EU´s artikel 29-arbejdsgruppe vedrørende databeskyttelse og privacy har netop offentliggjort sit arbejdsprogram for 2010 og 2011.
Arbejdsgruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF (EU´s persondatadirektiv). Det er et uafhængigt EU-rådgivningsorgan for databeskyttelse og privacy og består af de 27 EU-landes respektive datatilsyn samt Den Europæiske Tilsynsførende for Databeskyttelse. Dets opgave er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF.
I arbejdsprogrammet fremhæves det, at WG29 har til hensigt at opdatere WP80 on biometrics, som blev vedtaget 1. august 2003 og som har haft til formål at bidrage til en effektiv og ensartet anvendelse af de nationale regler om persondatabeskyttelse i henhold til Direktiv 95/46/EF for så vidt angår biometriske systemer.
Selvom dokumentet har mere end 6 år på bagen indeholder det alligevel en lang række almengyldige grundholdninger. Et af de vigtigste pointer, der støttes af adskillige datatilsynsmyndigheder er, at biometri “helst ikke bør gemmes i en database, men kun i en enhed, som udelukkende er til rådighed for brugeren, som f.eks. et mikrochipkort, en mobiltelefon eller et bankkort. Med andre ord, programmer til autentifikation/verifikation, der kan gennemføres uden en central lagring af biometriske data bør ikke omfatte overdreven brug af identifikationsteknikker”.
Synspunktet baseres på en fortolkning af direktivets formålsprincip, herunder især en evaluering af, at det samme formål ikke må kunne opnås med et mindre indgribende middel. WG29 anfører endvidere at den centraliserede lagring øger risikoen for brug af de biometriske data som nøgle til at forbinde forskellige databaser (function creep).
WG29 pointerer endvidere, at det bør undgås at systemer indsamler biometriske data uden datasubjektets (brugerens) viden og dette legitimitetsprincip indgår således også i evalueringen af behandlingen af biometriske data. Et samtykke defineres, således også i overensstemmelse med persondataloven, som en enhver frivillig, specifik og informeret tilkendegivelse, hvorved datasubjektet indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling (videregivelse).
Det noteres i dokumentet, at det såkaldte proportionalitetsprincip imidlertid har været hovedkriteriet i næsten alle afgørelser truffet af de respektive datatilsynsmyndigheder til dato vedrørende behandling af biometriske data.
WG29 konkluderer, at de fleste biometriske data indebærer behandling af persondata og at det derfor er nødvendigt fuldt ud at respektere principperne om databeskyttelse. selvom arbejdsgruppen nævner, at det fortsat påhviler industrien, at udvikle biometriske systemer, der er i overensstemmelse med databeskyttelsesregelsættet, så fremhæves det afslutningsvis, at en adfærdskodeks baseret på en dialog med alle involverede parter, vil være en perspektivrig måde at fremme databeskyttelse på.
Så vidt WG29´s dokument.
Selvom mange af de principielle synspunkter stadig er valide i dag og vil være det i en rum tid fremover, så udelukker det imidlertid ikke at der kunne være behov for en justering af artikel 29-arbejdsgruppens anbefalinger fra 2003. Man kan sige meget godt om det såkaldte proportionalitetsprincip, der som et knæsat juridisk begreb i EU-retten kræver, at et indgreb ikke er mere vidtgående end hvad formålet tilsiger. Problemet er imidlertid, at hele regimet hviler på en skønsmæssig vurdering af ukonkrete principper i forhold til meget konkrete sager. Det skaber usikkerhed for brugeren, såfremt forvaltningspraksis opleves som inkonsekvent ikke alene på nationalt plan, men også at eksempelvis det spanske datatilsyn vurderes til at have en mere lempelig fortolkning end det franske datatilsyn. Det er også uomtvisteligt, at branchen foretrækker ensartede konkurrence- og markedsvilkår på europæisk plan. Man kan fremføre, at sådan må det nødvendigvis være, især når der er tale om anvendelse af teknologi, der er i en rivende udvikling. Men det udelukker ikke, at det kan overvejes at indføre visse minimumsgarantier for brugeren, som også branchen herefter kan indrette sig efter.
