Danish Biometrics har afgivet høringssvar over udkast til forslag til lov om ændring af lov om pas til danske statsborgere mv.

Danish Biometrics har afgivet følgende høringssvar over udkast til forslag til lov om ændring af lov om pas til danske statsborgere mv. (fingeraftryk i pas), der vedrører indførelse af et gebyr på 25 kr. for optagelse af fingeraftryk:

Med henvisning til Justitsministeriets henvendelse 10. marts 2011 vil Danish Biometrics gerne knytte følgende bemærkninger til lovudkastet.

I henhold til Rådets forordning nr. 2252/2004 af 13. december 2004, som ændret ved forordning nr. 444/2009 af 28. Maj 2009, artikel 1 fremgår det af stk. 2a, ”at følgende personer er fritaget for kravet om at afgive fingeraftryk:

a) børn under 12 år

Aldersgrænsen på 12 år er foreløbig. Den i artikel 5a nævnte rapport skal indeholde en revurdering af aldersgrænsen, om nødvendigt ledsaget af et forslag om ændring af aldersgrænsen. Uden at det berører konsekvenserne af gennemførelsen af artikel 5a, kan medlemsstater, der i deres nationale lovgivning, vedtaget inden den 26. juni 2009, har fastsat en aldersgrænse på under 12 år, anvende denne aldersgrænse i en overgangsperiode på op til fire år efter den 26. juni 2009. Aldersgrænsen i overgangsperioden må dog ikke være på under seks år.

b) personer, hvor det er fysisk umuligt at optage fingeraftryk.”

Endvidere fremgår det af stk. 2b, at

”Såfremt det midlertidigt er umuligt at optage fingeraftryk af de foreskrevne fingre, tillader medlemsstaterne, at der optages fingeraftryk af de andre fingre. Er det også midlertidigt umuligt at optage fingeraftryk af nogen andre fingre, kan medlemsstaterne udstede et midlertidigt pas med en gyldighed på 12 måneder eller derunder.”

Uanset skannerudstyrets aflæsningsnøjagtighed og betjeningsvenlighed eller operatørens faglige kompetence vil der altid være personer, hvis fingeraftryk det fysisk ikke er muligt at optage. Det kan eksempelvis skyldes disse personers arbejde, som det har været tilfældet med et ganske vist lille antal keramikere, hvis fingeraftryk har været så ”hårde”, at de ikke har været muligt at optage på det af Bornholmstrafikken (nu BornholmerFærgen) anvendte biometriske udstyr for pendlere.

Det er Danish Biometrics opfattelse at en fysisk umulighed ikke bør komme disse personer til last, hvorfor det derfor ikke synes rimeligt, at der også skal betales et om end mindre gebyr i de situationer hvor det viser sig, at der ikke kan optages et brugbart fingeraftryk samtidig med at EU-Forordningen faktisk fastslår, at disse personer er fritaget for kravet om at afgive fingeraftryk.

Det er Danish Biometrics indstilling, at fleksibilitet og størst mulig hensyntagen til borgeren også for så vidt angår gebyrfastsættelsen er et succeskriterium for borgerens tillid til det biometriske pas og dets implementering.

Selvom gennemførelsen af det danske biometriske pas, der som bekendt udspringer af EU-regulering og ICAO standardisering, ligger fast og ikke er genstand for det konkrete lovudkast, benytter Danish Biometrics afslutningsvis desuagtet lejligheden til at gøre opmærksom på den teknologiske løsnings tekniske implikationer med hensyn til sikkerhed og persondatabeskyttelse og at identifikations- og autentifikationsteknologien på sigt bør forbedres med afsæt i principper om security og privacy by design.

Med venlig Hilsen

Frederik Kortbæk, koordinator, cand.jur.
Bénédicte Lunde-Christensen, specialkonsulent, cand.jur.

Download høringssvaret her.

Download lovforslaget med bemærkninger  her.

Fusioner og opkøb prægede det internationale marked i 2010

I et tilbageblik på 2010 har findBIOMETRICS, et elektronisk branchemedie, der udgives af det Toronto-baserede reklamebureau TopickZ Inc, stillet 3 spørgsmål til et bredt udsnit af den biometriske branches førende globale virksomheder og eksperter:

Spørgsmål 1

Hvad har efter din mening været de tre mest betydningsfulde milepæle / annonceringer om det biometriske branche i år?

Spørgsmål 2

Hvad er den biometriske branches mest presserende problemer ved dørtærsklen til 2011?

Spørgsmål 3

Var 2010 et godt år for din virksomhed? Hvad var nogle af højdepunkterne? Hvad forventer netop  din virksomhed/afdeling sig af 2011?

Det er der kommet en række interessante svar ud af. Svarene findes ved at klikke på de enkelte spørgsmål.

Som den mest markante begivenhed nævnes de i 2010 gennemføre fusioner og opkøb med fremhævelse af milliardhandlerne mellem 3M og Cogent samt mellem Safran og L1. Virksomhedskonsolidering oven på den internationale økonomiske krise er i øvrigt ikke overraskende. Herefter fremdrages lanceringen af det indiske identifikationsprogram AADHAAR, der organiseres af UIDAI. Første fase af dette megaprojekt, der indtil videre er det største af sin art i verden,  forventes at inkludere registrering af  200 millioner inderes biometriske data (hvoraf 1 million netop er blevet indrullet). Med tiden skal alle indere eller 1.2 milliarder mennesker være omfattet af projektet.

Af højaktuelle generelle emner for branchen nævnes:

  • Uddannelse
  • Omkostninger, pris, langsom  salgscyklus for regeringsprojekter, ROI (return on investment) og den økonomiske afmatning samt
  • Privacy

At privacy ligger mange leverandører og eksperter på sinde er prisværdigt. Der er ikke nogen tvivl om at bedre uddannelse og læring for både udbydere og brugere er ret væsentlig. Branchen må prioritere nye, relevante og koordinerede initiativer i samarbejde med myndigheder og uddannelsesinstitutioner på internationalt plan. Samtidig bør branchen være langt bedre til at formidle lødig og aktuel information, herunder om brug af biometri til beskyttelse af brugerens persondata (privacy by design).  Af svarene fremgår det desuden, at der er en stor kritik af den rapport,som det amerikanske National Research Council har udgivet om biometri og som er omtalt andetsteds her på bloggen.

Med hensyn til de enkelte virksomheders svar på spørgsmål 3, henvises til selve undersøgelsen. Svar med selvros skal oftest tages med et gran salt og de virksomheder, som har haft et middelmådigt eller dårligt år, vil som regel ikke føle anledning til at svare, hvorfor reaktionerne næppe tegner et fuldtud dækkende billede af de faktiske konkurrenceforhold. Men med disse forbehold giver svarene alligevel et godt indblik i konkurrence- og markedsudviklingen for den globale biometriske branche.

Eurosmart offentliggør spændende hvidbog om biometri

Eurosmart, en international organisation for smart card industrien og med Danish Biometrics som associeret medlem, har netop offentliggjort en 75 siders hvidbog om biometri med titlen: “Smart Biometrics for Trust and Convenience”.

Hvidbogen behandler den biometriske teknologis “state of the art” med de bedste casehistorier og tekniske valg ved en implementering i kombination med smart card-teknologi. Undersøgelsen omfatter også idéen om at indføre biometriske kendetegn for fysiske dokumenter, identifikation af casehistorier og teknikker samt endelig fordele ved at sammensætte menneskelige så vel som fysiske biometriske karakteristika. Hvidbogen giver også anbefalinger om anvendelsen af biometri i forbindelse med identifikation og autentifikation af personer og varer.

