Je kunt die toegangscontrole ook toepassen met rfid-pasjes. Die kan je verliezen, dat is waar. Zodra je dat weet, kan je die specifieke pas blokkeren en de werknemer een nieuwe pas verstrekken. Aan verlies kan je ook een boete koppelen, waardoor werknemers voorzichtiger met die pas om zullen gaan.
Wordt je vingerafdruk gekopieerd, -en dat is mogelijk, er staan vele manieren beschreven op Internet- dan heb je een veel moeilijkere bewijslast en ben je pas goed de sigaar. Dan heb je nog maar 9 vingers over, om te gebruiken als identificatie. Of de rest van je leven met handschoenen aan lopen.
Ik -persoonlijk- zou het in ieder geval niet doen, al zou het mij mijn baan kosten.

Nee, je kunt ook weigeren, en een andere baan zoeken. Als je bij een bedrijf wil werken, maar niet akkoord bent met het access control systeem op het gebouw, meen je dan dat alles voor jou aangepast dient te worden ? Niemand forceert jou om daar te werken.


Met de hash kan men iig erg weinig, buiten hetgeen waar het voor bedoeld is (toegangscontrole). Je kan aan de hand van de hash niet uitrekenen wat iemands vinger afdruk is. Wat dat betreft is het weinig privacy gevoelig.

Het moeilijke aan biometrische authenticatie is dat als deze gegevens op wat voor een manier dan ook uitlekken, ze niet zo makkelijk aan te passen zijn. Er zijn natuurlijk veel makkelijkere systemen als apps op een telefoon of andere MFA systemen voor toegang dus dat maakt de rechtvaardiging wel wat zwakker.

Waarbij je je wel moet afvragen of je het hebt over fingerscan, of fingerprint apparatuur. Immers slaat het ene apparaat je gehele vinger afdruk op, en het andere alleen een hash, waarbij je niet kunt uitrekenen hoe de vingerafdruk eruit ziet. Bij deze categorie is het privacy probleem heel wat kleiner.

En hoe zit het dan met alle onderzoeken die de tekortkomingen van biometrische identificatie aantonen [1] [2]? Deze wegen in mijn ogen minstens even zwaar als tegenargument waardoor je op de vraag Is er werkelijk geen andere, net zo effectieve oplossing alleen maar kan antwoorden dat het werken met tags (/druppels) net zo effectief is als oplossing. Hierdoor is het verwerken van deze bijzondere persoonsgegevens in mijn ogen niet toegestaan.

1: https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
2: http://www.instructables.com/id/How-To-Fool-a-Fingerprint-Security-System-As-Easy-/

OoK de hash is een zeer persoonlijk gegeven wat NIET veranderd kan worden en daarmee bijzonder disproportioneel is. Een dergelijk systeem slaat namelijk niet 1 maar meerdere hashes op die op basis van hoeken en afstanden tussen herkenningspunten worden samen gesteld op basis vingerafdruk. De koppeling aan biometrische kenmerken is dermate inbreuk op de privacy van een medewerker, die als je technisch enigszins weet waar je het over hebt, absoluut disproportioneel is. Omdat namelijk dergelijke systemen wel degelijk uit te lezen zijn en daarmee de biometrische gegevens op straat liggen. Zowel de centrale als de decentrale database versies van dergelijke systemen zijn vaak bijzonder kwetsbaar! De biometrische gegevens zin vergelijkbaar met medische gegevens en daarmee wordt meteen duidelijk dat een werkgever echt hele goede redenen moet hebben om deze te gebruiken. En een deur open maken valt daar niet onder!

Dus tenzij de werkgever een verzekering afsluit om de gevolgen daarvan levenslang voor de betrokken personen te verzekeren lijkt me dit geen handige actie. Want de hashes die eenmaal gestolen zijn kunnen op allerlei wijzes misbruikt worden in allerlei andere systemen omdat die nou eenmaal vaak met dezelfde hasjtechnieken werken. De meeste biometrische systemen gebruiken namelijk geen seeds omdat dit de herkenning van een gebruiker bemoeilijkt. Terwijl dit toch wel de minimum eis zou moeten zijn aan een dergelijk systeem om te voorkomen dat een gebruiker zijn hashes (die hem/haar identificeren!) op straat komen te liggen.

