Datatilsynets referanse: 06/00047-17/AFL

PVN-2006-07 Tysvær kommune - fingeravtrykkspålogging
Klage på Datatilsynets vedtak om at Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem.

Personvernnemndas avgjørelse av 20. desember 2006 (Jon Bing, Gro Hillestad Thune, Leikny Øgrim, Siv Bergit Pedersen, Jostein Halgunset, Hanne I Bjurstrøm, Tom Bolstad)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra Tysvær kommune og Lenovo Technology BV Norway Branch (heretter ”Lenovo”) på Datatilsynets vedtak om at Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. Lenovo er leverandør av fingeravtrykkslesersystemet som kommunen benytter.


2 Saksgang

Datatilsynet mottok 20.12.2005 en e-post fra Tysvær kommune vedlagt kommunens IT-reglement. Det fremkommer av IT-reglementet pkt 5.10 at biometrisk tilgangskontroll skal benyttes. I e-post av 9.1.2006 spør Datatilsynet om kommunen benytter biometrisk tilgangskontroll. I e-post av samme dag bekrefter kommunen at de benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og også på noen stasjonære maskiner.

I e-post av 7.2.2006 ber Datatilsynet om mer presise svar på fem konkrete spørsmål knyttet til bruken av fingeravtrykk. Kommunens svar gis i e-post samme dag.

Datatilsynet varslet i brev av 7.3.2006 om vedtak om at Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. I brev av 19.5.2006 gir Wiersholm advokatfirma bemerkninger til det varslede vedtaket på vegne av Tysvær kommune, samt på vegne av Lenovo Technology BV Norway Branch (Lenovo) som er leverandør av fingeravtrykkssystemet som benyttes.

Datatilsynet fattet den 10.7.2006 vedtak i samsvar med det varslede. Kommunens bruk av fingeravtrykk måtte avsluttes innen 1.9.2006. Vedtaket ble påklaget av Tysvær kommune og Lenovo i brev datert 2.8.2006.

I e-post 4.8.2006 ba Datatilsynet om nærmere informasjon knyttet til opplysninger om at Stortinget benytter Lenovos løsning med fingeravtrykk. I e-post 7.8.2006 gir Wiersholm, ved advokat Kyrre Eggen, tilleggsinformasjon om dette. I brev av 14.8.2006 ber Datatilsynet om Stortingets kommentarer til opplysningene gitt av Wiersholm. Datatilsynet mottar svar fra Stortinget i e-post 24.8.2006.

Personvernnemnda mottok saken fra Datatilsynet 1.9.2006. Klager ble orientert om dette i e-post fra nemnda samme dag.

Kommunesektorens interesse- og arbeidsgiverorganisasjon (KS) har skrevet et støtteskriv i saken som Personvernnemnda mottok 5.9.2006. Videre har Wiersholm kommet med ytterligere kommentarer til klagen og Datatilsynets oversendelsesbrev i brev av 6.9.2006.

Datatilsynet hadde pålagt Tysvær kommune å stanse bruken av fingeravtrykkspålogging innen 1. september. Tysvær kommune ba om at vedtaket ikke skulle iverksettes før klagen er ferdig behandlet hos Personvernnemnda. Datatilsynet vurderte dette, jf forvaltningsloven § 42, men fant at det ikke var grunnlag for å etterkomme kravet. Klageren har bedt Personvernnemnda omgjøre denne beslutningen, og nemnda gjorde dette i beslutning av 22.9.2006.

Personvernnemndas leder Jon Bing og nemndas sekretær Tonje R Gulliksen møtte Datatilsynet (Knut Kaspersen, Astrid Flesland og Helge Veum) 30.10.2006 for en generell samtale om personopplysningsloven § 12 og biometrisakene.

Personvernnemndas leder Jon Bing og nemndas sekretær Tonje R Gulliksen møtte Tysvær kommunes advokater (Kyrre Eggen, Line Coll og Rune Opdahl) 31.10.2006 for en samtale om personopplysningsloven § 12 og denne saken.


3 Faktum

Tysvær kommune har kjøpt ca 60 bærbare Lenovo datamaskiner og har ca 90 i bestilling. De bærbare datamaskinene er utstyrt med fingeravtrykkslesere. Hensikten er å øke sikkerheten mot uvedkommendes adgang til sensitive data i kommunens datasystem. Kommunens ansatte skal, i stedet for manuell inntasting av brukernavn og passord, avlese fingeren. En avlesing av opptil 75 punkter på brukerens finger (template) gir en påfølgende automatisk inntasting av brukernavn og passord ved tilfredsstillende match.

