Juridische vraag: Is biometrische identificatie onder de Privacyverordening (AVG) nog wel toegestaan?
woensdag 31 mei 2017, 12:15 door Arnoud Engelfriet, 20 reacties
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij het nalezen van de Algemene Verordening Gegevensbescherming viel me op dat biometrische gegevens daar als zogeheten bijzondere persoonsgegevens aangemerkt worden. Het verwerken daarvan is verboden, tenzij in de AVG expliciet toegestaan wordt dat dit mag. Maar dat betekent effectief dat biometrische identificatie niet meer mag, want toestemming eisen is natuurlijk niet mogelijk en er is geen algemene belangenafweging. Klopt deze conclusie?
Antwoord: Het klopt dat de AVG (de Privacyverordening) in beginsel verbiedt dat iemand biometrische persoonsgegevens verwerkt. Daaronder vallen vingerafdrukken, gezichtsherkenning, irismetingen en dergelijke. Het doel doet er daarbij niet toe, je mag die gegevens gewoon niet verzamelen, opslaan of gebruiken want het zijn bijzondere persoonsgegevens. Ze onthullen immers gevoelige informatie over personen.
Het gebruik van bijzondere persoonsgegevens mag alleen in speciale gevallen, zoals bij het dienen van iemands "vitaal belang" – urgente medische kwesties – of een zwaarwegend algemeen belang. Daarnaast kun je met "uitdrukkelijke toestemming" soms nog een grondslag verkrijgen, maar die toestemming moet vrijwillig en apart worden gegeven en kan op ieder moment worden ingetrokken. Daarmee is er eigenlijk geen grondslag om te kunnen werken met bijzondere persoonsgegevens voor beveiliging, toegangscontrole et cetera.
(Voor 'gewone' persoonsgegevens ligt dat anders; daar is er de grond van de "eigen dringende noodzaak" waarbij een belangenafweging eigenlijk genoeg is. Die grond bestaat nadrukkelijk niet in de AVG voor bijzondere persoonsgegevens.)
De reden dat er specifiek voor biometrische identificatie geen regeling is in de AVG, is een politieke: de Europese landen konden het niet eens worden over of en in hoeverre dit toegestaan zou moeten zijn. Daarom is dit onderwerp buiten scope gelaten. Landen mogen dit dus zelf regelen als zij het willen toestaan. En gelukkig lijkt Nederland dat te willen: in de Uitvoeringswet (althans het concept dat in internetconsultatie is gegaan) is een artikel 26 opgenomen:
Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.
Oftewel, je mag biometrische identificatie inzetten mits je maar een duidelijk belang daarvoor hebt én eigenlijk geen andere optie hebt ter identificatie dan biometrie. Je moet dit onderbouwen en die onderbouwing moet in je verwerkingsregister zitten.
Dit is met name van belang voor het kunnen identificeren van bezoekers en werknemers. Die hebben namelijk geen keus als ze door zo’n scan heen moeten. Werknemers kunnen juridisch geen toestemming geven aan hun werkgever. Ook bij bezoekers lijkt me dat een lastig te verdedigen punt: je bent er al, je wilt/moet naar binnen en dan moet je even toestemming geven voor een vingerafdruk of irisscan. Dat klopt niet.
(Diensten zoals Privium of de vingerafdrukscanner op je laptop zijn een ander verhaal. Daar kies je zelf voor en je kunt op ieder moment die keuze ongedaan maken.)
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (20)
(Diensten zoals Privium of de vingerafdrukscanner op je laptop zijn een ander verhaal. Daar kies je zelf voor en je kunt op ieder moment die keuze ongedaan maken.)
Is dat zo? Kun je ook werkelijk alle gescande data laten wissen? Hoe zeker ben je dat die data dan ook echt helemaal weg is? Zelfs met een laptop of een "smart"phone is dat helemaal geen gegeven. En bij een derde partij is het puur giswerk.Ik vraag me af of je dit met juridische middelen nog kunt tegenhouden...
https://www.security.nl/posting/28621/Camera's+Openbaar+Vervoer+herkennen+gezichten
http://www.rijnmond.nl/nieuws/98552/RET-breidt-OV-verbod-verder-uit-op-Rotterdam-Zuid
http://www.upinthesky.nl/2017/02/07/schiphol-test-supersnel-boarden-met-gezichtsherkenning/
http://www.sikkom.nl/gezichtsherkenning-bij-fc-groningen-pleasen-overheid-belangrijker-dan-privacy-supporters/
Uit https://www.zorgictzorgen.nl/wp-content/uploads/2016/04/Persbericht-Robot-Hugo-Hampshire-Hotels.pdf:
Uit https://carrierekantoor.nl/gezichtsherkenning-in-de-recruitment/:
Uit https://www.invitado.nl/nl/news/132/73/Bezoekersexperience-positiever-door-gezichtsherkenning-bij-toegang:
https://www.security.nl/posting/28621/Camera's+Openbaar+Vervoer+herkennen+gezichten
http://www.rijnmond.nl/nieuws/98552/RET-breidt-OV-verbod-verder-uit-op-Rotterdam-Zuid
http://www.upinthesky.nl/2017/02/07/schiphol-test-supersnel-boarden-met-gezichtsherkenning/
http://www.sikkom.nl/gezichtsherkenning-bij-fc-groningen-pleasen-overheid-belangrijker-dan-privacy-supporters/
Uit https://www.zorgictzorgen.nl/wp-content/uploads/2016/04/Persbericht-Robot-Hugo-Hampshire-Hotels.pdf:
Hampshire Hotels neemt hotelrobot in dienst
Amsterdam, 25 april 2016
De charmante en sympathieke robot Hugo spreekt negentien talen, beschikt over twee camera’s en software voor gezichtsherkenning om gasten tot zes maanden lang te herinneren
Amsterdam, 25 april 2016
De charmante en sympathieke robot Hugo spreekt negentien talen, beschikt over twee camera’s en software voor gezichtsherkenning om gasten tot zes maanden lang te herinneren
Uit https://carrierekantoor.nl/gezichtsherkenning-in-de-recruitment/:
Gepubliceerd op 7 december 2016 door Ingrid de Wit
Het Nederlandse bedrijf Clearwater Skyfields heeft een test ontworpen om iemands karakter in kaart te brengen op basis van gezichtsherkenning. Deze zogeheten persoonlijkheidsanalyse, kondigt wellicht een nieuwe methode van solliciteren aan, waarbij wat je zegt minder belangrijk is dan hoe je het zegt.
