Is erbij vingerafdrukherkenning met een vectorpatroon sprake van biometrische gegevensverwerking?
woensdag 6 september 2023, 13:30 door Arnoud Engelfriet, 26 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: mijn werkgever heeft gekozen voor implementatie van schermsloten met vingerafdrukherkenning. Echter, mij is nu onduidelijk of dit als verwerking van biometrische gegevens telt onder de AVG. Immers: er wordt geen foto van de vingerafdruk opgeslagen maar een vectorpatroon dat niet (her-)gebruikt kan worden als vingerafdruk. Dat vectorpatroon wordt opgeslagen in een speciale chip waar het niet uitgehaald kan worden. De “vingerafdruk” verlaat dus nooit de laptop, zelfs niet de chip.
Antwoord: Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.
Het vectorpatroon blijft in een speciale plek, een chip die op een veilige manier een nieuw vectorpatroon (van een nieuw aangeboden vinger) vergelijkt met het opgeslagen patroon. Daar komt een "ja" of "nee" uit en daar kan de rest van het systeem mee verder. Dit is qua beveiliging van de persoonsgegevens prima, en het lijkt me ook meer algemeen een keurige implementatie.
Het is alleen niet zo dat je daarmee geen biometrische persoonsgegevens verwerkt. Je doet dit heel adequaat, veilig en zorgvuldig, maar je doet het uiteindelijk wel. En dat is dan verder prima, mits je maar je houdt aan de algemene regels over biometrie.
De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:
… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
In dit specifieke geval zie ik de noodzaak wel, met name omdat het een optionele extra is naast de gewone authenticatie en de authenticatie op de laptop blijft waar deze ingebouwd zit. De noodzaak is dan "ik als gebruiker wil sneller en toch veilig me authenticeren op mijn laptop" en in die kleine context lijkt me dat verdedigbaar.
Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een 'iemand' en dat is genoeg om van een persoonsgegeven te spreken.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (26)
Kun je in deze casus geen gebruik maken van anonimisering, daar dit vectorpatroon niet direct te herleiden is naar een persoon? Of is dat alleen van toepassing als er puur biometrie gebruikt word, waar in dit geval een combinatie gebruikt word?
06-09-2023, 14:49 door
Reinder
@Arnoud:
Ik twijfel, artikel 29 van de uitvoeringswet verwijst naar artikel 9, tweede lid, onderdeel g van de verordening, en die zegt dit:
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Ik twijfel, artikel 29 van de uitvoeringswet verwijst naar artikel 9, tweede lid, onderdeel g van de verordening, en die zegt dit:
de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk
recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op
bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter
bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op
bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter
bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Door Reinder:
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Beetje opportunistisch dit. Als "een normaal bedrijf" gehacked is dan regent het weer opmerkingen dat ze het maar beter hadden moeten beveiligen. Je kunt niet zeggen "het is maar een normaal bedrijf dus goede beveiliging is niet nodig, laat dat maar bij andere bedrijven".
06-09-2023, 15:02 door
Arnoud Engelfriet
Door Anoniem: Kun je in deze casus geen gebruik maken van anonimisering, daar dit vectorpatroon niet direct te herleiden is naar een persoon? Of is dat alleen van toepassing als er puur biometrie gebruikt word, waar in dit geval een combinatie gebruikt word?
Het vectorpatroon is toch wél te herleiden tot een persoon, je krijgt immers maar bij één persoon een "ja" te horen van de chip. Dat je niet weet hoe die persoon heet of wat zijn bsn is, is niet relevant.Door Reinder: @Arnoud:
Ik twijfel, artikel 29 van de uitvoeringswet verwijst naar artikel 9, tweede lid, onderdeel g van de verordening, en die zegt dit:
[...[ Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.Ik twijfel, artikel 29 van de uitvoeringswet verwijst naar artikel 9, tweede lid, onderdeel g van de verordening, en die zegt dit:
[...[ Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
06-09-2023, 15:25 door
User2048
Het unlocken van een smartphone gebeurt meestal ook op basis van biometrische kenmerken, namelijk via vingerafdruk- of gezichtsherkenning. Als je de wet te strikt zou uitleggen, dan mag dat ook niet meer. Terwijl iedereen wel aanvoelt dat je rechten en vrijheden hierdoor niet ernstig aangetast worden.