Voor zover een correctie op de legal scene en de jurisprudentie veroorzaakt door mensen die niet inhoudelijk echt begrijpen wat de werkelijke risico's zijn!

Het is geen hash, want een hash klopt of klopt niet. Een klein stofje of wondje, of een vinger in een iets andere positie op de sensor, levert al een ander patroon op. Er wordt dus een patroon, d.w.z. een aantal getallen (niet hashes), opgeslagen waarvan al die getallen (of een percentage daarvan) binnen bepaalde marges moet kloppen voor een true positive (match).

Als zo'n patroon in handen van een aanvaller valt, bijvoorbeeld doordat een aanvaller dit weet af te tappen tussen de (buiten het pand gemonteerde?) vingerafdrukscanner en het toegangscontrolesysteem, en die aanvaller kans ziet om dat patroon later opnieuw aan te bieden tussen een vingerafdruklezer van hetzelfde merk en type (en wellicht meerdere types) en het achterliggende toegangscontrolesysteem (of een systeem met een ander doel), ga jij dan maar eens uitleggen dat jij niet jouw vinger op die scanner hebt gelegd op dat moment.

Naast dat het om privacygevoelige informatie gaat (die je niet kunt wijzigen zoals een pincode of wachtwoord, of vervangen zoals een RFID pas/druppel of fysieke sleutels plus slot), is het ook nog eens een systeem dat vaak redelijk makkelijk te foppen valt met nep-afdrukken, werken ze niet goed bij oudere mensen (met een dunnere huid), is het denkbaar dat ze omzeild kunnen worden (zoals ik hierboven beschrijf) en bevatten ze vaak ook default beheeraccounts waarvan het wachtwoord niet wordt gewijzigd en/of kwetsbaarheden en zijn ze mogelijk toegankelijk voor derden (of hangen ze zelfs onbeveiligd aan Internet, zie bijv. https://www.security.nl/posting/410249/Vingerafdrukscan+bij+opleidings+instituut#posting410351).

Voldoende argumenten lijkt me om een werkgever, en onverhoopt een rechter, ervan te overtuigen dat het niet verstandig is wat hij wil.

De vraag is of het "juridisch" mag, en rechters hebben weinig logisch inzicht laat staan technische achtergrond, dus wellicht dat jouw redenering ook die van een rechter zal zijn. Ik daarentegen heb een beetje meer technische ervaring, ben geen neofiel zoals zoveel techneuten wel, en kijk er toch net even anders tegenaan.

Zit je in de bouw of een willekeurige andere branche waar veel met de handen gedaan wordt, dan kun je je vingerafdrukken ook zomaar kwijtraken. Een object dat een stootje kan hebben en aan een sleutelbos of in een portemonnee kan heb je meer aan.

Toch worden er soms wel duizenden euros "per zitplaats" uitgegeven, vaak met niet meer, soms zelfs aantoonbaar minder (*kuch* aangiften opnemen, papieren overtikken ihkv "rechercheren", etc. *kuch*) effect dan papier en pen of desnoods typemachine. En al die mooie vingerscanners, software, onderhoudscontracten, en zo verder, zijn ook niet goedkoop.

Plus je wil toch wel weten wie er binnenkomt, bezoekers bijvoorbeeld, en of je dat nou door een lieftallige dame met of zonder rent-a-cop apepakkie* laat doen is lood om oud ijzer.

* Bewoording van een bevriende beveiliger: "Ik ben ook maar gewoon doodburger in een apepakkie." Desondanks was'ie wel nuttig en vriendelijk bovendien. Zulke mensen zorgen toch echt voor een betere sfeer dan een lichtenblinkend en piepend apparaat, of 't nu brandschoon en nieuw is, of bezoedeld en bepoteld door de dagelijks gelezen vele duizenden vingerafdrukken.

Is nou niet echt iets waar ik mijn werkgever een voorschot op wens te geven.

Daarnaast zijn vingerafdrukken kinderlijk eenvoudig na te maken (*kuch* gummibeertjes *kuch*) en laat je ze overal achter. Het lijkt me niet aan mijn werkgever om mij te verplichten altijd handschoenen te dragen, tijdens én buiten werktijd, om "lekken van toegangssleutels" te vermijden, dus uit veiligheidsoverwegingen.

