Vingerafdruk

De Autoriteit Persoonsgegevens heeft een boete van 725.000 opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde. Het niet genoemde bedrijf deed dat om werktijden te registreren, maar dat was in strijd met de privacywetgeving.

De AP gaf de boete aan een bedrijf dat werknemers verplichtte om hun vingerafdruk te laten scannen bij in het in- en uitklokken. De AP ging na een tip langs bij het bedrijf en bevestigde dat daar meerdere 'scanstations' stonden waarop medewerkers hun tijdregistratie moesten doorgeven. Nieuwe werknemers moesten hun vingerafdruk bij aanvang van hun dienstverband afstaan, maar bestaande werknemers moesten die ook later nog registreren. De scans werden bij het bedrijf zelf opgeslagen. Van werknemers die uit dienst gingen, werden de gegevens niet verwijderd, maar wel geblokkeerd in het bijbehorende softwareprogramma...

...Volgens het bedrijf hadden werknemers bovendien de keus hun vingerafdruk wel of niet af te staan. Daarvoor moesten ze echter in gesprek met de directeur van het bedrijf, wat in de praktijk amper voorkwam. "In de paar gevallen waarin dit voorgevallen is, heeft de werknemer na het gesprek met de directeur alsnog zijn of haar vingerafdruk afgegeven", schrijft de AP.

Werknemers zeiden ook verrast te zijn over het feit dat zij plotseling hun vingerafdruk moesten afstaan. Er waren geen goede documentaties of procedures over wat er gebeurde bij weigering. Werknemers konden daardoor geen uitdrukkelijke toestemming geven voor de opslag van hun vingerafdrukken. Sommigen van hen verklaren tegen de AP dat het gebruik verplicht was.

Alles bij de bron; Tweakers


 

Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.

Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn...

...De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.

De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.

"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers. 

Alles bij de bron; Security


 

Een Poolse school heeft een AVG-boete van omgerekend 4700 euro gekregen voor het verwerken van de vingerafdrukken van bijna zevenhonderd leerlingen. Dat heeft de Poolse privacytoezichthouder UODO bekendgemaakt. De school gebruikte bij de ingang van de schoolkantine een biometrische vingerafdruklezer om te controleren of leerlingen wel voor hun schoollunch hadden betaald.

Het systeem was al sinds 1 april 2015 in gebruik en de school had schriftelijke toestemming van ouders gevraagd. Volgens de Poolse privacytoezichthouder had de school geen wettelijke grondslag voor het verwerken van de vingerafdrukken, aangezien het ook op een andere manier had kunnen controleren of studenten in aanmerking voor een lunch komen. Zo gebruikte de school naast het vingerafdruksysteem ook een elektronische kaart waarmee leerlingen zich konden identificeren.

Vier leerlingen maakten gebruik van dit alternatieve systeem. Deze leerlingen moesten leerlingen die zich biometrisch lieten controleren voorgaan. Dergelijke regels zorgen volgens de toezichthouder voor een ongelijke behandeling, omdat het leerlingen met biometrische identificatie voortrekt. 

Alles bij de bron; Security


 

Klanten van Carrefour zullen in België met een vingerafdruk kunnen betalen. De supermarktketen zet door met de plannen. Eerder al deed Carrefour testen met het linken van klantenkaarten aan vingerafdrukken. Nu zullen testen volgen met betalingen via een vingerafdruk. Er zal een eenmalige registratie van de vingerafdrukken nodig zijn, en dus een link met een bankrekening. 

De plannen van Carrefour lokten eerder al vragen uit van de Belgische Gegevensbeschermingsautoriteit, de privacywaakhond in ons land. De Gegevensbeschermingsautoriteit is vooral bezorgd omdat het om biometrische gegevens gaat die Carrefour wil ophalen. ‘Dat zijn gegevens die je niet kunt veranderen. Een paswoord kan je wijzigen, een vingerafdruk niet. Wat gebeurt als ingebroken wordt in zo’n databank?’ De privacywaakhond vraagt zich dan ook af wat de meerwaarde is van betalen met vingerafdrukken, als er al zoveel betaalmethodes bestaan.

Een formeel dossier of inspectie loopt nog niet, maar dreigt nu wel. Carrefour riskeert sancties, een verplichting om de verwerking van de vingerafdrukken stop te zetten en zelfs een miljoenenboete.

