Verwerking van biometrische gegevens in de administratieve rechtshandhaving Beschouwingen inzake de bescherming van de persoonlijke levenssfeer Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL) Administrateur-generaal Kruispuntbank Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040 Brussel E-mail: Frank.Robben@ksz.fgov.be Website CBPL: www.privacycommission.be Persoonlijke website: www.law.kuleuven.be/icri/frobben

Structuur van de uiteenzetting wat is biometrie ? definitie eigenschappen van biometrische kenmerken enkele begrippen werkmethode in 4 stappen mogelijke foutenmarge aandachtspunten inzake bescherming van de persoonlijke levenssfeer overzicht voornaamste rechtsbronnen inzake de bescherming persoonlijke levenssfeer bij de verwerking van persoonsgegevens toepasselijkheid van de Wet Verwerking Persoonsgegevens eigenlijke aandachtspunten rechtmatigheidsbeginsel doelbindingsbeginsel evenredigheidsbeginsel veiligheidsmaatregelen transparantie voor betrokkenen

Wat is biometrie ? wetenschap van biologische variaties die als doel heeft de identiteit van een individu te bepalen of te verifiëren met behulp van procedures die steunen op de onderscheiden en individuele menselijke kenmerken fysiologische kenmerken, zoals bvb vingerafdruk iris of netvlies gezicht handpalm oorvorm lichaamsgeur stem DNA gedragskenmerken, zoals bvb toetsaanslag stap- of looppatroon

Eigenschappen van kenmerken universeel in principe zijn de kenmerken beschikbaar bij alle mensen uniek in principe bestaan er geen 2 individuen met precies dezelfde kenmerken permanent in principe veranderen de kenmerken niet en zijn ze ook niet te veranderen doorheen de tijd

Enkele begrippen identiteit identificatie een uniek nummer of een reeks attributen van een individu die toelaten om eenduidig te weten wie het individu is identificatie het proces waarbij de identiteit van een individu wordt vastgesteld authenticatie van de identiteit het proces waarbij wordt nagegaan of de identiteit die een individu beweert te hebben, de juiste identiteit is de authenticatie van de identiteit van een individu kan geschieden op basis van een controle van kennis (bvb een paswoord) bezit (bvb een certificaat op een elektronisch leesbare kaart) biometrische kenmerk(en) een combinatie van één of meerdere van deze middelen

Werkmethode in 4 stappen inzameling en registratie van referentie-informatie inzameling, via een gepaste sensor of een ander middel, van gegevens mbt de relevante kenmerk(en) van het individu eventueel vaststelling van de zgn template, zijnde een gestructureerde reductie van de “ruwe” gegevens mbt relevante kenmerk(en) vaststelling van de identiteit van het individu koppeling van de gegevens mbt relevante kenmerk(en) aan de identiteit van het individu registratie van de gegevens mbt relevante kenmerk(en) en van de ermee gekoppelde identiteit van het individu op een informatiedrager ((chip)kaart, gegevensbank, geheugen van een sensor, …) hetzij “ruwe” gegevens hetzij template

Werkmethode in 4 stappen inzameling van vergelijkingsinformatie inzameling, via een gepaste sensor of een ander middel, van gegevens mbt relevante kenmerk(en) van het individu eventueel vaststelling van de template vergelijking van ingezamelde vergelijkingsinformatie met de geregistreerde referentie-informatie hetzij ter identificatie en authenticatie van de identiteit van het individu vergelijking van vergelijkingsinformatie met alle referentie-informatie beschikbaar in gegevensbank(en) (one-to-many comparison) hetzij ter verificatie en authenticatie van de identiteit van het individu vergelijking van vergelijkingsinformatie met de referentie-informatie van één individu (one-to-one comparison)

Werkmethode in 4 stappen mededeling van het resultaat van de vergelijking hetzij mededeling van de geauthentiseerde identiteit van het individu hetzij mededeling van authenticatie van de identiteit van het individu zonder mededeling van de identiteit van het individu

