foto. Als nationaliteit wordt niet langer BELG maar BEL vermeld, conform de regels van de luchtvaart.
Alles bij de bron; LimburgsNieuws
De Autoriteit Persoonsgegevens doet geen onderzoek naar de afname van vingerafdrukken van bijstandsontvangers door de gemeente Nissewaard.
In 2018 werd bekend dat de gemeente Nissewaard vier jaar lang illegaal de vingerafdrukken van uitkeringsgerechtigden heeft verzameld. Dit gebeurde via een leerwerkbedrijf. Bij de aanvraag van een uitkering moest er een vingerafdruk worden afgestaan. Weigeraars werden onder druk gezet en dreigden een strafkorting te krijgen. Uit onderzoek blijkt dat er geen sancties aan weigeraars zijn opgelegd.
Eind 2018 liet staatssecretaris Van Ark van Sociale Zaken weten dat het afnemen van de vingerafdrukken van bijstandsontvangers onwenselijk en in strijd met de privacywetgeving is. "Toestemming van de bijstandsgerechtigde kan geen grondslag zijn voor verwerking van vingerafdrukken, omdat in deze verhouding tussen overheid en burger immers sprake is van een afhankelijkheidsrelatie en het dus geen in vrijheid gegeven toestemming betreft", aldus Van Ark destijds.
Het gebruik van de vingerafdrukscan was in 2014 door de gemeente gemeld bij het College Bescherming Persoonsgegevens, de voorloper van de huidige Autoriteit Persoonsgegevens. Het CBP zag geen aanleiding om in te grijpen, aldus de gemeente. Na een klacht over het systeem werd het uitgeschakeld en vervangen.
Vorig jaar juni liet de toezichthouder weten dat het geen noodzaak meer zag tot het nemen van verdere stappen en het dossier toen sloot. Daarop besloot vakbond FNV alsnog een klacht in te dienen, maar ook daar zal de AP niets mee doen. De overtreding werd zonder tussenkomst van de Autoriteit Persoonsgegevens beëindigd door de gemeente.
"Daarnaast weegt de AP mee dat met het overgaan op presentielijsten voor de aan- en afwezigheidsregistratie, de impact van de verwerking voor de uitkeringsgerechtigden zeer waarschijnlijk is beëindigd. Door dit alles acht de AP het niet doeltreffend en doelmatig om nader onderzoek te doen", zo stelt de gemeente Nissewaard in een reactie.
Vakbond FNV overweegt beroep tegen het besluit van de AP aan te tekenen. "Toen wij de zaak in augustus 2019 aankaartten, werd gezegd dat dat direct zou gebeuren. Nu, achttien maanden later, moeten we via via horen dat er geen onderzoek komt. Merkwaardig.", zegt FNV-bestuurder Felix Alejandro Perez tegenover RTV Rijnmond.
Alles bij de bron; Security
Op de valreep van de tijdelijke regering, aangesteld om een gezondheidscrisis aan te pakken, komt er vanuit het kabinet van minister van Binnenlandse Zaken Pieter De Crem een opmerkelijk bericht: tegen eind dit jaar zou iedereen diens vingerafdruk moeten afgeven om een identiteitskaart te kunnen krijgen. De privacycommissie is tegen, de experts van actiegroep 'Ministry of Privacy' zijn tegen, net als VUB-privacy-expert Paul De Hert, én er lopen nog steeds gerechtelijke procedures....
...De lijst met bezwaren en bezorgdheden rond deze vingerafdrukken op de identiteitsbewijzen is zeer lang. Niet voor niets dat dé autoriteit, de privacycommissie, tegen is. Zo zouden de vingerafdrukken vervalsing kunnen tegengaan, maar cijfers over hoe vaak vervalsing voor zou komen konden niet worden gegeven. De hele bevolking vragen een deel van hun privacy op te geven in ruil voor iets wat niet kwantificeerbaar is klinkt inderdaad behoorlijk absurd. Terecht dus dat deze procedures nog lopen, maar des te vreemder dat het kabinet dit alsnog snel lijkt te willen doorvoeren. Dat is niet zonder risico's, eenmaal de persoonlijke data zijn geregistreerd, dan is er geen weg meer terug.
In tegenstelling tot een wachtwoord of bankgegevens zijn biometrische gegevens blijvend aan een persoon verbonden. Een lek en de gevolgen kunnen zeer groot zijn. India, een van de landen die de meeste data van diens inwoners in databases heeft staan, kan hierover meespreken. Door een 'foutje' kwamen plots de gegevens van 135 miljoen Indiërs online te staan: oeps. Dus vertrouwen we de overheid werkelijk met al deze data?...
...Veiligheid van de burger betekent ook bescherming tegen de overheid. Vooralsnog ben je in dit land onschuldig tot anders bewezen. Deze maatregel gaat ervan uit dat we allemaal verdachten zijn die in de gaten gehouden dienen te worden.
Alles bij de bron; Knack
Als alles goed gaat, starten eind dit jaar alle gemeenten in het land met het uitreiken van identiteitskaarten met vingerafdruk. Tegen de invoering lopen nog altijd gerechtelijke procedures.
Op 14 januari deelde minister van Binnenlandse Zaken Pieter De Crem in Lokeren de eerste identiteitskaart met vingerafdruk uit. Dat was de start van een proefproject waaraan 23 gemeenten deelnemen.
Bron; HBVL
De Autoriteit Persoonsgegevens heeft een boete van 725.000 opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde. Het niet genoemde bedrijf deed dat om werktijden te registreren, maar dat was in strijd met de privacywetgeving.
De AP gaf de boete aan een bedrijf dat werknemers verplichtte om hun vingerafdruk te laten scannen bij in het in- en uitklokken. De AP ging na een tip langs bij het bedrijf en bevestigde dat daar meerdere 'scanstations' stonden waarop medewerkers hun tijdregistratie moesten doorgeven. Nieuwe werknemers moesten hun vingerafdruk bij aanvang van hun dienstverband afstaan, maar bestaande werknemers moesten die ook later nog registreren. De scans werden bij het bedrijf zelf opgeslagen. Van werknemers die uit dienst gingen, werden de gegevens niet verwijderd, maar wel geblokkeerd in het bijbehorende softwareprogramma...
...Volgens het bedrijf hadden werknemers bovendien de keus hun vingerafdruk wel of niet af te staan. Daarvoor moesten ze echter in gesprek met de directeur van het bedrijf, wat in de praktijk amper voorkwam. "In de paar gevallen waarin dit voorgevallen is, heeft de werknemer na het gesprek met de directeur alsnog zijn of haar vingerafdruk afgegeven", schrijft de AP.
Werknemers zeiden ook verrast te zijn over het feit dat zij plotseling hun vingerafdruk moesten afstaan. Er waren geen goede documentaties of procedures over wat er gebeurde bij weigering. Werknemers konden daardoor geen uitdrukkelijke toestemming geven voor de opslag van hun vingerafdrukken. Sommigen van hen verklaren tegen de AP dat het gebruik verplicht was.
Alles bij de bron; Tweakers
Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.
Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn...
...De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.
De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.
"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers.
Alles bij de bron; Security
Een Poolse school heeft een AVG-boete van omgerekend 4700 euro gekregen voor het verwerken van de vingerafdrukken van bijna zevenhonderd leerlingen. Dat heeft de Poolse privacytoezichthouder UODO bekendgemaakt. De school gebruikte bij de ingang van de schoolkantine een biometrische vingerafdruklezer om te controleren of leerlingen wel voor hun schoollunch hadden betaald.
Het systeem was al sinds 1 april 2015 in gebruik en de school had schriftelijke toestemming van ouders gevraagd. Volgens de Poolse privacytoezichthouder had de school geen wettelijke grondslag voor het verwerken van de vingerafdrukken, aangezien het ook op een andere manier had kunnen controleren of studenten in aanmerking voor een lunch komen. Zo gebruikte de school naast het vingerafdruksysteem ook een elektronische kaart waarmee leerlingen zich konden identificeren.
Vier leerlingen maakten gebruik van dit alternatieve systeem. Deze leerlingen moesten leerlingen die zich biometrisch lieten controleren voorgaan. Dergelijke regels zorgen volgens de toezichthouder voor een ongelijke behandeling, omdat het leerlingen met biometrische identificatie voortrekt.
Alles bij de bron; Security