Carrefour verwacht geen problemen en behoudt het vertrouwen. ‘Het is logisch dat er een onderzoek komt. De privacywaakhond moet zijn werk doen. Maar we verwachten geen problemen. Dit gaat om Europese wetgeving.’

Alles bij de bron; deStandaard


 

Niet alleen volwassen, maar ook kinderen vanaf 12 jaar zullen vingerafdrukken moeten afstaan die op de chip van de vernieuwde identiteitskaart terechtkomen. 

Vorig jaar besliste de federale regering dat er een proefproject zou komen in 25 gemeenten: wie daar een nieuwe identiteitskaart nodig heeft, zal er vanaf volgende week één krijgen met twee vingerafdrukken in de chip. 

Het was lange tijd onduidelijk of minderjarigen ook vingerafdrukken zouden moeten vaststaan, maar in een Koninklijk Besluit van 20 december werd vastgelegd dat dat effectief het geval is voor minderjarigen vanaf 12 jaar. 

De Gegevensbeschermingsautoriteit (nieuwe naam van de privacycommissie, red.)  is kritisch over de maatregel. "Dit is twee keer een probleem", aldus voorzitter David Stevens. "Minderjarigen moeten worden beschermd én vingerafdrukken zijn gegevens die een leven lang niet kunnen worden gewijzigd, dus dit is een zeer gevoelige combinatie. Vingerafdrukken zijn zeer gevoelige gegevens om te verliezen of om te gebruiken voor malafide doeleinden. Als ik mijn paswoord verlies of mijn account wordt gehackt, kan ik mijn paswoord wijzigen. Mijn vingerafdruk niet. " 

Op dit moment loopt er ook een procedure bij het Grondwettelijk Hof tegen de opslag van vingerafdrukken op de identiteitskaart.

Alles bij de bron; VRT


 

Warenhuisketen HEMA stopt met het gebruik van een vingerscansysteem voor de kassa's en prikklokken. De beslissing volgt na een uitspraak van de Amsterdamse kantonrechter in augustus dat schoenenwinkel Manfield een werkneemster niet mocht verplichten om haar vingerafdruk te laten scannen om het kassasysteem te gebruiken.

HEMA-personeel kan via het vingerscansysteem in- en uitklokken en zich bij de kassa's aanmelden. Vanaf 1 januari volgend jaar moeten alle vingerscansystemen uit de winkels zijn verwijderd, zo meldt NU.nl. Werknemers die nu al niet meer met hun vingerafdruk willen inloggen kunnen van een pincode gebruikmaken. Volgens HEMA bevestigt de uitspraak van de rechtbank in Amsterdam dat het gebruikte systeem niet aan de AVG voldoet.

De rechter stelde dat een vingerscan een biometrisch persoonsgegeven is en de verwerking daarvan is verboden, tenzij dit noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. In het geval van Manfield was dat onvoldoende gebleken. Tevens vond de rechter dat het tegengaan van fraude niet aan te merken is als noodzakelijke authenticatie- of beveiligingsdoeleinden. 

Alles bij de bron; Security


 

Je hoort steeds vaker dat bedrijven en instellingen vingerscanapparatuur gebruiken voor identificatie of urenregistratie. Men gebruikt dan termen als “gemakkelijk” en “secuur”. Uiteraard in het belang van de ondernemer of instelling. Dat is heel opmerkelijk, want het mag niet. Je komt het overal tegen, maar niemand slaat alarm. Ook de media niet, tot mijn verbazing. Het lijkt heel gewoon geworden, terwijl de wetgeving juist in 2018 enorm is aangescherpt...

De wetgeving is glashelder en de uitspraken van de rechter ook. Je mag geen biometrische gegevens afnemen, opslaan, delen en gebruiken. Slechts in zeer beperkte gevallen mag dat wel. Maar dan gaat het echt over zaken als bijvoorbeeld de beveiliging van de kerncentrale van Borssele. Dus niet voor het openen van de kassa, toegang bij een bedrijf of urenregistratie. Daar moet altijd worden gekozen voor een minder ingrijpend identificatiemiddel, zoals een pasje, pincode of tag.