I forordet understreger Marc Bertin, formanden for Eurosmart, at biometri kan bidrage positivt til at reducere identitetstyveri  (phishing) og skimning af betalingskort samt styrke tilliden til elektroniske transaktioner og gøre en sikkerhedsløsning mere bekvem for brugeren. Det er Eurosmarts vision, at persondata, herunder især biometriske referencer bør gemmes på et smart card og Ifølge Eurosmart kan teknologien ikke tillægges en bestemt iboende værdi som enten god eller dårlig.

Biometri skal både kunne yde sikkerhed og sikre respekten for etiske bekymringer samt beskyttelsen af privatlivets fred. Dette formål vil nemmere kunne blive opfyldt, når biometri kombineres med smart card-teknologi (side 6). Det understreges endvidere, at det er bedre at anvende en kombination af “noget man har” og “noget man er” fordi det giver en meget høj grad af tillid.

Udover den gængse kategorisering af biometri i fysiske og adfærdsmæssige karakteristika, opstiller hvidbogen en hidtil uset term i form af “objekt biometri” (object biometrics). Betegnelsen dækker over biometriske metoder, der gengiver et naturligt fænomen for en genstands elementer eller egenskaber ( kaotiske og målbare) som for eksempel overflade tilstand, bobler i materialet eller fabrikationsfejl. Digital vandmærkning og bubble tags nævnes som eksempler på objekt biometri. Når et digitalt vandmærke eller en bobble tag knyttes til et objekt eller et dokument, kan objektet eller dokumentet entydigt identificeres eller autentificeres som den eneste original.

Hvidbogen fremhæver bl.a. brug af elektronisk signatur eller digital signatur (i princippet  ikke at forveksle med såkaldte digitale certifikater, der per definition indgår i PKI-løsninger) i forbindelse med biometri. Ligesom en håndskreven underskrift anvendes den elektroniske signatur som et uigendriveligt bevis på brugerens godkendelse af en elektronisk kontrakt eller transaktion. Elektroniske signaturer er normalt baseret på asymmetriske kryptografiske algoritmer, såsom RSA algoritmen. Deres juridiske gyldighed er lovreguleret i mange lande og i Europa. Det er muligt at generere en stærk kryptografisk nøgle baseret på brugerens biometriske kendetegn.

Netop fordi hidtidig nøglegenerering og lagringsmekanismer har vist deres svaghed, er der i de senere år udviklet en teknologi kaldet bio-kryptering (også benævnt biometrisk kryptering eller cryptobiometrics), der styrker forbindelsen mellem den elektroniske signatur og brugeren. Det vil herefter være umuligt at benægte en aftale/transaktion, der er underskrevet på denne måde og således under brugerens fulde kontrol. Biometri og digital signatur, som en del af et PKI ( Public Key Infrastructure) system og indlejret på et smart card til håndtering af disse certifikater og deres tilhørende nøgler, er en oplagt teknologianvendelse i forbindelse med en ny generation af NemID og et fremtidigt dansk borgerservciekort. I øvrigt kan henvises til Turbine projektet, der senere i år afslutter flere års forskning i biometrisk kryptering på klient og match on card, der er yderst relevante autentifikationsmekanismer i denne sammenhæng.

Hvidbogen henviser til et Frost & Sullivan forecast fra juli 2009 (hele analysen kan erhverves hos Frost & Sullivan mod betaling), der forudsiger en biometrisk omsætning i Europa på ca. 250 millioner Euro i 2010 og en CAGR på 25 % frem til 2015. Barrierer for markedsudviklingen bedømmes at være:

  • den generelle økonomiske nedtur
  • privacy bekymring
  • utilstrækkelig læring og uddannelse samt
  • forsinkelse i statslige projekter

Markedsdrivere angives at være:

  • forøget fokus på sikkerhed
  • statslige projekter
  • brug af biometri i sundhedsvæsenet samt
  • forbrugerelektronik: autentifikation af brugere for adgang til PC`ere, PDA´ere, smartphones osv.

Hvidbogens afsæt i biometriens anvendelsesmuligheder i forhold til smartcard infrastrukturen og Eurosmart´s generelle anbefalinger er interessante. Især er de omfattende casebeskrivelser med pragmatiske og etiske kriterier glimrende som et nyttigt praktisk værktøj. Rekommandationen om en national komite, der skal vurdere privacy samt etiske og lovmæssige forhold ved biometri kan i princippet tiltrædes.

Et meget rigtigt synspunkt, som går igen i mange af anbefalingerne, er betydningen af gennemsigtighed samt fuldt ud dækkende information og reel dialog i forhold til den enkelte, der bliver berørt af løsningen. Det er nemlig i hovedsagen ikke teknologien og systemerne, der er udfordringen, men de til enhver tid eksisterende organisatoriske forhold og holdninger samt lovgivning, der står i vejen for en fordomsfri debat og hensigtsmæssig udnyttelse af teknologien.

Med hensyn til introduktionen af begrebet “objekt biometri”, så er jeg ikke umiddelbart begejstret herfor. Biometri er som navnet antyder knyttet til et menneske eller en levende organisme (bio- af græsk bios ‘liv’) og det er teknologiens særegne egenskab. Derfor vil det efter min opfattelse ikke give mening, såfremt det pågældende objekt ikke på en eller anden måde i forbindelse med implementeringen af metoden, linkes til en bestemt person. Definitioner,  kriterier og betegnelser for en terminologi skal altid være meget stringente, især når der er tale om komplicerede og i manges øjne kontroversielle teknologiløsninger med etiske problemstillinger.

Det er klart at biometri som unik genkendelsesteknologi nyder almindelig respekt, men det kan ikke accepteres, at andre teknologier, som givetvis også kan integrere en uomtvistelig identifikator i genstande og medier, gør brug af termen biometri, når betingelserne herfor rent faktisk ikke er opfyldt. Konsekvensen vil blot blive en udvanding af begrebet biometri. Jeg kan godt se, at der kan ligge markedsføringsmæssige overvejelser til grund for betegnelsen, men det er ikke et valid argument. Det anbefales i samarbejde med JTC 1/SC 37/WG 1 at gøre brug af en anden term.

Ny dansk forskning i biometri og databeskyttelse

Stud. jur.  Bénédicte Lunde-Christensen, Juridisk Fakultet, Københavns Universitet, har netop afleveret sin specialeafhandling, der er en vurdering af biometri i gældende ret, herunder en indkredsning af hensyn mv. til persondatabedømmelse af brugen af biometri.

Danish Biometrics hilser det mere end velkommen at der i Danmark forskes i biometri. Det siger sig selv at en effektiv brancheudvikling og en frugtbar innovationskultur forudsætter et tæt samarbejde mellem virksomheder og universiteter. Afhandlingen kan også ses som et nyt dansk bidrag til den internationale forskning om biometri.  

