"Onze DPIA: Je vingerafdrukken laat je toch overal al achter dus kan je nooit bezwaren hebben dat we ze voor authenticatie gebruiken. We hebben het ook de koffiejuffrouw gevraagd en die snapte het probleem ook al niet. Dus mag niemand bezwaar hebben."

Ik zie het nog gebeuren.

Teleurstellend om te zien dat er geen onderscheid is gemaakt tussen 'on device' en 'in the cloud' authenticatie. Bij sommige vormen van authenticatie (#WebAuthn, vingerafdruk op je telefoon) worden de gegevens namelijk alleen verwerkt door een lokale chip, de organisatie krijgt daarmee geen inzage in de biometrische gegevens.

Maar valt dat dan wel of niet onder 'verwerkingen van biometrische gegevens'? Ik zou zelf zeggen van niet, maar genoeg mensen die het verschil niet gaan zien. De AP maakt het er niet veel duidelijker op zo...

Laat ze daar bij het AP eerst maar normaal Nederlands leren.

Het is de tekst van gdpr engelstalig. Beter een begrip dat goed ingevuld dan prachtig Nederlands maar foutief in begrip en verwachting.

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 Let even op annex 2 waar staat waarvoor een dpia bedoeld is. Het gaat om de informatieverwerking.
Foutief is het om enkel naar techiek te kijken.

De ongenuanceerdheid van het ap veroorzaakt een onwerkbaar iets. Bijvoorbeeld:
- belasting betalen mag niet meer
- fatsoenlijk verkeersgedrag op de weg hoeft niet.
- iedereen vrij reuzen want chipkaart mag niet
-de politie mag niets tegen inbrekers en misdadigers dien
Dat gevoel en uitdragen van dat idee geeft een boel terechte weerstand. Jammer van die goed opgestelde gdpr.

Voor een gratis DPIA, zie https://www.privacy-friendly.nl/dpia

Het is geen gegeven dat Nederlands foutief en Engels goed ingevuld betekenen.

Had het AP een correcte Nederlandse term weten te verzinnen, hadden we tenminste geweten dat er daar iemand goed oplet.

Juridische vraag: Is biometrie geen ultieme schending van mijn portretrecht?

Het legt toch vooral de meest kenmerkende gegevens van mijn portret vast? Efficient, daar niet van.

Maar maakt dat gezichtsherkenning en biometrie dan niet de meest fundamentele inbraak op mijn portretrecht? Met name omdat portretrecht veel ouder recht is dan de AVG?

Waarom zou juridisch er onderscheid nodig zijn tussen 'on device' en 'in the cloud' authenticatie?
Hoewel de stelsel natuurlijk technisch verschillend zijn zijn is het in de basis toch al snel dat de gegevens tijdens verwerking ook nog elders inhoudelijk worden ingezien?
Voor zover mij duidelijk is vindt er in essentie voor authenticatie altijd een pairing van gegevens en matching ervan plaats.
Of dat nou op het apparaat plaatsvind of op het apparaat met hulp van internet verbinding & servers, het doel waarvoor het wordt gedaan is hetzelfde.
De hoofdfuncties in de systemen bieden grotendeels ook dezelfde mogelijkheden.
En volgens mij willen toezichthouders regels toepassen die niet of nauwelijks binnen 5 jaar na invoering door een breder scale van technieken en mogelijkheden achterhaald kan raken.

De onderdelen die op het apparaat de authenticatie mogelijk maken staan altijd direct en indirect in verbinding op een of meervoudige wijze met de rest en de andere functies van het apparaat.
Dus ja er is in theorie en qua techniek een andere soort gegevens verwerking.
Bij rechtstreekse identificatie via een onderdeel op 1 apparaat zou je kunnen denken dat er in principe geen gegevens naar buiten hoeven te komen.
Klopt dat in aard (functionele zin) en qua werking (in de praktijk) ook?
En blijft dat onderscheid ook meer dan 5 jaar staande als de techniek verder ontwikkeld wordt?
Ik denk dus dat voor wetgever en toezichthouder de verschillen tussen beide methoden nihil.

Denk je aan de onderliggende gebruikte techniek door aanbieders dan zijn er heel waarschijnlijk wel hele andere exploit mogelijkheden van beide technieken en van de onderdelen die in de 2 technisch verschillende schakelingen betrokken zijn.
Dat impliceert denk ik dus ook dat aanbieders qua techniek en beheer-verantwoordelijkheden bij beide wijzen anders kunnen uitpakken.
Ongetwijfeld gezien de AVG en ICT-veiligheid zienswijze ook nog afhankelijk van de omgeving waarin het apparaat zelf wordt gebruikt.
Gebeurt dat bijvoorbeeld in een organisatie dat onderdeel is van vitale infrastructuur of niet?
Afhankelijk wat aanbieders implementeren moeten ze denk ik er ook rekening mee dat dat inherent andere technische c.q. bijkomende maatregelen kan vergen.

Maakt niet uit hé, dat Engels.
Tja, je kent het gezegde wel toch?
Iemand leeft met z'n head in the cloud, of iets dergelijks???
Volgens mij weet inherent niet iedereen wat je dan precies bedoelt en waar je op doelt, op iets internet achtigs of dat iemand niet met z'n koppie erbij is.

Ik snap niet goed waarom er bij biometrie altijd meteen gedacht wordt dat de opgeslagen gegevens terug te herleiden
zijn tot het betreffende biometrische gegeven (zoals een foto, vingerafdruk, etc) terwijl er bij wachtwoorden helemaal niemand
nog vanuit gaat dat de verwerker het wachtwoord zelf opslaat, in plaats van een hash.