Met andere woorden, het is zijn ingedachte gemak-door-techniek versus mijn biometrische gegevens die a) ik niet zomaar kan vervangen, maar b) ik wel pijnlijk kan kwijtraken, en c) door anderen kinderlijk eenvoudig nagemaakt kunnen worden. Ik krijg dus allerlei risico en ongemak op mij afgeschoven, ondanks dat de smoes het tegenovergestelde beweert. Plus is het nogal een bewijs van onvertrouwen, want mijn werkgever denkt dat ik niet vertrouwd kan worden een pasje niet kwijt te raken.

Dus nee. Vingerafdrukken zijn een onhandig soort gebruikersnaam, en ongeschikt als wachtwoord. Practisch gezien is het gewoon stom, wat de rechtert ook zegt.

Nope de denkfout die je maakt is dat beperkte meetcapaciteit van her randapparat de biometrie als falcifeerbaar maakt.
Biometrie in al zijn aspecten dst ben jij..

Accepteert dst ding een knakworst dan moet je de meting verbeteren niet jou met de knakworst verwisselen.

Voor mij is "mag een werkgever dit" hetzelfde als "mag een werkgever een werknemer dwingen". Want juridisch gezien is het lastig voorstelbaar dat een werkgever iets mag maar dat de werknemer ermee in kan stemmen of niet. In principe is de regel namelijk simpel, de werkgever bepaalt hoe het werk gedaan wordt en de werknemer heeft dat te slikken (OR-instemmingsrecht even daargelaten). Dingen vragen aan de werknemer is dus eigenlijk niet aan de orde.

Daar komt bij dat specifiek voor privacyzaken je het niet kúnt vragen, want de AVG eist dat privacytoestemming vrijwillig gegeven wordt en een werknemer kan neit vrijwillig toestemming geven of weigeren. De dreiging van geen promotie dan wel nieuw contract is er altijd, hoe losjes je het ook brengt als werkgever. Dus voor mij is dan zeggen dat de werkgever het mag, hetzelfde als dat hij de werknemer mag verplichten eraan mee te werken.

Ik zeg niet dat het altijd mag. De werkgever moet onderbouwen waarom hij niet anders kan, dus waarom zijn die druppels niet goed genoeg? Is verlies en revoken van zo'n druppel zo'n groot probleem dat je maar liever met vingerafdrukken gaat werken?

Die vraag is wat mij betreft een individuele vraag, ook wel onduidelijk als in het is nogal van belang wat er achter die deur zit. Want als dat persoonsgegevens zijn van meerdere mensen is het een heel ander verhaal dan wanneer het een poetshok is.

Dus, pak je gdpr erbij moet je het dus heel wat breder gaan zien.
Er zal nml een PIA gedaan worden, geeft die een rode vlag of niet? Rood is klaar, geen optie.

Stel dat resultaat is okay... Dan kan je dus heel eenvoudig stellen dat het juist handig is om persoonsgegevens te beschermen met multi factor. Bovendien, is er straks enorm verschil in boete tussen lek met goede beveiliging of lek met slechte/geen beveiliging... Multi factor authenticatie is dus juist een best practice zonirt een must om gdpr compliant te zijn.

Biometrisch toegang tot data zal dus juist eerder een mooie multi factor toevoeging zijn dan een overtreding, gdpr inhoudelijk gezien!!!

De vraag is dus met name wat bescherm je ermee en niet zozeer moet werkgever toestemming vragen of mag werknemer weigeren. Kijk, toegang tot (bijzondere) persoonsgegevens ofwel dingen zoals de HR afd. met papieren personeel dossiers... de It afd. met file servers met personeelsbestanden, klantbestanden,... Die beschermen met multi factor zal dus juist heel erg goed zijn en geprezen worden vanuit gdpr oogpunt. Het zou in dit geval dus heel vreemdzijn als een rechter de werknemer gelijk geeft want werkgever zegt vanwege gdpr is dit onze multi factor authenticatie methode voor het beschermen van persoonsgegevens.

De andere kant van gdpr zou dan zijn voor medewerker, hoe veilig is de omgeving, en wie bewerkt / verwerkt deze gegevens? Blijven ze intern of gaan ze naar een cloud en zoja in welk land staat die cloud? Wie heeft toegang tot die cloud?
Wellicht een reden om werknemer gelijk te geven MAAR werkgever zegt dan data van 1 persoon zorgt voor bescherming van al onze medewerkers en klant gegevens. Wie zal dit winnen? De individu of de groep ;)

Dan is er mogelijk ook nog punt te maken als wel een OR, want hebben deze ingestemd met dit systeem? Maar staat los van gdpr.