Hoe werkt het?
De kandidaat krijgt vragen via een laptop of mobiele telefoon. Terwijl de vragen worden beantwoord, worden de micro-expressies van het gezicht geanalyseerd. Daaruit volgt een karakterprofiel dat inzicht zou geven in iemands persoonlijkheid. Ghita Ramdhiansing van Clearwater Skyfields zegt in een artikel van de Volkskrant dat verschillende onderzoeken hebben aangetoond dat dergelijke micro-expressies belangrijke graadmeters kunnen zijn voor iemands communicatiestijl. Wanneer je bedenkt hoe je een vraag gaat beantwoorden, gebeurt er van alles en de spieren in je gezicht kun je niet sturen, waardoor daaruit het nodige valt af te leiden.
Het Nederlandse bedrijf Clearwater Skyfields heeft een test ontworpen om iemands karakter in kaart te brengen op basis van gezichtsherkenning. Deze zogeheten persoonlijkheidsanalyse, kondigt wellicht een nieuwe methode van solliciteren aan, waarbij wat je zegt minder belangrijk is dan hoe je het zegt.
Hoe werkt het?
De kandidaat krijgt vragen via een laptop of mobiele telefoon. Terwijl de vragen worden beantwoord, worden de micro-expressies van het gezicht geanalyseerd. Daaruit volgt een karakterprofiel dat inzicht zou geven in iemands persoonlijkheid. Ghita Ramdhiansing van Clearwater Skyfields zegt in een artikel van de Volkskrant dat verschillende onderzoeken hebben aangetoond dat dergelijke micro-expressies belangrijke graadmeters kunnen zijn voor iemands communicatiestijl. Wanneer je bedenkt hoe je een vraag gaat beantwoorden, gebeurt er van alles en de spieren in je gezicht kun je niet sturen, waardoor daaruit het nodige valt af te leiden.
Uit https://www.invitado.nl/nl/news/132/73/Bezoekersexperience-positiever-door-gezichtsherkenning-bij-toegang:
Rotterdam, 25 april 2017 - Het Rotterdams eventregistratie bureau Invitado onderzocht het effect van gezichtsherkenning tijdens toegangscontrole op bezoekersbeleving. Gezichtsherkenning is nieuw in de toegangscontrole voor zakelijke evenementen en deze innovatie is op Event 17 als experimenteel uitgeprobeerd. Tijdens dit event hebben ruim vijfhonderd bezoekers via de experimentele gezichtsherkenningsbalie zichzelf aangemeld voor de beurs door middel van het maken van een foto. Het experiment is zeker geslaagd én heeft een positief effect op de totaalbeleving van bezoekers.
etc. etc.Het komt er dus gewoon op neer, dat een aantal zaken niet zullen mogen en dat organisaties hiermee zullen moeten stoppen. Vraag is alleen, merk ik, of en hoe ze dit doen én kan ik daar dan ook echt iets tegen doen. Zoals in dit voorbeeld:
Uit https://carrierekantoor.nl/gezichtsherkenning-in-de-recruitment/:
Maar zeker ook in de andere uitgeschreven voorbeelden van @anoniem 13:27 lijkt mij niet, dat hier binnen de door de wetgever bedoelde grenzen wordt gehandeld.
Uit https://carrierekantoor.nl/gezichtsherkenning-in-de-recruitment/:
Gepubliceerd op 7 december 2016 door Ingrid de Wit
Het Nederlandse bedrijf Clearwater Skyfields heeft een test ontworpen om iemands karakter in kaart te brengen op basis van gezichtsherkenning. Deze zogeheten persoonlijkheidsanalyse, kondigt wellicht een nieuwe methode van solliciteren aan, waarbij wat je zegt minder belangrijk is dan hoe je het zegt.
Hoe werkt het?
De kandidaat krijgt vragen via een laptop of mobiele telefoon. Terwijl de vragen worden beantwoord, worden de micro-expressies van het gezicht geanalyseerd. Daaruit volgt een karakterprofiel dat inzicht zou geven in iemands persoonlijkheid. Ghita Ramdhiansing van Clearwater Skyfields zegt in een artikel van de Volkskrant dat verschillende onderzoeken hebben aangetoond dat dergelijke micro-expressies belangrijke graadmeters kunnen zijn voor iemands communicatiestijl. Wanneer je bedenkt hoe je een vraag gaat beantwoorden, gebeurt er van alles en de spieren in je gezicht kun je niet sturen, waardoor daaruit het nodige valt af te leiden.
Het Nederlandse bedrijf Clearwater Skyfields heeft een test ontworpen om iemands karakter in kaart te brengen op basis van gezichtsherkenning. Deze zogeheten persoonlijkheidsanalyse, kondigt wellicht een nieuwe methode van solliciteren aan, waarbij wat je zegt minder belangrijk is dan hoe je het zegt.
Hoe werkt het?
