UVT, Alm.del - 2009-10 - Bilag 182: Henvendelse af 6/5-10 fra Teknologirådet, vedr. brug af biometriske teknologier i det danske samfund

Anbefalinger for brug af biometri i det danske samfund1. Der skal udformes et sæt retningslinjer for anvendelse af biometriI lyset af den teknologiske udvikling og digitaliseringen i almindelighed er denuværende procedurer for vurdering og kontrol af biometriske systemer ikketilstrækkelige. Den hastige udvikling af nye teknologier bevirker, at det ikke aleneer nødvendigt med juridisk ekspertviden men også teknologisk ekspertise for atkunne vurdere, om et biometrisk system er hensigtsmæssigt konstrueret eller ej.For det første anbefaler arbejdsgruppen, at personer med teknologisk indsigt bliverinddraget i vurderingen af systemerne, og at der løbende bliver ført kontrol med, atsystemerne anvendes efter forskrifterne. For det andet anbefaler arbejdsgruppen, atpersoner og virksomheder, der ønsker at anvende systemer, hvor biometri indgår,får langt bedre adgang til både offentlig rådgivning og forhåndsgodkendelse iopstartsfasen, end de har i dag. For det tredje mener arbejdsgruppen, atfortolkningen af Persondataloven skal præciseres i lyset af den omfattendeudvikling af biometriske teknologier og andre teknologier, der har fundet sted. Iden forbindelse anbefaler arbejdsgruppen, at:1.1 Datatilsynet tildeles flere ressourcer til kontrol og inddrager flere personermed teknologisk ekspertise i vurdering og godkendelse af biometriskesystemerVurdering af nye teknologiske løsninger kræver stadig større teknisk ekspertise.Arbejdsgruppen anbefaler, at procedurerne for lovgivning om brugen afbiometriske løsninger ændres, så personer med teknologisk indsigt bliver inddrageti vurderingen. Arbejdsgruppen anbefaler videre, at man i den forbindelse lader siginspirere af den praksis, der er i Norge. En ændret praksis i Danmark vil krævetilførsel af flere ressourcer, men arbejdsgruppen vurderer, at det er et heltnødvendigt tiltag, da man herved vil kunne sikre en mere kvalificeret vurdering afde enkelte sager.1.2 Opstillere af biometri tilbydes rådgivning og mulighed for forhånds-godkendelseEt stigende antal virksomheder og organisationer ønsker at opstille biometriskesystemer. De kan på nuværende tidspunkt ikke få forhåndsgodkendt et system ellerfå teknisk rådgivning i opstartsfasen. På grund af de biometriske systemerskompleksitet kan det være vanskeligt at gennemskue, hvordan man mesthensigtsmæssigt konstruerer en løsning, der lever op til kravene om effektivitet ogprivatlivsbeskyttelse. Muligheden for rådgivning og for at få forhåndsgodkendt etsystem vil for det første skabe større sikkerhed for, at opstillere af et biometrisksystem ikke senere i processen får påbud om at ændre i systemet. For det andet vildet medvirke til at sikre, at løsningerne opnår en højere kvalitet.1.3 Præcisering af fortolkning af PersondatalovenEn række teknologier udvikles i disse år markant og står overfor et massivtgennembrud. Biometri er en af disse teknologier, men også Radio FrequencyIdentification (RFID) og videoovervågning kan fremhæves. Der er behov for atpræcisere, hvordan Persondataloven skal fortolkes i forhold til aktuelle teknologierog disses indflydelse på privatlivets fred. Arbejdsgruppen foreslår, at der bliverudarbejdet en vejledning, som med autoritet fortolker persondataloven og anviser,