Ik denk dat je telkens moet kijken naar de risico's die er zijn voor de rechten en vrijheden van de betrokkene. In het geval van die vingerafdruk voor het vrijgeven van je apparaat is dat risico heel klein.
Ik denk dat je telkens moet kijken naar de risico's die er zijn voor de rechten en vrijheden van de betrokkene. In het geval van die vingerafdruk voor het vrijgeven van je apparaat is dat risico heel klein.
Door User2048: Het unlocken van een smartphone gebeurt meestal ook op basis van biometrische kenmerken, namelijk via vingerafdruk- of gezichtsherkenning. Als je de wet te strikt zou uitleggen, dan mag dat ook niet meer. Terwijl iedereen wel aanvoelt dat je rechten en vrijheden hierdoor niet ernstig aangetast worden.
Ik denk dat je telkens moet kijken naar de risico's die er zijn voor de rechten en vrijheden van de betrokkene. In het geval van die vingerafdruk voor het vrijgeven van je apparaat is dat risico heel klein.
Ik denk dat je telkens moet kijken naar de risico's die er zijn voor de rechten en vrijheden van de betrokkene. In het geval van die vingerafdruk voor het vrijgeven van je apparaat is dat risico heel klein.
Waarom moeten sommige mensen altijd weer dingen vergelijken die er helemaal niet toedoen?
In deze casus gaat het om bedrijfsapparatuur. Het unlocken van smartphone met biometrie is voor persoonlijk gebruik. Laten we Apple als voorbeeld nemen. Die heeft geen inzage tot jouw biometrie. Die is namelijk opgeslagen op JOUW smartphone. Je kunt nog altijd kiezen om Touch ID en Face ID uit te schakelen.
Door Anoniem:
In deze casus gaat het om bedrijfsapparatuur. Het unlocken van smartphone met biometrie is voor persoonlijk gebruik. Laten we Apple als voorbeeld nemen. Die heeft geen inzage tot jouw biometrie. Die is namelijk opgeslagen op JOUW smartphone. Je kunt nog altijd kiezen om Touch ID en Face ID uit te schakelen.
Dat kan ik niet volgen. Een smartphone kan toch ook best bedrijfsapparatuur zijn. Tuurlijk gebruik je hem alleen persoonlijk. Maar dat is met een laptop meestal ook wel zo. Je gebruikt hem persoonlijk voor je werk.In deze casus gaat het om bedrijfsapparatuur. Het unlocken van smartphone met biometrie is voor persoonlijk gebruik. Laten we Apple als voorbeeld nemen. Die heeft geen inzage tot jouw biometrie. Die is namelijk opgeslagen op JOUW smartphone. Je kunt nog altijd kiezen om Touch ID en Face ID uit te schakelen.
Waarom dat verschil zou maken voor informatie die ergens in een chip staat zie ik niet.
06-09-2023, 20:19 door
Reinder
Door Anoniem:
Beetje opportunistisch dit. Als "een normaal bedrijf" gehacked is dan regent het weer opmerkingen dat ze het maar beter hadden moeten beveiligen. Je kunt niet zeggen "het is maar een normaal bedrijf dus goede beveiliging is niet nodig, laat dat maar bij andere bedrijven".
Door Reinder:
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Beetje opportunistisch dit. Als "een normaal bedrijf" gehacked is dan regent het weer opmerkingen dat ze het maar beter hadden moeten beveiligen. Je kunt niet zeggen "het is maar een normaal bedrijf dus goede beveiliging is niet nodig, laat dat maar bij andere bedrijven".
