Biometrie en GDPR: vriend of vijand?

Biometrie en GDPR: vriend of vijand?
Charlotte Bourguignon

Biometrische data & GDPR: Vriend of vijand? 

biometrics friend or foe

Biometrische data zijn hot, en worden allang niet alleen meer door justitie en politie gebruikt. Ze bieden verschillende voordelen op vlak van gemak en beveiliging, professioneel en privé. Denk maar aan het makkelijk ontgrendelen van je smartphone of inloggen op je pc met vingerprint- of gezichtsherkenning. Biometrie maakt ons dagelijks leven eenvoudiger, zowel thuis als op kantoor.

Het toenemende gebruik en de opslag van dit soort data vraagt natuurlijk ook om een sluitend juridisch kader, dat de privacy van de betrokken partijen waarborgt. De GDPR of Algemene Verordening Gegevensbescherming (AVG) in het Nederlands, heeft als doelstelling om die rechten te beschermen, vrijwaren, en verankeren. Maar, in de praktijk hebben slechte implementaties, verkeerde interpretaties van de GDPR en een gebrek aan duidelijke omkadering ertoe geleid dat biometrie een ietwat kwalijke reputatie gekregen heeft, ondanks de ontegensprekelijke voordelen die de technologie biedt.

Biometrische data en biometrie: een definitie?

Enigszins gesteld kunnen biometrische data beschouwd worden als alles wat je aan een lichaam kan meten, zoals onder andere vingerafdrukken, bloedvaten op een handpalm of een scan van het netvlies in je oog. Maar, ook uniek gedrag dat een persoon kenmerkt kan hieronder vallen. Zo zou je bijvoorbeeld iemand kunnen herkennen op basis van zijn of haar ochtendlijke routine: wat is het eerste dat iemand doet op zijn pc? In welke volgorde? Hoe typt hij of zij op computer of smartphone? Enzovoort.

Toch is er vanuit juridisch en beveiligingsoogpunt een striktere definitie ontstaan. Artikel 4 n) van de GDPR omschrijft biometrische gegevens als volgt:

“Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;”

Het gaat met andere woorden om unieke gegevens, die naar één specifiek individu te herleiden zijn. Dit kan bij onrechtmatig gebruik grote risico’s met zich meebrengen: zo kunnen biometrische gegevens meer informatie prijsgeven dan in bepaalde gevallen specifiek de bedoeling is, zoals bv. etniciteit, gezondheidstoestand of staat van dronkenschap. De verwerking van dit soort gegevens is dus uiterst delicaat, wat extra uitdagingen met zich meebrengt op vlak van privacy.

Artikel 9.1 van de GDPR (over bijzondere categorieën van persoonsgegevens, in de volksmond “de gevoelige gegevens in de privacywet”) stelt zo dat het verwerken van biometrische data met als doel het uniek identificeren van een natuurlijk persoon, in principe, verboden is. Biometrische data voor identificatie worden als het ware, onder dit artikel, beschouwd als een speciale categorie van persoonlijke data door hun gevoelige aard. Dus moet men voor de verwerking gebruik maken van één van de uitzonderingsgronden, benoemd in artikel 9.2.

Identificatie of verificatie?

Maar, waar artikel 9.1 geen rekening mee lijkt te houden, is het verschil tussen identificatie en verificatie, zoals dat in artikel 4 n) wel gemaakt wordt. Deze twee termen mogen dan wel inwisselbaar lijken, ze hebben wel degelijk een verschillende betekenis.

Dat zit zo: bij identificatie of herkenning gaat een systeem kijken of iemands biometrische kenmerk overeenkomt met eerder opgeslagen templates in een databank. Dit proces wordt ook de one-to-many of ‘één-ten-opzichte-van-velen’-aanpak genoemd: een specifiek biometrisch kenmerk (bijvoorbeeld een vingerafdruk) van de gebruiker wordt vergeleken met kenmerken van alle andere geregistreerde gebruikers in de databank. Deze vergelijking gebeurt in de achtergrond op basis van een berekende template door het biometrisch systeem en niet op basis van beelden van bijvoorbeeld de vingerafdruk. Deze werkwijze is erg belangrijk: immers vanuit die opgeslagen templates in de databank kan het biometrische kenmerk zelf niet gereconstrueerd worden. Wanneer bij deze vergelijking van de templates de ingestelde drempelwaarde behaald wordt, is er een match en wordt de juiste identiteit gelinkt. Bij identificatie gaat het dus over het herkennen van personen zonder meer: de persoon deelt vooraf niet mee wie hij of zij is.

Bij verificatie of bevestiging van identiteit daarentegen wordt iemands identiteit geverifieerd aan de hand van een uniek nummer of code die de persoon aanbiedt (via een toetsenbord of toegangsbadge) en het door hen aangereikte biometrische kenmerk. Deze worden eveneens vergeleken, maar enkel met de eerder opgeslagen template van diezelfde gebruiker in een databank. Er wordt dus enkel geverifieerd of de persoon die zich aanbiedt wel de persoon is die hij of zij beweert te zijn. Hierbij kan de gebruikerstemplate trouwens perfect op de toegangsbadge opgeslagen worden, waardoor de organisatie deze niet in de centrale systemen moet bewaren.

Een voorbeeld: wanneer je bij je persoonlijke kluis komt, geef je je code in en scan je je vingerafdruk. Het systeem checkt dan of deze vingerafdruk overeenstemt met jouw template, die opgevraagd wordt op basis van je code. Indien ja, opent de kluis.

De risicovolle optie

Waarom wordt biometrische identificatie als een meer risicovolle toepassing beschouwd? Een organisatie met slechte bedoelingen zou de databank (met gezichtstemplates) kunnen misbruiken en bijvoorbeeld personeelsleden volgen in hun doen en laten door permanent de beelden van de bewakingscamera’s te koppelen met de opgeslagen template voor identificatie in de databank.