Mogelijke foutenmarge vergelijkingsinformatie stemt slechts zelden volledig overeen met “ruwe” referentie-informatie of template wegens verschil in omgevingsomstandigheden zoals lichtintensiteit, temperatuur, uitgeoefende druk, … vergelijking gebeurt op basis van kansberekening 2 mogelijke fouten foutieve verwerping (false rejection) vergelijking wordt verworpen hoewel ze zou moeten worden aanvaard foutieve aanvaarding (false acceptation) vergelijking wordt aanvaard hoewel ze zou moeten worden verworpen

Mogelijke foutenmarge betrouwbaarheid van vergelijking is oa afhankelijk van gekozen biometrische kenmerk(en) aantal biometrische kenmerken hoeveelheid gebruikte referentie- en vergelijkingsinformatie gebruikte vergelijkingstechniek(en)

Structuur van de uiteenzetting wat is biometrie ? definitie eigenschappen van biometrische kenmerken enkele begrippen werkmethode in 4 stappen mogelijke foutenmarge aandachtspunten inzake bescherming van de persoonlijke levenssfeer overzicht voornaamste rechtsbronnen inzake de bescherming persoonlijke levenssfeer bij de verwerking van persoonsgegevens toepasselijkheid van de Wet Verwerking Persoonsgegevens eigenlijke aandachtspunten rechtmatigheidsbeginsel doelbindingsbeginsel evenredigheidsbeginsel veiligheidsmaatregelen transparantie voor betrokkenen

Voornaamste rechtsbronnen Europese Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen ivm de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens Conventie nr. 108 van de Raad van Europa van 28 januari 1981 voor de bescherming van individuen met betrekking tot de automatische verwerking van persoonlijke gegevens wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens

Toepasselijkheid WVP “WVP is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied of op een plaats waar de Belgische wet uit hoofde van het internationaal publiekrecht van toepassing is of die wordt verricht door een verantwoordelijke die geen vaste vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de verwerking van persoonsgegevens gebruik gemaakt wordt van al dan niet geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens over het Belgisch grondgebied”

Toepasselijkheid WVP “artikelen 9 (informatieverstrekking), 10, § 1 (recht op kennisname van gegevens) en 12 WVP (recht op verbetering en verwijdering van gegevens) zijn niet van toepassing op verwerkingen van persoonsgegevens beheerd door openbare overheden met het oog op de uitoefening van hun opdrachten van gerechtelijke politie door de politiediensten bedoeld in artikel 3 van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie met het oog op de uitoefening van hun opdrachten van bestuurlijke politie, door andere openbare overheden die aangewezen zijn bij een in Ministerraad overlegd koninklijk besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer”

Toepasselijkheid WVP vanaf het ogenblik dat mbv redelijke middelen een verband kan worden gelegd tussen een biometrisch gegeven en een natuurlijk persoon is het biometrisch gegeven een persoonsgegeven in zin van art 1, § 1 WVP “een persoonsgegeven is iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit”

Toepasselijkheid WVP het gebruik van biometrische systemen veronderstelt de inzameling, de bewaring en het gebruik van gegevens met behulp van geautomatiseerde procédés en is dus een verwerking van gegevens in de zin van art 1, § 2 WVP “een verwerking is elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens”

Toepasselijkheid WVP bepaalde biometrische gegevens kunnen informatie vrijgeven over de gezondheidstoestand of de raciale herkomst, waardoor krachtens de artikelen 6 en 7 WVP bijkomende beschermingsmaatregelen gelden

Rechtmatigheidsbeginsel (art 5) “persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen mits ondubbelzinnige, vrije, specifieke en op informatie berustende toestemming van de betrokkene voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie ter vrijwaring van een vitaal belang van de betrokkene voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen”

Doelbindingsbeginsel (art 4, § 1, 2°) “persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden”