Als wachtwoord kun je ook iets heel persoonlijks gebruiken (weet ik veel, je godsdienst of je BSN of iets dergelijks) en
dan heeft niemand het over privacy. Want het wachtwoord wordt helemaal niet opgeslagen.
Waarom dan aannemen dat een foto of vingerafdruk wel wordt opgeslagen?

Portretrecht is het recht van een geportretteerde persoon om zich te verzetten tegen publicatie van zijn portret, niet tegen het maken of vastleggen van een portret. Zolang er geen sprake is van publicatie is er geen schending van portretrecht.

Biometrie deugt niet als wachtwoordvervanger - daar veranderen GDPR en audits niets aan. Ik blijf radicaal tegen - zelfs al crepeer ik van honger en dorst.

Een hash en verder niets dan een hash??
Is het werkelijk het enige dat wordt gecheckt?
Hoe weten ze dan dat de hash niet elders al of ook gematcht is voor authenticatie???
Ontwikkelaars van hashing-techniek weten dat zonder een extra en unieke identifier een hash onvoldoende degelijk is.
En als we de afwegingen dan toch eventueel enkel willen toespitsen tot hashes, ook QR codes worden als hashes opgeslagen.
Menig volger van actualiteiten en dergelijke technieken weet dat QR codes en hashes inherent kwetsbaar zijn.
Zeker als dezelfde hash eventueel jarenlang of maanden herbruikt (moet) worden gebruikt of herbruikt.

Dus ja, biometrische authenticatie wijzen passen in gevallen oooook hashes toe.
Dus zijn dergelijke hashes volgens u juist meer of minder veilige hashes dan hashes bij andere technieken?

AP noemt het voluit gegevensbeschermingseffectbeoordeling (maar gebruikt wel het letterwoord DPIA als afkorting daarvan). Het is de redactie van security.nl die "data protection impact assessment" gebruikte hierboven. Je richt je kritiek op de verkeerde partij.

Apart om zo'n opmerking te zien terwijl die zelf doorspekt is met taalfouten. Probeer als je de taalvaardigheid van anderen bekritiseert eens om dat te doen zonder zelf met taalfouten te strooien. Zoals je het nu verwoordt roep je de gedachte op dat het slechte begrip misschien niet aan dat prachtige Nederlands in de AVG ligt maar aan je eigen vaardigheid om dat te interpreteren.

Wie de moeite neemt de AVG erbij te halen kan lezen dat daarin de term gegevensbeschermingseffectbeoordeling gehanteerd wordt. Naar verluidt is deze vertaling vanuit de GDPR door een Vlaming gemaakt. Vóór de AVG was in Nederland al de (Engelse) term Privacy Impact Assessment gangbaar (PIA). Daardoor zie je dat Engelse term DPIA vaker gebruikt wordt dan egevensbeschermingseffectbeoordeling.

Ze nemen niet aan dat die foto of vingerafdruk zelf wordt opgeslagen, het gaat erom dat iets dat is opgeslagen gebruikt kan worden om van een foto of vingerafdruk te achterhalen van wie die is. Die wachtwoordhash wordt ook gebruikt om te controleren of jij het wachtwoord kent. Het gaat om die mogelijkheid.

Maar die mogelijkheid pakt bij biometrische gegevens heel anders uit dan bij wachtwoorden. Bij een wachtwoord heb je zelf in de hand of je het aan de grote klok hangt of niet, en je kan het simpelweg veranderen als er toch iets mis mee gaat. Je gezicht of je vingerafdrukken kan je niet aanpassen en je kan ze niet geheim houden. Ieder beeld waarop een gezicht verschijnt kan tegen een database met biometrische hashes worden gehouden om te kijken van wie dat gezicht is. Vingerafdrukken laat je overal achter. Dat maakt dat met biometrische gegevens massasurveillance mogelijk is op een griezelige schaal (wat men in China ook enthousiast toepast). Daarom zijn de regels ervoor zo strikt.

gegevensbeschermingeffectbeoordeling....

Ik had het dus niet over taalvaardigheid maar over de vaardigheid om iets te begrijpen.
Er zijn fraaie taalkundig werken dit totaal onzinnig zijn. zie de humor van het absurde, als je te serieus bent ben je niets waard. https://www.dbnl.org/tekst/dela012alge01_01/dela012alge01_01_02545.php

JIJ en uitleg van nederlandse tekst ...lol

De absurde humor is m.i. dat de reactie van jou komt; duidende op het feit dat jouw reacties vaak onbegrijpbaar zijn (, waarbij het niet uitmaakt hoe vaardig je daar als lezer ook in bent) , vol met taal- en grammaticale-fouten, waardoor bij jouw reacties de bomen in het bos niet meer te zien zijn.
De pot verwijt de ketel...

Taalvaardigheid dient om je begrijpelijk uit te drukken en om te begrijpen wat vaardig is uitgedrukt. Taalvaardigheid is ook vaardigheid in, en dus begrip van, de betekenis van taal. Maar misschien begrijp je dat verband niet.
Wat die mensen doen is iets volkomen anders dan jouw slordigheid met taal. Die gaan er niet nonchalant mee om, die schaven juist uiterst zorgvuldig en, jawel, uiterst taalvaardig bij tot iets waarin niet bestaande woorden toch veel overbrengen. Lewis Caroll's Jabberwocky is daar een briljant en beroemd voorbeeld van:
https://www.poetryfoundation.org/poems/42916/jabberwocky
Deze Nederlandse vertaling is ook fraai:
http://www76.pair.com/keithlim/jabberwocky/translations/dutch2.html

Vergelijk dat soort dingen niet met jouw slordige taalgebruik, het is van een andere orde.