Ny Danish Biometrics afstemning om markedsforventninger for 2010.
Tag-arkiv: biometri
Er der behov for en Lex Biometricus ?
I den løbende debat om biometri rejses spørgsmålet om lovgivningen er tilstrækkelig til dels at beskytte brugeren dels at udnytte teknologiens fulde udviklingspotentiale.
Biometri er ligesom andre teknologier ikke direkte omtalt i hverken persondatadirektivet eller persondataloven, men kun indirekte med reference til en række (teknologineutrale) principper om proportionalitet, personfølsomme data, gennemsigtighed samt tekniske forholdsregler.
Udgangspunktet er, at biometri betragtes som personfølsomme oplysninger, der er omfattet af persondatalovens bestemmelser både så vidt der er tale om det rå eksemplar (eksempelvis selve fingeraftrykket) og den digitaliserede udgave (minutiae data). I de tilfælde hvor de biometriske data foreligger i krypteret form (anonymiseret) rejser der sig det interessante spørgsmål om der juridisk set stadig vil være tale om personhenførbare oplysninger, der falder ind under loven ? Det vil umiddelbart være rimeligt at antage, at den dataansvarlige skal overholde loven, eftersom der under alle omstændigheder vil være tale om en behandling af ”data”, selvom disse ikke teknisk set kan tilbageføres til datasubjektet. Men er der risiko for, at persondatabegrebet bliver for diffust ? Spørgsmålet kan i øvrigt indgå i en diskussion om man generelt kan fastholde den gængse opfattelse, at privacy-beskyttelse kan opnås, blot man fjerner PII fra databaserne (anonymisering contra reidentifikation)?
Et andet spørgsmål er imidlertid om betegnelsen, at ”biometri er noget du er” stadig vil være dækkende, når ny teknologisk forskning og udvikling (biometrisk kryptering) så at sige erstatter biometri med såkaldte ”pseudoidentiteter”, der gemmes på smart cards eller andre devices i brugerens besiddelse og kontrol ?
Teknologien (så vel som vore sociale normer) udfordrer hele tiden lovgivningen og lovgiverne er godt klar over, at loven altid vil halte efter med flere år. For at imødegå en ufuldstændig lovgivning har EU derfor tilpasset datadirektivet, som persondataloven hviler på, med en bestemmelse (artikel 17) om, at:
“Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.”
Artikel 17 er gengivet i persondatalovens § 41 stk. 3. som følger: ”Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.” Som det fremgår er formuleringen “state of the art” gledet ud af den danske lovtekst. Kort sagt, så skal den dataansvarlige træffe fornødne, men ikke nødvendigvis de nyeste eller mest avancerede tekniske sikkerhedsforanstaltninger. Ansvaret ligger dog stadig hos den dataansvarlige, men formålet er altid at undgå at selve databruddet faktisk finder sted. Det daværende IT-Sikkerhedspanel har tilbage i 2006 gjort opmærksom på dette problem og anbefalet en opstramning. Men er det desuagtet tilstrækkeligt at basere en løsning på et skøn i henhold til stadigvæk relativt ukonkrete kriterier, når man har at gøre med ny, hurtigt udviklende og kompliceret teknologi ?
Artikel 17 er iøvrigt interessant, fordi den faktisk indirekte understøtter PET´s (privacy enhancing technologies), idet det i bemærkning 46 til direktivet klart fremgår, at de nødvendige tekniske forholdsregler fra start skal integreres i designet af selve databehandlingssystenet. Iagttager man nogle grundlæggende designprincipper, kan biometri indgå i en løsning, som opfylder de højeste krav til privacy- og persondatabeskyttelse i stedet for en anvendelse af teknologien til ukontrolleret biometrisk overvågning og personprofilering (function creep). Med hensyn til beskyttelse af individet i forbindelse med den automatiske behandling af persondata, henvises til en række anbefalinger, som Europarådet har offentliggjort 2. oktober 2009. Er der behov for et normsæt af mandatoriske specifikke privacy principper som f.eks. dataminimering, gennemsigtighed, optimal bruger kontrol og forbedret sikkerhed ?
I relation til persondataloven kan en teknologiløsning med biometri approberes enten ud fra en almindelig proportionalitets/interesseafvejning eller i henhold til et samtykke af den registrerede. Vurderes det, at den dataansvarliges interesse vejer tungere end hensynet til den registrerede, er sidstnævntes manglende samtykke uden betydning. Giver det anledning til at overveje om brugersamtykke skal være obligatorisk og desforuden nærmere præciseres?
