Månedsarkiv: december 2009

dec 30 2009

Er der behov for en Lex Biometricus ?

I den løbende debat om biometri rejses spørgsmålet om lovgivningen er tilstrækkelig til dels at beskytte brugeren dels at udnytte teknologiens fulde udviklingspotentiale.

Biometri er ligesom andre teknologier ikke direkte omtalt i hverken persondatadirektivet eller persondataloven, men kun indirekte med reference til en række (teknologineutrale) principper om proportionalitet, personfølsomme data, gennemsigtighed samt tekniske forholdsregler. 

Udgangspunktet er, at biometri  betragtes som personfølsomme oplysninger, der er omfattet af persondatalovens bestemmelser både så vidt der er tale om det rå eksemplar (eksempelvis selve fingeraftrykket) og den digitaliserede udgave (minutiae data).  I de tilfælde hvor de biometriske data foreligger i krypteret form (anonymiseret) rejser der sig det interessante spørgsmål om der juridisk set stadig vil være tale om personhenførbare oplysninger, der falder ind under loven ? Det vil umiddelbart være rimeligt at antage, at den dataansvarlige skal overholde loven, eftersom der under alle omstændigheder vil være tale om en behandling af ”data”, selvom disse ikke teknisk set kan tilbageføres til datasubjektet. Men er der risiko for, at persondatabegrebet bliver for diffust ?  Spørgsmålet kan i øvrigt indgå i en diskussion om man generelt kan fastholde den gængse opfattelse, at privacy-beskyttelse kan opnås, blot man fjerner PII fra databaserne (anonymisering contra reidentifikation)? 

Et andet spørgsmål er imidlertid om betegnelsen, at ”biometri er noget du er” stadig vil være dækkende, når ny teknologisk forskning og udvikling (biometrisk kryptering) så at sige erstatter biometri med såkaldte ”pseudoidentiteter”, der gemmes på smart cards eller andre devices i brugerens besiddelse og kontrol ?

Teknologien (så vel som vore sociale normer) udfordrer hele tiden lovgivningen og lovgiverne er godt klar over, at loven altid vil halte efter med flere år. For at imødegå en ufuldstændig lovgivning har EU derfor tilpasset datadirektivet, som persondataloven hviler på, med en bestemmelse (artikel 17) om, at:

“Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.”

Artikel 17 er gengivet i persondatalovens § 41 stk. 3. som følger: ”Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.” Som det fremgår er  formuleringen “state of the art” gledet ud af den danske lovtekst.  Kort sagt, så skal den dataansvarlige træffe fornødne, men ikke nødvendigvis de nyeste eller mest avancerede tekniske sikkerhedsforanstaltninger. Ansvaret ligger dog stadig hos den dataansvarlige, men formålet er altid at undgå at selve databruddet faktisk finder sted. Det daværende IT-Sikkerhedspanel har tilbage i 2006 gjort opmærksom på dette problem og anbefalet en opstramning. Men er det desuagtet tilstrækkeligt at basere en løsning på et skøn i henhold til stadigvæk relativt ukonkrete kriterier, når man har at gøre med ny, hurtigt udviklende og kompliceret teknologi ? 

Artikel 17 er iøvrigt interessant, fordi den faktisk indirekte understøtter PET´s (privacy enhancing technologies), idet det i bemærkning 46 til direktivet klart fremgår, at de nødvendige tekniske forholdsregler fra start skal integreres i designet af selve databehandlingssystenet. Iagttager man nogle grundlæggende designprincipper, kan biometri indgå i en løsning, som opfylder de højeste krav til privacy- og persondatabeskyttelse i stedet for en anvendelse af teknologien til ukontrolleret biometrisk overvågning og personprofilering (function creep). Med hensyn til beskyttelse af individet i forbindelse med den automatiske behandling af persondata, henvises til en række anbefalinger, som Europarådet har offentliggjort 2. oktober 2009. Er der behov for et normsæt  af mandatoriske specifikke privacy principper som f.eks. dataminimering, gennemsigtighed, optimal bruger kontrol og forbedret sikkerhed ?