De kandidaat krijgt vragen via een laptop of mobiele telefoon. Terwijl de vragen worden beantwoord, worden de micro-expressies van het gezicht geanalyseerd. Daaruit volgt een karakterprofiel dat inzicht zou geven in iemands persoonlijkheid. Ghita Ramdhiansing van Clearwater Skyfields zegt in een artikel van de Volkskrant dat verschillende onderzoeken hebben aangetoond dat dergelijke micro-expressies belangrijke graadmeters kunnen zijn voor iemands communicatiestijl. Wanneer je bedenkt hoe je een vraag gaat beantwoorden, gebeurt er van alles en de spieren in je gezicht kun je niet sturen, waardoor daaruit het nodige valt af te leiden.
Maar zeker ook in de andere uitgeschreven voorbeelden van @anoniem 13:27 lijkt mij niet, dat hier binnen de door de wetgever bedoelde grenzen wordt gehandeld.
Op een camping was ik laatst waar ik alleen gebruik kon maken van het zwembad als ik mijn vingerafdruk af zou geven. Zonder vingerafdruk geen toegang tot het zwembad, dat is in mijn ogen buitenproportioneel en de toegang kan ook op een andere manier worden geregeld. De receptie kwam met een verhaal dat alleen een hash werd opgeslagen en niet de hele vingerafdruk, maar dat kan ik weer niet controleren. Toen ik vroeg wat de reden van deze maatregel was werd mij verteld dat het bespaart op pasjes en personeel. Ook was het heel milieuvriendelijk...
Op een andere camping was ik verplicht om altijd een pas bij me te dragen met daarop persoonsgegevens incl. pasfoto. Ik werd verplicht om zelf een pasfoto te uploaden voor aankomst of er werd bij de receptie even snel een foto gemaakt. Ook dit is een bijzonder persoonsgegeven en mag volgens mij niet worden verzameld. Tot grote ergernis was de beveiliging van de systemen op het Internet ook nog eens slecht geregeld.
Dan de museumjaarkaart waar ook een pasfoto op moet staan voor een soepele en snelle identificatie. In de algemene voorwaarden staat dat ook kan worden gevraagd naar een ID. Ook hier wordt naar mijn mening een bijzonder persoonsgegeven verwerkt met een ongeldige reden. Als ik vragen ga stellen dan is de verwerking aangemeld bij het AP, dus alles is verder in orde. Ik denk dat het een ordinaire bezuinigingsmaatregel is om te besparen op personeel. Volgend jaar ook maar een vingerafdruk?
Ik twijfel al een tijdje of ik dit aan het AP moet melden. Wat is jullie mening?
Op een andere camping was ik verplicht om altijd een pas bij me te dragen met daarop persoonsgegevens incl. pasfoto. Ik werd verplicht om zelf een pasfoto te uploaden voor aankomst of er werd bij de receptie even snel een foto gemaakt. Ook dit is een bijzonder persoonsgegeven en mag volgens mij niet worden verzameld. Tot grote ergernis was de beveiliging van de systemen op het Internet ook nog eens slecht geregeld.
Dan de museumjaarkaart waar ook een pasfoto op moet staan voor een soepele en snelle identificatie. In de algemene voorwaarden staat dat ook kan worden gevraagd naar een ID. Ook hier wordt naar mijn mening een bijzonder persoonsgegeven verwerkt met een ongeldige reden. Als ik vragen ga stellen dan is de verwerking aangemeld bij het AP, dus alles is verder in orde. Ik denk dat het een ordinaire bezuinigingsmaatregel is om te besparen op personeel. Volgend jaar ook maar een vingerafdruk?
Ik twijfel al een tijdje of ik dit aan het AP moet melden. Wat is jullie mening?
31-05-2017, 19:10 door
Pemie
Op een camping was ik laatst waar ik alleen gebruik kon maken van het zwembad als ik mijn vingerafdruk af zou geven. Zonder vingerafdruk geen toegang tot het zwembad, dat is in mijn ogen buitenproportioneel en de toegang kan ook op een andere manier worden geregeld. De receptie kwam met een verhaal dat alleen een hash werd opgeslagen en niet de hele vingerafdruk, maar dat kan ik weer niet controleren. Toen ik vroeg wat de reden van deze maatregel was werd mij verteld dat het bespaart op pasjes en personeel. Ook was het heel milieuvriendelijk...
Op een andere camping was ik verplicht om altijd een pas bij me te dragen met daarop persoonsgegevens incl. pasfoto. Ik werd verplicht om zelf een pasfoto te uploaden voor aankomst of er werd bij de receptie even snel een foto gemaakt. Ook dit is een bijzonder persoonsgegeven en mag volgens mij niet worden verzameld. Tot grote ergernis was de beveiliging van de systemen op het Internet ook nog eens slecht geregeld.
Dan de museumjaarkaart waar ook een pasfoto op moet staan voor een soepele en snelle identificatie. In de algemene voorwaarden staat dat ook kan worden gevraagd naar een ID. Ook hier wordt naar mijn mening een bijzonder persoonsgegeven verwerkt met een ongeldige reden. Als ik vragen ga stellen dan is de verwerking aangemeld bij het AP, dus alles is verder in orde. Ik denk dat het een ordinaire bezuinigingsmaatregel is om te besparen op personeel. Volgend jaar ook maar een vingerafdruk?
Ik twijfel al een tijdje of ik dit aan het AP moet melden. Wat is jullie mening?
Op een andere camping was ik verplicht om altijd een pas bij me te dragen met daarop persoonsgegevens incl. pasfoto. Ik werd verplicht om zelf een pasfoto te uploaden voor aankomst of er werd bij de receptie even snel een foto gemaakt. Ook dit is een bijzonder persoonsgegeven en mag volgens mij niet worden verzameld. Tot grote ergernis was de beveiliging van de systemen op het Internet ook nog eens slecht geregeld.
Dan de museumjaarkaart waar ook een pasfoto op moet staan voor een soepele en snelle identificatie. In de algemene voorwaarden staat dat ook kan worden gevraagd naar een ID. Ook hier wordt naar mijn mening een bijzonder persoonsgegeven verwerkt met een ongeldige reden. Als ik vragen ga stellen dan is de verwerking aangemeld bij het AP, dus alles is verder in orde. Ik denk dat het een ordinaire bezuinigingsmaatregel is om te besparen op personeel. Volgend jaar ook maar een vingerafdruk?
Ik twijfel al een tijdje of ik dit aan het AP moet melden. Wat is jullie mening?
31-05-2017, 20:24 door
karma4
http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL
Staat vol met eisen dat de verwerker de juiste identiteit persoon koppeling moet zien vast te stellen.
Nergens staat hoe dat dan zou moeten.
Een user/password is identificeren naar een persoon. Gaan we doorzagen persoonsgegevens dan mag dat dan niet.
Het bestaan van een paspoort rijbewijs diploma zijn persoonsgegevens, dat mag dan ook niet meer.
Het enige wat nog mogelijk is, is dat iedereen zonder verder contact eenzaam laten leven. Dan is ding zeker met ca 100 jaar is elke privacyvraag vanzelf irrelevant.
Draai hem nu eens om en los eerst de vraag juiste identiteit / persoon koppeling op.
Daarmee bescherm je die personen tegen fraude en identiteitsdiefstal. Kun ook naar de camping (eigen keus) een museum of wat dan ook. Biometrie als middel is in de ultieme versie de enige identificatie authentictatie die verwisseling misbruik kan uitsluiten.
Grootste issue AP geeft alleen twijfel over zaken welke wel goed geregeld zouden moeten zijn.
Staat vol met eisen dat de verwerker de juiste identiteit persoon koppeling moet zien vast te stellen.
Nergens staat hoe dat dan zou moeten.
Een user/password is identificeren naar een persoon. Gaan we doorzagen persoonsgegevens dan mag dat dan niet.
Het bestaan van een paspoort rijbewijs diploma zijn persoonsgegevens, dat mag dan ook niet meer.
Het enige wat nog mogelijk is, is dat iedereen zonder verder contact eenzaam laten leven. Dan is ding zeker met ca 100 jaar is elke privacyvraag vanzelf irrelevant.
Draai hem nu eens om en los eerst de vraag juiste identiteit / persoon koppeling op.
Daarmee bescherm je die personen tegen fraude en identiteitsdiefstal. Kun ook naar de camping (eigen keus) een museum of wat dan ook. Biometrie als middel is in de ultieme versie de enige identificatie authentictatie die verwisseling misbruik kan uitsluiten.
Grootste issue AP geeft alleen twijfel over zaken welke wel goed geregeld zouden moeten zijn.
Al die bedrijven, campings, musea e.d. die doen maar wat met dat privacy. Ze weten de regels niet en bovenal, het interesseert ze niks. Controle is een doel geworden en niet meer een middel. Geld besparing is de grondslag. Je kunt gelijk Don Quichot een oorlog starten tegen deze Kafkaëske instellingen maar dat ga je niet winnen. Tegen dommigheid is geen kruid opgewassen. Het helpt wel als je de regelgeving kent en dan daarmee je gelijk haalt bij de betreffende instanties. Of je vrienden maakt is een ander verhaal en of je er nog inkomt is ook nog dubieus...
Technisch gezien mag een camping of museum jouw gegevens niet opslaan en moeten ze, bij vertrek, direct je gegevens verwijderen en jou daarvan bewijs leveren. En, zoals al eerder gezegd, je helpt elk systeem om zeep door precies de regels te volgen.
Het wordt dan wel heel druk bij alle campings en musea en alle kostbesparingen die ze willen doorvoeren zijn ineens omgekeerd evenredig gestegen. Even los van de boetes die de AP op jouw verzoek kan gaan opleggen. Hoeveel campings kunnen een boete van 10 milj. betalen denk je? ;) <einde>
Technisch gezien mag een camping of museum jouw gegevens niet opslaan en moeten ze, bij vertrek, direct je gegevens verwijderen en jou daarvan bewijs leveren. En, zoals al eerder gezegd, je helpt elk systeem om zeep door precies de regels te volgen.
Het wordt dan wel heel druk bij alle campings en musea en alle kostbesparingen die ze willen doorvoeren zijn ineens omgekeerd evenredig gestegen. Even los van de boetes die de AP op jouw verzoek kan gaan opleggen. Hoeveel campings kunnen een boete van 10 milj. betalen denk je? ;) <einde>
01-06-2017, 13:38 door
karma4
Door Anoniem: Al die bedrijven, campings, musea e.d. die doen maar wat met dat privacy. Ze weten de regels niet en bovenal, het interesseert ze niks. Controle is een doel geworden en niet meer een middel. .....
Je kunt het ook andersom stellen.De overdreven reacties dat alles privacy schendend is toont aan dat de regels daarvoor niet gekend worden.
Verplichte controle en handhaving wordt tegelijkertijd en onmogelijk gemaakt en verplicht gesteld.
Zoiets is niet werkbaar en zal alleen maar nog meer rare toestanden geven.
Door karma4: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL
Staat vol met eisen dat de verwerker de juiste identiteit persoon koppeling moet zien vast te stellen.
Nergens staat hoe dat dan zou moeten.
Een user/password is identificeren naar een persoon. Gaan we doorzagen persoonsgegevens dan mag dat dan niet.
Het bestaan van een paspoort rijbewijs diploma zijn persoonsgegevens, dat mag dan ook niet meer.
Het enige wat nog mogelijk is, is dat iedereen zonder verder contact eenzaam laten leven. Dan is ding zeker met ca 100 jaar is elke privacyvraag vanzelf irrelevant.
Draai hem nu eens om en los eerst de vraag juiste identiteit / persoon koppeling op.
Daarmee bescherm je die personen tegen fraude en identiteitsdiefstal. Kun ook naar de camping (eigen keus) een museum of wat dan ook. Biometrie als middel is in de ultieme versie de enige identificatie authentictatie die verwisseling misbruik kan uitsluiten.
Grootste issue AP geeft alleen twijfel over zaken welke wel goed geregeld zouden moeten zijn.
Staat vol met eisen dat de verwerker de juiste identiteit persoon koppeling moet zien vast te stellen.
Nergens staat hoe dat dan zou moeten.
Een user/password is identificeren naar een persoon. Gaan we doorzagen persoonsgegevens dan mag dat dan niet.
Het bestaan van een paspoort rijbewijs diploma zijn persoonsgegevens, dat mag dan ook niet meer.
Het enige wat nog mogelijk is, is dat iedereen zonder verder contact eenzaam laten leven. Dan is ding zeker met ca 100 jaar is elke privacyvraag vanzelf irrelevant.
Draai hem nu eens om en los eerst de vraag juiste identiteit / persoon koppeling op.
Daarmee bescherm je die personen tegen fraude en identiteitsdiefstal. Kun ook naar de camping (eigen keus) een museum of wat dan ook. Biometrie als middel is in de ultieme versie de enige identificatie authentictatie die verwisseling misbruik kan uitsluiten.
Grootste issue AP geeft alleen twijfel over zaken welke wel goed geregeld zouden moeten zijn.
Gevaarlijke opmerking. Er zijn gevallen bekend, waarbij het mogelijk is gebleken, om de vingerafdruk van een persoon na te maken op een manier die door de scanners wordt geaccepteerd. Er is bewezen, dat met foto's de gezichtsherkenning kan worden misleid. Er is een geslaagde poging om iris-herkenning voor de gek te houden. Dus waarom is biometrie dan de oplossing?
Het is makkelijk, want je kunt hem niet vergeten. Maar een vingerafdruk kan beschadigd raken en zelfs verloren gaan (maar niet zonder dat je het merkt natuurlijk), dus ook dat argument is beperkt. Waarom is een pasje voor een zwembad niet goed genoeg? Milieuvriendelijk kan het zijn, door het hergebruiken van het pasje. effectief kan het zijn, doordat een pasje alleen toegang verleent, wanneer het na het inchecken ook weer is uitgecheckt. Aangezien in een zwembad iedereen spullen bij zich zal hebben, kan het pasje ook worden opgeborgen en wie het kwijtraakt zal het melden, want anders kan hij/zij er niet in/uit.
Foto op een toegangspas kan, maar dan bij aankomst aanbrengen, rechtstreeks (zonder kopie) op het pasje. Opslaan is niet nodig, want je kunt voor de controle altijd het pasje vragen en met eigen ogen vergelijken.
Opbouw en vorming van het deel van de hersenen dat actief is bij Redenatie-processen (uw Logica, filosofie en manier van spreken, dit deel bevindt zich (bij de meeste mensen) in de 'voorkwab/frontal lobe' van de hersenen.
Zou u alstublieft in het kader van biometrische/IRIS identificatie willen opzoeken
en bij elkaar in een artikel presenteren:
Het DNA dat gebruik voor opbouw, structurering van de voorkwab van de hersenen, dit deel is
OOK ACTIEF bij de opbouw, vorming en structurering van de.... IRIS (!).
Aan uw Iris kunt u dus het denken van de spreker herkennen. Voor identificatie van persoonsgerelateerde eigenschappen op basis van IRIS structuur zijn een aantal systematieken voor in opbouw, nog niet af. Er zal een Big Data toepassing nodig zijn om dit in detail te kunnen weergeven. Dit zal niet heel lang meer op zich laten wachten. De aanleg van uw manier van denken en wereldbeschouwing, zie hiervoor uw Iris.
Tenslotte: Wat als binnenkort voor u geen versleutelingsmethoden meer mogelijk zijn, omdat u uw eigen biometrie en zichtbaarheid van uw lichaam niet kan veranderen? Wat doet u dan?
Zie: https://privacyinternational.org/node/1454
Zou u alstublieft in het kader van biometrische/IRIS identificatie willen opzoeken
en bij elkaar in een artikel presenteren:
Het DNA dat gebruik voor opbouw, structurering van de voorkwab van de hersenen, dit deel is
OOK ACTIEF bij de opbouw, vorming en structurering van de.... IRIS (!).
Aan uw Iris kunt u dus het denken van de spreker herkennen. Voor identificatie van persoonsgerelateerde eigenschappen op basis van IRIS structuur zijn een aantal systematieken voor in opbouw, nog niet af. Er zal een Big Data toepassing nodig zijn om dit in detail te kunnen weergeven. Dit zal niet heel lang meer op zich laten wachten. De aanleg van uw manier van denken en wereldbeschouwing, zie hiervoor uw Iris.
Tenslotte: Wat als binnenkort voor u geen versleutelingsmethoden meer mogelijk zijn, omdat u uw eigen biometrie en zichtbaarheid van uw lichaam niet kan veranderen? Wat doet u dan?
Zie: https://privacyinternational.org/node/1454
Door Anoniem: .....
Tenslotte: Wat als binnenkort voor u geen versleutelingsmethoden meer mogelijk zijn, omdat u uw eigen biometrie en zichtbaarheid van uw lichaam niet kan veranderen? Wat doet u dan?
Er is de eis om vast te stellen of de persoon voor je en de bewering van zijn identiteit correct is.Tenslotte: Wat als binnenkort voor u geen versleutelingsmethoden meer mogelijk zijn, omdat u uw eigen biometrie en zichtbaarheid van uw lichaam niet kan veranderen? Wat doet u dan?
We nemen aan dat:
- als hij iets geheims (paasword) verteld het wel goed zou zijn.
Geheimen blijven niet zo maar geheim
- als hij met iets fysiek aankomt dat bij hem hoort het wel goed zou zijn
Fysieke zaken kunnen afgenomen worden
- als het bewijs geleverd kan worden met wat hij is...
In het ultieme van een goede technische realistische is daar niet om heen te werken. Ik zie alleen maar de mitsen van falende realisaties door nagemaakte afdrukken die alsnog toegang geven. Het lichaam verander niet, prima dan valt dat niet te falsificeren dat is nu net de bedoeling.
Net zo krom. Is de bewering dat als de bsn gelekt wordt dat zoiets tot Id fraude leidt. De faal zit in de controle naar de persoon die er mee aankomt als dat al gecontroleerd wordt.
Foto op een toegangspas kan, maar dan bij aankomst aanbrengen, rechtstreeks (zonder kopie) op het pasje. Opslaan is niet nodig, want je kunt voor de controle altijd het pasje vragen en met eigen ogen vergelijken.
Lijkt me een prima voorstel. Nu zal het te duur zijn om voor elke eenmalige bezoek zo'n pas te maken, dat worden dan voor jaar/week huurovereenkomsten.
Vallen er tegenwerpingen te maken? ja een reeks:
- Dat fotoapparaat / printer wordt natuurlijk een computer. Niemand weet hoe het werkt dus wordt er meteen geschreeuwd dat omdat het onbekend is vast en zeker fout zal zijn. (id scanners kassa leeftijd).
- Er zal vast en zeker een opslagmedium met USB in komen. Die houdt dan de laatste x opnames voor de laatste y dagen vast om b.v. mislukte prints over te doen. Krijg je meteen een onderzoeker die zoiets vaststeld en de datalek meldingen bij diefstal van het apparaat.
Nu moet je ook iets met de poortjes in/uit daar een andere camera met gezichtsherkenning een teller (voor het aantal aanwezige personen - at is verplicht) en je hebt de volgende escalatie over een privacyinbreuk. er wordt bijgehouden wie er allemaal aanwezig zijn.
Een passagierslijst bij vliegtuigen en schepen zijn ook persoonsgegevens en zijn verplicht en ook privacyinbreuken.
En hoe zit dat dan met de (verplichte) vingerafdrukken voor een paspoort? Ik wil dat niet, maar dan krijg ik geen paspoort. Er zit een lulverhaal bij dat de NLse overheid er niets mee doet, maar dat het moet vanwege internationale afspraken.
Iets vergelijkbaars voor mijn pasfoto: ze hebben digitale bestanden (scan van een foto), maar zeggen dat ze die niet hebben. Bij een volgend paspoort wou ik een digitaal bestand aanleveren, maar dat mocht niet, "want daar kan mee worden gesjoemeld". Ik kan er nog steeds van alles mee doen, maar moest het bestand eerst afdrukken en die afdruk scannen zij dan weer. Behalve dat dit omslachtig is, slaat het ook nergens op in termen van beveiliging. Ik kan die foto prima bijwerken, zodat ik wat meer op mijn broer lijk, wat jonger of ouder, et cetera. Het kwam allemaal erg dom en ad hoc over.
En dan ook nog je BSN op dezelfde pagina plaatsen, zodat ieder hotel dat nu ook heeft, met je handtekening erbij.
Iets vergelijkbaars voor mijn pasfoto: ze hebben digitale bestanden (scan van een foto), maar zeggen dat ze die niet hebben. Bij een volgend paspoort wou ik een digitaal bestand aanleveren, maar dat mocht niet, "want daar kan mee worden gesjoemeld". Ik kan er nog steeds van alles mee doen, maar moest het bestand eerst afdrukken en die afdruk scannen zij dan weer. Behalve dat dit omslachtig is, slaat het ook nergens op in termen van beveiliging. Ik kan die foto prima bijwerken, zodat ik wat meer op mijn broer lijk, wat jonger of ouder, et cetera. Het kwam allemaal erg dom en ad hoc over.
En dan ook nog je BSN op dezelfde pagina plaatsen, zodat ieder hotel dat nu ook heeft, met je handtekening erbij.
Door Anoniem: .... Zonder vingerafdruk geen toegang tot het zwembad, dat is in mijn ogen buitenproportioneel en de toegang kan ook op een andere manier worden geregeld. .....
Ik twijfel al een tijdje of ik dit aan het AP moet melden. Wat is jullie mening?
Ik twijfel al een tijdje of ik dit aan het AP moet melden. Wat is jullie mening?
Helaas geen antwoord, maar een gelijksoortig probleem. Een paar jaar terug wilde ik op een landelijke "kijkdag" enkele elektrische fietsen proberen en vergelijken. Er werd vooraf gezegd dat ik geen toegang had als ik niet tevoren een kopie ID met alle gegevens incl. BSN verstrekte. Volgens mij is dit eveneens extreem buitenproportioneel. Je kunt ook toegangskaartjes à la bioscoop (laten) maken, toch? Ik heb geprotesteerd, en ben tot op heden dus nooit naar een kijkdag elektrische fietsen geweest, en doe dat ook niet onder zulke belachelijke voorwaarden. Inderdaad, moet je dit aan AP melden, en heeft dat zin?
Door Anoniem: En hoe zit dat dan met de (verplichte) vingerafdrukken voor een paspoort? Ik wil dat niet, maar dan krijg ik geen paspoort. Er zit een lulverhaal bij dat de NLse overheid er niets mee doet, maar dat het moet vanwege internationale afspraken.
Nouja, ons paspoort wordt uitgegeven onder Europese regelgeving en onze documentAmbtenaartjes volgen De Regeltjes maar wat graag zo braaf mogelijk. Tot op het punt dat er vingerafdrukken vereist werden voor identiteitskaarten. Overigens viel me echt op dat de overheid uiterst schaamtevol met de protesten daartegen omging, echt alle drie de machten tegelijk, lijnrecht tegenover die vervelende burger.Maargoed, het interessante punt hier is dit: De eurocraten hebben regels aangenomen dat paspoorten voorzien moeten zijn van draadloze chips met vingerafdrukken, met als directe aanleiding de VS die na 9/11 een ICAO-voorstel van stal haalden en flinke druk uitoefenden dat iedereen mee ging doen. In het bijzonder iedereen die met het "visa waiver program" mee wilden blijven doen. (Er is nog meer interessants aan dat "visa waiver program", bijvoorbeeld dat het gratis was maar nu niet meer, maar we houden het even hierbij.) Dus zonder draadloze chip in je paspoort moet je een visum aanvragen wil je de VS in mogen.
Waarom dan vingerafdrukken in identiteitskaarten? Nou, omdat identiteitskaarten "gelijkgesteld" zijn met paspoorten, zij het beperkt in geldigheid tot ruwweg Europa, en dus NIET geldig voor de VS. Die "gelijkstelling" moest kapot voor de vingerafdrukken eruit konden. De draadloze chip zit er overigens nog steeds in.
Dat de nederlandse overheid ondertussen ook hier soevereiniteit uit handen gegeven heeft moge duidelijk zijn. Vergelijk Zwitserland, waar je kan kiezen voor een paspoort of een identiteitskaart zonder chip en vingerafdrukken. Eigenlijk het enige probleem is precies naar de VS afreizen, maar ook dat is op te lossen met een visum (waar je dan iets van tachtig dollar voor moet betalen... en toch weer je vingerafdrukken afgeven), of gewoon niet naar de VS gaan. Zolang de TSA bestaat is dat voor mij een duidelijke keuze.
Maar er zijn nog wel landen waar er geen enkele chip in het paspoort zit, en dus ook geen vingerafdrukken. Dat zijn dan ook de landen (of overzeese gebiedsdelen ofzo) die niet mee mogen doen met dat "visa waiver program". Die draadloze chips en de vingerafdrukken zijn dus vrij direct een gevolg van onze overheid die voor de eurocraten bukt die weer voor de VS bukken.
En waar het dus maar wat raar is als je besluit nooit naar de VS te willen wegens bijvoorbeeld de TSA. Dat begrijpen ze niet. "Niet naar de VS willen? Nou dat is maar wat verdacht, burger."
Iets vergelijkbaars voor mijn pasfoto: ze hebben digitale bestanden (scan van een foto), maar zeggen dat ze die niet hebben. Bij een volgend paspoort wou ik een digitaal bestand aanleveren, maar dat mocht niet, "want daar kan mee worden gesjoemeld".
Het mooie is dat ik al jaren terug hoorde van een pasfotomaker dat de regels voor pasfotos zo strikt zijn dat sommige mensen er gewoon niet inpassen. Dus wat doe je dan? Dan pak je photoshop. Die plaatjes komen uit een digitale camera, worden digitaal aangepast aan de regels, en dan pas uitgeprint. Niet zo van "het kan", nee, zo van "het is regelmatig nodig".Of het verhaal dat een zestigplusser een nieuwe kaart moest hebben, nieuwe pasfotoos liet maken, en die werden afgekeurd. Dan maar een vorige pasfoto aangeleverd (van vijf of tien jaar oud), en die werd wel geaccepteerd. Volstrekt willekeurig, maar "regeltjes".
Het kwam allemaal erg dom en ad hoc over.
Dat is wel de essentie van het krampachtig de schijn van beveiliging willen ophouden maar geen flauw benul hebben van werkelijke beveiliging.En dan ook nog je BSN op dezelfde pagina plaatsen, zodat ieder hotel dat nu ook heeft, met je handtekening erbij.
Briljant, ja.'je' mag biometrische identificatie inzetten mits 'je' maar een duidelijk belang daarvoor hebt én eigenlijk geen andere optie hebt ter identificatie dan biometrie.
Wordt onder 'je' ook verstaan de in Nederland actief opererende inlichtingen- en opsporingsdiensten?
Wordt onder 'je' ook verstaan de in Nederland actief opererende inlichtingen- en opsporingsdiensten?
Veel mensen met een mening, vraag me af hoeveel mensen hier een rechten opleiding hebben gevolgd..
Ga eens wat doen met het GDPR project samen met je legal afdeling, leer je vanzelf wat wel en niet mogelijk is.
Ga eens wat doen met het GDPR project samen met je legal afdeling, leer je vanzelf wat wel en niet mogelijk is.
05-06-2017, 13:54 door
karma4
Door Anoniem: Veel mensen met een mening, vraag me af hoeveel mensen hier een rechten opleiding hebben gevolgd..
Ga eens wat doen met het GDPR project samen met je legal afdeling, leer je vanzelf wat wel en niet mogelijk is.
Gdpr is een nieuwe naam verscheiden projecten op dat aan meegedaan met voorlopers. Bedenk bs7799 dd voorloper van iso27k is al vrij oud. Met Sox Basel solvency komt er ook heel wat door. Het is niets nieuws, dat is het meest trieste.Ga eens wat doen met het GDPR project samen met je legal afdeling, leer je vanzelf wat wel en niet mogelijk is.