En væsentlig problemstilling er om opbevaring af biometriske data kan finde sted i en central database, i en decentral aflæsningsenhed eller på et smart card. Skal de to første optioner overhovedet være mulig og i bekræftende fald kun i henhold til lov ? I den forbindelse er det relevant at stille sig det spørgsmål om det i det hele taget skal være muligt at identificere en person ved hjælp af biometri eller om det fuldt ud er tilstrækkeligt med en autentificering ? Skal det eksempelvis ved lov bestemmes, at biometri alene kan anvendes som verifikationsmetode baseret på et af to formål:
-
At bevise at du er den du siger du er (positiv verifikation) eller
-
At bevise at du ikke er den du siger du ikke er (negativ verifikation)
I forlængelse heraf kan det anføres, at flere eksperter har rekommanderet, at biometri i e-pas alene skal tjene et verifikationsformål, hvorefter de data, der er gemt i dokumentet sammenholdes med de data, som præsenteres af dokumentets indehaver. Bør det være en lovanbefaling ?
Imidlertid skal man være opmærksom på, at brugeren sjældent er klar over hvad der faktisk er gemt på et smart card, hvordan man får adgang til disse data eller hvem der gør brug af denne information. Det er muligt, at den dataansvarlige har et ejerskab til selve kortet og de persondata, der er gemt på kortet, men det er ikke nødvendigvis det samme som at fastslå, at kortholderen (brugeren) mister sin ret til at have kontrol over sine persondata/pseudoidentiteter.
Spørgsmålet er, hvem der kontrollerer back office og det er derfor nødvendigt at tage stilling til rettigheder og ansvar for kortudsteder, den dataansvarlige og kortholder.
Endelig kan man stille det spørgsmål om der bør gælde enslydende regler for implementering af biometriske systemer for både private og offentlige organisationer med hensyn til indsamling, brug, deling, transmission, logning, opbevaring, disposition, grænseoverskridende overførsel og sletning af biometriske data i hele dets livscyklus. Hertil kan suppleres med en vurdering af i hvilket omfang særlige sikkerhedshensyn gør det nødvendigt at undtage staten, således som det i dag er gældende i forhold til persondataloven.
Der er grund til at gå ud fra, at der vil blive installeret flere og flere biometriske systemer i de kommende år hvilket kan tale for at tiden er moden til at overveje et regelgrundlag, som er fremtidsorienteret. Jeg har forsøgt at stille nogle spørgsmål om biometri,som kunne trænge til en afklaring og jeg mener, at der derfor på den baggrund er belæg for at anbefale, at der nedsættes et af regeringen udpeget udvalg med repræsentanter for relevante myndigheder, eksperter og branche- og interesseorganisationer med det formål at undersøge om en lov om biometri er nødvendig. En sådan evaluering kunne passende indgå i en helt overordnet fastsættelse af statens principper for security og privacy teknologier, forskning og innovation.
En analyse bør ikke kun have en strikt teknologisk tilgang men f.eks. forholde sig til bestemte fremtidige projekter som borgerservicekortet, inddrage retlige aspekter af ID-management og tage højde for hele den IT-infrastruktur som biometri vil kunne være en del af, eventuelle backupsystemer, testningskrav, øvrige organisatoriske virkemidler samt registreringsprocedurer. Når det sidste punkt nævnes, så er det fordi det ikke kan understreges for meget, at biometri alene ikke kan etablere en “ægte identitet”. Et biometrisk system kan ikke afholde nogen fra at benytte en falsk legitimation på tidspunktet for en registrering. Systemet kan kun afholde dem fra at bruge en andens identitet, når først de er registreret.
Det er klart at der kan argumenteres både for og imod en mere detaljeret lovgivning i forhold til den nuværende regulering, som for det meste bygger på persondataloven. Derfor bør en undersøgelse naturligvis også overveje formålstjenlige alternativer til en egentlig lov, f.eks. standardisering, branchekodeks, flere fagkompetencer/ressourcer til Datatilsynet, flere øremærkede forskningsmidler til privacy enhancing technologies (PETs), reelle offentlig støttede informationskampagner mm. Hertil kommer, at eventuel gældende EU lovgivning muligvis kan komplicere processen. Selvfølgelig skal man heller ikke lovgive om hvad som helst uden at der er tungtvejende grunde hertil, jfr. eksempelvis diskussionen om et burkaforbud og et prostitutionsforbud. Men der er efter min personlige opfattelse nogle åbenbare argumenter, som principielt kan tale for en lov.
For det første er biometri en unik personlig identifikationsmetode, der i tilfælde af kompromittering kan medføre fatale konsekvenser for den pågældende. For det andet vil det være meget nærliggende at antage, at en regelregulering med henblik på at præcisere en række spørgsmål specifikt i forhold til biometri, herunder at forstærke privacy og persondatabeskyttelsen er nødvendig for at skabe tillid og tryghed for brugeren, men, og det er efter min opfattelse en væsentlig pointe, også i lige så høj grad med det formål at sikre tiltro til selve teknologiens security og privacy.
Det er i den sammenhæng ikke uvæsentligt at fremføre, at biometri er er en teknologi vi alle, om vi vil det eller ej, før eller siden vil komme til at stifte bekendtskab med.
Biometri er faktisk bedre end sit rygte
Hvordan går det egentlig med markedsføringen og implementeringen og ikke mindst den offentlige debat om biometri på det danske marked ? Er vi nået videre fra en spæd start for ca. 8 år siden i kølvandet på 11.9. eller slæber branchen og det omkringliggende samfund stadig rundt med en udpræget skuffelse og knuste drømme om en teknologi, som har lovet så meget og opnået så lidt ?
Vel, der er nok ikke nogen tvivl om, at biometri er kommet rigtig dårligt fra start af i alt fald to årsager. For det første har lanceringen af large scale biometriske systemer til grænsekontrol og kriminalprævention, som introduceret af USA efter terrorangrebet på bl.a. World Trade Center (det såkaldte US-VISIT program) med følgeskab af EU, skabt en frygt for mange for det ultimative overvågningssamfund. For det andet har en lang række leverandører med en overdreven og unuanceret anprisning af biometri som et universalmiddel i jagten efter at score en let og hurtig gevinst efter at kommercialiseringen af teknologien så småt kom i gang i begyndelsen af 1990´erne medført manglende troværdighed.
At biometri er blevet overhypet og overfrygtet er en international trend, som det må konstateres også har gjort sig gældende i Danmark. Det på trods af, at man ikke just kan påstå, at de danske medier generelt er nær så anti-biometriske som i visse andre lande, f.eks. Storbritannien. Selvom det også vil være forkert at hævde, at diverse brancheforeninger og myndigheder er decideret negative, så er indstillingen imidlertid stadig meget afventende. Derimod udviser visse interesseorganisationer og store dele af den akademiske verden en udpræget mistro til teknologien.
Det er altid at forudse, at ny og banebrydende teknologi på en og samme tid både tiltrækker og afskrækker, men jeg tror nok, at den kendsgerning at essentielle spørgsmål om krænkelse af de fundamentale frihedsrettigheder bliver fremført i debatten og den deraf følgende politisering af biometri er ganske enestående og er vitterlig kommet bag på de fleste med den åbenlyse konsekvens at det forventede afgørende gennembrud stadig lader vente på sig i alt fald for så vidt angår den private sektor.
Lad det være sagt med det samme, at den kritiske debat om krænkelse af privacy og databeskyttelse, om den manglende demokratiske legitimitet og om lovgivningen er tilstrækkelig er meget væsentlig. Jeg er specielt helt enig i privatlivsbeskyttelsen og tog netop selv, efter mange år i sikkerhedsbranchen og efter at have beskæftiget mig med biometri som id-teknologi siden 2003, initiativet til at starte Dansk Privacy Netværk i 2007. Det ændrer imidlertid ikke ved årsagsforklaringen, men rejser derimod det helt naturlige spørgsmål, om branchen har været god nok til at formilde relevant og lødig information og til hurtigt og overbevisende at tilpasse sig markedet og kundernes behov.
Alligevel kan vi i Danmark fremvise efter omstændighederne ganske interessante business cases som kan medvirke til at rette op på biometriens image. Men eksemplerne gør det ikke alene.
Den seriøse del af branchen vil ikke påstå at biometri er ufejlbarlig. Det er der ingen teknologi der er. Der er heller ikke nogen troværdig leverandør eller rådgiver, som vil tilbyde eller anbefale et system der totalt beror på teknologi alene. Det er ikke en god strategi. Ægte security er en løsning, hvor tekniske, proceduremæssige samt situationsbestemte security forholdsregler indbyrdes understøtter hinanden. Med en nøgtern erkendelse af biometriens muligheder og begrænsninger, bør branchen blive langt bedre til at målrette markedsføringen mod helt konkrete og klare løsninger hvori indgår biometriens unikke fordele i stedet for ”at skyde med spredehagl”.
Fejlen består først og fremmest i at fokusere på, at biometri kan løse alle security-udfordringer. For det kan den ikke. Hertil kommer at et tema som kundevenlighed bør fremhæves mere samt at selve det basale spørgsmål om sikring af brugerens privacy faktisk kan opnås ved brug af et korrekt biometri-design.
I den forbindelse deltager jeg selv i The User Advisory Board for Turbine forskningsprojektet , der har til formål at udvikle en sikker beskyttelse af biometriske data baseret på avanceret krypteringsteknologi. Jeg er også bekendt med at et par danske firmaer til min glæde er på vej med lignende banebrydende koncepter.
Derudover skal branchen hele tiden evne at kunne teknologiudvikle biometri med henblik på at tilbyde endnu flere brugervenlige og lavpraktiske tjenester, hvilket jeg selv gjorde opmærksom på tilbage i 2005 i en kronik i Børsen.
Endelig bør branchen være mere aktiv til at gå ind i og medvirke til en mere afbalanceret debat om biometri eksempelvis ved løbende at kommentere mediernes dækning af biometri.
Den seneste omtale i internationale medier, er en historie om en kinesisk kvinde, der er blevet arresteret i Japan for at have foretaget et kirurgisk indgreb i sine fingre med henblik på at narre den biometriske grænsekontrol ved indrejse til landet.
Bortset fra at man altid skal være varsom med at tage alt for givet og uanset at der kan argumenteres fornuftigt for den principielle mulighed for at spoofe biometri, så er den slags historier uden tvivl med til at tegne et negativt og forvrænget billede af teknologien, fordi der generaliseres og som oftest på grundlag af manglende faktuel information. Det er således en kendsgerning , at langt de fleste e-pas indeholder multimodal biometri/multifaktor autentifikation og at markedet tilbyder meget robust scannerudstyr. Hertil kommer, at der faktisk bliver taget hånd om det i medierne ofte omtalte sårbarhedsproblem ved det biometriske pas, nemlig sikring af den integrerede RFID-chip mod kopiering (kloning) og dermed beskyttelsen af de lagrede biometriske data. Løsningen går simpelt hen ud på, at scanneren er i stand til at verificere om chippen er den originale.
Branchen skal være godt klædt på til at møde markedets og samfundets udfordringer og derfor vil Danish Biometrics øge aktivitetsniveauet markant fremover med en række initiativer som f.eks. netværksmøder og en mere effektiv informationstjeneste. Det sammenholdt med at der på tærkslen til 2010 forudses en stigende brancheomsætning med bl.a. implementering af e-pas og visasystem i Danmark, vil med garanti medvirke til en lødig og frugtbar markedsføring og implementering af biometri.
Biometri og demokrati
Vidensamfundet og den teknologiske udvikling udfordrer både videnskaben og demokratiet og forskyder løbende grænserne mellem videnskab, teknologi og samfund.
På den ene side skal vi sikre den fri forskning, men vi skal også være kritiske overfor videnskaben og der er, udover deltagelse af tænketanke, interesseorganisationer, virksomheder og NGO’ere, god grund til ikke alene at motivere og folkeoplyse men også at myndiggøre især den almindelige samfundsborger.
Det er vigtigt at understrege, at en betingelse for et vellykket forskningsarbejde er, at borgerne føler, at der tages hensyn til deres betænkeligheder, og at deres etiske grænser respekteres.
Hvorledes dette kan ske er ikke umiddelbart indlysende.
Der er dansk tradition for, at politiske beslutninger om ny teknologi og kontroversiel forskning baserer sig på en offentlig debat. Men finder den sted og hvordan kan den øve indflydelse på beslutningsprocessen, således at videnskab og teknologi integreres på en harmonisk måde i samfundet ?
Det er tilsyneladende et paradoks, at samtidig med at den teknologiske udvikling accelererer og forandrer danskernes liv og samfundet markant, så er vi ikke desto mindre blevet mere passive i forhold til at følge udviklingen og selv at præge debatten. Måske skyldes det, at universiteternes forskningsformidling satser mere på markedsføring end borgerinddragelse. Denne konklusion kan udledes af seniorforsker på Center for Forskningsanalyse Niels Mejlgaards forskning, baseret på data fra de såkaldte Eurobarometer-undersøgelser omkring følsomme teknologier. Disse undersøgelser er blevet gennemført regelmæssigt over de seneste 20 år blandt 25.000 europæere, hvoraf ca. 1.000 er danskere.
Forskningen synes overraskende at vise, at flere danskere er begyndt at opfatte sig selv som tilskuere i forhold til den teknologiske udvikling, i samme periode som universiteterne har opprioriteret indsatsen såvel økonomisk som personalemæssigt for at markedsføre og ‘sælge’ deres forskning. Spørgsmålet er, om dette markedsføringsfokus i forskningskommunikationen får flere danskere til at opfatte sig selv som tilskuere, fordi de netop behandles som tilskuere ? “Hvis det er tilfældet, udgør det ikke blot et formidlingsmæssigt, men også et demokratisk problem. Danskerne praktiserer og definerer deres medlemskab af det moderne teknologidrevne vidensamfund forskelligt, og det må forskningskommunikationen indrette sig på, hvis den gerne vil opfattes som relevant af forskellige grupper i befolkningen.”, udtaler Niels Mejlgaard.
Følsomme og i manges øjne kontroversielle teknologier, der rejser mange sociale, etiske, økonomiske, sundheds- og miljømæssige spørgsmål, er f.eks. bio- og nanoteknologier og for den sags skyld også biometri. Det kan undre og burde egentlig være mere end oplagt, at der ikke er langt mere fokus ikke alene i Danmark men internationalt på regulering, standardisering, testning og mærkning af disse teknologier end det hidtil har været tilfældet.
Det bør være en hjørnesten for enhver demokratisk regering, at sikre et offentligt engagement i den politiske beslutningsproces.