Kommunen benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og noen av de stasjonære. Det følger av kommunens IT-reglement pkt 5.10 ”Dokumenttryggleik” at:

Sensitiv informasjon skal ikkje lagrast på lokale maskinar. Unntaket er der slik lagring er klarert med IT-kontoret og gjort i samsvar med Datatilsynet sine retningslinjer med biometrisk tilgangskontroll, kryptering av harddisk og andre tryggleikstiltak.

Kommunen har opplyst at når brukerens fingeravtrykk blir avlest i datamaskinen gis det fire-fem passord. På den måten låser man opp hovedkortet på maskinen, harddisken og kryptert partisjon på maskinen (dataområde), samt identifiserer brukeren mot AD og tildeler rettigheter. I tillegg kan brukeren selv bruke metoden til å legge inn passord som kan brukes andre steder, for eksempel på web. Når maskinen er avslått er harddisken låst og kryptert. Administratornivået er også låst. De bærbare maskinene er låst til å bruke kommunens sikkerhetssystemer uansett hvor de er tilkoblet. Da kan sensitive data oppbevares også lokalt på de bærbare maskinene og brukeren får tilgang til ressursene uansett hvor man måtte befinne seg ved hjelp av kryptert tunnellering.

De biometriske dataene oppbevares på en kryptert server på sikret datarom på rådhuset. Det er etablert rutiner for håndteringen av disse slik at dataene ikke skal brukes andre steder eller tas ut fra systemet.

Datatilsynet har fattet følgende vedtak:

Tysvær kommune må avslutte enhver bruk av fingeravtrykk i tilknytning til pålogging av datasystem

4 Anførslene

Klager anfører at hensikten med Tysvær kommunes innkjøp av bærbare datamaskiner med fingeravtrykkslesere er å øke sikkerheten mot uvedkommendes adgang til sensitive data i kommunens datasystem. Bruk av fingeravtrykksleser ved pålogging er en sikrere autentiseringsmetode enn tradisjonell bruk av brukernavn og passord. Det skaper et bedret personvern for kommunens klienter, samtidig som løsningen ikke innebærer noen økt personverntrussel for kommunens ansatte.

Tysvær kommune har store mengder personopplysninger om sine klienter, både sensitive og ikke-sensitive. Kommunen har implementert en rekke sikkerhetsforanstaltninger for å sikre behandlingen av disse opplysningene. Denne investeringen i sikkerhet ville vært av redusert verdi dersom man ikke også økte sikkerheten med hensyn til pålogging.

Kommunen hevder at kommunens fingeravtrykkslesere leser ikke fingeravtrykk som sådan, men matematiske koder. De matematiske kodene blir innhentet ved første gangs pålogging. Etter vanlig pålogging med brukernavn og passord vil en applikasjon be den ansatte om å presentere to til tre fingre for avleseren. Biometriske data leses av internt i avleseren. Opptil 75 punkter i avtrykket blir behandlet ved hjelp av algoritmer. Det som lagres er utelukkende matematiske verdier og koordinater som definerer disse 75 punktene. Dataene utgjør personens template. Den lagrede templaten linkes opp mot det unike brukernavnet, men det er ingen direkte kobling mellom template og brukerens identitet. Avlesing av fingerens data fungerer som et substitutt for å taste inn brukernavn og passord. ”Match” mellom finger og template gjør at passord automatisk fylles inn. Det vil si at den etterfølgende presentasjon av samme finger vil det skje en ny innsamling og registrering av opptil 75 matematiske punkter i fingeren, samt en sammenstilling av disse data med den lagrede template. Kommunen foretar med andre ord ikke elektronisk behandling av fingeravtrykk som sådan. Det er ikke hele fingeravtrykket som behandles, kun 75 punkter på brukerens finger.

Er template lagret i den fysiske avleserenheten (brikken på selve fingeravtrykksleseren), vil all behandling av data foregå internt i denne enheten. Det er derfor ikke nødvendig med noen kryptering av kommunikasjon. Enheten er et beskyttet minneområde, og det er teknisk tilnærmet umulig å hente data ut fra dette området. Er template lagret lokalt eller på server, er templaten, og dermed også kommunikasjonen på denne, kryptert ved hjelp av algoritmer. Dersom template er lagret på server, er all kommunikasjon av template mellom klient og server beskyttet med en SSL-tilkobling.