hvordan teknologier skal anvendes i praksis, og hvilke privatlivsfremmende hensynsåsom Privacy Impact Assessment (PIA), Privacy Enhancing Technologies (PET)og Privacy by Design, der bør tages med i overvejelserne ved implementering af nyteknologi.2 Biometri skal bruges til at opnå øget privatlivsbeskyttelse og til at sikre, atbrugerne har kontrol med egne dataBiometri åbner for at styrke privatlivsbeskyttelsen, da teknologierne givermulighed for sikker autentifikation (bekræftelse af adgangsrettigheder), uden at ensfulde identitet bliver afsløret. Man kan beskytte en række personfølsommeoplysninger ved hjælp af forskellige former for biometri kombineret medpasswords. Arbejdsgruppen anbefaler, at man undgår at skabe biometriskesystemer, hvor for eksempel et fingeraftryk og intet andet giver adgang til en langrække forskelligartede personfølsomme oplysninger. Arbejdsgruppen anbefalervidere, at der i relation til alle nye biometriske systemer bliver udarbejdet enprivatlivsimplikationsanalyse (PIA), der sikrer en fornuftig balance mellemformålet med systemet, detaljeringsgraden af identifikation, de lagrede persondataog risikoen for datamisbrug og -tyveri. Privatlivsbeskyttelse og gennemsigtighedskal medtænkes, når systemerne bliver designet, og man bør udarbejde en plan foranvendelse af ”Privacy Enhancing Technologies” (PET) – det er teknologier, somunderstøtter beskyttelse af borgernes privatliv. Samtidig bør etiske overvejelser omrisici for social stigmatisering, social inklusion og social eksklusion medtænkeshelt fra start. Arbejdsgruppen peger endvidere på, at jo mere der fra politisk holdbliver lagt vægt på at benytte biometri til at styrke privatlivsbeskyttelsen, jo mereaccepteret vil biometri på sigt blive i offentligheden, da risikoen for misbrug hervedminimeres.2.1 Biometriske systemer skal konstrueres på en sådan måde, at de tager mestmuligt hensyn til privatlivets beskyttelseMan bør altid sikre, at målet med den biometriske løsning nås med mindst muligindgriben i brugernes privatliv. En indledende vurdering med dette formål kan tageudgangspunkt i følgende spørgsmål:1. Er systemet konstrueret på en sådan måde, at man i videst mulig omfang undgårat lagrepersonfølsomme oplysninger?2. Er det muligt, for derved at undgå central lagring af personfølsommeoplysninger, at lagre data decentralt og sikre, at brugerne har kontrol over egne data– for eksempel ved brug af en såkaldt ”system on card-løsning” eller en ”match oncard-løsning”?3. Er det muligt at opfylde formålet med systemet, uden at brugerens identitet – foreksempel brugerens navn – bliver knyttet til biometriske data?4. Er der alternative muligheder for brugere, som ikke kan eller ønsker at anvendebiometri?5. Er det muligt at anvende en pseudonymiseret, central database – det vil sige endatabase, hvor borgernes rigtige navne er erstattet af pseudonymer?6. Er det biometriske system afsondret fra netværk?7. Er der anvendt kryptering?8. Er der fastlagt procedurer for, hvem der har adgang til de biometriske templateseller data knyttet til templates?9. Slettes templates og tilknyttede data, som ikke længere anvendes?