I relation til persondataloven kan en teknologiløsning med biometri approberes enten ud fra en almindelig proportionalitets/interesseafvejning eller i henhold til et samtykke af den registrerede.  Vurderes det, at den dataansvarliges interesse vejer tungere end hensynet til den registrerede, er sidstnævntes manglende samtykke uden betydning. Giver det anledning til at overveje om brugersamtykke skal være obligatorisk  og desforuden nærmere præciseres?

En væsentlig problemstilling er om opbevaring af biometriske data kan finde sted i en central database, i en decentral aflæsningsenhed eller på  et smart card. Skal de to første optioner overhovedet være mulig og i bekræftende fald kun i henhold til lov ? I den forbindelse er det relevant at stille sig det spørgsmål om det i det hele taget skal være muligt at identificere en person ved hjælp af biometri eller om det fuldt ud er tilstrækkeligt med en autentificering ? Skal det eksempelvis ved lov bestemmes, at biometri alene kan anvendes som verifikationsmetode baseret på et af to formål:  

  1. At bevise at du er den du siger du er (positiv verifikation) eller
  2. At bevise at du ikke er den du siger du ikke er (negativ verifikation) 

I forlængelse heraf kan det anføres, at flere eksperter har rekommanderet, at biometri i e-pas alene skal tjene et verifikationsformål, hvorefter de data, der er gemt i dokumentet sammenholdes med de data, som præsenteres af dokumentets indehaver. Bør det være en lovanbefaling ?

Imidlertid  skal man være opmærksom på, at brugeren sjældent er klar over hvad der faktisk er gemt på et smart card, hvordan man får adgang til disse data  eller hvem der gør brug af denne information. Det er muligt, at den dataansvarlige har et ejerskab til selve kortet og de persondata, der er gemt på kortet, men det er ikke nødvendigvis det samme som at fastslå, at kortholderen (brugeren) mister sin ret til at have kontrol over sine persondata/pseudoidentiteter.

Spørgsmålet er, hvem der kontrollerer back office og det er derfor nødvendigt at tage stilling til rettigheder og ansvar for kortudsteder, den dataansvarlige og kortholder. 

Endelig kan man stille det spørgsmål om der bør gælde enslydende regler for implementering af biometriske systemer for både private og offentlige organisationer med hensyn til   indsamling, brug, deling, transmission, logning, opbevaring, disposition, grænseoverskridende overførsel og sletning af biometriske data i hele dets livscyklus. Hertil kan suppleres med en vurdering af i hvilket omfang særlige sikkerhedshensyn gør det nødvendigt at undtage staten, således som det i dag er gældende i forhold til persondataloven. 

Der er grund til at gå ud fra, at der vil blive installeret flere og flere biometriske systemer i de kommende år hvilket kan tale for at tiden er moden til at overveje et regelgrundlag, som er fremtidsorienteret. Jeg har forsøgt at stille nogle spørgsmål om biometri,som kunne trænge til en afklaring og jeg mener, at der derfor på den baggrund er belæg for at anbefale, at der nedsættes et af regeringen udpeget udvalg med repræsentanter for relevante myndigheder, eksperter og branche- og interesseorganisationer med det formål at undersøge om en lov om biometri er nødvendig. En sådan evaluering kunne passende indgå i en helt overordnet fastsættelse af statens principper for security og privacy teknologier, forskning og innovation.

En analyse bør ikke kun have en strikt teknologisk tilgang men f.eks. forholde sig til bestemte fremtidige projekter som borgerservicekortet, inddrage retlige aspekter af ID-management og tage højde for hele den IT-infrastruktur som biometri vil kunne være en del af, eventuelle backupsystemer, testningskrav, øvrige organisatoriske virkemidler  samt registreringsprocedurer. Når det sidste punkt nævnes, så er det fordi det ikke kan understreges for meget, at biometri alene ikke kan etablere en “ægte identitet”. Et biometrisk system kan ikke afholde nogen fra at benytte en falsk legitimation på tidspunktet for en registrering. Systemet kan kun afholde dem fra at bruge en andens identitet, når først de er registreret.  

Det er klart at der kan argumenteres både for og imod en mere detaljeret lovgivning i forhold til den nuværende regulering, som for det meste bygger på persondataloven. Derfor bør en undersøgelse naturligvis også overveje formålstjenlige alternativer til en egentlig lov, f.eks. standardisering, branchekodeks, flere fagkompetencer/ressourcer til Datatilsynet, flere øremærkede forskningsmidler til privacy enhancing technologies (PETs), reelle offentlig støttede informationskampagner  mm. Hertil kommer, at eventuel gældende EU lovgivning muligvis kan komplicere processen. Selvfølgelig skal man heller ikke lovgive om hvad som helst uden at der er tungtvejende grunde hertil, jfr. eksempelvis diskussionen om et burkaforbud og et prostitutionsforbud. Men der er efter min personlige opfattelse nogle åbenbare argumenter, som principielt kan tale for en lov. 

For det første er biometri en unik personlig identifikationsmetode, der  i tilfælde af kompromittering kan medføre fatale konsekvenser for den pågældende. For det andet vil det være meget nærliggende at antage, at en regelregulering med henblik på at præcisere en række spørgsmål specifikt i forhold til biometri, herunder at forstærke privacy og persondatabeskyttelsen er nødvendig for at skabe tillid og tryghed for brugeren, men, og det er efter min opfattelse en væsentlig pointe, også i lige så høj grad med det formål at sikre tiltro til selve teknologiens security og privacy.

Det er i den sammenhæng  ikke uvæsentligt at fremføre, at biometri er er en teknologi vi alle, om vi vil det eller ej, før eller siden vil komme til at stifte bekendtskab med.

dec 13 2009

Biometri er faktisk bedre end sit rygte

Hvordan går det egentlig med markedsføringen og implementeringen og ikke mindst den offentlige debat om biometri på det danske marked ? Er vi nået videre fra en spæd start for ca. 8 år siden i kølvandet på 11.9. eller slæber branchen og det omkringliggende samfund stadig rundt med en udpræget skuffelse og knuste drømme om en teknologi, som har lovet så meget og opnået så lidt ?

Vel, der er nok ikke nogen tvivl om, at biometri er kommet rigtig dårligt fra start af i alt fald to årsager. For det første har lanceringen af large scale biometriske systemer til grænsekontrol og kriminalprævention, som introduceret af USA efter terrorangrebet på bl.a. World Trade Center (det såkaldte US-VISIT program) med følgeskab af EU, skabt en frygt for mange for det ultimative overvågningssamfund. For det andet har en lang række leverandører med en overdreven og unuanceret anprisning af biometri som et universalmiddel i jagten efter at score en let og hurtig gevinst efter at kommercialiseringen af teknologien så småt kom i gang i begyndelsen af 1990´erne medført manglende troværdighed.

At biometri er blevet overhypet og overfrygtet er en international trend, som det må konstateres også har gjort sig gældende i Danmark. Det på trods af, at man ikke just kan påstå, at de danske medier generelt er nær så anti-biometriske som i visse andre lande, f.eks. Storbritannien. Selvom det også vil være forkert at hævde, at diverse brancheforeninger og myndigheder er decideret negative, så er indstillingen imidlertid stadig meget afventende. Derimod udviser visse interesseorganisationer og store dele af den akademiske verden en udpræget mistro til teknologien.

Det er altid at forudse, at ny og banebrydende teknologi på en og samme tid både tiltrækker og afskrækker, men jeg tror nok, at den kendsgerning at essentielle spørgsmål om krænkelse af de fundamentale frihedsrettigheder bliver fremført i debatten og den deraf følgende politisering af biometri er ganske enestående og er vitterlig kommet bag på de fleste med den åbenlyse konsekvens at det forventede afgørende gennembrud stadig lader vente på sig i alt fald for så vidt angår den private sektor.