Nee, dat is niet opportunistisch. Ik stel een vraag over de interpretatie van een stuk wetgeving aan een ter zake kundig expert n.a.v diens blogpost. Ik spreek geen waardeoordeel uit, noch zeg ik iets over of ik het eens ben met de wet of niet, wat bedrijven wel of niet zouden moeten doen of wat dan ook. Het is slechts een vraag over de tekst van de wet en de wijze waarop die uitgelegd kan worden. Wat is daar opportunistisch aan?
Verder is goede beveiliging ook mogelijk zonder biometrische gegevensverwerking, maar dit geheel terzijde.
06-09-2023, 20:20 door
Reinder
Door Arnoud Engelfriet:
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.
Ah, helder, bedankt voor de uitleg.
Data verwijdering? Wanneer kan ik eisen dat het "vectorpatroon" dat een representatie van mijn vingerafdruk is verwijderdt wordt?
Daarnaast subsidiariteit: kan ik hetzelfde doel bereiken met een minder ingrijpende maatregel. Ja dat kan. Het is gewoon username password combo.
Conclusie: niet doen.
Daarnaast subsidiariteit: kan ik hetzelfde doel bereiken met een minder ingrijpende maatregel. Ja dat kan. Het is gewoon username password combo.
Conclusie: niet doen.
Door Arnoud Engelfriet:
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.
Maar dan moeten ze wel aangeven de noodzaak, Het kan ook met 2factor, pincode, portier die op een knopje drukt, yubikey etc
Dit klinkt weer als een typische "hoe kan ik de AVG gebruiken om iets wat ik niet wil te dwarsbomen" vraag. De AVG lijkt meer gebruikt te worden voor interne politiek dan voor het beschermen van persoonsgegevens.
Door Reinder:
Nee, dat is niet opportunistisch. Ik stel een vraag over de interpretatie van een stuk wetgeving aan een ter zake kundig expert n.a.v diens blogpost. Ik spreek geen waardeoordeel uit, noch zeg ik iets over of ik het eens ben met de wet of niet, wat bedrijven wel of niet zouden moeten doen of wat dan ook. Het is slechts een vraag over de tekst van de wet en de wijze waarop die uitgelegd kan worden. Wat is daar opportunistisch aan?
Nee, dat is niet opportunistisch. Ik stel een vraag over de interpretatie van een stuk wetgeving aan een ter zake kundig expert n.a.v diens blogpost. Ik spreek geen waardeoordeel uit, noch zeg ik iets over of ik het eens ben met de wet of niet, wat bedrijven wel of niet zouden moeten doen of wat dan ook. Het is slechts een vraag over de tekst van de wet en de wijze waarop die uitgelegd kan worden. Wat is daar opportunistisch aan?
Jij classificeert bedrijven naar het belang wat jij zo snel kunt zien in een goede beveiliging, en gaat dan suggereren dat "andere bedrijven" het ook wel zonder goede beveiliging kunnen doen.
Maar het is niet meer belangrijk want Arnoud heeft al aangegeven dat "beveiliging" (in Nederland) een "zwaarwegend belang" is zonder dat daarbij naar een classificatie van het soort bedrijf gekeken hoeft te worden.
Door Anoniem: Data verwijdering? Wanneer kan ik eisen dat het "vectorpatroon" dat een representatie van mijn vingerafdruk is verwijderdt wordt?
Daarnaast subsidiariteit: kan ik hetzelfde doel bereiken met een minder ingrijpende maatregel. Ja dat kan. Het is gewoon username password combo.
Conclusie: niet doen.
Username/password is te makkelijk te omzeilen; wanneer je beveiliging een beetje serieus neemt kom je al snel uit op een of andere vorm van 2FA.Daarnaast subsidiariteit: kan ik hetzelfde doel bereiken met een minder ingrijpende maatregel. Ja dat kan. Het is gewoon username password combo.
Conclusie: niet doen.
Je zult dan het gebruik van de vingerafdruk moeten vergelijken met allerlei vormen van "authenticators" en "keys" en met SMS-verificatie. Ik kan me voorstellen dat het gemak van de vingerafdruk dan wint.