Afhandlingen fremdrager nogle interessante og fremadrettede aspekter af konstruktiv biometrisk implementering. Således fremhæves sondringen mellem identifikation og verifikation og at sidstnævnte er en mindre indgribende foranstaltning. Spørgsmålet om identifikation ved hjælp af biometri alene kan ske ved lovhjemmel er under overvejelse i Norge, og vil i givet fald være en stramning af den nugældende norske persondatalov, der som det eneste land i Norden har specifikke bestemmelser om brugen af biometri. Autentificering (verifikation) i form af fingeraftryk eller andre biometriske metoder kan ifølge det norske forslag gennemføres i henhold til enten lovhjemmel eller samtykke. Der anbefales visse krav til indholdet af et såkaldt gyldigt samtykke, herunder at der tilbydes alternative fremgangsmåder for personer, som ikke ønsker at blive autentificeret ved hjælp af biometri. Spørgsmålet om såkaldt informeret samtykke berøres i rapporten i forbindelse med  Crazy Daisy-sagen (side 49). I den sammenhæng kunne man for så vidt angår webtjenester efter min opfattelse også gerne afgrænse brugen af advarsler i rette øjeblik ved tilvalg/fravalg (opt-in/opt-out) informationspraksis. At der også bør være et reelt brugervalg er en vigtig pointe, fordi der ikke bør være tale om en “take it or leave it situation”.  

Bénédicte plæderer udmærket for udarbejdelsen af en biometrisk adfærdskodeks, som et nyttigt middel til at præcisere nogle af persondatalovens bestemmelser og som en god mulighed for at Datatilsynet kan etablere et udbytterigt samarbejde med branchen. Danish Biometrics bakker op bag denne ide.

Rapporten giver et fyldestgørende og let tilgængeligt overblik over den retlige tilstand for biometri og vil kunne indgå som et nyttigt værktøj for branchen og den er derfor anbefalelsesværdig læsning for især udbydere og brugere af biometriske løsninger samt alle andre der har  interesse for retlig regulering af teknologianvendelsen.  Download den her

Kritisk men konstruktiv rapport om biometri fra National Academies

Rapporten med titlen “Biometric Recognition: Challenges and Opportunities” er udgivet af  the National Academies, der kan sammenlignes med Teknologirådet, og offentliggjort 24. september 2010.

Rapporten fastslår i et sammendrag, som en af de første konklusioner, at biometriske systemer, designet til automatisk at genkende personer på grundlag af biologiske og adfærdsmæssige egenskaber såsom fingeraftryk, håndaftryk, stemme- eller ansigtsgenkendelse, er indbygget med fejl. Yderligere forskning er nødvendig for at forfine videnskaben og forbedre systemeffektiviteten på stort set alle niveauer af design og drift.

“I næsten 50 år, har løftet om biometri overhalet anvendelsen af teknologien,” siger Joseph N. Pato, formanden for det udvalg, der har udarbejdet rapporten og Palo Alto, teknolog hos Hewlett-Packards HP Laboratories, Californien udtaler: “Mens nogle biometriske systemer kan være effektive til specifikke opgaver, så er de er ikke nær så ufejlbarlige som en populærvidenskabelig fremstilling kunne antyde. En styrkelse af videnskaben er afgørende for at opnå en fuldstændig forståelse af styrker og svagheder ved disse systemer.”

Rapporten har to hovedpointer:

  • Udviklere og analytikere skal være opmærksom på, at systemer til biometrisk genkendelse er meget komplekse
  • Biometriske systemer er af probabilistisk natur

Biometriske systemer anvendes i stigende grad til at regulere adgangen til faciliteter, information og andre rettigheder eller fordele, men der sættes stadig spørgsmålstegn ved effekten som sikkerheds- eller overvågningsmekanisme. Systemerne giver “probabilistiske resultater”, hvilket betyder, at tilliden til resultaterne skal styrkes ved en forståelse af den iboende usikkerhed i et givent system, hedder det i rapporten. Det noteres, at når sandsynligheden for en bedrager er sjælden, så kan selv systemer med meget præcise sensorer og matchkapaciteter have en høj andel af falske alarmer. Det kan blive omkostningskrævende eller endda farligt i systemer, der er designet til at give øget sikkerhed; for eksempel kan operatører blive lemfældige med behandlingen af potentielle trusler.

Rapporten peger på en lang række kilder til usikkerhed, som man skal tage i betragtning i systemdesign og drift af de biometriske systemer. For eksempel kan biometriske kendetegn variere i et menneskes liv på grund af alder, stress, sygdom eller andre faktorer. Tekniske spørgsmål vedrørende kalibrering af sensorer, nedbryde data, og brud på sikkerheden kan også bidrage til en variation i disse systemer.

Biometriske systemer skal udformes og evalueres i forhold til deres specifikke formål og i den sammenhæng, hvori de bliver brugt, hedder det videre i rapporten. Overvejelser om system-niveau er afgørende for en vellykket indførelse af biometriske teknologier. Effektivitet afhænger i lige så høj grad af faktorer som den enkelte operatørs kompetence, så vel som den underliggende teknologi, teknik, og testregimer. Veltilrettelagte processer til at styre og korrigere problemer skal være på plads.

Rapporten konstaterer, at biometrisk genkendelse nøje skal overvejes som en del af en samlet sikkerhedssystem. Fordele og risici ved biometrisk genkendelse i forhold til andre identifikations- og autentifikationsteknologier bør nøje overvejes. Ethvert biometrisk system, der er udvalgt til at tjene et sikkerhedsformål, bør gennemgå en grundig risikovurdering med henblik på at fastslå dets sårbarhed over for direkte angreb. Tillid til den biometriske genkendelsesproces kan ikke baseres på hemmeligholdelse af data, eftersom et menneskes biometriske karakteristika kan blive offentlig kendt. Desuden siger rapporten, at sekundære screeningsprocedurer, der anvendes i tilfælde af en systemfejl, bør være lige så godt designet som det primære system.

Rapporten peger på flere funktioner, som et biometrisk system bør indeholde. Systemer bør udformes med henblik på at forudse og planlægge for fejl, selv om de forventes at være sjældne. Yderligere forskning inden for alle aspekter af design og drift er nødvendig, fra at studere fordeling af biometriske karakteristika i en given befolkning til at forstå, hvordan folk interagerer med teknologierne. Desuden kan sociale, juridiske og kulturelle faktorer få betydning for disse systemers effektivitet og accept, som det hedder det i rapporten.

Rapporten opstiller en række principper for implementering af et biometrisk system som er følgende:

  • Biometri har begrænsninger
  • Best practice for testning og evaluering
  • Best practice for design og udvikling af biometriske systemer og operationsprocesser
  • Systemkrav skal være kontekstorienteret
  • Sociale, retlige og kulturelle faktorer skal være en del af systemdesignet
  • Yderligere forskning på alle niveauer er nødvendig, fordi biometrisk genkendelse har national betydning

Af særlig interesse kan det nævnes, at rapporten understreger, at andre autentifikationsteknologier som passwords og tokens placerer tillid hos brugerne ved at lade dem selv fremvise hvad de ved eller har på sig. Men disse andre former for autentifikation beskytter ikke mod at dele eller videregive en token eller hemmelighed, hvorimod et biometrisk kendetegn er bundet til et bestemt individ, specielt noget det pågældende individ er eller gør.  En konsekvens heraf er imidlertid, at en utilsigtet afsløring af biometriske data kan medføre mere seriøse konsekvenser eller til konsekvenser, som er vanskeligere at afhjælpe end tabet af en token eller afsløring af et password.

Endvidere er det fundamentalt sådan, at et biometrisk match ikke repræsenterer en sikker genkendelse, men en sandsynlighed for en korrekt genkendelse, fordi det implicerer både en automatiseret genkendelse og en menneskelig fortolkning heraf.  Et såkaldt falsk match og et såkaldt falsk ikke-match vil forekomme.