I følge kommunen skjer det ingen bekreftelse av vedkommendes sanne identitet, systemet brukes ikke for identifikasjon. Når en ansatt logger inn ved hjelp av fingeravtrykksleseren skjer en verifisering av hvorvidt personen som forsøker å logge seg på er autorisert og eventuelt hvilke rettigheter vedkommende har i systemet. Bruk av fingeravtrykksleseren er utelukkende en autentiseringsmetode og innebærer ingen økt risiko for identifisering i forhold til tradisjonell bruk av brukernavn og passord.

Tysvær kommune hevder at dersom de må slutte med påloggingsteknologien må man reversere til et innloggingssystem basert på brukernavn og passord. Passord er avhengig av at konfidensialitet overholdes. Passord kan gjettes og i kontorlandskap kan man ”skuldersurfe” slik at man kan se andres passord. Passord kan også hackes. I følge kommunens tidligere erfaring gir dette ikke tilstrekkelig beskyttelse mot uautorisert tilgang til datasystemet, med potensielt meget skadelige konsekvenser for personvernet for kommunens innbyggere. Reversering av innloggingssystemet vil medføre redusert stabilitet og økte kostnader. Dersom kommunen ikke kan bruke fingeravtrykksteknologien blir det vanskelig og dyrt for kommunen å legge opp til en god teknisk plattform for de ansatte som gjør organisasjonen smidig samtidig som man innen både skolesektoren og andre sektorer får gitt de tjenester man er pålagt og som gir en god og fleksibel arbeidsdag for de ansatte.

Kommunen anfører at fingeravtrykksleseren ikke innebærer noen krenkelse av den personlige integritet for de ansatte. De ansatte har kontroll og oversikt over den behandling av personopplysninger som skjer ved bruk av templater.

Tysvær kommune har et slags pilotprosjekt med fingeravtrykksleser som er tenkt kopiert av øvrige kommuner. Det anføres at disse kommunene avventer utfallet av denne saken.

Når det gjelder de rettslige anførsler anfører klager prinsipalt at personopplysningsloven § 12 ikke får anvendelse i saken. Det anføres tre selvstendige grunner for dette:

  1. Påloggingsteknologien som Tysvær kommune anvender bruker ikke fingeravtrykk, men ”templater”. Teknologien benytter ikke ”identifikasjonsmidler”, men derimot autentiseringsmidler. Autentisering er svar på ”er jeg den jeg pretenderer å være?”, mens identifikasjon er svar på ”hvem er jeg?”. Et identifikasjonsmiddel anerkjenner et individ ved å skjelne biometriske data knyttet til vedkommende fra biometriske data knyttet til andre. En autentiseringsmetode vil anerkjenne et individ ved å verifisere om to faktiske forhold har en tilstrekkelig sammenheng. I Tysvær kommune er templater lagret sentralt. Likevel er det bare ved den ansattes første gangs bruk av maskinen at det skjer en kommunikasjon mellom den presenterte fingeren og den sentralt lagrede template. Deretter skjer dette lokalt i den fysiske avleserenheten. Her er det normalt kun lagret templater knyttet til en person. Den ansattes forsøk på innlogging blir besvart ved ”ja” eller ”nei”. Det skjer en verifikasjon av at to faktiske omstendigheter korresponderer med hverandre. Det skjer ingen skjelning av ett individ fra et annet hvor svaret er at vedkommende er ansatt X. Fingeravtrykksleseren er derfor ikke et identifikasjonsmiddel. Siden bestemmelsen kun gjelder bruk av ”identifikasjonsmidler”, er ikke bestemmelsen anvendelig på den påloggingsteknologi som Tysvær kommune benytter.
  2. Påloggingsteknologien benyttes utelukkende til autentisering, ikke til identifikasjon. Templater er et substitutt for passord, ikke et middel for identifikasjon. Siden personopplysningsloven § 12 gjelder bruk av ”identifikasjonsmidler” til identifikasjon (eller hvor det middel som benyttes kan brukes til entydig identifikasjon, noe ”templater” ikke kan brukes til), er ikke bestemmelsen anvendelig.
  3. Dersom Personvernnemnda mener at Tysvær kommune benytter identifikasjonsmidler, anføres det at disse ikke er tilstrekkelig ”entydige”. Sannsynligheten for at en uautorisert får match på en template er ca 1:2500. Denne sannsynligheten gir for lav entydighet til at lovens krav er oppfylt. Det er ikke mulig å foreta en entydig identifikasjon av en person ut i fra en template. Det er ikke mulig å gjenskape et fingeravtrykk ut fra en template. Personopplysningsloven § 12 regulerer ikke identifikasjonsmidler generelt sett. Den gjelder kun bruk av entydige identifikasjonsmidler.