Bedrijven - vooral de verkopers van de vingerscanapparatuur - schermen met het argument dat het wel mag met de toestemming van de werknemers van een bedrijf. Ook zeggen ze dat de vingerafdruk wordt versleuteld. De Autoriteit Persoonsgegevens en staatssecretaris Van Ark (Sociale Zaken) zijn er duidelijk over. Als er sprake is van een of andere vorm van gezagsverhouding of afhankelijkheid wordt een vingerafdruk niet met 100% zekerheid vrijwillig afgegeven en dus mag het niet! Als bedrijf moet je het eigenlijk ook gewoon niet willen. Gemak is nooit een goed argument om de regelgeving te ontduiken of terzijde te schuiven. Het risico van misbruik is veel te groot.

Privacyschending lijkt dus wel schimmel. Als het niet wordt bestreden overwoekert en bederft het alles. Dat vraagt om stevige bestrijding. Dat moet vanuit de maatschappij zelf, maar zeker ook vanuit de Autoriteit Persoonsgegevens. Nu is het net of privacyschending gewoon mag. Dat mag niet, het is strafbaar!

Alles bij de bron; PrivacyFirst


 

Voor diegenen die nog niet helemaal mee zijn met het nieuws: onze Belgische overheid had graag uw vingerafdrukken. Kraakvers zou dit nieuws toch niet mogen klinken, want het idee rijpt al sinds 2016, toen Jan Jambon (N-VA) op werkbezoek was in Marokko, de N-VA kreeg toen, na enig aandringen, toegang tot de uitgebreide Marokkaanse databank met vingerafdrukken. Elke Marokkaan - ouder dan 16 - moet daar immers zijn vingerafdrukken afgeven. Die toegang was voor Jambon slechts het begin van zijn waanzinnige veiligheidsqueeste: hij moést en zou zijn eigen Belgische databank creëren... 

...Er kwam echter een typisch Belgisch compromis tot stand: de vingerafdrukken (van de rechter- en linkerwijsvinger ) worden ingezameld door de steden & gemeenten, en komen op de eID terecht maar (nog) niet in een algemene databank. Ze blijven wel drie maanden beschikbaar. 

Het is daarbij nog steeds volkomen onduidelijk wie de gegevens zal verwerken, waar uw vingerafdrukken heengaan gedurende de drie maanden, welk systeem tot de beschikking zal staan van de ambtenaren op stedelijk en gemeentelijk niveau, en vooral, welke echte meerwaarde deze vingerafdrukken hebben. 

De wet op de vingerafdrukken werd - ondanks het negatief advies van de Gegevensbeschermingsautoriteit - gestemd op 14 november 2018, met 74 voor en 40 tegen. Men kan politici veel verwijten, maar een grote interesse in onze privacy, hebben ze niet...

...Er komt geen algemene databank van de vingerafdrukken, dus het is niet zo dat een politieagent straks zomaar even de vingerafdrukken van een misdaadscène kan gaan matchen met een algemene databank. Criminelen zullen dus niet sneller worden opgepakt door deze maatregel. Ook terroristen hebben lak aan deze maatregel: een eID zal nog altijd worden nagemaakt, quasi even makkelijk als nu.

Wie trouwens zo graag jongleert met het terrorisme-argument: in 2015 was er inderdaad een terrorist met een valse identiteitskaart. Hij bracht de bom tot ontploffing in de vertrekhal, waar quasi geen mens ter wereld zijn identiteit moet laten verifiëren.  Men speelt dus met emotionele argumenten, die uw onveiligheidsgevoel horen te voeden. Dat we in één van de meest veilige landen leven, zijn we blijkbaar genoegzaam aan het vergeten...

...Ik kan u vandaag met een grote mate van zekerheid vertellen dat als u straks, als onschuldige burger, uw vingerafdrukken afgeeft aan deze overheid met een wankele reputatie, geen crimineel gestopt zal worden. Het zal hem hoogstens een beetje hinderen, een ongemakje zeg maar, op zijn pad naar misdaad. En voor dat ongemakje hebt u zonet twee vingerafdrukken gedoneerd. 

Het goede nieuws? Als het misgaat - en dat gaat het onvermijdelijk -, hebt u er toch nog altijd acht over. Het glas is halfvol, toch? 

Alles bij de bron; VRT [Long-read]


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha