mar 2 2010

Ajourføring af artikel 29-arbejdsgruppens dokument om biometri

EU´s artikel 29-arbejdsgruppe vedrørende databeskyttelse og privacy har netop offentliggjort sit arbejdsprogram for 2010 og 2011.

Arbejdsgruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF (EU´s persondatadirektiv). Det er et uafhængigt EU-rådgivningsorgan for databeskyttelse og privacy og består af de 27 EU-landes respektive datatilsyn samt Den Europæiske Tilsynsførende for Databeskyttelse. Dets opgave er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF.

I arbejdsprogrammet fremhæves det, at WG29 har til hensigt at opdatere WP80 on biometrics, som blev vedtaget 1. august 2003 og som har haft til formål at bidrage til en effektiv og ensartet anvendelse af de nationale regler om persondatabeskyttelse i henhold til Direktiv 95/46/EF for så vidt angår biometriske systemer.

Selvom dokumentet har mere end 6 år på bagen indeholder det alligevel en lang række almengyldige grundholdninger. Et af de vigtigste pointer, der støttes af adskillige datatilsynsmyndigheder er, at biometri “helst ikke bør gemmes i en database, men kun i en enhed, som udelukkende er til rådighed for brugeren, som f.eks. et mikrochipkort, en mobiltelefon eller et bankkort. Med andre ord, programmer til autentifikation/verifikation, der kan gennemføres uden en central lagring af biometriske data bør ikke omfatte overdreven brug af identifikationsteknikker”.

Synspunktet baseres på en fortolkning af direktivets formålsprincip, herunder især en evaluering af, at det samme formål ikke må kunne opnås med et mindre indgribende middel. WG29 anfører endvidere at den centraliserede lagring øger risikoen for brug af de biometriske data som nøgle til at forbinde forskellige databaser (function creep).

WG29 pointerer endvidere, at det bør undgås at systemer indsamler biometriske data uden datasubjektets (brugerens) viden og dette legitimitetsprincip indgår således også i evalueringen af behandlingen af biometriske data. Et samtykke defineres, således også i overensstemmelse med persondataloven, som en enhver frivillig, specifik og informeret tilkendegivelse, hvorved datasubjektet indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling (videregivelse).

Det noteres i dokumentet, at det såkaldte proportionalitetsprincip imidlertid har været hovedkriteriet i næsten alle afgørelser truffet af de respektive datatilsynsmyndigheder til dato vedrørende behandling af biometriske data.

WG29 konkluderer, at de fleste biometriske data indebærer behandling af persondata og at det derfor er nødvendigt fuldt ud at respektere principperne om databeskyttelse. selvom arbejdsgruppen nævner, at det fortsat påhviler industrien, at udvikle biometriske systemer, der er i overensstemmelse med databeskyttelsesregelsættet, så fremhæves det afslutningsvis, at en adfærdskodeks baseret på en dialog med alle involverede parter, vil være en perspektivrig måde at fremme databeskyttelse på.

Så vidt WG29´s dokument.

Selvom mange af de principielle synspunkter stadig er valide i dag og vil være det i en rum tid fremover, så udelukker det imidlertid ikke at der kunne være behov for en justering af artikel 29-arbejdsgruppens anbefalinger fra 2003. Man kan sige meget godt om det såkaldte proportionalitetsprincip, der som et knæsat juridisk begreb i EU-retten kræver, at et indgreb ikke er mere vidtgående end hvad formålet tilsiger. Problemet er imidlertid, at hele regimet hviler på en skønsmæssig vurdering af ukonkrete principper i forhold til meget konkrete sager. Det skaber usikkerhed for brugeren, såfremt forvaltningspraksis opleves som inkonsekvent ikke alene på nationalt plan, men også at eksempelvis det spanske datatilsyn vurderes til at have en mere lempelig fortolkning end det franske datatilsyn. Det er også uomtvisteligt, at branchen foretrækker ensartede konkurrence- og markedsvilkår på europæisk plan. Man kan fremføre, at sådan må det nødvendigvis være, især når der er tale om anvendelse af teknologi, der er i en rivende udvikling. Men det udelukker ikke, at det kan overvejes at indføre visse minimumsgarantier for brugeren, som også branchen herefter kan indrette sig efter.

I et tidligere blogindlæg har jeg stillet spørgsmålet om der er behov for en Lex Biometricus? og har fremført en række af de problemstillinger om biometri, som også fremgår af WG29´s dokument. Et af de punkter jeg her vil fremhæve, er det – efter min opfattelse – indlysende behov for at opstille ufravigelige specifikke privacy principper om f.eks. dataminimering, gennemsigtighed, optimal bruger kontrol og forbedret sikkerhed. Et sådant regelsæt på EU niveau vil have den helt afgørende konsekvens, at centrale databaser med biometriske data ikke vil kunne oprettes og hermed vil en af artikel 29-arbejdsgruppens væsentligste anbefalinger blive ophøjet til lov og der vil i manges øjne blive skabt en tiltrængt retssikerhedsmæssig klarhed.