2.2 Registrering af borgere og kunder skal ske på en sådan måde, at der blivertaget mest mulighensyn til privatlivets beskyttelseDe seneste år har en række diskoteker, fitnesscentre og andre søgt Datatilsynet omtilladelse til at anvende biometri. Disse henvendelser har ført til forskelligartedesvar, som arbejdsgruppen ønsker at knytte følgende kommentarer til:Restaurationsbranchen bør anvende ”match on card-teknologi”Arbejdsgruppen vurderer, at restaurationsbranchens ønsker til brug af biometri eruhensigtsmæssige. Branchens mål vil kunne opnås på mindre privatlivsindgribendevis, hvor restaurantgæster selv beholder deres biometri. Det kan for eksempel skeved at udstede chipkort til gæsterne, hvorpå deres biometri lagres. På den måde vilman undgå den nuværende sammenknytning af navn, billede og biometri.Arbejdsgruppen vurderer, at lagring af såvel biometriske data som personens navnog billede i en central database repræsenterer et unødigt indgreb i den enkeltesprivatliv. Målet kan i stedet nås ved brug af såkaldt ”match on card-teknologi”– detvil sige en løsning, hvor de biometriske data i krypteret form er lagret på etplastikkort med chip. Ved adgang matches informationerne på chippen medresultatet af en aktuel scanning af gæstens fingeraftryk. Et alternativ kunne værebrug af negativlister, hvor kun de uønskede gæster er registrerede. Udfordringeni den sammenhæng er, at uønskede personer vil kunne snyde nogle scannertyperved fx at placere fingeren skævt på scannerenheden og derved opnå adgangalligevel. Derfor stiller både negativlister og selvbetjeningsløsninger større krav tilscannerenhedernes beskaffenhed, så der kan tages højde for fejl. Generelt er detnødvendigt at etablere robuste systemer med læsere, der ikke kan snydes, ogløbende følge den teknologiske udvikling og løbende opgradere sikkerheden.Fitnesscentre bør anvende ”match on card-teknologi”Flere fitnesscentre har ansøgt om at måtte bruge biometri med det formål at undgåsnyd og samtidig skabe nemmere adgang til centrene for medlemmerne.Datatilsynet har afvist at give disse fitnesscentre mulighed for at benytte et systemmed en tilhørende database, hvor medlemmernes biometri bliver lagret i krypteretform. Arbejdsgruppen vurderer, at de pågældende fitnesscentre bør have mulighedfor at udstede medlemskort baseret på ”match on card-teknologi” – en løsning, hvorde biometriske data i krypteret form er lagret på medlemskortets chip og vedadgang til fitnesscentret bliver matchet med resultatet af en aktuel scanning afbrugerens fingeraftryk. Denne løsning vil betyde en merudgift for fitnesscentret,men systemet vil formentlig også mindske omfanget af snyd med medlemskort.Arbejdsgruppen anbefaler, at et sådant system skal være frivilligt og baseret påsamtykke fra brugerne, ligesom det skal være muligt at vælge et alternativ, somikke stiller brugerne dårligere, end hvis de benytter den biometriske løsning.Erhvervslivet bør gå sammen om en fælles løsning, hvor brugerne bevarerkontrollen med egne dataI lyset af de ovenfor nævnte ønsker fra private virksomheder bør man undersøgemulighederne for, at private virksomheder i fællesskab designer et system, sombåde øger sikkerheden, gør brugen af serviceydelser mere bekvem og laderbrugerne bevare kontrollen med egne data. En mulig egnet business case i dennesammenhæng, som bør undersøges nærmere, er biometrisk ”match on card-teknologi” – eventuelt i kombination med en pinkode – som mulig erstatning foradgangskort, medlemskort, betalingskort mv.

3. Et fremtidigt biometrisk borgerservicekort skal baseres på ”system on card-teknologi” eller lignende teknologierArbejdsgruppen mener, at et borgerkort med krypterede biometriske data, som erbaseret på ”system on card-teknologi” eller lignende teknologier, ud fra ensikkerhedsmæssig betragtning er en ønskelig løsning. ”System on card” betyder, atbrugeren ved hjælp af biometrisk identifikation har adgang til sit eget kort, somrummer en række koder/elektroniske nøgler til forskellige formål – blandt andetudveksling af informationer med det offentlige. Brugeren vil med denne teknologihave fuld kontrol over egne data, og systemet vil være mere privatlivsbeskyttendeend for eksempel den nuværende digitale signatur. Arbejdsgruppen anbefaler, at etborgerservicekort baseres på decentral datalagring, og at borgeren via kortet kanaktivere en række forskellige koder/nøgler. Ved tyveri eller tab af kortet skal detvære muligt at blokere det og oprette et nyt uden væsentlige omkostninger forhverken det offentlige eller brugeren. Prisen for et sådant system er dog pånuværende tidspunkt relativ høj, og det er blandt andet derfor værd at overvejealternativer til et borgerkortservicekort, som er udstedt og finansieret af staten.Arbejdsgruppen vurderer, at der på lidt længere sigt er potentiale i at anvendebiometri i mobiltelefoner, PDA’er eller lignende, hvor adgang til de lagredeoplysninger, koder og nøgler kontrolleres af brugerne selv. Arbejdsgruppen pegerpå, at brug af mobiltelefon frem for et borgerservicekort vil have en række fordele:•••••Brugerne er vant til at benytte mobiltelefonenBrugerne har (altid) mobiltelefonen medBrugerne betaler selv for denMobiltelefonen har indbygget processor og kan derfor generere koder ognøglerEt stigende antal mobiltelefoner har både kamera, mikrofon og trykfølsomtdisplay, hvilket potentielt giver mulighed for brug af følgende biometrisketeknologier: Tastedynamik, irisscanning, ansigtsgenkendelse, signatur-analyse og stemmegenkendelse. Flere vil komme til i de kommende år.