Subsidiært, under den forutsetning at § 12 får anvendelse, anfører klager at vilkårene i personopplysningsloven § 12 er oppfylt. Tysvær kommunes bruk av påloggingsteknologien ivaretar et saklig behov idet kommunen har et behov for sikre metoder for verifisering av autoriserte brukere. Etter kommunens tolkning av personopplysningsloven § 12 gir bestemmelsen gjennom ordet ”nødvendig” en anvisning på en proporsjonalitetsvurdering. Ved proporsjonalitetsvurderingen må ta hensyn til kommunens behov for å benytte påloggingsteknologien, eventuelle trusler mot personvernet bruken av teknologien måtte innebære og eventuelle personverngevinster bruken av teknologien måtte innebære. Også andre reelle hensyn og hensynet til lojal oppfyllelse av Norges EØS-forpliktelser må tas i betraktning ved denne proporsjonalitetsvurderingen.

Kommunen er av den oppfatning at § 12 må undergis en formålsorientert tolkning hvoretter bestemmelsen kun forbyr bruk av entydige identifikasjonsmidler i situasjoner der det eksisterer en fare for misbruk av slike entydige identifikasjonsmidler. Hensikten med tillegget ”og andre entydige identifikasjonsmidler” må være å omfatte identifikasjonsmidler med samme karakter som fødselsnummer. Templater egner seg til identifikasjon og autentisering. De formål som ligger til grunn for § 12 – å forhindre misbruk av identifikasjonsmidler til annet enn identifikasjon – passer således ikke for templater.


5 Støtteskriv fra KS

I brev av 5.9.2006 støtter KS Tysvær kommunes syn om at bruk av templater som tar utgangspunkt i avgitte fingeravtrykk ikke omfattes av personopplysningsloven § 12 fordi dette ikke er å anse som behandling av ”andre entydige identifikasjonsmidler”. KS’ syn er at mens fødselsnummer, DNA-analyse, fotografi og signatur er egnet til entydig å identifisere hvem det er tale om, er ikke det samme tilfelle med en template som har tatt utgangspunkt i fingeravtrykk. At man ved denne påloggingsteknologien har tatt utgangspunkt i biometrisk data man innhenter, innebærer ikke at templater som lagres kan anses som entydige identifikasjonsmidler.

KS støtter også klagernes subsidiære standpunkt om at dersom det aktuelle påloggingssystemet anses å innebære behandling av entydige identifikasjonsmidler, så foreligger det fra kommunenes side et åpenbart saklig behov for dette og metoden er nødvendig. KS mener at det i denne vurderingen må foretas en helhetsvurdering basert på de ulike parters legitime interesser, og at man ikke uten videre kan basere seg på hvorvidt en kommunes eksisterende system anses å gi tilstrekkelig grad av informasjonssikkerhet. Den teknologiske utvikling – og kommunens ansattes og brukernes forventninger – innebærer at man må kunne tilby fleksible løsninger for bruk av bærbart utstyr som tas med utenfor sikrede nettverk. En slik bruk av bærbart utstyr utenfor sikret nettverk kan innebære redusert grad av informasjonssikkerhet, og det er avgjørende at dette kompenseres med en høyere grad av sikkerhet ved pålogging.

6 Datatilsynets vurdering

I følge Datatilsynet synes det å være enighet mellom klager og Datatilsynet om at identifisering er noe annet enn autentisering, eller bekreftelse av identitet. Uenigheten ligger i spørsmålet om et fingeravtrykk, eller templater av dette, skal anses som entydige identifikasjonsmidler, og om bruken av fingeravtrykk eller template for autentiseringsformål skal falle inn under bestemmelsen i personopplysningsloven § 12.

Datatilsynet mener at bruk av fingeravtrykk og templater faller inn under begrepet ”entydige identifikasjonsmidler”. En template kan ikke utformes uten at det først avgis et fullstendig fingeravtrykk. Fingeravtrykket må avgis hver gang løsningen benyttes og det er det man bruker for å identifisere seg som er identifikasjonsmiddelet. Det avgjørende er ikke om templaten kan reverseres til et fingeravtrykk, men at den er entydig for hvert enkelt individ. Tilsynet mener derfor at også bruken av template innebærer bruk av et entydig identifikasjonsmiddel.