Dit is geen realistische én geen constructieve houding. Druist bovendien in tegen

Dat ligt er maar net aan hoe onomkeerbaar die hash werkelijk is. En dat valt nogal eens tegen.

Daarnaast is het ook nog eens een stuk onveiliger dan het lijkt, aangezien zo'n hash informatie weggooit, en het dus makkelijker maakt om een scannerinput te genereren die een "match" uit de scanner doet rollen. Je hoeft namelijk niet precies dezelfde invoer te presenteren, alleen maar iets dat "eenzelfde" hash oplevert. Zeker omdat vingerafdrukken met een hoop ruis komen en je dus redelijk ruime "match" marges moet aanhouden om niet teveel negatives over te houden, want dan gaan demense klagen dat "het systeem niet werkt". Maargoed, dat accent verleggen drijft vrij rechtstreeks je false positives ratio omhoog. Puntje verschil tussen maken "voor functie" en "voor veiligheid".

Dus zijn vingerafdrukken meer een gimmick voor in een hollywoodfilm, want zo machtig mooi visueel en vol met actie, dan in bruikbaar om in de praktijk in te zetten.

Let wel, dat systeem koppelt wel degelijk die hash aan jouw identiteit, dus wel degelijk privacygevoelig. De hash is een persoonsgegeven geworden precies door die koppeling. Aangezien het ook nog eens behoorlijk fraudegevoelig is, kan iemand anders ermee doodeenvoudig doen alsof hij jou is en dan moet jij maar het tegendeel bewijzen. Jouw woord tegen het woord van de glimmende biometrische machine.

Dit is niet een positie waar je jezelf in wil terugvinden want er is vrijwel geen weg uit. Bovendien is het een volstrekt onnodige valkuil want we kunnen prima zonder die biometrische hollywoodgimmicks. Dus dan maakt het eigenlijk niet uit hoe klein de kans is, het feit dat de kans onuitwisbaar bestaat en nooit nul zal zijn zou al genoeg moeten zijn om te besluiten dat biometrie het beste daar ingezet wordt waar ze het beste tot hun recht komt, te weten hollywoodfilms, en nergens anders. Al was het alleen maar ter bescherming van de bevolking.

We weten helemaal niet wat voor bedrijf het is. Is het de drogist om de hoek? Bouwen ze AI systemen? Geleidesystemen voor ICBM's? Cafetaria De Vette Hartklep? Ik denk dat het wel uitmaakt wat de reden is waarom ze zo'n systeem invoeren.
dus wederom: Eerst vragen waarom dit gebeurt en dan pas wat er gebeurt.
<einde>

In Nederland mag vrijwel alles, mits er maar een rechtvaardigingsgrond is. Helaas is die rechtvaardigingsgrond in vrijwel alle gevallen wel te vinden, al dan niet door de situatie zo te construeren dat deze ontstaat. In plaats daarvan zou er getoetst moeten worden of er geen andere methode is die een nagenoeg indentieke kwaliteit oplevert. Pas als er echt geen andere methode is om een rechtvaardigbaar doel te bereiken en andere middelen met afstand minder kwalitatief zijn zou een verdere inbreuk toegestaan moeten worden.

Zolang men rechtvaardigingsgronden mag blijven construeren zal er een gestage degradatie van de persoonlijke vrijheid en privacy blijven plaatsvinden.

Het is geen hash. Zie mijn eerdere bijdrage (gisteren 16:20).

Lekker makkelijk hé volgens jou logica? Mensen dwingen om een andere baan te gaan zoeken. Ruikt naar chantage.

Wat je hier schrijft is gewoon niet waar, er is maar één hash per vingerafdruk bij een gewone full size 1 print scanner, kun je me even een paar gevallen aantonen waaruit blijkt dat er uit de hash een vingerafdruk is terug gegenereerd? Tel daarbij op dat een hash afhankelijk is van het gekozen biometrisch algoritme.

Neemt niet weg dat er ook andere mogelijkheden zijn, zoals een pas en een pincode, maar dat gebruik je alleen als een hogere beveiliging noodzakelijk is. Als je werkgever het goed doet zou uit een risico analyse moeten blijken hoe hoog het risico wordt ingeschat van onterechte toegang, hoe schadelijk dat is, en dan als conclusie uitkomt op een bepaalde voorkeur voor een toegangssysteem. Dan is het ook nog eens verdedigbaar waarom deze keuze zo gemaakt is. In de meeste gevallen is de vingerafdruk of een ander biometrisch gegeven niet nodig.

Ik begrijp dat bijna iedereen die op dit topic reageert de hele dag met rubber handschoenen rondloopt om te voorkomen dat "zeer persoonlijke gegevens" als bv. vingerafdrukken achtergelaten worden. Als ik je een kopje water aanbiedt kan ik je vingerafdruk van het kopje halen en daarmee heb ik dus ineens "persoonlijke medische gegevens"?

Even terug on topic: de vingerafdruk is niet het probleem: iedereen laat die overal achter. Het idee dat dit "veilig" is, is waar het fout gaat: het is alleen een eenvoudige en snelle (!) manier om een redelijke indicatie te krijgen wie er binnenkomt, het is GEEN bewijs dat dit de persoon was.

Dit zelfde geldt voor de zogenaamde geïmplanteerde chips die superveilig zouden zijn. Ook dit is niet veilig: nog afgezien van de technische beperkingen is het voor een crimineel geen enkel probleem om die uit je arm te snijden (veel makkelijker dan klonen van een chip). Als de te halen winst maar hoog genoeg is...

Eigenlijk is een PIA het enige juiste antwoord op deze vraag. Zoals Arnoud schrijft, is het door Uitvoeringswet AVG in bepaalde gevallen toegestaan vingerafdrukken voor "identificatie" te gebruiken. Of dit in het geval van de vraagsteller noodzakelijk en proportioneel is, hangt van veel factoren af en kan alleen met een PIA systematisch worden geanalyseerd. Belangrijke vragen zijn daarbij o.a.:

1) Wat is het risico voor de medewerkers, dat hun vingerafdrukken uit het systeem kunnen worden gevist en gereconstrueerd (en dan bijv. ineens op een plaats delict opduiken)?
2) Wat is het risico voor de medewerker bij een false positive (bijv. valse beschuldiging) of een false negative (bijv. sancties voor te laat komen, terwijl de medewerker daar was)?
3) Wat is het risico voor de werkgever bij een false positive (ongeautoriseerde toegang) of een false negative (verlies van werktijd)?

Nog zo'n "expert". De output van een vingerafdrukscanner IS GEEN HASH. Google: fingerprint scanner minutiae

Ja, leuk he :-).

Iedere keer ligt je vinger anders op de scanner. Bedenk maar eens een systeem waarbij je dezelfde hash krijgt als je je wachtwoord soms in hoofdletters, soms in kleine letters soms in een combinatie, en oh ja, soms met tiepfouten ingeeft. Dus niet een 1-op-1 hash maar meerdere indicatoren die, als er voldoende match is, een "accept" geven

Nee dat is geen denkfout. het is gewoon een probleem met biometrie.
Als iemand een perfecte representatie kan maken van jouw vingerafdruk (bij wijze van gedachte experiment, door je vinger te klonen). dan kun je niet even je eigen vingerafdruk aanpassen. En moet je een andere vinger gaan gebruiken voor identificatie.
Dat is dan nog te overzien. Maar met irisscans, heb je maar 2 opties. gezichtsscan, heb je er maar 1.

PIA punt.

mmm; sommigen hebben echt "meerdere" gezichten

Wat boeit het nu of het een hash of letterlijk een vingerafdruk is?!
Gdpr op mening bekijken is kansloos, bekijk de feiten. Het is voor gdpr namelijk gelijk!!!

Biometrische gegevens zijn niet hetzelfde als vingerafdrukken maar beiden zijn het in gdpr zogenoemde uniek identificeerbare gegevens ofwel onderdeel van de DPIA (PIA) en dus is art 21 lid 4 wbp het enige juiste antwoord!

Heel veel.

Als een kwaadwillende jouw vingerafdruk kent en (bijv. met een 3D printer voor "huidachtig" materiaal) een "ding" kan maken dat een vingerafdruklezer herkent als jouw vingerafdruk, kan die kwaadwillende daar identiteitsfraude mee plegen.

Een goede cryptografische hash is een eenrichtingsfunctie. Als de output van een vingerafdruklezer altijd exact hetzelfde getal (of exact dezelfde set getallen) voor een aangeboden specifieke vinger zou opleveren, zou de vingerafdruklezer een cryptografische hash over dat getal (bij een set getallen door deze achter elkaar te plakken zodat ze 1 groot getal vormen en daar de hash over te berekenen) als output kunnen geven, waarna het systeem zoekt naar een eerder opgeslagen hash (in plaats van "vingerafdrukgetal" of set getallen) in haar database. Het zou dus veiliger zijn als je hashes kon gebruiken. Aanvulling (en wijzigingen verderop) ter verduidelijking 04:25, omdat een anonieme CISO hieronder "hash van vingerafdruk" aanneemt: ik schreef "Als de output van een vingerafdruklezer altijd exact hetzelfde getal (of exact dezelfde set getallen) voor een aangeboden specifieke vinger zou opleveren" - MAAR DAT IS NIET ZO! Biometrische informatie is altijd fuzzy (je krijgt bij elke scan een iets ander resultaat) en daardoor is een hash onbruikbaar (reden: een minimale wijziging van de input van een hashfunctie zal, by design, een totaal andere output opleveren, die je dus niet meer kunt vergelijken met de opgeslagen hash van een eerder afgenomen vingerafdruk).

Zo'n hash zou inderdaad ook privacygevoelige informatie zijn omdat deze (net als een foto in de krant of op Facebook) identificerend is voor een persoon. Maar met slechts de kennis van de hash van jouw vingerafdruk (als zoiets zou kunnen, maar dat kan dus niet) zou het voor een kwaadwillende veel moeilijker zijn (desgewenst wil ik enkele issues daarbij wel toelichten) om jouw vingerafdruk na te maken, en zich daarmee voor te doen als jou.

Deze discussie gaat wat mij betreft vooral over de mogelijkheden voor identiteitsfraude. Als "hash van vingerafdruk" zou bestaan (en aanvallen met rainbow tables zouden kunnen worden uitgesloten) zou een vingerafdruk als authenticatiemiddel waarschijnlijk veiliger zijn (hoewel er dan nog steeds veel mis kan gaan), m.i. een fundamenteel aspect in deze discussie. Aangezien je geen hashes kunt gebruiken is privacy in deze discussie m.i. niet onbelangrijk, maar bijzaak.

Werkgever moet aan werknemers vooraf duidelijk maken welke maatregelen zijn getroffen om data te beschermen (in dit geval hash van vingerafdruk, neem ik aan).
Indien je geen duidelijk uitleg krijgt en je ziet dat werkgever onvoldoende maatregelen treft, dan zou je moeten kunnen weigeren, zonder dat het gevolgen heeft voor je loopbaan.
Het is alleen de vraag hoeveel werknemers zijn in staat te beoordelen hoe het zit met de kwaliteit van maatregelen voor bescherming van hun data door de werkgever. Hoeveel mensen houden zich uberhoupt bezig met dit vraagstuk.

Als CISO vind ik interne veiligheid altijd net zo hoge prioriteit te hebben als de veiligheid van data van klanten. Het is jammer dat HR afdeling zelden interesse heeft in dergelijke gesprekken.

Helemaal niet, beiden uniek identificeerbare gegevens.
Dat het een minder veilig is dan het ander staat niet ter discussie. In beide gevallen gaat het erom of je je werkgever je uniek identificeerbaar gegeven wil laten verwerken.

Als we een dpia doen en dus de wbo erbij pakken boeit het verwchil al helemaal niet meer ;)

Ehh? Wat jij vindt moet jij weten, maar ik zou niet willen dat iemand om een flauwekulreden mijn vingerafdrukgegevens ergens opslaat - met het risico dat die in verkeerde handen vallen en er met mijn identiteit wordt gefraudeerd - op welke wijze dan ook.

Geen paniek!

Wat ik vind doet er niet toe, het gaat om GDPR, de wet en dus het feit, niet mijn mening/visie.
Het is heel simpel, dat ding gaat persoonsgegevens verwerken, dit ding staat in de "standaard" DPIA vragen lijst en is met of zonder hash een uniek indendificeerbaar gegeven, dus we doen de PIA en dan komt de WBP naar boven, die moet je dus erbij pakken en dan lees je al heel snel dat het verwchil met of zonder hash niet boeit ;)

PS: Excuses voor de spelvout in eerdere post = WBO ipv WBP

Paniek is nooit zinvol, maar ik maak mij grote zorgen als CISO's aannemen dat geen biometrische gegevens maar een (hopelijk onomkeerbare) hash wordt opgeslagen en helemaal als mensen zoals jij denken dat de werkgever een vingerafdrukscanner mag inzetten omdat in de wet zou staan dat dit mag.

Het is kennelijk jouw mening/visie dat als iets in een wet staat, dat dit (met de huidige kennis en te verwachten ontwikkelingen) rechtvaardig is en op alle denkbare situaties kan worden toegepast.

Feit is dat aanvankelijk wachtwoorden plaintext werden opgeslagen in databases o.a. voor toegang tot websites. Nadat veel van die gegevens op straat waren komen te liggen, en duidelijk werd dat veel mensen voor elke site hetzelfde wachtwoord gebruiken, ontstond het advies om niet het wachtwoord zelf maar een hash ervan op te slaan waarbij MD5 populair was (en soms nog steeds wordt aangeraden). Immers, een hash is onomkeerbaar. Totdat iemand bedacht dat je zowel van alle mogelijke korte wachtwoorden en van ooit eerder gebruikte (en gelekte) wachtwoorden en van te verwachten langere wachtwoorden alle hashes kunt uitrekenen en in een tabel opslaan (bekend als rainbow table). Gegeven een hash kun je dan in de tabel kijken of daar zo'n kort, bekend of verwacht wachtwoord bij hoort. De hashfunctie is welliswaar onomkeerbaar, maar omdat de entropie van de input (wachwoorden) vaak laag is t.o.v. de lengte van de hash, is een hash ingezet voor dit doel in veel gevallen omkeerbaar (nog sterker wordt dit effect bij lagere entropie; het hashen van 10-cijferige telefoonnummers is zinloos om deze reden).

Als een goede maskermaker en/of grimeur (of plastisch chirurg), op basis van jouw pasfoto, een geschikt en daartoe bereid persoon, zó goed op jou kan laten lijken dat bijv. jouw collega's die persoon als jou herkennen, is zeer ernstige identiteitsfraude mogelijk. In de praktijk zal dit niet meevallen, want een pasfoto is 2D. Bij technische identificatie gaat het er echter om of, als er opnieuw een pasfoto van zo'n "kunstmatige tweeling" wordt gemaakt, die pasfoto "voldoende lijkt" op de oorspronkelijke pasfoto om het systeem te laten besluiten dat het om dezelfde persoon moet gaan. Het hangt van de techniek af welke criteria daarbij worden gehanteerd; stel (hypothetisch) dit is de afstand tussen de ogen gedeeld door de afstand tussen de oren. Als een fraudeur weet dat een specifiek gezichtsherkenningssysteem deze techniek gebruikt en hij dat getal voor jouw gezicht heeft weten te bemachtigen, hoeft hij helemaal niet iemand te vinden die op jou lijkt (hij hoeft niet eens te weten hoe jij eruit ziet), maar slechts iemand die -al dan niet met kunstoren- aan de systeemcriteria voldoet om als jou herkend te worden.

Identificerende gegevens die kunnen worden gebruikt om de identiteit van een persoon vast te stellen, kunnen vaker dan je verwacht worden misbruikt voor identiteitsfraude, en dit zal alleen maar toenemen naarmate ze vaker worden ingezet en kwaadwillenden nieuwe trucs bedenken. Wetten lopen altijd achter op de techniek. Een werkgever die de afweging maakt om biometrie als authenticatiemiddel in te zetten, hoort een goede afweging te maken en zou zich daarbij door een onafhankelijke specialist moeten laten adviseren (in elk geval niet door de verkoper van de vingerafdrukscanner). Feit blijft dat je sleutels, wachtwoorden en pincodes eenvoudig kunt vervangen nadat ze gecompromitteerd zijn, maar ledematen niet.

Een werkgever, en een eventuele rechter, zouden dus moeten meewegen dat het inzetten van biometrie grote risico's voor de betrokkene met zich mee kan brengen - waarbij sprake is van risico's die we op dit moment nog onvoldoende kunnen overzien.

@Bitwiper
En waar lees jij dat ik mijn werkgever goedkeuring zou geven?
Lees sowieso eerst eens ff die wet ;)

En waar, volgens jou, schrijf ik dat jij jouw werkgever goedkeuring zou geven?