En anden vigtig ting, som rapporten drager frem er at have et bredt funderet systemoverblik, når man skal vurdere et biometrisk systems præstationsevne. Såvel begejstring som bekymring for biometrisk genkendelse synes at fokusere snævert på adfærdsmæssige og biologiske karakteristika, menneskelig interaktion med biometriske sensorer eller hvordan indsamlet information skal behandles. Imidlertid indebærer den effektive brug af biometri mere end simpel konstruktion af et system af disse basiskapaciteter, nemlig en korrekt funktionalitet af et bredt system med mange elementer, herunder den menneskelige datakilde, de menneskelige systemoperatører, miljøet for dataindsamling, biometriske sensorer, kvaliteten af systemets forskellige teknologiske komponenter, den menneskelige-sensor-miljø interaktion, databasen for den biometriske reference information og kvaliteten og integriteten af de opbevarede data, systemets security og tilgængelighed, systemets kommunikationsnetværk og systemets fejlhåndtering og processer for fejlafhjælpning.

Undersøgelsen er blevet finansieret af the Defense Advanced Research Projects Agency, Central Intelligence Agency (CIA) og U.S. Department of Homeland Security, med bistand fra National Science Foundation.

I en kommentar til rapporten vil jeg gerne fremhæve, at selvom National Academies er en meget velanskrevet organisation og selvom rapportens forfattere er meget kompetente, så er de problemstillinger som rapporten tager op gammelkendte. Det er især ikke nogen revolutionerende opdagelse, at biometri ikke er ufejlbarlig. Det er der ingen teknologi der er. Man kan så med en vis ret spørge, hvorfor de biometriske systemer ikke fungerer mere tilfredsstillende og har et langt større marked ? Hertil er at sige, at teknologien faktisk er forbedret signifikant i de seneste år på trods af dens kompleksitet og til trods for at biometri som noget ganske enestående (men med rette) står overfor social-etiske og retlige udfordringer.

Men biometriens unikke egenskab gør, at man ikke bare skal skrotte den, men at man tværtimod skal udnytte den på en teknisk så vel som social-etisk forsvarlig måde. Rapporten tjener hermed to gode formål, nemlig dels at fremme mere forskning og udvikling af nye løsninger og dels at fremhæve en række pointer om biometri, som ofte går tabt i den løbende debat.

IBIA, der tilsyneladende opfatter rapporten som unødvendig kritisk og mindre konstruktiv, har på den baggrund fundet det betimeligt at reagere på industriens vegne med en pressemeddelelse, som der henvises til her.

Et sammendrag af rapporten (31 sider) kan downloades her, mens hele rapporten (183 sider) mod forregistrering er tilgængelig her.

DTU Systembiologi nyt medlem af Danish Biometrics

Institut for Systembiologis aktiviteter dækker undervisning, forskning og innovation indenfor fundamentale biologiske problemstillinger inden for cellulære mekanismer, evolution og biologisk diversitet, bioinformatik og metodeudvikling til industrielt relaterede processer.

Instituttets styrke på nationalt og internationalt plan er, at undervisningen og forskningen udspringer af integreret brug af ekspertise i discipliner som molekylærbiologi, genetik, biokemi, mikrobiologi, kemi, fysik, matematik, bioinformatik og kemisk biologi. Der uddannes kandidater og forskere med høje faglige og menneskelige kompetencer. De kvalificeres til at kunne arbejde med komplekse problemstillinger vedrørende forskning og udvikling inden for det systembiologiske, bioteknologiske og mikrobiologiske fagområde, samt at oversætte dette i forskningsbaseret undervisning.

Forskning og undervisning er rettet mod nationale og internationale behov for udvikling af nye behandlingsformer og lægemidler samt bæredygtige, miljøvenlige og konkurrencedygtige bioteknologiske processer.

Det forskningsprojekt, som har givet anledning til medlemskab af Danish Biometrics er “Fra DNA til Portræt” eller DNA2POR. I dette helt nye projekt er det hensigten at etablere et strategisk samarbejde på tværs af to forskningsområder, som traditionelt ikke interagerer – billedanalyse og sammenligningsundersøgelser af genomer.

Deoxyribonukleinsyre eller i daglig tale DNA er en nukleinsyre, der indeholder de genetiske instruktioner, der benyttes i udviklingen og opretholdelsen af alle kendte levende organismer og nogle vira. Genomet eller arvemassen er et fuldstændigt sæt gener for en organisme. Ud fra genomet kan hele organismen (for eksempel et menneske) i princippet rekonstrueres. Menneskets genom indeholder cirka 30.000-35.000 gener.

Målet med forskningen er at skabe et værktøj, der vil gøre det muligt at omdanne den genetiske information fra DNA til et portræt af den person, til hvem DNA´et tilhører. 3D billeder og DNA fra tusindvis af raske, unge mænd vil blive brugt som input, fra hvilken to vektorer for hvert af emnerne vil blive udtrukket. Den første vil beskrive disse personers ansigt – ansigtsnøglen, som vil være resultatet af en billedanalyse ved hjælp af metoder baseret på klassisk software til ansigtsgenkendelse. Den anden vektor vil blive udledt af en genetisk analyse ved hjælp af en SNP-chip, og vil indeholde den digitale information om Single Nucleotide Polymorphisms (SNPs) og Copy Number Variations (CNVs) fra det pågældende emne. Ved hjælp af sammenlignende analyser er det hensigten at identificere de genetiske kombinationer, der styrer værdierne i ansigtsnøglen, og dermed gøre det muligt at udføre reverse engineering (omvendt konstruktion) af et portræt fra DNA.

Mulige anvendelser for forskningen angives at være:

1. Retsmedicin – ukendt gerningsmand
2. Retsmedicin – uidentificeret offer/kropsdel
3. Rekonstruktion af historiske personer
4. Visualisering af et barn som voksen
5. En gammel person som ung
6. Udseende, hvis der er tale om det modsatte køn
7. Forudsigelse af forekomsten af muligt afkom samt
8. Grænseovervågning/lufthavne (ansigtsgenkendelse)

DNA2POR er et internationalt samarbejde mellem Faculty of Health Sciences & Medicine, Bond University, Australien, Retsmedicinsk Institut, Københavns Universitet, University of Deusto og University of the Basque Country, den globale franske biometriske leverandør Morpho, der en del af Safran Group, det irsk-slovenske firma GenePlanet , de to danske selskaber TriVision A/S og DNAtest.dk samt DTU Informatik og Center for Biological Sequence analysis, Danmarks Tekniske Universitet.

Direktør Frederik Kortbæk, FK Consulting, er på vegne af Danish Biometrics udpeget som nyt medlem af konsortiets advisory board, der desuden består af bl.a. professor Dr. jur. Dr. med. Dr. h.c. mult. Carlos Maria Romeo-Casabona, University of Deusto og University of the Basque Country. Professor Romeo-Casabona er bl.a. medlem af European Research Area Board samt medlem af den rådgivende komite for Nordic Biometrics Forum. Lektor Hanne Jarmer er projektets koordinator.

Med medlemskabet af DTU Systembiologi runder Danish Biometrics 50 medlemmer. DNA2POR er et yderst interessant biometrisk forskningsprojekt, som når forskningsresultaterne realiseres især kan blive et vigtigt redskab i politiets efterforskningsarbejde, men også kan finde anvendelse inden for andre nye  og interessante fagområder. Danish Biometrics er meget glad for at deltage direkte i forskningssamarbejdet med særlig henblik på dels at udvikle forretningsmodeller og dels rådgive om projektets etiske udfordringer, herunder privacy samt behandlingen af persondata. Danish Biometrics ser DNA2POR som en vigtig styrkelse af den biometriske forskning i Danmark og betragter forskningens potentiale som et projekt, der er oplagt for et af støtteordningerne inden for IKT under EU’s FP7 forskningsprogram.