Hvad kan bringe os på vej, således at mantraet om såkaldt ansvarlig innovation og demokratisk teknologiudvikling i modsætning til den tilsyneladende oligarkiske (den etablerede elites) kontrol over teknovidenskaberne er reel og ikke kun en tom frase? Antages det, at der er et behov for nytænkning med henblik på at inddrage dem, som bliver berørt af en bestemt teknologi, til at have indflydelse på teknologiens udvikling og at den designes i overensstemmelse med samfundets behov , så kan en styrkelse af bl.a. følgende konstruktioner og indsatsområder, givetvis med fornøden lovgivning, være nyttige (rækkefølgen er vilkårlig):
1. Reel brugerkontrol og brugervalg
2. Mere tværfaglig forskning
3. Etablering af økosystemer med henblik på åben og brugerdreven innovation
4. Professionalisering af CSR-implementeringsprocessen
5. En bedre målrettet formidling af forskningsresultater til både politiske beslutnings-tagere og offentligheden
6. At forskningsverdenen sammen med virksomhederne er mere åben for diskussion med resten af samfundet omkring grundlæggende værdier og rettigheder samt økonomiske interesser
Nogle vil måske lidt opgivende hævde, at videnskaben som sådan retfærdiggør en vækstøkonomi og dermed er betinget af de magtrelationer, der understøtter dette sociale paradigma. Derfor kan teknologi ikke betragtes som “neutral” i betydningen som et “middel” til at tjene ethvert formål eller “autonom” forstået som den eneste eller den vigtigste faktor, der bestemmer sociale strukturer, relationer og værdier. Det er imidlertid uomtvisteligt, at såfremt en ny teknologi skal tjene demokratiet, så skal den underbygges af et politisk argument. Teknologien vil ikke af sig selv gøre en politik demokratisk. Derfor vil passende lovgivning og/eller etiske kodeks altid være en nødvendig forudsætning for, at teknologier kan udvikles demokratisk.
Det siger sig selv, at Danish Biometrics støtter en ansvarlig og demokratisk teknologiudvikling, fordi den er forudsætningen for en bæredygtig markedsudvikling.
Når teknologiforståelsen mangler
I sommeren 2008 nedsatte justitsministeren et sagkyndigt udvalg med repræsentation fra berørte myndigheder og organisationer, herunder restaurationsbranchen, som skulle foretage en samlet gennemgang og vurdering af, hvordan restaurationer mv. sikres adgang til identitets-oplysninger på personer med restaurationsforbud, uden at en sådan adgang til personfølsomme oplysninger om enkeltpersoner sætter grundlæggende hensyn til persondatabeskyttelsen over styr.
Udvalget har netop afgivet sin betænkning om restaurationers adgang til identitetsoplysninger på personer med restaurationsforbud og den har special interesse for Danish Biometrics, fordi udvalget bl.a. har
overvejet muligheden for at indføre et centralt register baseret på biometrisk adgangskontrol med udgangspunkt i en fingeraftryks-baseret løsning.
Udvalget afviser i sin konklusion et offentligt fælles register baseret på elektroniske fingeraftryk som identifikation, men anbefaler til gengæld et fælles privat register inden for persondatalovgivningens rammer, fordi et sådant register udover navn og CPR-nummer på personer med restaurationsforbud med gæsternes samtykke også vil kunne registrere fingeraftryk i form af templates og andre identitetsoplysninger, som kan anvendes til at sikre en hurtig, effektiv og ensartet adgangskontrol.
Udvalget baserer i høj grad sin anbefaling på, at Datatilsynet allerede har godkendt en løsning af natklubben Crazy Daisy, se vedrørende adgangskontrol på diskoteker. Datatilsynet har i sin afgørelse bl.a. forudsat, at Crazy Daisy med gæstens udtrykkelige samtykke kan behandle oplysninger i form af fingeraftryk (template) og billede og at der ikke gemmes billeder, fingeraftryk (templates) og personnumre eller følsomme oplysninger om strafbare forhold og narkotikamisbrug, hvis samtykket tilbagekaldes. Endvidere fremgår det af afgørelsen, at hvis gæsten tilbagekalder sit samtykke skal Crazy Daisy slette fingeraftrykket (templaten) og billedet.
I korthed går det såkaldte MasterClub system ud på, at gæsten – første gang vedkommende indfinder sig i restaurationen – lader sig registrere i en elektronisk database. Restaurationen bestemmer selv, hvilke identitetsoplysninger den vil registrere. Systemet understøtter således både brug af webkamera, fingeraftryks-læser og magnetkortlæser. Typisk registreres både gæstens navn, adresse, CPR-nummer og fingeraftryk. Endvidere optages der et fotografi af den pågældende.
Det vil efter udvalgets opfattelse være nærliggende at lade branchen selv stå for oprettelsen og driften af et sådant fælles privat register. Overordnet set vil systemet fungere som en forenklet udgave af de gæste-registreringssystemer, som allerede anvendes flere steder i diskoteksbranchen, og som branchen generelt har gode erfaringer med. I modsætning til de eksisterende systemer vil det foreslåede register dog være lands-dækkende og tilgængeligt for alle restaurationsvirksomheder, der ønsker det.
Registret bør så vidt muligt indrettes, så det er kompatibelt med de eksisterende gæsteregistrerings- og adgangskontrolsystemer, som allerede findes på mange diskoteker og natklubber.
Så vidt betænkningen.
Overordnet set er Danish Biometrics glad for at biometrien vinder frem og bliver anerkendt af kunderne som en troværdig teknologi, som kan finde anvendelse i en lang række sammenhænge. Det er imidlertid en vigtig mission for Danish Biometrics at formidle lødig information om biometriens muligheder samt at anbefale en ansvarsbevidst teknologianvendelse.