4. Start med at definere formålet med den biometriske løsningHvis formålet med den biometriske løsning er tydeligt defineret på forhånd, kanman undgå urealistiske forventninger til løsningens formåen. Erfaringer fraudlandet viser, at manglende formålsspecifikationer har resulteret i biometriskeløsninger, der ikke lever op til forventningerne hos hverken opstillerne ellerbrugerne. Arbejdsgruppen anbefaler derfor, at man allerede i udviklingsfasenskaber maksimal klarhed om den biometriske løsnings reelle formål ogperformance. Dette vil endvidere sætte fokus på potentielle faldgruber – foreksempel risikoen for såkaldt ”function creep”, hvilket vil sige, at data bruges tilandet end det oprindelige formål. Arbejdsgruppen anbefaler, at man i enpersonalehåndbog eller lignende fastslår formålet med det biometriske system ogsamtidig formulerer præcist, hvad de opsamlede data bliver brugt til. Det vil givemedarbejderne sikkerhed for, at data ikke bruges til andre formål end de tilsigtede.Det er arbejdsgruppens holdning, at en klar og tydelig formålsspecifikation vilskabe tryghed om den biometriske løsning hos medarbejdere/brugere. Samtidig vildet mindste risikoen for misbrug af data. Arbejdsgruppen fremhæver, at de muligekonsekvenser ved misbrug af data, som er opsamlet i en biometrisk løsning,afhænger af løsningens størrelse og omfang. De følgende anbefalinger er primærtrettet mod større biometriske installationer:

5. Et biometrisk systems sikkerhed er betinget af sikkerheden i hele systemetEt biometrisk systems sikkerhed er altid betinget af sikkerheden i hele den it-løsning, som biometrien er ét af mange elementer i. Arbejdsgruppen fremhæverderfor, at man altid skal se på helheden, når man vurderer et systems sikkerhed.Risikoen i et givet system for blandt andet ”hacking” og ”spoofing” – ”spoofing”er, når en person udgiver sig for at være en anden ved for eksempel at anvende etfalsk fingeraftryk – skal vurderes i alle de faser, en bruger skal gennemgå i forholdtil registrering og øvrig brug af systemet. Arbejdsgruppen påpeger, at selveregistreringsprocessen i et biometrisk system er en særligt sårbar fase. Foreksempel skal der kun én uopmærksom medarbejder i kommunen til at skabe etlovligt udstedt pas, hvor de anvendte biometriske data passer sammen med enandens identitet.6. Procedurerne for registrering af biometriske data skal standardiseresFor at sikre interoperabilitet på tværs af grænserne – interoperabilitet er produkters,systemers og forretningsprocessers evne til at arbejde sammen om løsningen af enfælles opgave – anbefaler arbejdsgruppen, at registrering af biometriskeoplysninger standardiseres. Dette skal helst ske globalt, men i det mindste i EU.Arbejdsgruppen anbefaler, at en person, der skal registreres i en biometrisk løsning,skal oplyses om formålet med og omfanget af registreringen. Det skal endviderevære muligt for brugeren at se og kontrollere, om de registrerede oplysninger erkorrekte. Registreringsproceduren skal derudover indeholde nogle klare,standardiserede procedurer for, hvordan man fjerner data om en bruger frasystemet. Veluddannet personale og transparente procedurer skal i det hele tagetsikre fuld gennemskuelighed for de registrerede brugere. Der skal desudenudformes standardiserede procedurer for sletning af data.7. Procedurerne for lagring og matchning af biometriske data skalstandardiseresArbejdsgruppen anbefaler, at man, når det er muligt, undgår at anvende centraledatabaser i forbindelse med biometriske løsninger. Hvis