Kort fortalt er adgangskontrol et system, der giver mulighed for at kontrollere adgangen til en bestemt fysisk facilitet eller til ressourcer i et edb-baseret informationssystem og et spørgsmål om hvem, hvor og hvornår.
Anvendelse af biometri er interessant fordi det er den eneste teknologi i verden, der er i stand til at binde et bestemt menneskes fysiske krop til hans eller hendes brugeroplysninger og er dermed en meget sikker genkendelsesmetode.
Som det gælder for al implementering af ny teknologi er det basalt at inddrage brugerne aktivt lige fra starten ikke alene i både projekterings-, planlægnings- og udførelsesfasen, men også, så vidt det er muligt, i selve beslutningsprocessen om eventuel anskaffelse af et biometrisk adgangskontrolsystem. Ud fra et ledelsesmæssigt synspunkt er den enkelte brugers/medarbejders forståelse og opbakning en forudsætning for, at den teknologiske løsning kan tjene sit formål og sikre en optimal ressourceudnyttelse. Det forudsættes som en selvfølge at enhver løsning overholder persondatalovens bestemmelser og at man i tvivlstilfælde skal kontakte Datatilsynet.
Alle biometriske systemer kræver, at brugeren tilmeldes og tildeles brugerettigheder, hvilket er omkostnings- og ressourcekrævende processer (den såkaldte enrolment). Der er en meget velbegrundet modstand mod ideen om store og centraliserede databaser med personlige oplysninger og de bør derfor, efter min personlige opfattelse, undgås så vidt det overhovedet kan lade sig gøre til fordel for såkaldt distribueret lagring med en hurtigere og mere bekvem indrulning (mach-on-card eller system-on-card). I mange tilfælde vil det være en stor fordel at benytte en eksisterende kort-infrastruktur. I andre situationer kan en sådan løsning være dyrere og derfor kan et alternativ med en centraldatabase eventuelt løses ved at sikre kryptering og brugerkontrol.
Antipati mod en bestemt biometrisk teknologi f.eks. fingeraftryk, iris- eller stemmegenkendelse ud fra kulturelle normer vil nok ikke spille den store rolle i Danmark til forskel fra f.eks. i Japan, hvor modstand mod fysisk kontakt via fingeraftryk har resulteret i en langt større udbredelse af vene-scanning. Men derimod kan en vægring ud fra et privacy-synspunkt bestemt ikke udelukkes, eftersom iris-scanningssystemer vil være i stand til at vise symptomer på visse sygdomme, som nogle mennesker ønsker at holde for sig selv.
En anden vigtig faktor er usability. Der vil således altid være et segment af brugere, der har problemer med f.eks. fingeraftryksscannere på grund af hudtype. Spørgsmålet har i en dansk sammenhæng været rejst i forbindelse med Bornholmstrafikkens biometriske system for pendlere i forhold til keramikere og murere. Man er her tvunget til at indføre et alternativt eventuelt manuelt system og det uanset hvor få brugere det måtte dreje sig om. I øvrigt er det essentielt at der udarbejdes retningslinjer i forhold til handicappede, ældre, etniske minoritetsgrupper samt andre personlige idiosynkrasier.
Den tid det tager at blive identificeret/verificeret vil givetvis have indflydelse i visse sammenhænge, f.eks. hvor der er en stor persontrafik. Teknologier, som irisgenkendelse og forskellige former for adfærdsmæssig biometri, vil derfor i princippet være en fordel, fordi de ikke kræver at brugeren skal foretage sig noget. Imidlertid vil det være overordentlig vanskeligt at forene bekvemmelighedsaspektet med et security- og privacyhensyn.
Et punkt af særlig betydning for valg af et biometrisk adgangskontrolsystem er spørgsmålet om standarder og interoperabilitet. Det vil i almindelighed være god cost-benefit at sikre sig en ikke-proprietær løsning, der tillader integration af teknologier/hardware fra forskellige leverandører. Dette hensyn gør sig i særlig grad gældende for så vidt angår meget store kommercielle og offentlige leverancer. Men det internationale standardiseringsarbejde lader imidlertid meget tilbage at ønske.
Det er også væsentligt at forholde sig til den gevinst, der kan høstes som totalbesparelser gennem hele systemets levetid, dvs. en økonomisk opgørelse over alle indtægter og besparelser samt alle omkostninger til løsningens etablering og drift, herunder omkostninger til videnopbygning og læring af personale og brugere. Her er det værd at fremhæve, at af alle business cases viser biometrisk tidsregistrering, i hvert fald ifølge udenlandske undersøgelser, den korteste og mest sikre ROI, fordi den udelukker, at en kollega “stempler ind” for en anden kollega og at der hermed opnås den sideeffekt der består i, at overarbejde og andre lønafhængige omkostninger reduceres. Som en særlig dansk “krølle” skal det anføres, at Datatilsynet indtil videre kun tillader en tidsregisteringsløsning med biometri i forbindelse med et smart card.
En faktor der også bør indgå i overvejelserne er brug af multimodal biometri med henblik på at gennemføre en sikker og præcis flerstrenget løsningsmodel. Eksempelvis én type biometri som f.eks. ansigtsgenkendelse skal evaluere personer på en overvågningsliste, en anden f.eks. fingeraftryk anvendes til brug for 1:1 autentificering (verifikation) og en tredie udføres i form af tastetryk eller stemmegenkendelse i et call-center til reset af passwords.
En opstilling af tekniske krav til en situationsbestemt og specifik brug af biometri med fokus på brugerbeskyttelse samt brugerkontrol og i sammenhæng med nøje krav til selve implementeringsprocessen vil være den mest fordelagtige gennemførelse af en biometrisk løsning.