Door Reinder:
Ah, helder, bedankt voor de uitleg.
Door Arnoud Engelfriet:
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.
De constructie van de AVG is dat landen regels mogen maken die invullen wat zo'n "zwaarwegend algemeen belang" is, omdat ze daar niet uitkwamen op Europees niveau. Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden. Het bedrijf hoeft dat dus niet meer apart te benoemen of te onderbouwen maar mag varen op wat Nederland heeft gekozen.
Ah, helder, bedankt voor de uitleg.
Vraag: is het dan relevant waar je werkgever gevestigd is? Als je op papier werkt voor een BV uit bijv. Spanje, val je dan onder de Spaanse interpretatie van de AVG en het spaanse "zwaarwegend algemeen belang"?
Door Anoniem:
Username/password is te makkelijk te omzeilen; wanneer je beveiliging een beetje serieus neemt kom je al snel uit op een of andere vorm van 2FA.
Je zult dan het gebruik van de vingerafdruk moeten vergelijken met allerlei vormen van "authenticators" en "keys" en met SMS-verificatie. Ik kan me voorstellen dat het gemak van de vingerafdruk dan wint.
Username/password is te makkelijk te omzeilen; wanneer je beveiliging een beetje serieus neemt kom je al snel uit op een of andere vorm van 2FA.
Je zult dan het gebruik van de vingerafdruk moeten vergelijken met allerlei vormen van "authenticators" en "keys" en met SMS-verificatie. Ik kan me voorstellen dat het gemak van de vingerafdruk dan wint.
In de vraag staat "mijn werkgever heeft gekozen voor implementatie van schermsloten met vingerafdrukherkenning". Die toepassing maakt allerlei vormen van 2FA die wel toepasselijk zijn op inlog acties meteen al vrij onrealistisch.
Door Anoniem:
Jij classificeert bedrijven naar het belang wat jij zo snel kunt zien in een goede beveiliging, en gaat dan suggereren dat "andere bedrijven" het ook wel zonder goede beveiliging kunnen doen.
Maar het is niet meer belangrijk want Arnoud heeft al aangegeven dat "beveiliging" (in Nederland) een "zwaarwegend belang" is zonder dat daarbij naar een classificatie van het soort bedrijf gekeken hoeft te worden.
Door Reinder:
Nee, dat is niet opportunistisch. Ik stel een vraag over de interpretatie van een stuk wetgeving aan een ter zake kundig expert n.a.v diens blogpost. Ik spreek geen waardeoordeel uit, noch zeg ik iets over of ik het eens ben met de wet of niet, wat bedrijven wel of niet zouden moeten doen of wat dan ook. Het is slechts een vraag over de tekst van de wet en de wijze waarop die uitgelegd kan worden. Wat is daar opportunistisch aan?
Nee, dat is niet opportunistisch. Ik stel een vraag over de interpretatie van een stuk wetgeving aan een ter zake kundig expert n.a.v diens blogpost. Ik spreek geen waardeoordeel uit, noch zeg ik iets over of ik het eens ben met de wet of niet, wat bedrijven wel of niet zouden moeten doen of wat dan ook. Het is slechts een vraag over de tekst van de wet en de wijze waarop die uitgelegd kan worden. Wat is daar opportunistisch aan?
Jij classificeert bedrijven naar het belang wat jij zo snel kunt zien in een goede beveiliging, en gaat dan suggereren dat "andere bedrijven" het ook wel zonder goede beveiliging kunnen doen.
Maar het is niet meer belangrijk want Arnoud heeft al aangegeven dat "beveiliging" (in Nederland) een "zwaarwegend belang" is zonder dat daarbij naar een classificatie van het soort bedrijf gekeken hoeft te worden.
Dat zou je kunnen concluderen uit de tekst van Arnoud, maar de rechter denkt daar heel anders over.