en biometrisk løsningalligevel baseres på en central database, skal datakvaliteten i denne være af højstmulig kvalitet og behandles af certificeret personale. Samtidig skal det være muligtfor brugere at trække egne data tilbage eller rette i egne data, hvis brugerne finder,at der er fejl eller mangler i de registrerede data. Der skal ligeledes være enstandardiseret klagemulighed, som fuldt ud respekterer individets suverænitet, ogsom understøtter procedurerne i et demokratisk samfund. Arbejdsgruppen anbefalervidere, at biometriske data aldrig lagres i råformat, hvilket for eksempel kan væreet digitalt billede af et fingeraftryk. I stedet lagres data som krypterede templates.Dette vil reducere risikoen for identitetstyveri og misbrug af persondata betydeligt.Samtidig anbefaler arbejdsgruppen, at man undgår at udlicitere databehandling tiltredjepart, da man derved forringer adgangen til at praktisere sikker kontrol med delagrede oplysninger. Endelig anbefaler arbejdsgruppen øget standardisering påteknisk niveau i form af fælles algoritmer, kalibrering og interface og i forhold tiluddannelse af certificeret personale. Standardiseringen på disse områder bør skeglobalt og i det mindste på EU-niveau. Arbejdsgruppen anbefaler, at biometriskmatchning kun matcher de biometriske data og ikke forespørger de persondata, derer knyttet til de biometriske data. Det vil mindske risikoen betydeligt for, atpersonfølsomme oplysninger falder i forkerte hænder.8. Der skal altid være sikre alternativer og ”fall-back-procedurer”Arbejdsgruppen peger på, at der især knytter sig to svagheder til biometriskidentifikation: Biometri kan aldrig blive 100 procent nøjagtigt, og biometriske

systemer vil altid både afvise og acceptere en andel ”forkerte” personer. Ikke allehar brugbare biometriske karakteristika – for eksempel kan et fingeraftryk værebeskadiget, hvorfor det ikke kan registreres korrekt. Disse forhold gør, at det erumuligt at skabe et sikkert system, som udelukkende er baseret på biometri. Der vilderfor altid være behov for et eller flere klart definerede alternativer – såkaldte”fall-back-procedurer”. Der bør endvidere i forbindelse med blandt andetautomatiseret grænsekontrol uddannes operatører, der forstår at behandle bådekorrekt og forkert afviste personer på en anstændig måde, så der ikke foregår socialstigmatisering og lignende.9. Der er brug for flere test af biometriske systemerDet er på nuværende tidspunkt meget vanskeligt at sammenligne forskelligebiometriske systemers performance. De fleste af de tilgængelige test er fortaget afproducenterne selv i laboratorier uden de fejlkilder, som findes i de miljøer, hvorsystemerne bliver anvendt. En omfattende test af biometriske systemer fortaget afden britiske regering har vist en meget stor reel fejlrate for systemer, som er baseretpå fingeraftryksscanning, irisgenkendelse eller ansigtsgenkendelse. Arbejdsgruppenanbefaler, at man indfører flere standardiserede test, og at der derigennem bliverskabt større åbenhed om de biometriske systemernes reelle formåen.10. Berøringsfrie enheder bør benyttes i miljøer, hvor hensynet til hygiejne ervigtigtArbejdsgruppen anbefaler, at man benytter berøringsfrie scannere – hvor man foreksempel holder hånden i nogle centimeters afstand fra scanningspladen – påsteder, hvor en høj grad af hygiejne er påkrævet. Det gælder eksempelvis påhospitaler. Arbejdsgruppen peger på, at iris- og venescanning i denne sammenhængbør overvejes som gode alternativer til scanning af fingeraftryk.