Door karma4:
Door Anoniem: Veel mensen met een mening, vraag me af hoeveel mensen hier een rechten opleiding hebben gevolgd..
Ga eens wat doen met het GDPR project samen met je legal afdeling, leer je vanzelf wat wel en niet mogelijk is.
Gdpr is een nieuwe naam verscheiden projecten op dat aan meegedaan met voorlopers. Bedenk bs7799 dd voorloper van iso27k is al vrij oud. Met Sox Basel solvency komt er ook heel wat door. Het is niets nieuws, dat is het meest trieste.Ga eens wat doen met het GDPR project samen met je legal afdeling, leer je vanzelf wat wel en niet mogelijk is.
Zo, jij gooit een aantal totaal verschillende dingen op een hoop...
BS7799/ISO27K - vrije marktnormen; kun je volgen of niet
SOX - Sarbanes Oxley - regelgeving voor ondernemingen aan de Amerikaanse beurs genoteerd - gericht op disclosure, interne controle en financiele rapportage
Basel - regelgeving voor banken, gericht op kapitaalvereisten
Solvency - regelgeving voor verzekeraars, gericht op kapitaalvereisten.
Het feit dat jij ze op een hoop gooit, bevestigt de reactie waarop jij reageert: dat er hier veel mensen zijn die maar wat roepen, zonder echte kennis van de achtergronden van de regelgeving. Neem het advies dus maar ter harte: duik er eens echt in, bijvoorbeeld samen met je juridische/legal afdeling.
Ik ben voorlopig beniewd naar wat de mogelijkheden (of onmogelijkheden) zijn op het gebied van het opslaan van pasfoto's.
Onze onderneming is van plan om een inlog systeem aan te schaffen (http://www.zapinapp.com/) en laat daar nou de gegevens worden opgeslagen in:
a) de VS
b) er geen retention datum zijn (formeel is er ook geen retention datum op gegevens behalve dat een onderneming moet vaststellen dat er wel een datum moet zijn en dit moet vastleggen)
c) de IPAD van de receptie een foto maakt, en deze foto dus ook laat opslaan.
Nou is het een canadees bedrijf (zoals ik begrijp) maar ook dat wordt niet automatisch aangemerkt als een veilig land voor persoonsgegevens
Onze onderneming is van plan om een inlog systeem aan te schaffen (http://www.zapinapp.com/) en laat daar nou de gegevens worden opgeslagen in:
a) de VS
b) er geen retention datum zijn (formeel is er ook geen retention datum op gegevens behalve dat een onderneming moet vaststellen dat er wel een datum moet zijn en dit moet vastleggen)
c) de IPAD van de receptie een foto maakt, en deze foto dus ook laat opslaan.
Nou is het een canadees bedrijf (zoals ik begrijp) maar ook dat wordt niet automatisch aangemerkt als een veilig land voor persoonsgegevens
Door Anoniem:
Het feit dat jij ze op een hoop gooit, bevestigt de reactie waarop jij reageert: dat er hier veel mensen zijn die maar wat roepen, zonder echte kennis van de achtergronden van de regelgeving. Neem het advies dus maar ter harte: duik er eens echt in, bijvoorbeeld samen met je juridische/legal afdeling.
Als je de sox kent dan weet je dat er een 404 paragraaf is. Deze stelt eisen aan een adequate ict inrichting waarmee de cijfers onderbouwd moeten kunnen worden. Tevens dat je dat voor een aantal jaren (retention policy) moet kunnen doen. Het feit dat jij ze op een hoop gooit, bevestigt de reactie waarop jij reageert: dat er hier veel mensen zijn die maar wat roepen, zonder echte kennis van de achtergronden van de regelgeving. Neem het advies dus maar ter harte: duik er eens echt in, bijvoorbeeld samen met je juridische/legal afdeling.
Dat zelfde verhaal komt met solvency terug.
In de grotere organisaties was Sox als ict richtlijn heel hot omdat die ook echt gecontroleerd onderbouwd moest worden. Er is ook heel veel misbruik van gemaakt met stokpaardjes die bereden werden, het argument "want het moet van sox".
Het geeft tevens aan wat de normale aandacht voor de gangbare ict inrichting en security was, namelijk nihil.
Ja het lijkt oppervlakkig om andere onderwerpen te gaan. De voorwaarde voor een gedegen ict inrichting met functiescheiding en allerlei afscherming en met controles is wel degelijk een gedeeld iets. "Dat moet je met legal afstemmen," klopt daar komt het ook vandaan.
https://en.m.wikipedia.org/wiki/SOX_404_top%E2%80%93down_risk_assessment
http://www.sarbanes-oxley-forum.com/modules.php?name=Forums&file=viewtopic&t=1584
Sorry dat ik dat weet. Ik heb het van dicht bij mogen meemaken met allerlei discussies spanningen en ego's. Inderdaad bij vele afdelingen met betrokkenheid ben ik wezen buurten. Het gaat om gevoelige data die door aparte specialisten met tools bewerkt worden. Dat is mijn wereld.
Voor de iso27k, dat is inderdaad een openbare norm. Je zag de eis met de sox paragraaf al terugkomen. Sox is niet vrijblijvend net zo min als Basel en solvency.
De nen7510 heeft als basis iso27k en is niet vrijblijvend. Dat de controle en handhaving in de praktijk ontbreekt is wat anders. De dnb was ooit volledig overheid nu semi. Het heeft de gedelegeerde taak om de financials te controleren. Zoek eens op cobit iso27001 bij de dnb en je vind het als aanwijzing terug. Dat de controle en handhaving zo'n beetje neerkomt op een eigen verklaring dat het allemaal fantastisch is ingevuld is wat anders.
Jouw opmerking dat het maar een vrijblijvend iets is, mist de echte achtergronden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.