Doelbindingsbeginsel (art 4, § 1, 2°) de doeleinden waarvoor biometrische persoonsgegevens worden verwerkt, moeten dus precies en uitdrukkelijk worden omschreven wat gebeurt er ? verificatie en authenticatie van de identiteit ? authenticatie van de identiteit zonder mededeling van de identiteit ? authenticatie van de identiteit met mededeling van de identiteit ? voor welke precieze doeleinden ? biometrische gegevens mogen niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden bijzondere aandacht voor vermijden van mogelijke koppeling van biometrische systemen bestemd voor verschillende doeleinden (interoperabiliteit ICT-technisch beperken ?) voor gebruik van biometrische gegevens bij administratieve rechtshandhaving best wettelijke regeling

Evenredigheidsbeginsel (art 4, § 1, 3° en 5°) “persoonsgegevens dienen toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt” “persoonsgegevens dienen, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is”

Evenredigheidsbeginsel (art 4, § 1, 3° en 5°) te baseren op afweging van belangen en rechten algemeen belang of gerechtvaardigd belang van de verantwoordelijke van de verwerking geautomatiseerd identificatie-, authenticatie- of verificatieproces dat multifunctioneel bruikbaar is dat meer zekerheid biedt, veiliger is en fraudebestendiger is dat soms gebruiksvriendelijker is dat soms goedkoper is grondrechten van de betrokkene bescherming van de persoonlijke levenssfeer moeilijker om anoniem te blijven in bepaalde situaties moeilijker om omgevingsgerelateerde identiteit aan te nemen of te veranderen anderzijds kan goed gebruik van biometrische systemen ook de bescherming van de persoonlijke levenssfeer bevorderen doordat zij verwerking van persoons-gegevens soms kan beperken fysieke integriteit nieuwe risico’s op fysiek geweld niet-discriminatie door foute aanvaarding of verwerping door handicap

Evenredigheidsbeginsel (art 4, § 1, 3° en 5°) enkele suggesties op vermindering van risico voor schending van het recht op bescherming van de persoonlijke levenssfeer biometrische systemen die gebruik maken van kenmerken die geen sporen nalaten (bvb iris, netvlies of handpalm) houden minder risico in dan systemen die gebruik maken van kenmerken die wel sporen nalaten (bvb vingerafdruk of DNA) biometrische systemen die geen gegevens opslaan in (centrale) gegevensbank(en) houden minder risico’s in dan systemen die dit wel doen verificatie en authenticatie van de identiteit (one-to-one comparison) houdt minder risico’s in dan identificatie en authenticatie van de identiteit (one-to-many comparison) verificatie en authenticatie van de identiteit zonder mededeling van de identiteit houdt minder risico’s in dan verificatie en authenticatie van de identiteit met mededeling van de identiteit

Evenredigheidsbeginsel (art 4, § 1, 3° en 5°) enkele suggesties op vermindering van risico voor schending van het recht op bescherming van de persoonlijke levenssfeer biometrische systemen die kunnen worden gebruikt om biometrische gegevens in te zamelen of te verwerken zonder medeweten van de betrokkene (bvb gelaatsherkenning op afstand) houden meer risico’s in dan systemen die dat niet mogelijk maken biometrische systemen die degelijke templates bewaren in gegevensbanken houden minder risico in dan systemen die alle “ruwe” gegevens bewaren opslagmedia moeten voldoende capaciteit hebben om volledigheid, echtheid en vertrouwelijkheid van gegevens te kunnen waarborgen biometrische systemen mogen gegevens niet langer bewaren dan nodig voor de vooropgestelde doeleinden

Evenredigheidsbeginsel (art 4, § 1, 3° en 5°) CBPL wenst afweging van belangen en rechten voor elk specifiek gebruik van een biometrisch systeem primair door de verantwoordelijke van de verwerking rekening houdend met de gevolgen op lange termijn voor de betrokkenen met een uitdrukkelijke motivering die transparant ter kennis wordt gebracht van de betrokkenen CBPL wijst erop dat een veralgemeend gebruik van biometrie een gevaar inhoudt op desensibilisering voor mogelijke risico’s => wens tot gericht gebruik voor duidelijke doeleinden rekening houdend met het evenredigheidsbeginsel

Veiligheidsmaatregelen (art 16) “De verantwoordelijke voor de verwerking moet er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze wet worden verbeterd of verwijderd; ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden.”

Veiligheidsmaatregelen (art 16) “Om de veiligheid van de persoonsgegevens te waarborgen, moet de verantwoordelijke voor de verwerking, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's”

Veiligheidsmaatregelen (art 16) veiligheidsmaatregelen moeten worden voorzien bij elk onderdeel van de verwerking inzameling van de referentie-informatie en eventueel vaststelling van de template vaststelling van de identiteit van het individu koppeling van de referentie-informatie aan de identiteit van het individu registratie van de referentie-informatie op een informatiedrager bewaring van de referentie-informatie beheer van de referentie-informatie (raadplegen, wijzigen, verwijderen, …) uitlezen van referentie-informatie inzameling van de vergelijkingsinformatie en eventueel vaststelling van de template vergelijking van de vergelijkingsinformatie met de referentie-informatie mededeling van de resultaten van de vergelijking uitwisseling van informatie via netwerken

Veiligheidsmaatregelen (art 16) aspecten van veiligheid vertrouwelijkheid integriteit betrouwbaarheid beschikbaarheid auditeerbaarbeid niet-repudiatie nood aan geïntegreerd geheel van veiligheids-maatregelen structureel: beveiligende effecten voortvloeiend uit het concept organisatorisch qua personeel juridisch technisch fysisch

Veiligheidsmaatregelen (art 16) nood aan maatregelen voor vermijden van schade beperken van schade als ze optreedt herstellen van schade als ze is opgetreden verantwoordelijkheid voor veiligheidsmaatregelen ligt primair bij de verantwoordelijke van de verwerking; data-subject kan niet verantwoordelijk worden gesteld voor veiligheidsgebreken te baseren op risico-analyse, rekening houdend met kans dat risico zich voordoet impact als risico zich voordoet

Veiligheidsmaatregelen (art 16) kader voor maatregelen op organisatorisch, technisch, fysisch en personeelsvlak: ISO-normenreeks 27000 beveiligingsbeleid, stapsgewijze verfijnd via policies beveiligingsorganisatie classificatie en beheer van bedrijfsmiddelen beveiligingseisen tav personeel fysieke beveiliging van de omgeving (oa encryptie) beheer van communicatie- en bedieningsprocessen toegangsbeveiliging ontwikkeling en onderhoud van systemen bijzondere eisen bij de verwerking van persoonsgegevens continuïteitsmanagement interne en externe controle op de naleving communicatie t.a.v. de klanten en publieke opinie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming

Transparantie voor betrokkenen (art 9-12bis) recht op informatie bij inzameling van persoonsgegevens bij eerste verwerking van persoonsgegevens ingezameld bij een derde over bestaan van de verwerking doeleinden van de verwerking identiteit van de verantwoordelijke van de verwerking categorieën van verwerkte persoonsgegevens oorsprong van de persoonsgegevens mededelingen van de persoonsgegevens logica van de geautomatiseerde verwerking rechten op kennisname, verbetering en verwijdering van persoonsgegevens andere relevante informatie, bvb over foutenmarges en procedures om rechten te vrijwaren bij een foute verwerping of aanvaarding gebruikte informatiedragers en hun beveiliging mogelijke gebruikers

Transparantie voor betrokkenen (art 9-12bis) recht op kennisname van persoonsgegevens recht op verbetering van persoonsgegevens recht op verwijdering van persoonsgegevens recht om niet onderworpen te worden aan een besluit dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking

D@nk u ! Vragen ?