Bestemmelsen i personopplysningsloven § 12 har to kumulative vilkår;

  1. det er saklig behov for sikker identifisering
  2. metoden er nødvendig for å oppnå slik identifisering

Vilkåret i personopplysningsloven § 12 er at det foreligger ”saklig behov for sikker identifisering”. Datatilsynet finner at ordet ”identifisering” skal tolkes strengt, slik at bruken av entydige identifikasjonsmidler som legitimasjon eller i tilknytning til verifisering av identitet/autentisering ikke er tillatt. Den bruk kommunen gjør av fingeravtrykk (template) er knyttet til autentisering. Etter Datatilsynets tolkning av § 12 er imidlertid bruk av entydige identifikasjonsmidler kun tillatt i tilknytning til sikker identifisering. Dersom bruken faller utenfor § 12 er bruken forbudt.

Selv om det etter Datatilsynets vurdering foreligger saklig behov for sikker identifisering for å sikre at sensitive personopplysninger i datasystemet ikke kommer på avveie, er det Datatilsynets oppfatning at bruk av fingeravtrykksløsning ikke er nødvendig for å oppnå slik sikker identifisering. Det er klart uttalt i forarbeidene at entydige identifikasjonsmidler ikke skal brukes i utrengsmål. Det følger av dette at nødvendighetsvurderingen bør være streng.

Man kan oppnå like sikker identifisering av brukerne uten å benytte fingeravtrykk, for eksempel ved brukeridentitet eller ansattnummer. For å gi bedre datasikkerhet kan deretter andre lovlige autentiseringsmidler benyttes, for eksempel smartkort kombinert med passord.

Datatilsynet bemerker at bruk av fingeravtrykk alene i påloggingen ikke medfører noen datasikkerhetsgevinst i forhold til andre løsninger. Av sikkerhetsårsaker bør alltid flere parametre, for eksempel brukernavn og passord, benyttes.

Datatilsynet har vanskelig for å se at fingeravtrykkspålogging skal gi personverngevinster. Det finnes andre tekniske og administrative løsninger som kan gi tilfredsstillende informasjonssikkerhet.

Klager har anført at bruk av løsningen med fingeravtrykk gir en sikkerhet for uautorisert match på 1:2500. Datatilsynet finner det tvilsomt om dette er en sikkerhet som er tilstrekkelig i forhold til krav i personopplysningsforskriften til at personopplysninger skal sikres mot uautorisert innsyn, bruk og endring, jf personopplysningsforskriften §§ 2-11, 2-13 og 2-14.

Datatilsynet finner ikke at andre lands tolkning av personverndirektivet kan gis avgjørende betydning for tolkningen av personopplysningsloven § 12 når Stortinget bevisst har vedtatt en regel med strenge vilkår for bruk av fødselsnummer og andre entydige identifikasjonsmidler. Personverndirektivet utgjør en minstestandard for lovgivning. De enkelte EU/EØS-land kan velge å ha en strengere bestemmelse i nasjonal lovgivning.

Datatilsynet er ikke kjent med at det finnes avgjørelser i andre EU/EØS-land knyttet til fingeravtrykk brukt i pålogging til datasystemer hvor sensitive personopplysninger behandles.


7 Personvernnemndas merknader

7.1 Oppsettende virkning

Tysvær kommune har klaget på at Datatilsynet ikke ga klagen på Datatilsynets vedtak oppsettende virkning. I egen beslutning av 22.9.2006 har Personvernnemnda imøtekommet Tysvær kommunes begjæring og gitt klagen oppsettende virkning inntil Personvernnemndas vedtak foreligger, jf forvaltningsloven § 42.

 

7.2 Grunnkrav til behandling av personopplysninger

Etter personopplysningsloven § 11, 1. ledd litra a, jf § 8, må det foreligge et behandlingsgrunnlag før personopplysninger kan behandles. Et av behandlingsgrunnlagene som § 8 gir anvisning på er samtykke. Det kan hevdes at samtykke er innhentet ved at påloggingsteknologien er frivillig. De ansatte avgir fingeravtrykket frivillig, de gjør dette selv ved første gangs pålogging på maskinen og det er mulig å velge teknologien vekk. Vilkåret i personopplysningsloven § 8, 1. ledd, er dermed oppfylt.

