U bent hier: Home > In praktijk > Biometrie

Hierover meer

advies 17/2008 uit eigen beweging over het verwerken van biometrische gegevens in het raam van authenticatie van personen >

Biometrie

Wat gisteren nog sciencefiction was, is vandaag heel gewoon. Tegenwoordig kan een computer iemand identificeren aan de hand van zijn lichamelijke eigenschappen: huidlijnen, handomtrek, stem, vorm van het oog, …
Je hoeft niet langer je wachtwoord in te typen om toegang te hebben tot je pc; de vingerafdruk van je wijsvinger is al voldoende. Lichamelijke kenmerken gebruiken om iemands identiteit vast te stellen of te controleren kreeg overal dezelfde benaming: biometrie.

Wanneer het gaat om de toegang beveiligen tot bepaalde, zeer gevoelige plaatsen, bijvoorbeeld kerncentrales of militaire installaties, is het gebruik van biometrie gemakkelijk te bevatten. Maar wat moeten we ervan denken wanneer biometrie wordt gebruikt in ons dagelijks leven, in de dagelijkse consumptiedienstverlening? We denken hierbij bijvoorbeeld aan videoclubs of sportclubs. Is het billijk al deze toepassingen op dezelfde lijn te plaatsen?

In haar advies van 2008 poogt de Privacycommissie het gebruik van biometrie te omkaderen door een aantal richtlijnen op te stellen. Het zijn deze regels die we hieronder kort willen toelichten.

Een maatschappelijke keuze

Laten we eerst het meest evidente benadrukken: het geautomatiseerde of geïnformatiseerde gebruik van biometrie om een persoon te identificeren of authenticeren is een verwerking van persoonsgegevens en daarom is de Privacywet van toepassing.

We moeten ons vooral bewust zijn van het soort samenleving dat gecreëerd wordt, mocht biometrie algemeen worden gebruikt, en ook van de desensibilisering die dit zou meebrengen voor de bevolking. Biometrie is een krachtig authenticatiemiddel en om het vooropgestelde doel te bereiken zou het alleen gebruikt mogen worden bij gebrek aan enig ander middel en niet omdat het zo gemakkelijk en praktisch is of omdat het "modern staat".

Ook stelt zich dikwijls de vraag of het wel noodzakelijk is dat de betrokken personen hun akkoord geven voor een verwerking van hun biometrische gegevens.

Het is natuurlijk zo dat toestemming een basis is. Maar ze is niet in alle gevallen vereist. Soms kan de wet een verwerking van biometrische gegevens opleggen.

In nog andere gevallen is toestemming soms moeilijk bruikbaar. De werkplek is hier een goed voorbeeld van: het is erg moeilijk te garanderen dat een werkneme r zich niet verplicht voelt om zijn akkoord te geven aan de werkgever.

Juist om dergelijke toestanden te vermijden is het van primordiaal belang het gebruik van biometrische systemen strikt te omkaderen.

Wanneer kan een systeem van biometrische authenticatie worden ingevoerd ?

Eerst en vooral moet het voor de verantwoordelijke voor de verwerking absoluut noodzakelijk zijn dat hij persoonsgegevens verwerkt om zijn vooropgesteld doeleinde te kunnen bereiken. Voor een bakker is het bijvoorbeeld niet noodzakelijk dat hij zijn klanten authenticeert, en het is dus a fortiori niet noodzakelijk dat hij hun biometrische gegevens inzamelt.

Vervolgens moet de verantwoordelijke voor de verwerking de tijd nemen om de redenen te bepalen en te rechtvaardigen die hem ertoe brengen biometrie te gebruiken als authenticatiemiddel. Hiervoor moet hij op lange termijn de belangen van de betrokken personen in acht nemen. Hij zou misschien gebruik kunnen maken van een niet-biometrisch systeem (zoals de visuele vergelijking van een persoon die zich aanbiedt met de foto op zijn badge). De betrokken personen moeten van deze logica op de hoogte worden gebracht.

Vanuit technisch en organisatorisch oogpunt moet het biometrisch systeem beantwoorden aan bepaalde criteria zodat de proportionaliteit gewaarborgd is:

de biometrische techniek die wordt uitgekozen moet gebaseerd zijn op fysieke kenmerken die geen sporen nalaten. Gebruikmaking van de vingerafdrukken die een mens elke dag rondom hem achterlaat, moet dus worden uitgesloten. Er moet eerder gekeken worden naar technologieën die gebruik maken van biometrische kenmerken die geen sporen achterlaten, bijvoorbeeld het bloedvatennetwerk van de vinger of de hand, de handomtrek, de iris, enz.;
de biometrische referentiegegevens moeten worden opgeslagen op een verwijderbare drager (bijvoorbeeld een chipkaart) of in de biometrische sensor (het toestel dat het individu authenticeert, bijvoorbeeld aan de ingang van een gebouw) op voorwaarde dat dit toestel alleen lokaal toegankelijk is en niet kan gekoppeld worden aan andere informaticasystemen;
er mogen enkel templates van de biometrische gegevens worden opgeslagen. Het is dus niet de brute afbeelding van de gecontroleerde fysieke kenmerken die wordt opgeslagen, maar de cijfers die werden afgeleid uit deze brute afbeelding;
eens de biometrische technologie werd gekozen, moet de persoon die eraan wordt onderworpen zich daarvan bewust zijn tijdens zijn authenticatie want het risico op onwetendheid bestaat wel degelijk, omdat gezichtsherkenning op afstand, inzameling van vingerafdrukken of registratie van de stem gemakkelijk kan gebeuren zonder medeweten van de betrokkene;
het systeem moet afdoende beveiligd worden.