Det er væsentligt at forstå, at biometri ikke er en mirakelkur mod identitetstyveri, men en teknologiløsning, der i mange tilfælde kan indgå som et ekstra sikkerhedslag i et samlet systemarkitekturdesign (hardware/software/kommunikationskanaler), som er baseret på en risikoanalyse af alle konkrete omstændigheder. Et af de spørgsmål man altid bør stille sig ved brug af ID-teknologer er, hvorvidt det er nødvendigt at sikre en persons identitet, eller om det fuldt ud tilstrækkeligt alene at kræve, at en person skal autentificeres. Biometri linker på en effektiv måde din krop til en ekstern applikation, men eftersom der er tale om en meget unik personsensitiv information, så bør brugeren så vidt muligt have fuld kontrol over sine egne biometriske data.
Betænkningens anbefaling af de eksisterende løsninger, som er baseret på en central database af fingeraftryk, er derfor ikke god nok. Når der nu findes modeller, som både sikrer natklubbernes behov og brugerens privacy-beskyttelse, hvorfor så ikke gøre brug af dem ? Jeg tror, at det skyldes udvalgets manglende indsigt i teknologiens muligheder. Om smart card-løsningen (eller alternativt brug af mobiltelefonens SIM-kort) har jeg udtalt mig til ComputerWorld online i artiklen Fingeraftryk har intet at gøre i centrale databaser. Institut for Menneskerettigheder giver i sit høringssvar udtryk for lignende synspunkter med anbefaling af et såkaldt “gæstemicrochip-kort”.
Iøvrigt, hvorfor ikke også være en smule visionær ved allerede nu at lægge en strategi for et kommende dansk borgerservicekort med biometri ? Det vil jo være nærliggende at et sådant kort med specifikke applikationer/prædefinerede formål knyttet til specifikke ID-hybridverifikationsdata (biometriske pseudo-identiteter) kan finde anvendelse i en situation som den foreliggende. Staten kunne passende starte med at nedsætte en tværgående ministeriel taskforce, som kunne lade sig repræsentere i alle udvalg og kommissioner, hvor et borgerservicekort kunne tænkes at have relevans.
En helt anden ting er, at den praktiske betydning af et fælles register med fingeraftryk nok vil vise sig at være relativ begrænset, eftersom denne registrering kun er en af flere valgmuligheder. Hertil kommer at det er højst tvivlsomt om de personer,som har fået et restaurationsforbud i det hele taget vil lade sig registrere, når det alene er frivilligt. Det fremgår imidlertid helt klart af betænkningen, at implementeringen af MasterClub registreringssystemet i høj grad skulle virke som en præventiv og afskrækkende foranstaltning. Systemet vil derfor i realiteten fremover kunne udvikle sig til en identitetsdatabase for alle natklubgæster, hvorimod den mere privacyvenlige screeningsmodel med negativ-ID verifikation, der forudsætter obligatorisk indrulning af “bøllerne”, ikke kan realiseres. Set i det lys er der grund til at fastholde de principielle betænkligheder overfor betænkningens anbefalinger.
Danish Biometrics er blevet medlem af Stork Industry Group
Stork, der er etableret i maj 2008, er et rammeprogram for konkurrenceevne og innovation, som medfinansieres af EU og består af 29 medlemmer, som omfatter regeringer, forskningsinstitutioner samt private organisationer.
Stork tager sigte på at gennemføre et EU-dækkende interoperabelt system til anerkendelse af Eid og autentifikation, der vil gøre det muligt for virksomheder, borgere og offentlige ansatte at bruge deres nationale elektroniske identiteter i enhver medlemsstat.
Konsortiet vil også genmemføre grænseoverskridende piloter om eidentitets tjenester og lære af praksis om, hvordan sådanne tjenester rulles ud samt erfare hvilke fordele og udfordringer et EU interoperabilitetssystem til anerkendelse af eID vil bringe.
STORK´s interoperable løsning til elektronisk identifikation (eID) er baseret på en distribueret arkitektur, der vil bane vejen for fuld integration af EU’s e-tjenester under hensyntagen til de specifikationer og infrastrukturer, der allerede eksisterer i EU’s medlemsstater. Den løsning, der skal udvikles skal være robust, gennemsigtig og sikker og skalerbar, og bør gennemføres på en sådan måde, at den er bæredygtig efter pilotprojektet.
Projektet vil:
Udvikle fælles regler og specifikationer for genkendelse af eIDs på tværs af nationale grænser;
Gennemføre tests, i real life miljøer, af sikker og brugervenlige eID-løsninger for borgere og virksomheder;
Interaktion med andre EU-initiativer for at maksimere nytteværdien af eID-tjenester.
Det vil blive gjort ved at forberede og gennemføre flere piloter med tjenester, som vil have stor potentiel virkning og som er tilstrækkelig sikker, ved at gøre brug af åbne standarder, hvor det er muligt og under hensyntagen til beskyttelse af personoplysninger.
