Een systeem van biometrische authenticatie invoeren

Niemand kan zomaar een biometrisch systeem invoeren. Er moet immers rekening gehouden worden met verschillende, complexe regels.

Noodzaak van de verwerking

Eerst en vooral moet het voor de verantwoordelijke voor de verwerking absoluut noodzakelijk zijn dat hij persoonsgegevens verwerkt om zijn vooropgesteld doeleinde te kunnen bereiken. Voor een bakker is het bijvoorbeeld niet noodzakelijk dat hij zijn klanten authenticeert, en het is dus a fortiori niet noodzakelijk dat hij hun biometrische gegevens inzamelt.

Vervolgens moet de verantwoordelijke voor de verwerking de tijd nemen om de redenen te bepalen en te rechtvaardigen die hem ertoe brengen biometrie te gebruiken als authenticatiemiddel. Hiervoor moet hij op lange termijn de belangen van de betrokken personen in acht nemen. Hij zou misschien gebruik kunnen maken van een niet-biometrisch systeem (zoals de visuele vergelijking van een persoon die zich aanbiedt met de foto op zijn badge). De betrokken personen moeten van deze logica op de hoogte worden gebracht.

Proportionaliteit van de verwerking

Vanuit technisch en organisatorisch oogpunt moet het biometrisch systeem beantwoorden aan bepaalde criteria zodat de proportionaliteit gewaarborgd is:

  • de biometrische techniek die wordt uitgekozen moet gebaseerd zijn op fysieke kenmerken die geen sporen nalaten. Gebruikmaking van de vingerafdrukken die een mens elke dag rondom hem achterlaat, moet dus worden uitgesloten. Er moet eerder gekeken worden naar technologieën die gebruik maken van biometrische kenmerken die geen sporen achterlaten, bijvoorbeeld het bloedvatennetwerk van de vinger of de hand, de handomtrek, de iris, enz.;
  • de biometrische referentiegegevens moeten worden opgeslagen op een verwijderbare drager (bijvoorbeeld een chipkaart) of in de biometrische sensor (het toestel dat het individu authenticeert, bijvoorbeeld aan de ingang van een gebouw) op voorwaarde dat dit toestel alleen lokaal toegankelijk is en niet kan gekoppeld worden aan andere informaticasystemen;
  • er mogen enkel templates van de biometrische gegevens worden opgeslagen. Het is dus niet de brute afbeelding van de gecontroleerde fysieke kenmerken die wordt opgeslagen, maar de cijfers die werden afgeleid uit deze brute afbeelding;
  • eens de biometrische technologie werd gekozen, moet de persoon die eraan wordt onderworpen zich daarvan bewust zijn tijdens zijn authenticatie want het risico op onwetendheid bestaat wel degelijk, omdat gezichtsherkenning op afstand, inzameling van vingerafdrukken of registratie van de stem gemakkelijk kan gebeuren zonder medeweten van de betrokkene;
  • het systeem moet afdoende beveiligd worden.

Er moet dus rekening worden gehouden met verschillende, complexe regels. Hoe kunnen we nu deze struikelblokken uit de weg gaan? De beste oplossing behelst een systeem dat een template van de handomtrek bewaart op een chipkaart, die iedere betrokken persoon altijd bij zich heeft. Om zich te authenticeren moet de betrokken persoon zijn kaart voor de biometrische lezer te houden en zijn identiteit bewijzen door zijn hand op de biometrische sensor te leggen.

In uitzonderlijke gevallen mag de verantwoordelijke voor de verwerking werken met biometrische gegevens die sporen achterlaten. Maar eerst moet hij omstandig onderzoeken of hij hetzelfde resultaat niet kan bereiken met een niet-biometrisch systeem dat minder privacyintrusief is. De Privacycommissie kan de verantwoordelijke voor de verwerking eventueel verzoeken haar het verslag van dit onderzoek te verstrekken, bijvoorbeeld wanneer er een klacht is neergelegd.

De verantwoordelijke voor de verwerking zal dus de categorieën plaatsen bepalen waar een biometrische controle noodzakelijk is en alleen van die personen de biometrische gegevens inzamelen die in het gebouw moeten zijn.

Om anderzijds toegang tot een ruimte te beperken tot een bepaalde groep individuen is het niet steeds noodzakelijk om gegevens te verwerken (zoals de naam) waarmee directe identificatie mogelijk wordt van de personen die beschikken over een recht van toegang. Zolang een persoon dus beschikt over een recht van toegang en dit met biometrie kan worden gecontroleerd, is het onnodig de biometrische informatie te koppelen aan bijkomende identificatiemiddelen.