Zijn we al weer vergeten dat een Nederlands bedrijf, dat vingerafdrukherkenning op de nieuwe kassa systemen wilde afdwingen, door een Amsterdams kantorechter is terug gefloten?
De rechter vond beveiliging niet voldoende reden om het verplicht te kunnen stellen.
11-09-2023, 17:24 door
Jooster
Zoals Arnoud terecht aangeeft biedt de UAVG ruimte tot nationale interpretatie en nadere invulling van de AVG.
“Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden.”
Sleutelwoord is noodzakelijk. De UAVG geeft geen nadere duiding. De AVG echter wel. Dit is verder toegelicht in een stuk van de Autoriteit Persoonsgegevens:
https://www.autoriteitpersoonsgegevens.nl/documenten/ap-normuitleg-grondslag-gerechtvaardigd-belang
Zie punt 2 (Noodzakelijkheid) en 3 (Afweging belangen). In de wetenschap dat er voldoende veilige alternatieven zijn voor het gebruik van biometrische gegevens voor authenticatie, lijkt het me dat behoudens uitzonderingen (Defensie, kerncentrales, AIVD, etc) op voorhand lastig om het gebruik van biometrische gegevens voor authenticatie te zien als noodzakelijk. Tel hierbij op dat (in relatie tot punt 3 uit het AP stuk) de waarde van bijvoorbeeld een vingerafdruk voor een privépersoon bijzonder groot is. Bijvoorbeeld bij het autoriseren van financiële transacties en het aangaan van bindende verplichtingen. En tel hierbij op de bijzonder geavanceerde mogelijkheden tot hacken en het relatief gemakkelijk toepassen van gestolen vingerafdrukken. Noodzakelijk lijkt me lastig te verdedigen.
“Nederland heeft daar dus over nagedacht en geoordeeld dat we hier "noodzakelijk voor beveiliging" zwaarwegend en algemeen vinden.”
Sleutelwoord is noodzakelijk. De UAVG geeft geen nadere duiding. De AVG echter wel. Dit is verder toegelicht in een stuk van de Autoriteit Persoonsgegevens:
https://www.autoriteitpersoonsgegevens.nl/documenten/ap-normuitleg-grondslag-gerechtvaardigd-belang
Zie punt 2 (Noodzakelijkheid) en 3 (Afweging belangen). In de wetenschap dat er voldoende veilige alternatieven zijn voor het gebruik van biometrische gegevens voor authenticatie, lijkt het me dat behoudens uitzonderingen (Defensie, kerncentrales, AIVD, etc) op voorhand lastig om het gebruik van biometrische gegevens voor authenticatie te zien als noodzakelijk. Tel hierbij op dat (in relatie tot punt 3 uit het AP stuk) de waarde van bijvoorbeeld een vingerafdruk voor een privépersoon bijzonder groot is. Bijvoorbeeld bij het autoriseren van financiële transacties en het aangaan van bindende verplichtingen. En tel hierbij op de bijzonder geavanceerde mogelijkheden tot hacken en het relatief gemakkelijk toepassen van gestolen vingerafdrukken. Noodzakelijk lijkt me lastig te verdedigen.
Stel: Je stelt als organisatie smartphones van b.v. van Apple of Samsung ter beschikking aan je medewerkers voor bedrijfsdoeleinden. Daarop zit standaard een functie voor het unlocken van het toestel met je vinger (of met gezichtsherkenning). Sterker nog: bij het in gebruik nemen van het toestel wordt gevraagd of je dit wilt activeren.
Ben je van mening dat deze 'zeer lokale' verwerking (het blijft in de chip van het toestel, rocksolid oplossing) van bijzondere persoonsgegevens, hetgeen maatschappelijk inmiddels ruimschoots is ingeburgerd, in het register van verwerkingen (AVG art. 30) zou moeten staan?
En dan een stapje verder: Je koppelt aan diverse werkplekken een externe fingerprint reader (USB). Een hash daarvan wordt naar een centrale authenticatie server gestuurd. Deze zorgt er voor dat je op je virtuele werkplek wordt ingelogd met jou credentials zonder username/password. Nu wel in het register?
Ben je van mening dat deze 'zeer lokale' verwerking (het blijft in de chip van het toestel, rocksolid oplossing) van bijzondere persoonsgegevens, hetgeen maatschappelijk inmiddels ruimschoots is ingeburgerd, in het register van verwerkingen (AVG art. 30) zou moeten staan?
En dan een stapje verder: Je koppelt aan diverse werkplekken een externe fingerprint reader (USB). Een hash daarvan wordt naar een centrale authenticatie server gestuurd. Deze zorgt er voor dat je op je virtuele werkplek wordt ingelogd met jou credentials zonder username/password. Nu wel in het register?
Op beide vragen: ja.
Men kan allerlei argumenten aandragen om dit niet als verwerking te zien. Al dan niet gevoed door het idee dat de wens de vader van de gedachte is. Maar de essentie zit hem in de eenvoud: Zowel bij het enrollen als bij iedere daaropvolgende inlogpoging wordt met bedrijfsmiddelen voor bedrijfsdoeleinden van een echte vinger/oog/gezicht een scan gemaakt, waar een algoritme op wordt losgelaten om een bepaalde uitkomst te krijgen. Dat is een loepzuivere verwerking.
Men kan allerlei argumenten aandragen om dit niet als verwerking te zien. Al dan niet gevoed door het idee dat de wens de vader van de gedachte is. Maar de essentie zit hem in de eenvoud: Zowel bij het enrollen als bij iedere daaropvolgende inlogpoging wordt met bedrijfsmiddelen voor bedrijfsdoeleinden van een echte vinger/oog/gezicht een scan gemaakt, waar een algoritme op wordt losgelaten om een bepaalde uitkomst te krijgen. Dat is een loepzuivere verwerking.
Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een 'iemand' en dat is genoeg om van een persoonsgegeven te spreken.
Het zal juridisch kloppen maar we raken wel een beetje de weg kwijt. Een template / hash van een biometrisch gegeven daar kun je geen biometrisch gegeven meer van maken. Als je zegt dat het gebruiken voor toegang, verwerken is, dan is een gehasht en gezouten wachtwoord ook een persoonsgegeven zodra je dat gebruikt om te controleren of pietje pietje is..... Nog even doorredeneren, dan is een yubikey ook een persoonsgegeven.
Overigens ga je er aan voorbij dat die numerieke waarde van het biometrisch gegeven op een plek wordt bewaard waar je niet zelf bij kunt, de inhoud van die plek is encrypted. Die encryptieslesleutel kun je ook zelf niet eens bij. (in enclave of TPM)
schieten we niet een beetje door.
Het zal juridisch kloppen maar we raken wel een beetje de weg kwijt. Een template / hash van een biometrisch gegeven daar kun je geen biometrisch gegeven meer van maken. Als je zegt dat het gebruiken voor toegang, verwerken is, dan is een gehasht en gezouten wachtwoord ook een persoonsgegeven zodra je dat gebruikt om te controleren of pietje pietje is..... Nog even doorredeneren, dan is een yubikey ook een persoonsgegeven.
Overigens ga je er aan voorbij dat die numerieke waarde van het biometrisch gegeven op een plek wordt bewaard waar je niet zelf bij kunt, de inhoud van die plek is encrypted. Die encryptieslesleutel kun je ook zelf niet eens bij. (in enclave of TPM)
schieten we niet een beetje door.
14-09-2023, 12:44 door
Jooster
Door Anoniem: Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een 'iemand' en dat is genoeg om van een persoonsgegeven te spreken.