Den opdatering af WP80, som WG29 selv lægger op til vil efter alt at dømme indgå i den igangværende revision af persondatadirektivet og der vil helt sikkert blive lejlighed til en konstruktiv dialog med WP29 og Datatilsynet om de berørte emner.

New test could help track down and prosecute terrorists who use nerve gas and other agents 14. december 2011
Scientists are reporting development of a first-of-its-kind technology that could help law enforcement officials trace the residues from terrorist attacks involving nerve gas and other chemical agents back to the companies or other sources where the perpetrators obtained ingredients for the agent. The technique could eventually help track down perpetrators o […]
Catching terrorists: Backpacks, not the bombs inside, key to finding DNA 8. december 2011
Catching terrorists who detonate bombs may be easier by testing the containers that hide the bombs rather than the actual explosives, according to pioneering research.
New biometric data standard adds DNA, footmarks and enhanced fingerprint descriptions 7. december 2011
The U.S. National Institute of Standards and Technology has published a revised biometric standard that vastly expands the type and amount of information that forensic scientists can share across their international networks to identify victims or solve crimes.
The future of airport passport control 14. oktober 2011
Digital security specialists, major European electronics makers, and experts in biometrics worked together to make passport control at airports faster. The technology also could have broader applications on the way our identity documents are design and on the way we access public services.
Computer vision experts develop 'questionable observer detector' 11. oktober 2011
Biometrics experts are developing a tool that can help law enforcement and military officials identify suspicious individuals at crime scenes.

Survey: French want fingerprint payments 3. februar 2012
A recent survey conducted by Wincor Nixdorf shows that a strong majority of French consumers are interested in using fingerprint scanning technology to secure transactions. Out of 1,008 French consumers surveyed, a healthy 69% said they were in favor of scanning their fingerprint at the point of sale to secure electronic payments rather than punch in a PIN c […]
Lumidigm names new CEO 3. februar 2012
LAWA places order from ImageWare 2. februar 2012
ImageWare Systems announced that the Los Angeles World Airports (LAWA), an agency that oversees Los Angeles International (LAX) airport, LA/Ontario International airport and Van Nuys airport, has placed an order for a number of biometric identity management and credentialing solutions. Among the solutions LAWA is intending to implement at their airport locat […]
EAB looks to drive the biometric market place 2. februar 2012
The European Association for Biometrics (EAB) is focusing on a goal of driving the research and development of biometrics and building the future of the industry around a concern for end-user privacy protection. As the EAB continues to find its footing as a representative and proponent for biometric technology in Europe, it hopes to create a continent-wide n […]

Hungarian hacker gets 30 months for extortion plot on Marriott 3. februar 2012
A Hungarian hacker who attempted to extort money from Marriott International Inc. by stealing confidential data from its computers and threatening to expose it was sentenced to 30 months in prison.
jvijayan@computerworld.com (Jaikumar Vijayan)
Anonymous grabs email from firm that defended Marine in Haditha case 3. februar 2012
In what's turning out to be quite a busy Friday for the hacking collective, Anonymous today said it has broken into the website of a law firm that represented a U.S. Marine accused of killing civilians in Haditha, Iraq.
jvijayan@computerworld.com (Jaikumar Vijayan)
German gov't endorses Chrome as most secure browser 3. februar 2012
Germany's cyber security agency today recommended that Windows 7 users run Google's Chrome browser, citing the application's sandbox and auto-update features.
gkeizer@computerworld.com (Gregg Keizer)
PHP 5.3.10 fixes critical remote code execution vulnerability 3. februar 2012
The PHP Group released PHP 5.3.10 on Thursday in order to address a critical security flaw that can be exploited to execute arbitrary code on servers running an older version of the Web development platform.
(Lucian Constantin)
Google reveals Android malware 'Bouncer,' scans all apps 3. februar 2012
Google yesterday unveiled an automated system that scans Android apps for potential malware or unauthorized behavior, a move critics have long called the company to make.
gkeizer@computerworld.com (Gregg Keizer)

	Frederik Kortbæk on Ny dansk forskning i biometri …
	Stephan Engberg on Ny dansk forskning i biometri …
	Bénédicte Lunde-Chri… on Ny dansk forskning i biometri …
	Stephan Engberg on Ny dansk forskning i biometri …
	Frederik Kortbæk on Ny dansk forskning i biometri …

m	ti	o	to	f	l	s
« feb				apr »
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Danish Biometrics

Interessent- og formidlingsnetværk til fremme af ansvarlig anvendelse af biometri til automatisk genkendelse af mennesker

Dagsarkiv: 2. marts 2010

Ajourføring af artikel 29-arbejdsgruppens dokument om biometri

Follow “Danish Biometrics”

Del med andre:

Follow “Danish Biometrics”