Lad det være sagt med det samme, at den kritiske debat om krænkelse af privacy og databeskyttelse, om den manglende demokratiske legitimitet og om lovgivningen er tilstrækkelig er meget væsentlig. Jeg er specielt helt enig i privatlivsbeskyttelsen og tog netop selv, efter mange år i sikkerhedsbranchen og efter at have beskæftiget mig med biometri som id-teknologi siden 2003, initiativet til at starte Dansk Privacy Netværk i 2007. Det ændrer imidlertid ikke ved årsagsforklaringen, men rejser derimod det helt naturlige spørgsmål, om branchen har været god nok til at formilde relevant og lødig information og til hurtigt og overbevisende at tilpasse sig markedet og kundernes behov.

Alligevel kan vi i Danmark fremvise efter omstændighederne ganske interessante business cases som kan medvirke til at rette op på biometriens image. Men eksemplerne gør det ikke alene.

Den seriøse del af branchen vil ikke påstå at biometri er ufejlbarlig. Det er der ingen teknologi der er. Der er heller ikke nogen troværdig leverandør eller rådgiver, som vil tilbyde eller anbefale et system der totalt beror på teknologi alene. Det er ikke en god strategi. Ægte security er en løsning, hvor tekniske, proceduremæssige samt situationsbestemte security forholdsregler indbyrdes understøtter hinanden. Med en nøgtern erkendelse af biometriens muligheder og begrænsninger, bør branchen blive langt bedre til at målrette markedsføringen mod helt konkrete og klare løsninger hvori indgår biometriens unikke fordele i stedet for ”at skyde med spredehagl”.

Fejlen består først og fremmest i at fokusere på, at biometri kan løse alle security-udfordringer. For det kan den ikke. Hertil kommer at et tema som kundevenlighed bør fremhæves mere samt at selve det basale spørgsmål om sikring af brugerens privacy faktisk kan opnås ved brug af et korrekt biometri-design.

I den forbindelse deltager jeg selv i The User Advisory Board for Turbine forskningsprojektet , der har til formål at udvikle en sikker beskyttelse af biometriske data baseret på avanceret krypteringsteknologi. Jeg er også bekendt med at et par danske firmaer til min glæde er på vej med lignende banebrydende koncepter.

Derudover skal branchen hele tiden evne at kunne teknologiudvikle biometri med henblik på at tilbyde endnu flere brugervenlige og lavpraktiske tjenester, hvilket jeg selv gjorde opmærksom på tilbage i 2005 i en kronik i Børsen.

Endelig bør branchen være mere aktiv til at gå ind i og medvirke til en mere afbalanceret debat om biometri eksempelvis ved løbende at kommentere mediernes dækning af biometri.

Den seneste omtale i internationale medier, er en historie om en kinesisk kvinde, der er blevet arresteret i Japan for at have foretaget et kirurgisk indgreb i sine fingre med henblik på at narre den biometriske grænsekontrol ved indrejse til landet.

Bortset fra at man altid skal være varsom med at tage alt for givet og uanset at der kan argumenteres fornuftigt for den principielle mulighed for at spoofe biometri, så er den slags historier uden tvivl med til at tegne et negativt og forvrænget billede af teknologien, fordi der generaliseres og som oftest på grundlag af manglende faktuel information. Det er således en kendsgerning , at langt de fleste e-pas indeholder multimodal biometri/multifaktor autentifikation og at markedet tilbyder meget robust scannerudstyr. Hertil kommer, at der faktisk bliver taget hånd om det i medierne ofte omtalte sårbarhedsproblem ved det biometriske pas, nemlig sikring af den integrerede RFID-chip mod kopiering (kloning) og dermed beskyttelsen af de lagrede biometriske data. Løsningen går simpelt hen ud på, at scanneren er i stand til at verificere om chippen er den originale.

Branchen skal være godt klædt på til at møde markedets og samfundets udfordringer og derfor vil Danish Biometrics øge aktivitetsniveauet markant fremover med en række initiativer som f.eks. netværksmøder og en mere effektiv informationstjeneste. Det sammenholdt med at der på tærkslen til 2010 forudses en stigende brancheomsætning med bl.a. implementering af e-pas og visasystem i Danmark, vil med garanti medvirke til en lødig og frugtbar markedsføring og implementering af biometri.