I et tidligere blogindlæg har jeg stillet spørgsmålet om der er behov for en Lex Biometricus? og har fremført en række af de problemstillinger om biometri, som også fremgår af WG29´s dokument. Et af de punkter jeg her vil fremhæve, er det – efter min opfattelse – indlysende behov for at opstille ufravigelige specifikke privacy principper om f.eks. dataminimering, gennemsigtighed, optimal bruger kontrol og forbedret sikkerhed. Et sådant regelsæt på EU niveau vil have den helt afgørende konsekvens, at centrale databaser med biometriske data ikke vil kunne oprettes og hermed vil en af artikel 29-arbejdsgruppens væsentligste anbefalinger blive ophøjet til lov og der vil i manges øjne blive skabt en tiltrængt retssikerhedsmæssig klarhed.
Den opdatering af WP80, som WG29 selv lægger op til vil efter alt at dømme indgå i den igangværende revision af persondatadirektivet og der vil helt sikkert blive lejlighed til en konstruktiv dialog med WP29 og Datatilsynet om de berørte emner.
For god ordens skyld bør man fokusere på at grænsen IKKE går ved den centrale database, men om biometri overhovedet udleveres/optages uden for borgeren kontrol (inkl. borgerens egen device). Dette gælder både af hensyn til sikkerhed, interoperabilitet og retssikkerheden.
Begrebsmæssigt er “match on card” ikke en acceptabel løsning fordi biometri eller templates som kan genereres af biometri uden borgernes frivillige medvirken kommer uden for bogerenes kontrol.
System-on-card kan derimod danne grundlag for gode modeller som kan forbedre sikkerheden for alle parter når blot man har fleksible Identity Mangement modeller ovenpå som udgangspunkt i behovet for formålsspecifikke nøgler til specifik authentikering fremfor at genbruge nøgler på tværs af formål.
Diskuteret nærmere her i forbindelse med Touch2Id.
http://www.identityblog.com/?p=1152
Det glæder mig, at du i modsætning til tidligere debatindlæg på bl.a. Computerworld, nu kan se forskellen på “system on card” og “match on card” og at førstnævnte er en mere præcis betegnelse for en komplet on device proces.
Jeg kan sagtens se forskellen – men forskellen bør ikke gøres til del af den offentlige debat udenfor specialistfora fordi match-on-card i teknisk forstand slet ikke bør kunne godkendes.
Problemet er at industrien ikke vil se forskel og rask væk promoverer match-on-card som “sikker”, “privatlivsfremmende” eller noget vi ønsker i nogen sikkerhedsmæssig sammenhæng.
Herunder at man gør problemstillingen og teknologien så uigennemskuelig at få bortset fra eksperter kan se forskellen. Politikere, jurister og det institutionelle system har jo ikke en chance.
Det er forkasteligt at man i det hele taget tillader certificeret eller opsamlet biometri – template eller rå print – som ikke er fuldstændigt revokerbart af borgeren selv.
For at tage simple eksempler så vil en kvinde forfulgt af hendes voldelige mand. offentlige ansatte i sensitive erhverv såsom politi eller millitær samt vidnesbeskyttelsesprogrammer ikke kunne fungere indenfor identitets-modeller som baserer sig på sådan misbrug af biometri. Persondata vil ikke kunne sikres hvis man genbruger nøgler på tværs.
Alligevel promoverer biometri-industrien fejltiltag a la ICAO-pas og ditto Visum. Og ikke kun i kritiske forhold hvor det har betydning og man faktisk kunne diskutere om der var et midlertidigt nødvendigt trade-off, men så banale steder som Tivoli, FDBs medarbejderverifikation og betaling af øl på musikfestivaler.
Det er den digitale tidsalders forurening når industrien ikke skelner mellem bæredygtig teknologibrug og desideret overgreb. Vi var nødt til at leve delvist med problemet i den analoge tidsalder, men det kan vi ikke mere fordi internettet skalerer misbruget og risikoen ud af kontrol. Alligevel fortsætter problemet med at udbygges i hastigt tempo – kortsigtet profit er tydeligvis vigtigere end samfund.