PrivatTek 2010

Privatlivsbeskyttelse og sikkerhed – en god og tryg symbiose for teknologisk design

Dansk Privacy Netværk, Danish Biometrics, CenSec, Sikkerhedsbranchen, Teknologisk er initiativtager til en ny event PrivatTek 2010, der vil sætte fokus på privatlivs- og persondatabeskyttelse. Arrangementet afvikles som en formiddagskonference fredag den 10. september kl. 9.00-13.00 2010 i Landstingssalen på Christiansborg.

Beskyttelsen af persondata og den enkelte brugers kontrol af egne data er et højaktuelt tema i den intensiverede digitalisering af samfundet. Som bekendt er det muligt at lave et teknologidesign og implementering til sikring af privacy. Disse løsninger, der med et noget nørdet udtryk betegnes som privacy enhancing technologies, er et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata uden at miste datasystemets funktionalitet.

Udviklingen af principper om ”privacy by design” og privacy enhancing technologies vil få stigende betydning i forbindelse med f.eks. den kommende revision af EU´s persondatadirektiv. Sammen med yderligere forventet EU-lovgivning, en øget standardisering og certificering vil det uden tvivl få en positiv afsmitning på produktudviklingen og indførelsen af disse løsninger og her kan danske it-sikkerhedsleverandører få en vigtig rolle at spille. På PrivatTek 2010 vil en række eksperter give en ”state of the art” på den nugældende lovgivning og hvorledes teknologier, der normalt opfattes som overvågningsteknologier, herunder biometri, CCTV og RFID også kan designes og anvendes på en privacybeskyttende måde.

Privacy enhancing technologies er et begreb, der er stort set ukendt for den almindelige borger og det hænger uden tvivl sammen med, at der kun findes relativt få løsninger på markedet og at de hverken er brugervenlige endsige forståelige i en dagligdags sammenhæng. Alt for længe er debatten om disse teknologiløsninger, som faktisk allerede så dagens lys for over 10 år siden,  foregået fortrinsvis i forskningskredse i udlandet. Det er på tide at rejse en offentlig debat samtidig med at både EU-Kommissionen så vel som politikere i Europa i stigende grad erkender, at privatlivsfremmende teknologier kan styrke persondatabeskyttelsen.

Det er et af konferencens hovedformål at formidle en sammenhængende viden og indsigt i “øjenhøjde” til den brede offentlighed om organisatoriske, retlige, etiske og især teknologisk/tekniske aspekter af persondatabeskyttelse og privacy.

Konferencen er gratis og åben for alle, men henvender sig især til beslutningstagere, der beskæftiger sig med information og kommunikation inden for den offentlige og private sektor, It-professionelle, jurister, økonomer, erhvervsledere, iværksættere, politikere og journalister.

Konferencen vil blive optaget på video med efterfølgende on demand streaming.

PrivatTek 2010 åbnes af professor dr. jur. Linda Nielsen, formand for videnskabsministerens It-sikkerhedskomite.

Agenda

Konferenceleder: Søren Duus Østergaard, adm. direktør, Duus Communications ApS

Indregistrering og morgenkaffe
Velkommen v/ direktør Frederik Kortbæk, FK Consulting, koordinator for Dansk Privacy Netværk
Åbningstale v/ professor dr. jur. Linda Nielsen, formand for   IT-sikkerhedskomiteen
Video i teknisk og retligt perspektiv v/ direktør Kasper Mikkelsen, Sikkerhedsbranchen
Teknologianvendelse og persondataloven v/ kontorchef Lena Andersen, Datatilsynet
Systematisk Innovation med enterprise arkitektur v/ CEO Allan Bo Rasmussen,  EA Fellows ApS
Kaffe/strække-ben pause
Et visionært teknologidesign
v/ lektor Christian Damsgaard Jensen, Danmarks Tekniske Universitet
Incitamenter for privatlivsfremmende teknologier v/Scientific Officer Oluf Nielsen, European Commission, Directorate General Information Society and Media
Paneldebat
Behovet for klare retningslinjer, love og teknologier til beskyttelse af privacy er efterhånden blevet bredt anerkendt. Paneldebatten vil diskutere problemerne med privatlivets fred i nutidens sammenkoblede elektroniske samfund og mulige bæredygtige løsninger.
Deltagere:
MF Yildiz Akdogan, Socialdemokraterne
Lektor Peter Lauritzen, Århus Universitet
Direktør Lars Klüver, Teknologirådet
Direktør Kasper Mikkelsen, Sikkerhedsbranchen
Moderator: redaktør Jan Horsager, Computerworld
Frokost

Download det uddybende konferenceprogram med diverse praktiske oplysninger her.

Der er nu officielt lukket for tilmelding til konferencen. Efterfølgende tilmelding kan dog efter omstændighederne finde sted. For yderligere oplysninger kontakt venligst sekretariatet for Dansk Provacy Netværk.

Sidst opdateret: 8.9. 2010

Konferencens sponsorer

 

    

  

 

Privatlivsfremmende teknologier savner økonomiske incentiver

Som optakt til konferencen PrivatTek 2010, der gennemføres 10. september 2010 kl. 9.00-13.00 i Fællessalen på Christiansborg, er der god anledning til kort at omtale sammendraget fra en netop offentliggjort rapport med titlen “Study on the economic benefits of privacy enhancing technologies (PETs)”.

Rapporten, der er på 259 sider, er udarbejdet af London Economics på foranledning af Europa-Kommissionens Generaldirektorat Retfærdighed, Frihed og Sikkerhed med det formål at gennemføre en undersøgelse om de økonomiske fordele af privatlivsfremmende teknologier for organisationer og institutioner, der anvender og opbevarer personlige data (de dataansvarlige). Undersøgelsen har særlig fokus på små og mellemstore virksomheder (SMV´ere) samt specifikke emner som:

  • hvorvidt og hvordan virkningerne af disse teknologier kan måles
  • om samarbejde/fælles tiltag, såsom offentlig-private partnerskaber mellem dataansvarlige med myndigheder eller internationale organisationer vil manifestere de økonomiske fordele

Undersøgelsen har været baseret på en tostrenget analyse, nemlig dels en teoretisk, der giver et overblik over PET-teknologierne og determinanterne for implementering af PET´s ud fra et økonomisk perspektiv, dels en empirisk, der baserer sig på interviews af forskellige interessenter, indsamling af data fra en række virksomheder i 12 medlemslande, herunder Danmark samt detaljerede casehistorier. Analysen afsluttes af en oversigt over optioner for et samarbejde mellem den offentlige og private sektor med henblik på at optimere fordelene ved PET´s for de dataansvarlige.

Rapporten præciserer PETs som et kompleks koncept, der omfatter en bred vifte af individuelle teknologier af forskellig modenhed. PETs udvikler sig hele tiden ofte som svar på nye avancerede trusler. Der er kun tale om at PETs er datasikkerhedsteknologier, såfremt de benyttes til at styrke privacy. Det fremhæves, at dataminimering og samtykke mekanismer er vigtige dele af PETs og at mange PETs kombinerer diverse teknologier, herunder databeskyttelsesværktøjer (f.eks. kryptering) og “rene” PETs (som eksempelvis dataminimeringsværktøjer) for at danne integrerede PET-systemer af varierende kompleksitet.