(Ik schreef "... als mensen zoals jij denken dat de werkgever een vingerafdrukscanner mag inzetten omdat in de wet zou staan dat dit mag" en dat is iets anders dan dat jij daar jouw goedkeuring aan geeft).

Ik beargumenteer dat niet alleen de privacy op het spel staat, en dat dus een privacywet de lading niet dekt.

Tenzij er een privacywet bestaat die het gebruik van vingerafdrukscanners in EU of NL geheel verbiedt (wat mij onwaarschijnlijk lijkt), zie ik niet in wat ik in die privacywet zou moeten vinden wat mij op andere gedachten zou moeten brengen of mijn argumenten juist zou onderbouwen.

Kom zelfs eens met argumenten, of ben je het met me eens en zit je gewoon te trollen?

Wellicht zou de werkgever de vingerafdruk scanner al niet meer willen na het lezen van deze artikelen.

Just a Fingerprint Away: The Risks of Fingerprint Scanning
- http://blogs.kentlaw.iit.edu/islat/2017/04/11/risks-fingerprint-scanning/
Remark: The researchers’ generated prints could match the real ones up to 65% of the time.

Politician's fingerprint 'cloned from photos' by hacker
- http://www.bbc.com/news/technology-30623611
Remark: A member of the Chaos Computer Club (CCC) hacker network claims to have cloned a thumbprint of a German politician by using commercial software and images taken at a news conference.

@bitwiper

Wbp artikel 21,lid 4:
Persoonsgegevens betreffende erfelijke eigenschappen mogen slechts worden verwerkt voor zover deze verwerking plaatsvindt met betrekking tot de betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij:
a. een zwaarwegend geneeskundig belang prevaleert of
b. de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek.
In het geval als bedoeld onder b, is artikel 23, eerste lid, onder a, en tweede lid, van overeenkomstige toepassing.

Vingerafdrukken zijn niet erfelijk. De wettekst stamt bovendien uit 2000 en het woord biometrie komt er niet in voor. Er is nog helemaal geen wet die dit goed afdekt. Precies daarom heeft Arnoud het over de -toekomstige- AVG/GDPR.

In [1] staat onder meer:

Uit "De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) - Beleidsregels voor toepassing van artikel 34a van de Wbp" [2] blijkt dat ook als er geen wet voor is, men zich wel aan bepaalde regels moet houden:
Zie de laatste bullet.

Mocht iemand een andere wet kennen dan WBP die de wel lading dekt van (biometrische) persoonsgegevens waarmee identiteitsfraude kan worden gepleegd [3], en die nu al van kracht is, dan lees ik dat graag.

[1] https://ictrecht.nl/2017/09/20/gebruikmaken-biometrische-gegevens-gevoelig-avg/
[2] https://zoek.officielebekendmakingen.nl/stcrt-2015-46128.html
[3] Dat het krankzinnig is dat je met een kopie van een paspoort of kennis van een BSN identiteitsfraude kunt plegen, snappen kennelijk alleen politici niet. Dat je met de kennis van de minutiae van een vingerafdruk identiteitsfraude kunt plegen, lijkt bijna niemand te (willen? wachtwoordmoe of zo?) snappen, op enkele uitzonderingen na (@teusink: dank voor de links!)

reactie op : 27-09-2017, 13:47 door Anoniem


De hash, tenminste dat is de bedoeling, identificeert deze gebruiker.

Als je ergens vingerafdrukken vind en deze via hetzelfde algoritme als de scanner gebruik een hash genereert, zou je theoretisch de beide hashes kunnen vergelijken en hieruit kunnen concluderen dat het dezelfde persoon is.

Voorwaarde is dan wel dat alle vingerafdruk hashes geleverd worden aan het NFI.

Dit zou een aardige manier zijn van sleepnetten door data van onschuldige burgers .

@bitwiper

Punt is dat de PIA template op site authoriteit persoonsgegevens bij het stuk biometrisch naar deze wet verwijst.
Kijk op hun site eens in de PIA template...

Zucht...

Ga allemaal lekker door met liegen dat per vingerafdruk een hash wordt opgeslagen en/of douw lekker vingerafdrukscanners en andere biometrische identificatie bij je personeel door de strot en legitimeer dit door huidige (verouderde en binnenkort vervangen) wet zo uit te leggen dat dit is toegestaan.