Het probleem is dat artikel 9.1 van de GDPR volgens ons enkel de verwerking van biometrische gegevens voor identificatie behandelt, wat ook bevestigd wordt door Prof. Dr. Els Kindt. Dit impliceert dat er bij verwerking steeds een databank gebruikt wordt waartegen iedereen vergeleken wordt, bij het verwerken van biometrische gegevens.

Gegevensbeschermingsauthoriteit (GBA) vs GDPR

Ook de Gegevensbeschermingsautoriteit (GBA) houdt in haar aanbeveling met betrekking tot de verwerking van persoonsgegevens geen rekening met dit onderscheid tussen verificatie en identificatie, waardoor het verifiëren van biometrische gegevens volgens hen dus ook onder de scope van artikel 9.1 valt.

Toch is het verschil vanuit privacyoogpunt groot. Neem bijvoorbeeld een organisatie of bedrijf met een databank van 1000 werknemers. In geval van identificatie zou dat bedrijf werknemers uniek kunnen identificeren zonder hun medewerking en zelfs medeweten, bijvoorbeeld op basis van scherpe camerabeelden van gewone bewakingscamera’s. Bij verificatie kan dit niet zomaar, want, daar moet je eerst weten wie zich aanbiedt alvorens je de template kan ophalen uit de databank van een systeem dat enkel voor verificatie ontworpen is. Net om dit soort misbruik te voorkomen, is biometrische identificatie zowel in open (bv. winkelstraten, stations, luchthavens) als gesloten ruimtes zeer streng gereglementeerd, en gelukkig maar.

Bovendien gaat de GBA er in zijn aanbeveling van uit dat het telkens de authentieke, ‘naakte’ beelden zijn, i.e. de sensor output als dusdanig, die opgeslagen worden in de databanken van deze biometrische systemen. In de praktijk is dit niet zo. Behalve bij de overheid, die een authentieke kopie van een genormaliseerde foto van je aangezicht of vingerafdrukken[1] opslaat op je identiteitskaart of paspoort)[2], wordt dit eigenlijk niet toegepast. Bedrijven die biometrie gebruiken, werken met templates die afgeleid zijn van de originele info.

Zo zal een biometrisch systeem bij de ‘enrolment’ of initiële registratie van je biometrisch kenmerk het originele beeld omzetten naar een wiskundig patroon, een template. Het is onmogelijk om van dit patroon weer naar het authentieke beeld te gaan, maar het systeem is wel in staat op basis van die template het kenmerk te herkennen, door middel van vergelijking met de opgeslagen template, of, in het geval van identificatie, alle opgeslagen templates. Wordt de drempelwaarde overschreden en is er dus een voldoende match, dan is er zekerheid over je identiteit.

Belangrijk is dat het algoritme hier dus altijd maar in een richting werkt. De gegevens die een iPhone berekent en opslaat om je gezicht te herkennen bij ontgrendeling, bijvoorbeeld, zullen altijd omgezet worden in een wiskundige formule of template, maar, op basis van deze template (die overigens in een hoogst veilig hardwareonderdeel van je iPhone bewaard wordt) zal je nooit de omgekeerde beweging kunnen maken en een exacte afbeelding van je gezicht namaken.

Biometrie in de bedrijfswereld: hoe het veilig kan

Deze aanbeveling, en ook wel de negatieve connotatie die biometrie soms opwekt, kan bedrijven tegenhouden of zelfs afschrikken om biometrische systemen te gebruiken. Maar,

    • wanneer je templates gebruikt,
    • met verificatie werkt (niet identificatie),
    • de template enkel bij de gebruiker zelf beveiligd wordt opgeslagen (bijvoorbeeld op een toegangsbadge),
    • en je als bedrijf een gegronde reden voor gebruik hebt (high security of convenience),

… dan is biometrie zeker een valabele technologie.

Een situatie waar het gebruik van biometrie gegrond zou kunnen zijn, is bijvoorbeeld om in een ziekenhuis toegang te verschaffen tot het operatiekwartier. Biometrie is daar niet alleen handig, omdat chirurgen binnen kunnen zonder hun steriele handschoenen of mondkapje te moeten uitdoen, maar biedt ook extra beveiliging, door slechts een beperkt aantal mensen toegang te geven. Verificatie kan hier bijvoorbeeld gefaciliteerd worden door de toegangsbadge van een gebruiker contactloos uit te lezen.

Enkele best practices om in het achterhoofd te houden:

    • Pas verificatie toe in plaats van identificatie;
    • Gebruik templates (in plaats van de authentieke, ‘naakte’ afbeeldingen);
    • Bewaar deze templates bij de eindgebruiker (bv. op een toegangsbadge), niet centraal, bij de verwerkingsverantwoordelijke zelf;
    • Voorzie steeds een alternatief voor biometrie ( een voldoende lange pincode of paswoord).
    • Werk samen met een expert partner die je kan adviseren;
    • Voer een GEB (gegevensbeschermingseffectbeoordeling) uit, beter gekend als DPIA in het Engels;
    • Update regelmatig de opgeslagen templates door een nieuwe registratie te doen.

En, onthoud: biometrie biedt veel mogelijkheden, zolang er bedachtzaam mee wordt omgesprongen. Niemand is perfect – ook biometrische systemen niet…

[1] De overheid heeft gedurende de drie maanden die het maximaal duurt om je identiteitskaart te maken de perfecte beelden van je vingerafdrukken in hun systemen.

[2] De overheid heeft een centrale databank met daarin al de aangezichtsfoto’s van identiteitskaart, rijbewijs en paspoort.