Forskellige klassifikationer af PETs først og fremmest baseret på teknologiske egenskaber er fra tid til anden blevet foreslået, mens en klassifikation ud fra økonomiske karakteristika endnu ikke har set dagens lys, muligvis fordi det er umuligt på grund af den kontekstspecifikke natur af de økonomiske virkninger af PETs.

En øget implementering af PETs forudsætter at den enkelte er velinformeret og handler rationelt og vil derfor være baseret på

  • den enkeltes risikoaversion
  • risiko for tab af data/indskrænkning i privacy
  • PETs effekt på at reducere denne risiko

Rapporten pointerer, at selvom der er undersøgelser der viser en høj grad af bekymring for privacy online og at brugerne er parate til at betale for privacy under visse betingelser, så er der ringe dokumentation for efterspørgsel af PETs. Empiriske undersøgelser viser også, at tab af omdømme som følge af datatab hændelser er relativ lav og genvindes hurtigt. Adfærdsøkonomiske undersøgelser viser, at en af de vigtigste årsager til en reaktion på privacy krænkelser og dermed et incentiv til PETs, relaterer sig til den ringe sammenhæng mellem aktioner (videregivelse af persondata) og konsekvenser (spam mails, bedrageri, tyveri, profilering osv).

Den dataansvarliges tilslutning til PETs er baseret på de samme faktorer, som ligger til grund for det enkelte individs beslutning, herunder frygt for tab af data for både ansatte, leverandører, kunder osv. En yderligere bevæggrund for dataansvarlige kan være, at der med indførelsen af PETs kan opnås en markedsføringsfordel. Imidlertid vil den elektroniske behandling af personoplysninger også give den dataansvarlige en række benefits. At gøre brug af PETs kan reducere disse fordele. Implementering indebærer en up-front investering i teknologien ligesom træning og vedligeholdelse. Så selvom anvendelsen af PETs kan reducere omkostningerne over tid, så er det de direkte omkostninger ved indførelsen, der er den type af umiddelbare omkostninger, der skal afvejes mod de potentielle fordele. Rapporten giver udtryk for, at eftersom omkostninger og fordele ved PETs til en vis grad er usikker, kan det betyde at virksomheder udskyder indførelsen og afventer yderligere information.

Rapporten udtaler, at imperfektioner, som kan omfatte asymmetrisk information, eksterne omkostninger, manglende videndeling og fejlkoordinering om trusler mod privatlivets fred betyder, at den dataansvarliges individuelle rationelle beslutning ikke nødvendigvis fører til PETs optimale implementering. Det indikerer, at der kan være fordele ved teknologien, som den dataansvarlige for nærværende ikke er klar over. I det omfang at markedssvigt er et problem i forbindelse med teknologien, peger det i retning af en potentiel rolle for den offentlige sektor med henblik på at hjælpe de dataansvarlige til at overvinde de barrierer, der hæmmer anvendelsen af PETs.

For så vidt angår interessenterne (brancheforeninger, forbrugerorganisationer og privacy-fortalere) er der blandt disse enighed om at

  • risikoen der er forbundet med elektronisk behandling af persondata er seriøs og stigende
  • forbrugernes bevidsthed om disse risici er lav og at
  • PETs er effektive værktøjer til beskyttelse mod disse risici

I en generel kommentar til casehistorierne fastslår rapporten, at de fleste PETs består af sammensatte teknologier, der gør brug af enkle sikkerhedsforanstaltninger (kryptering, adgangskontrol) i sammenhæng med andre mekanismer med henblik på at styrke den samlede privacy. Endvidere viser casehistorierne at visse typer af PETs er mere udbredte end andre:

  • dataminimering er et vigtigt aspekt af PET og er realiseret i forskelligt omfang i de teknologier, der er blevet analyseret
  • i modsætning hertil synes mekanismer med henblik på at opnå brugersamtykke at spille en relativ mindre rolle

Af rapportens konklusioner kan det bl.a. nævnes, at enkle PETs, der ikke reducerer funktionaliteten af den applikation, hvortil den er knyttet, ikke møder modstand fra den dataansvarliges side. Imidlertid illustrerer casene klart, at de dataansvarlige ofte er tilbageholdende med at indføre PETs. Hovedårsagerne er:

  • en tilsyneladende mangel på fordele og
  • potentialet for begrænset nytte af personoplysninger, når PETs er installeret.

Forbrugerpres synes ikke at være en vigtig driver for indførelse af PETs. Derimod giver casehistorierne stærke beviser for, at den offentlige sektors rolle er meget vigtig ved at manglende håndhævelse af eksisterende regler om privacy [ persondatabeskyttelse] samt utilstrækkelige sanktioner for overtrædelse, synes at hæmme implementeringen i mange tilfælde. Kravene om samtykke og proportional anvendelse af personoplysninger synes især at være utilstrækkeligt håndhævet. Behovet for at overholde privacy er ofte den mest effektive drivkraft for implementering af PETs.

Rapportens virksomhedsundersøgelse viser, at persondata af forskellig detaljeringsgrad i vidt omfang bliver opbevaret af virksomhederne og det både for så vidt angår SMV´ere og store virksomheder, selvom sidstnævnte har tendens til at opbevare mere detaljerede oplysninger. Visse sektorer er mere dataintensive end andre, f.eks. indenfor finans, social, sundhed og IKT services. Af undersøgelsens resultater kan fremhæves, at SMV´ere bedømmer fordelene ved PETs til at være betydeligt mindre end ikke-SMV´ere hvilket til dels reflekterer det faktum, at disse virksomheder ser et mindre behov for PETs grundet deres mindre brug af større mængder af persondata. Ikke desto mindre er de ikke tilstrækkelig informeret om PETs, hvilket kan bias deres opfattelse af brugbarheden.

Hvad angår virksomhedernes kendskab til PETs afhænger det for det meste af hvilken type teknologi det drejer sig om. Rundspørgen bekræfter, at filter- og blokeringssoftware anvendes i vidt omfang (83 %) ligesom krypteringsværktøj (49%) og sletningssoftware (53%), mens informations- og administrationsværktøjer er mindre kendt, især blandt SMV´ere.

Høje omkostninger og forbrugernes accept af status quo nævnes som de vigtigste faktorer, der begrænser indførelsen af PETs i større virksomheder. For små og mellemstore virksomheder er det faktum, at PETs ikke anses som anvendelig for deres virksomhed, den vigtigste barriere for implementeringen.

Rapportens væsentligste anbefaling er, at den offentlige sektor bør spille en mere fremtrædende rolle i implementeringen af PETs ved aktivt at understøtte de dataansvarlige på følgende måde:

  • fastsætte og håndhæve standarder for privacy
  • støtte udvikling af PETs ved direkte og indirekte finansiering
  • udarbejde certificeringer og godkendelser samt
  • fremme PETs via informationskampagner og løbende kontakt til de dataansvarlige

Fra rapportens konklusion skal blot fremdrages, at PETs på den ene side er teknologispecifik og applikationsspecifik på den anden side. Kompleksiteten af spørgsmålet om de økonomiske fordele gør det umuligt at kvantificere effekten overfor de dataansvarlige af de økonomiske fordele ved indførelsen af PETs. Snarere tyder det på, at den økonomiske nettofordel af PETs skal vurderes fra tilfælde til tilfælde.