Piloterne vil teste den fælles specifikation for eID for adskillelige applikationer, der har en væsentlig indvirkning på eGovernment i hele Europa:
En demonstrator, der viser, at grænseoverskridende elektroniske tjenester kan fungere i en række medlemsstater. Applikationerne omfatter nationale portaler fra Østrig (help.gv.at), Estland (eesti.ee), Tyskland (Mein-service-BW), Portugal (portaldocidadao.pt) og Storbritanien, en regional portal fra Catalonien i Spanien og en specifik service for fælles aktiviteter for at arbejde i Belgien (limosa.be)
Saferchart pilotten vil bygge en platform med et sikkert online-miljø, hvor mennesker kan kommunikere online ved brug af deres eIDs og demonstrerer dets anvendelse i et omfattende pilotprojekt.
Eid eID Student Mobility pilot vil facilitere studenters mobilitet på tværs af Europa fra et universitet til et andet i en række medlemsstater. Dette vil især gøre det muligt for udenlandske studerende at få adgang til alle on line services, der tilbydes af et bestemt universitet og som gør brug af deres nationale eID-kort til eIdentification eller digital signatur.
eID Electronic delivery pilot vil demonstrere grænseoverskridende elektronisk levering baseret på den eksisterende indenlandske infrastruktur. Denne levering er afgørende for eGovernment med henblik på at indgå elektroniske transaktionsprocesser elektronisk herunder som anmodet af EUs service direktiv at være i stand til at gennemføre administrative procedurer fuldt elektronisk.
Change of Address for EU citizens pilot har til formål at teste brugen af eIDauthentication til støtte for den elektroniske proces for adresseændring af EU-borgere, der flytter til andre medlemsstater. Eftersom denne tjeneste har stor indflydelse på borgernes mobilitet, er den omfattet af de 20 basale serviceydelser for EU-Kommissionens i2010 eGOV handlingsplan.
For yderligere oplysning om Stork tjek: www.eid-stork.eu.
Som de første repræsenterer Danish Biometrics danske branche-interesser i Stork og med medlemskabet ser Danish Biometrics muligheder for at være med i en vidensformidling og for deltagelse i de forskellige piloter om eID og eGovernment. Samarbejdet vil være værdigfuldt som en del af processen for et dansk borgerservicekort, som forventes at blive indført indenfor de nærmest følgende år.
Danish Biometrics introducerer spørgeskema
Ny avanceret teknologi kan kun indføres efter en forudgående dialog med brugerne og på baggrund af en løbende lødig debat i offentligheden. Danish Biometrics vil gerne vide om danskernes indstilling til en række aktuelle men også kontroversielle spørgsmål om biometri.
Udover bloggens umiddelbare mulighed for at skabe og deltage i debatter ved at kommentere på andres indlæg, vil vi derudover fra tid til anden også gennemføre opinionsundersøgelser.
Det er ikke videnskabelige meningsmålinger, men små afstemninger i form af et webbaseret spørgeskema og der vil ikke blive tale om at indsamle og behandle personoplysninger i forbindelse med gennemførelsen. Resultaterne skal blot tjene til at indikere en bestemt holdning eller et synspunkt, der kan være relevant for offentligheden eller i sammenhæng med Danish Biomtrics aktiviteter.
Alle meningstilkendegivelser har betydning og derfor opfordres alle til at deltage. Din stemme tæller også. Det er overstået på få øjeblikke.
Vi har hermed fornøjelsen at lægge ud med den første undersøgelse.
Danish Biometrics blogger
Danish Biometrics lancerer en ny webportal og blog. Formålet er at sætte netværket i stand til at kommunikere endnu mere interativt med omverdenen med brug af en lang række nye virkemidler og features. F.eks. kan man nu lytte og se audio og video podcasts ligesom en række RSS feeds løbende vil orientere om produktnyheder, casestories, ny forskning og branchenyt om biometri. Hertil kommer muligheden for banner og showcase reklamer i begrænset omfang.
Som en ny feature inviteres eksperter til at komme med indlæg om aktuelle biometriske emner ligesom der også introduceres månedlige fokusomtaler af Danish Biometrics medlemmer.
Videncenteteret vil som hidtil være spækket med relevant information om biometri og vi vil selvfølgelig fortsætte med at være Nordens største informationskilde til biometri.
Med blogfunktionen er det håbet, at komme i mere direkte kontakt med alle der har interesse for biometri og teknologiudvikling. En lødig og løbende debat er meget vigtig ikke kun for Danish Biometrics, som er interesseret i at medvirke til, at udvikle kompetencer og hele tiden forfine produkter, koncepter og services, men også for hele samfundet som sådan.
For god ordens skyld skal det understreges, at indlæg, kommentarer, artikler, indhold af audio og video podcasts mm. alene er udgivernes ansvar og ikke nødvendigvis er udtryk for Danish Biometrics holdninger.