Dat lijkt inderdaad toch zo te zijn. Nog sterker, niet alleen het account is toegewezen aan een medewerker, ook de laptop waarop de vingerafdruk wordt verwerkt is toegewezen aan 1 medewerker. Daarmee de vingerafdruk te herleiden naar 1 specifieke medewerker. Dus is het niet geanonimiseerd, maar gepseudonimiseerd. Geanonimiseerde persoonsgegevens zijn geen persoonsgegevens meer. Gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens.Door Anoniem: Het zal juridisch kloppen maar we raken wel een beetje de weg kwijt. Een template / hash van een biometrisch gegeven daar kun je geen biometrisch gegeven meer van maken. Als je zegt dat het gebruiken voor toegang, verwerken is, dan is een gehasht en gezouten wachtwoord ook een persoonsgegeven zodra je dat gebruikt om te controleren of pietje pietje is..... Nog even doorredeneren, dan is een yubikey ook een persoonsgegeven.
De Bio versie wel. Om dezelfde redenen als eerder in deze post door mij is aangegeven. We raken de weg niet kwijt. Een vingerafdruk/irisscan/gezichtsscan is makkelijk, maar veelal niet noodzakelijk. Er zijn immers voldoende alternatieven om MFA te verkrijgen zonder gebruik van biometrische gegevens. Als werkgever dien je hier rekening mee te houden. Door Anoniem: Overigens ga je er aan voorbij dat die numerieke waarde van het biometrisch gegeven op een plek wordt bewaard waar je niet zelf bij kunt, de inhoud van die plek is encrypted. Die encryptieslesleutel kun je ook zelf niet eens bij. (in enclave of TPM)
Dat is een securityaspect, geen AVG aspect. Het verandert niet de aard van de discussie. Of ik er nu nu bij kan is weinig relevant. Wat wel relevant is of een ander (hacker) er nu of later bij kan is wel relevant. Deze toepassing wordt door de werknemer immers meerdere jaren gebruikt. De ervaring leert dat vroeg of laat de meeste technologiën dusdanig verouderd zijn dat ze kwetsbaar worden. Ultieme beveiliging is geen absolute maar relatieve waarde, onderhevig aan inflatie en dus degradatie. Een biometrisch persoonsgegeven zou niet onderhevig moeten zijn aan degraderende technologie, tenzij er geen alternatieven beschikbaar zijn in combinatie met uitzonderlijke belangen die gediend moeten worden. Bij >99% van de Nederlandse werknemers is dat niet het geval.Door Reinder: @Arnoud:
Ik twijfel, artikel 29 van de uitvoeringswet verwijst naar artikel 9, tweede lid, onderdeel g van de verordening, en die zegt dit:
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
Ik twijfel daar ook aan, ik denk dat Arnoud het begrip informatiebeveiliging en de daarbij behorende noodzaak nogal simpeltjes beoordeeld, er is hier blijkbaar sprake van een verplichting door de werkgever.Ik twijfel, artikel 29 van de uitvoeringswet verwijst naar artikel 9, tweede lid, onderdeel g van de verordening, en die zegt dit:
de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk
recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op
bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter
bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op
bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter
bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
Valt de keuze van dit bedrijf onder noodzakelijk om redenen van zwaarwegend algemeen belang? Ik weet niet waar de vraagsteller precies werkt, maar het lijkt me niet zomaar het geval. Misschien wel als het hier gaat over defensie, of veiligheids- of opsporingsdiensten, of de beveiliging van kerncentrales of de centrale bank of iets dergelijks, maar toch zeker niet bij gewoon een willekeurig normaal bedrijf? Ik begrijp natuurlijk dat een bedrijf een belang heeft om zaken goed te beveiligen, maar je daarbij beroepen op zwaarwegend algemeen belang lijkt me die definitie te ver oprekken.
eerdere zaken zoals bij een kledingbedrijf die dit verplicht stelde op kassa's en sportschool toegang, geven el aan dat de keuze voor biometrische toegang als verplichting nogal lastig ligt.
Ja het staat in een chip, maar ik vraag me af of deze organisatie een toets heeft gedaan of dit wel echt noodzakelijk was. Toegang tot laptops gelijk stellen aan art. 9.2 onder G, zonder dat we weten wat voor organisatie dit betreft, gaat mij te ver.