Teorier om teknologi adoption synes at vise, at tilegnelse af PETs følger et S-formet mønster, hvilket betyder, at den nuværende lille udbredelse vil udvikle sig hurtigere i fremtiden i takt med at teknologierne modnes og bliver mere kendt.

Rapporten kan downloades her.

I en kommentar til rapporten kan det anføres, at den uden tvivl vil blive et vigtigt bidrag til EU-Kommissionens bestræbelser på at fremme PETs generelt i EU samt mere konkret i forbindelse med at integrere PETs anbefalinger i revisionen af persondatadirektivet. I øvrigt henvises til nylige EU-rapporter om persondatabeskyttelse, der ligeledes berører PETs og privacy by design-principper.

Der vil givetvis være tale om at anvende både gulerods- og stokkemetoden til fremme af PETs. Soft-law initiativer kan f.eks. være statsstøtte, tilskud, finansiering, offentlige udbudsbetingelser eller graduering af forsikringspræmier. Men jeg vil gerne benytte lejligheden til at understrege, at udgangspunktet for den enkelte virksomhed/organisation må være at opstille eksplicitte retningslinjer og strategiske mål, der omfatter en bred vifte af faktorer for implementering af privacy enhancing technologies, idet denne tilgang med langt større sandsynlighed vil resultere i en nøjagtig og velkvalificeret teknologiudvælgelse i overensstemmelse med de forretningsmæssige målsætninger.

Teknologiimplementering bør desuden omfatte brugerinvolvering, som efter min opfattelse vil være en lige så naturlig forudsætning som i innovationsprocesser til skabelse af nye IKT baserede produkter og ydelser. På linje med undersøgelser af effekten af anden CSR-innovation er det nærliggende at antage, at der er et selvstændigt økonomisk incitament for at iværksætte brugerdreven PET innovation. Sidstnævnte aspekt og perspektiveringen i relation til virksomheders samfundsansvar (Corporate Social Responsibility) overses tilsyneladende i rapporten.

Jeg er desuden helt enig i, at det vil fremme den almene forståelse for en teknologisk/teknisk beskyttelse af brugerens persondata og privacy, at der introduceres andre mere tilgængelige termer end det noget nørdede “privacy enhancing technologies”. Begreber som “privatlivsfremmende teknologier”,  “databeskyttelses-værktøjer”, “dataminimeringsmekanismer”, “datakontrolprogrammer”, “brugerkontrol-applikationer” eller en helt anden term er værd at overveje som enten samlebetegnelse eller differentierede begreber i stedet for.

Rapporten omtaler ikke biometri i nævneværdig grad. Det kan dog som et kuriosum nævnes, at der i gengivelsen af den danske casehistorie om Crazy Daisy, i en note henvises til et tidligere blogindlæg på Danish Biometrics (side 120).

Danish Biometrics vil gerne bidrage til forskning og udvikling af PETs eller “databeskyttelsesværktøjer”, idet biometri vil være en oplagt integreret del af flere privatlivsfremmende teknologier og Danish Biometrics bidrager gerne til at formilde et tættere samarbejde mellem relevante aktører og brugere samt tilslutter sig anbefalingen om en aktiv rolle for det offentlige med henblik på at fremme forståelsen og udbredelsen af disse løsninger.

Det er således anledningen til at Danish Biometrics er en af initiativtagerne til konferencen PrivatTek 2010, som meget aktuelt vil tage nogle af de emner op til debat, som rapporten kommer ind på.

Biometri i går, i dag og i morgen

Fredag den 28. maj 2010 afholdt Danish Biometrics sit 2. netværksmøde med over 30 deltagere. Mødet, som blev holdt i Logica Danmark A/S’s lokaler, havde følgende hovedpunkter:

• Paneldebat om Teknologirådets rapport Biometri – brug af biometriske teknologier i det danske samfund.
• Foredrag om identifikation i retsmedicin v/Peter Juel Thiis Knudsen, Vicestatsobducent, Retsmedicinsk Institut, Syddansk Universitet.
• Præsentation af Logica Danmark A/S’s netop indviede innovationscenter.

Danish Biometrics bringer her et referat af paneldebatten om Teknologirådets rapport med titlen “Biometri i går, i dag og i morgen”, idet vi anser rapporten og dens anbefalinger som et vægtigt bidrag til en fortsat lødig debat om biometri.

Teknologirådets bestyrelse har i samråd med IT- og Telestyrelsen valgt at gennemføre en teknologivurdering af biometri. Projektets formål er at vurdere, hvilke fordele og problemer udbredelsen af biometriske teknologier fører med sig.

Rapporten indeholder:
• Et sæt anbefalinger til lovgivere, myndigheder, virksomheder og privatpersoner om hensigtsmæssig brug af biometriske teknologier.
• En debatterende del, hvor mulighederne og problemstillinger tematiseres og perspektiveres.
• En beskrivende del, hvor karakteristika ved de forskellige teknologier bliver gennemgået.

Rapportens indhold findes endvidere på hjemmesiden www.biometri.info, hvor det bl.a. er muligt i en holdningsundersøgelse at give sin mening til kende.

Indledningsvis præsenterede projektleder, Jacob Skjødt Nielsen, Teknologirådets rapport. Jacob Skjødt Nielsen præciserede i denne forbindelse bl.a., at det er vigtigt ikke at glemme privacy og sikkerhed i forbindelse med udviklingen af biometriske løsninger. Det er endvidere ønskeligt, at den enkelte person bevarer kontrollen med egne data, hvor en mulig løsningsmodel kunne være ”match on card”-teknologi.

Efter denne præsentation gennemgik Søren Duus Østergaard, direktør, Duus Communications ApS, rapportens 10 anbefalinger for fremtidig brug af biometriske teknologier i Danmark. Ifølge Søren Duus Østergaard  er det betænkeligt, at offentligheden grundet den øgede brug af biometri er blevet mindre opmærksom på, hvilke risici der er forbundet med ukontrolleret udnyttelse af biometri. Søren Duus Østergaard håber, at denne rapport vil være en øjenåbner for politikkerne.

I stedet for forhåndsgodkendelse, mener Søren Duus Østergaard, at man skal udarbejde generelle standarter for leverandører af biometriske løsninger, som løbende skal holdes ajour i takt med det aktuelle teknologiniveau. På længere sigt vil målet være at indføre en certificeringsordning med henblik på at sikre  specifikke standarder. 

Derefter var ordet frit. Ordstyrer var Frederik Kortbæk, direktør, FK Consulting, netværkskoordinator, Danish Biometrics.

Ifølge Martin Kiær, Principal Consultant, Logica Danmark A/S må man ikke undervurdere det menneskelige aspekt og en meget lavpraktisk tilgang i forbindelse med biometriske løsninger, da dette i sidste ende vil være udslagsgivende.

”Vi er Tordenskjolds soldater” udtalte Uffe Clemmensen, direktør, Quard Technology ApS meget sigende. Uffe Clemmensen stillede herudover det meget presserende spørgsmål: Hvordan får vi det her ud? (underforstået hvordan udbreder vi kendskabet til biometri?). Mulige løsningsforslag var bl.a. mere dialog og tværfagligt samarbejde med bl.a. myndigheder og erhvervslivet herunder eksempelvis Dansk Industri.

”Vi er ikke alene” lød det fra Allan Bo Rasmussen, Partner, EA Fellows. I et globalt samfund som vores, vil det ifølge Allan Bo Rasmussen være oplagt at udarbejde en international standard hvor bl.a. grundlæggende begreber defineres m.m.