Er moet dus rekening worden gehouden met verschillende, complexe regels. Hoe kunnen we nu deze struikelblokken uit de weg gaan? De beste oplossing behelst een systeem dat een template van de handomtrek bewaart op een chipkaart, die iedere betrokken persoon altijd bij zich heeft. Om zich te authenticeren moet de betrokken persoon zijn kaart voor de biometrische lezer te houden en zijn identiteit bewijzen door zijn hand op de biometrische sensor te leggen.

In uitzonderlijke gevallen mag de verantwoordelijke voor de verwerking werken met biometrische gegevens die sporen achterlaten. Maar eerst moet hij omstandig onderzoeken of hij hetzelfde resultaat niet kan bereiken met een niet-biometrisch systeem dat minder privacyintrusief is. De Commissie kan de verantwoordelijke voor de verwerking eventueel verzoeken haar het verslag van dit onderzoek te verstrekken, bijvoorbeeld wanneer er een klacht is neergelegd.

De verantwoordelijke voor de verwerking zal dus de categorieën plaatsen bepalen waar een biometrische controle noodzakelijk is en alleen van die personen de biometrische gegevens inzamelen die in het gebouw moeten zijn.
Om anderzijds toegang tot een ruimte te beperken tot een bepaalde groep individuen is het niet steeds noodzakelijk om gegevens te verwerken (zoals de naam) waarmee directe identificatie mogelijk wordt van de personen die beschikken over een recht op toegang. Zolang een persoon dus beschikt over een recht op toegang en dit met biometrie kan worden gecontroleerd, is het onnodig de biometrische informatie te koppelen aan bijkomende identificatiemiddelen.

Informatieverstrekking aan de betrokken personen

De verantwoordelijke voor de verwerking moet de betrokken personen inlichten over zijn identiteit, over de doeleinden van de verwerking, over de (categorieën) ontvangers van de gegevens, over het bestaan van een recht op toegang tot de gegevens en het recht op verbetering van de gegevens. Bovendien moet hij een transparante gegevenswerking garanderen en dat doet hij door informatie te verschaffen over het soort biometrisch systeem dat wordt gebruikt (met name het soort opslag), over het bestaan van een foutenmarge in de herkenning dat inherent is aan elk biometrisch systeem en van de procedure die de betrokkene moet volgen wanneer zich een dergelijke niet-herkenning voordoet.

Bewaartermijn van de gegevens

De gegevens mogen niet langer worden bewaard dan noodzakelijk is om de vooropgestelde doeleinden te bereiken. Die regel moet op alle niveaus worden toegepast, bijvoorbeeld op de gegevens die gebruikt worden voor het toegangsbeheer tot een arbeidsplaats (de opgeslagen gegevens kunnen van de verwijderbare drager gewist worden zodra de gebruiker zijn toegangsrecht tot deze plaats verliest) of op de vergelijking van het door de persoon aangeboden gegeven met het referentiegegeven (de biometrische sensor mag de kopie van het biometrisch gegeven niet langer bewaren dat de tijd die nodig is om de vergelijking uit te voeren).

Beveiliging van de gegevens

Om zulke gevoelige gegevens te beschermen, moeten er uiterst strenge veiligheidsmaatregelen worden getroffen (technische, juridische, organisatorische, …) en die veiligheidsmaatregelen moeten voortdurend aan de evoluerende techniek aangepast worden.

Deze beveiliging moet alle fases in de verwerking dekken: inschrijvingsfase (beveiligde omgeving, vaststelling van een beperkt aantal personen die gemachtigd zijn de registratieprocedures te verrichten, …) drager (bijvoorbeeld, bescherming door kaarten te coderen, uiteenhalen van templates, elektronische handtekening, …) sensor, …

Aangifte van de verwerking

De geautomatiseerde of semi-geautomatiseerde verwerking van biometrische gegevens moet in principe worden aangegeven bij de Privacycommissie. In het koninklijk uitvoeringsbesluit worden evenwel een reeks uitzonderingen op die verplichting opgesomd die al naargelang van het concrete gebruik van biometrische gegevens eventueel van toepassing kunnen zijn. Wij verwijzen hiervoor naar de rubriek "Aangifte".