Het is met name het verplichte karakter in deze waar mijn opmerking op ziet.
Beveiliging kan prima zonder vingerafdrukken. Buiten dat, het geeft je geen enkele garantie van extra beveiliging anders dan fysieke toegang tot de laptop. Zeer beperkte scope die wat mij betreft alleen te rechtvaardigen zou zijn bij zeer gevoelige, bijvoorbeeld, zorg gegevens etc.
Het doet daarbij niet ter zake dat de print in de chip op de laptop staat, het is en blijft een verwerking krachtens de AVG.
Door Anoniem: Daarnaast subsidiariteit: kan ik hetzelfde doel bereiken met een minder ingrijpende maatregel. Ja dat kan. Het is gewoon username password combo.
Niet helemaal. Een usernaam+password combo kan afgekeken, geraden of gestolen worden, een vingerafdruk niet, nu ja, tenzij je de vinger afknipt, maar, ehe, dat gebeurt toch alleen maar in een film.Door Anoniem:
Dat zou je kunnen concluderen uit de tekst van Arnoud, maar de rechter denkt daar heel anders over.
Zijn we al weer vergeten dat een Nederlands bedrijf, dat vingerafdrukherkenning op de nieuwe kassa systemen wilde afdwingen, door een Amsterdams kantorechter is terug gefloten?
De rechter vond beveiliging niet voldoende reden om het verplicht te kunnen stellen.
Dat zou je kunnen concluderen uit de tekst van Arnoud, maar de rechter denkt daar heel anders over.
Zijn we al weer vergeten dat een Nederlands bedrijf, dat vingerafdrukherkenning op de nieuwe kassa systemen wilde afdwingen, door een Amsterdams kantorechter is terug gefloten?
De rechter vond beveiliging niet voldoende reden om het verplicht te kunnen stellen.
Ging het in deze uitspraak niet om een verplichting zonder alternatieve authenticatiemethode?
Arnoud schrijft in deze:
In dit specifieke geval zie ik de noodzaak wel, met name omdat het een optionele extra is naast de gewone authenticatie en de authenticatie op de laptop blijft waar deze ingebouwd zit. De noodzaak is dan "ik als gebruiker wil sneller en toch veilig me authenticeren op mijn laptop" en in die kleine context lijkt me dat verdedigbaar.
Toegegeven, het wordt uit de vraag zelf niet duidelijk
Ik vraag me af hoe het zit met het verwijderen van het opgeslagen vectorpatroon, na wijzigen werkgever.
Om dat patroon te verwijderen moet je op een of andere manier de koppeling vanaf persoon naar patroon kunnen maken.
Maakt het daarbij uit of de chip het patroon kan produceren versus alleen bewaren en verwijderen ?
Worden dergelijke bedrijfs-biometrische oplossingen altijd geheel op fabrieksinstelling gezet na wijzigen werkgever ?
Hoe worden dergelijke scans beheert ? Iemand moet toch toestemming geven, dus is dat een AD-achtige oplossing ?
Fascinerend onderwerp als je bedenkt hoe dat fijn zou werken versus hoe je het kan laten werken zonder dat 'wie-dan-ook' iets anders met de bio-scan kan dan toegang verschaffen.
Om dat patroon te verwijderen moet je op een of andere manier de koppeling vanaf persoon naar patroon kunnen maken.
Maakt het daarbij uit of de chip het patroon kan produceren versus alleen bewaren en verwijderen ?
Worden dergelijke bedrijfs-biometrische oplossingen altijd geheel op fabrieksinstelling gezet na wijzigen werkgever ?
Hoe worden dergelijke scans beheert ? Iemand moet toch toestemming geven, dus is dat een AD-achtige oplossing ?
Fascinerend onderwerp als je bedenkt hoe dat fijn zou werken versus hoe je het kan laten werken zonder dat 'wie-dan-ook' iets anders met de bio-scan kan dan toegang verschaffen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