Cost 2101 Workshop on Biometrics & ID Management
Danish Biometrics is supporting organization of The First COST 2101 Workshop on Biometrics and Identity Management (BIOID 2008) will be held in Roskilde, near Copenhagen in Denmark from 7-9 May 2008. A call for papers has been announced with a paper submission deadline of 1 February 2008.
Click here for the full brochure
BIOID 2008, which stands for Biometrics for Identity Documents and Smart Cards, is supported by the European Biometrics Forum
The Workshop Co-Chairs include;
Ben Schouten, CWI, Netherlands
Andrzej Drygajlo, EPFL, Switzerland
Niels Christian Juul, Roskilde University, Denmark
The Programme Committee includes
Nicolas Delvaux, Sagem, France
Andrzej Drygajlo, EPFL, Swizerland
Michael Fairhurst, University of Kent, UK
Niels Christian Juul, Roskilde University, Denmark
Slobodan Ribaric, University of Zagreb, Croatia
Bülent Sankur, Bogazici University, Turkey
Ben Schouten, CWI, Netherlands
Massimo Tistarelli, University of Sassari, Italy
WORKSHOP SCOPE
A key driving factor for biometrics is the widespread national and international deployment of biometric systems that has been initiated in the past two years and is about to accelerate. While nearly all current biometric deployments are government-led and principally concerned with national security and border control scenarios it is now apparent that the widespread availability of biometrics in everyday life will also spin out an ever increasing number of (private) applications in other domains. Crucial to this vision is the management of the user’s identity, which does not only imply the creation and update of a biometric template, but requires the development of instruments to properly handle all the data and operations related to the user identity.
PAPER SUBMISSION
Prospective authors are invited to submit original and unpublished work. Papers must be written in English and should not exceed 4 pages in IEEE proceedings style. All submissions will be handled electronically.
Authors should submit a PDF file to the workshop e-mail address bioid2008@ruc.dk . Submission implies that at least one of the authors will register and present the paper. Accepted papers will appear in the workshops proceedings.
The authors of the best papers from the workshop will be invited to submit extended versions of their papers for consideration in the IEE Proceedings – Vision, Image and Signal Processing. The final decision in each case will be based on the review of the extended manuscript.
IMPORTANT DATES
Paper submission deadline: 1 February 2008
E-mail bioid2008@ruc.dk
Click here for the full brochure
Danish Biometrics og ITEK arrangerer Biometriens dag d. 26. november 2007
Biometriens dag er en event, som vil blive den største i Norden nogensinde om biometri. Der er tale om en kombineret konference og messe/workshop med fokus på teknologiens perspektiver og især brugervenlighed. På messen vil der bl. a. blive præsenteret løsninger for SAS og Region Hovedstaden.
Danish Biometrics har med sit koncept om samspil mellem forskningsverdenen og industrien formået at sætte gang i en udvikling, som på blot et år har skabt det største netværk i Norden med 33 virksomheder, organisationer, universiteter og forskningsinstitutioner med interesse i biometri som id-teknologi. Af væsentlige projekter kan især fremhæves et strategisk samarbejde med Region Hovedstaden, som også har fået indenrigs- og sundhedsministerens bevågenhed i henhold til et svar til Folketingets sundhedsudvalg. Konsortiet vil om kort tid lancere flere initiativer med andre interessante aktører.
Danish Biometrics har endvidere som de første i Norden taget initiativet til en uddannelse i biometri i samarbejde med DTU.
Danish Biometrics er endelig meget engageret i relevante temaer som privacy og er stærkt involveret i europæisk samarbejde om yderligere forskning og udvikling af ICT med privacy som omdrejningspunkt. Dette samarbejde sker bl.a. via European Privacy Institute og internationale organisationer som f.eks. European Institute for Health Records, European Privacy Officers Forum, Enterprise Privacy Group og Internet Society European Chapters Coordinating Council.
Konferencen med titlen “En Skandinavisk vision om fremtidens biometri” vil stille skarpt på udviklingen i forskningen og de allernyeste business cases. En række key note-indlæg fra både danske og udenlandske eksperter vil give deres bud på tek-nologiens potentiale og udfordringer, men også afdække myter, fordomme og frygt, som har været fremherskende i debatten om biometri.
På messen vil nogle af verdens førende teknlogivirksomheder vise de allernyeste biometriske produkter og løsninger. Be-søgende vil få rig lejlighed til at se “live” demonstrationer og mulighed for selv at afprøve udstyr med deres eget finger-aftryk, iris mv.
Arrangementet finder sted i Industriens Hus, København, kl. 9.00 – 17.30 og henvender sig til alle professionelle inden for området.
Danish Biometrics og ITEK er meget glade for, at Hanne Severinsen, MF, formand for Folketingets udvalg for videnskab og forskning, har indvilget i at åbne Biometriens dag.
Det endelige konferenceprogram vil blive offentliggjort om kort tid. Information om Biometriens dag herunder om messen vil blive tilgængelig under videnscenter.
Yderligere oplysninger kan fås ved kontakt til sekretariatet.