Frederik Kortbæk henledte deltagernes opmærksomhed på personoplysningslovens § 74, hvoraf det fremgår, at brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige har mulighed for, i samarbejde med Datatilsynet at udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i personoplysningsloven.

Herudover fremhævede Frederik Kortbæk pseudonymisering og biometrisk kryptering som et eksempel på en privatlivs-fremmende teknologi, som kan give biometri et markedsmæssigt gennembrud.

Et fremtidigt biometrisk borgerservicekort blev i flere omgange nævnt. Søren Duus Østergaard udtrykte undren over, at man ikke for længst havde taget fat på diskussionen og henviste i denne forbindelse til Tyskland, hvor et borgerservicekort allerede er taget i brug. Herudover blev det fremhævet, at brug af en mobiltelefon frem for et borgerservicekort vil have en række fordele (Jacob Skjødt Nielsen). Forskellige økonomiske aspekter blev ligeledes fremhævet af bl.a. Bjarne Jensen, Direktør, Scan-Tech Sikkerhedssystemer A/S, Martin Kiær, Principal Consultant, Logica Danmark A/S og Conny Borgström,  Area Sales Manager, Speed Identity AB.   

Omend der ikke er nogen teknologiforskrækkelse at spore blandt Fakta’s medarbejdere, er vi langt bagud i Danmark, udtalte John Ravn, Chefcontroller, Fakta A/S.  

Lars Wellmann Thomsen, salgsdirektør, Max Manus A/S efterlyste mere synergi blandt eksisterende teknologier som f.eks. talegenkendelse. Dette tilsluttede Allan Bo Rasmussen sig under henvisning til, om det ikke er på tide at se nærmere på, hvordan biometri kan samarbejde med teknologier som RFID m.m. 

”Nogle gange er det sundt, lige at træde et skridt tilbage for at se sammenhængene lidt på afstand” udtalte Martin Kiær afslutningsvis.

Opsummering:
• Vigtigt ikke at glemme privacy og sikkerhed i forbindelse med udviklingen af biometriske løsninger.
• Ønskeligt, at den enkelte person bevarer kontrollen med egne data, hvor en mulig løsningsmodel kunne være ”match on card”-teknologi.
• Indføre en certificeringsordning.
• Ikke undervurdere det menneskelige aspekt i forbindelse med biometriske løsninger.
• Mere dialog og tværfagligt samarbejde med bl.a. myndigheder og erhvervslivet herunder eksempelvis Dansk Industri.
• Udarbejde en international standard.
• I samarbejde med Datatilsynet at udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i personoplysningsloven.
• Pseudonymisering.
• Brug af mobiltelefon frem for et borgerservicekort.
• Mere synergi.
                            
Referent, stud. jur. Bénédicte Lunde-Christensen, Københavns Universitet. 

Download referatet her. For yderligere oplysninger om netværksmødet tjek afholdte netværksmøder.

Danish Biometrics er blevet associeret medlem af EUROSMART

Eurosmart er en international og privat non-profit organisation, beliggende i Bruxelles, der repræsenterer smart card industrien i forbindelse med udvikling af multisektor IKT-programmer.

Eurosmart er grundlagt i 1995 med det formål at udvikle verdensmarkedet for smarte enheder, smart card security standarder og løbende forbedre kvaliteten og sikkerheden for applikationer.

Medlemmerne består af producenter af smart cards, semiconductors, terminaler, udstyr for systemintegratorer af smart cards, udviklere af applikationer og kortudstedere, der er medlem af arbejdsgrupper ( kommunikation, marketing, security, e-ID,det fysiske design af elektroniske komponenter samt markedspotentialer).

Organisationens medlemmer er for det meste involveret i politiske og tekniske initiativer samt forsknings- og udviklingsprojekter på europæisk og internationalt plan.

Eurosmarts medlemmer er bl.a. Atmel, Austriacard, Gemalto, Giesecke & Devrient, Infineon Technologies, NedCard, Oberthur Technologies, Precise Biometrics, Renesas, Sagem Orga, Samsung, STMicroelectronics, Toshiba, Zetes, GIE Cartes Bancaires, MasterCard, FIME, CEA-LETI, Smart Payment Association, Babysmart samt uafhængige eksperter som Jean-Pierre Delesse og Michel Koenig.

Optagelsen af Danish Biometrics blev bekræftet på generalforsamlingen 20. maj 2010 i München, hvor også arbejdsprogrammet for de kommende år blev fastlagt. Blandt hovedaktiviteterne for 2010 vil være at:

  • Lancere en ny task force for biometri med det formål at udarbejde en vision for state-of-the-art og bedste slutbruger cases så vel som tekniske valg af implementering i kombination med smart card teknologi. Task forcens tilgang vil være at forklare biometri og dens applikationer.
  • Udvikle en vision for “Internet of Things”: en digitaliseret verden kræver mere security ligesom privacy og persondatabeskyttelse
  • Styrke en mission for uddannelse gennem læring på højt niveau af de seneste innovative IKTs startende med M2M kommunikation
  • Fortsætte med at promote interoperabilitet og europæiske standarder
  • Forbedre security certificering ved at presse på for konvergens af certificeringsordninger og udvikling af guidelines for sikkerhedsniveauer

For mere information om Eurosmart tjek: www.eurosmart.com

Med medlemskabet af Eurosmart indleder Danish Biometrics et samarbejde med et af branchens mest betydningsfulde organisationer. Formålet er at påvirke og udvikle smart card teknologien, som i kombination med biometri vil medvirke til at sikre fortrolighed, integritet og autentificering af data. Danish Biometrics deler i store træk Eurosmarts visioner om en ansvarlig teknologiudvikling.

Meget er sket siden Diners Club i 1950 udstedte det første kreditkort af papir og efter at det franske PTT i 1980´erne testede de første chipkort til brug for bankautomater. Smart cards, der kan defineres som et plastikkort med en indlejret computer chip, der kan lagre og behandle data mellem brugere, er involveret i flere og flere dagligdags transaktioner først og fremmest på grund af dets brugervenlighed og fleksibilitet. Ifølge Eurosmarts årlige markedsprognoser vil der således i 2010 blive udstedt op til 5.455 milliarder smart cards (herunder kontaktfri chipkort). En stigning på knap 10 % i forhold til 2009. Heraf er der alene tale om 3.700 milliarder microprocessorer (SIM-kort) til telekommunikation, mens der forventes at blive leveret 860 millioner microprocessorer til brug for finansielle services, detailsalg samt loyality. CAGR ( Compound Annual Growth Rate) forventes ifølge ReportLinker at blive på næsten 13 % i perioden 2010-2012. Med andre ord, er der et kolossalt potentiale for biometri, såfremt teknologien kan benytte den eksisterende smart card-infrastruktur og standard interfaces.

Men der er en løbende udfordring i at forbedre security og privacy og her kan specifik brug af biometri og f.eks. PKI være en oplagt løsning. At biometri er sat på Eurosmarts 2010-aktivitetsplan er derfor meget prisværdigt og det nye organisationssamarbejde med Danish Biometrics skal vel også ses som en manifestation af denne prioriteringsstrategi.

Ud fra et dansk perspektiv kan samarbejdet være med til at styrke de forretningsmæssige relationer, innovation og videnformidling samt en lødig debat om fremtidige biometriske smart card løsninger indenfor f.eks. detailhandlen, finanssektoren, transportbranchen, sundhedsvæsenet, fysisk adgangskontrol og ikke mindst et borgerservicekort med multiapplikationer.