I PVN-2005-06 Securitas har nemnda uttalt seg generelt om samtykke fra arbeidstaker som behandlingsgrunn. Nemnda legger der til grunn at hovedregelen vil være at samtykke ikke kan være en tilfredsstillende behandlingsgrunn etter personopplysningsloven § 8 første alternativ. Nemnda utelukket imidlertid ikke at det kan være spesielle situasjoner der man kan bygge på samtykke. I den aktuelle sak, hvor det er opp til den enkelte ansatte å velge hvorvidt teknologien brukes, og hvor det ikke vil ha noen negative følger for arbeidsforholdet at den velges bort, antar nemnda at samtykke er tilstrekkelig som behandlingsgrunn.

Spørsmålet er videre om de øvrige kravene i personopplysningsloven § 11 er oppfylt. Det gjelder særlig personopplysningsloven § 11 litra b og c, om at opplysningene bare brukes til formål som er saklig begrunnet i den behandlingsansvarliges virksomhet og at de ikke brukes senere til formål som er uforenelig med det opprinnelige formålet. Personvernnemnda legger til grunn at disse vilkårene også er oppfylt.

 

7.3 Generelt om fingeravtrykk som tilgangskontroll

 

Ved bruk av fingeravtrykk for å gi tilgang til en datamaskin, erstatter lesing (skanning) av fingeravtrykket bruk av passord, eventuelt både brukernavn og passord. Brukeren har på forhånd registrert avtrykk av en eller flere fingrer ved å trekke fingeren over en smal skanner (optisk leser) integrert i maskinen. Ved første gangs registrering trekkes fingeren flere ganger inntil maskinen finner at avtrykket avleses på samme måte hver gang og godkjenner registrering.

Avtrykket behandles av registreringsenheten. Først velges det ut visse punkter fra mønsteret i fingeravtrykket etter en regel som kan variere fra enhet til enhet. Disse punktene vil ha ulike verdier alt etter utseendet til de deler av mønsteret som faller sammen med punktene.

Disse verdiene behandles så etter en regneregel (en algoritme) som danner en ”template” (på norsk brukes gjerne uttrykket ”mal” for det engelske ”template”, men i vedtaket er det brukt samme terminologi som i sakens dokumenter), denne templaten lagres så i enheten for tilgangskontroll. Det er gjerne et lite antall punkter som velges ut, i saken er det opplyst at det benyttes opptil 75 punkter. Dette er for få punkter til at det er mulig å regenerere fingeravtrykket ved hjelp av templaten. Om det skal være mulig, må det registreres nok punkter til at det kan regeneres et bilde – en vanlig telefaks har en oppløsning på 9000 punkter per kvadrattomme, som gir et inntrykk av hva som kreves for å lagre avtrykket som et ”bilde”. Men punktene er tilstrekkelig til at sannsynligheten for at to ulike fingrer skal generere samme template er svært små, også sammenlignet med sannsynligheten for at en uvedkommende skal finne frem til et passord valgt av bruker.

Når brukeren skal benytte maskinen, trekkes fingeren over leseren på ny. Punkter registreres etter regelen, og det beregnes en verdi. Denne sammenlignes med den registrerte verdi, dvs templaten. For å godkjennes, må den beregnede verdien ligge innenfor en definert grense for avvik, ellers avvises forsøket på å få tilgang.

Hvis avlesningen er vellykket, sender enheten for tilgangskontroll en kryptert melding til maskinen, som deretter blir tilgjengelig for brukeren.

Dette er en forenklet og prinsipiell fremstilling av bruken. I saken benyttes en teknikk som svarer til dette. I praksis er det både raskt og enkelt for brukeren å få tilgang på denne måten.

 

7.4 Saker vedrørende fingeravtrykk i Sverige og Danmark

Nedenfor følger noen svenske og danske saker vedrørende bruk av fingeravtrykk som adgangs- eller tilgangskontroll. I svensk og dansk rett finnes det ingen bestemmelse tilsvarende den norske personopplysningsloven § 12 – for øvrig finnes det heller ingen bestemmelse som tilsvarer den norske personopplysningsloven § 12 i Personverndirektivet. I Sverige og Danmark benytter man derfor de vanlige reglene, tilsvarende den norske personopplysningsloven §§ 11, jf 8.

7.4.1 Kvarnbyskolan

Den svenske Datainspektionen har vedtatt i sak 555-2004 (2004-05-05) at behandling av personopplysninger i forbindelse med biometrisk innlogging ved Kvarnby skole strider mot den svenske personuppgiftslagen (PuL). Skolen benytter fingeravtrykksleser når elevene logger inn på skolens datamaskiner. Elevens finger skannes og systemet leser av åtte punkter på en finger. De målte verdiene lagres deretter som et komprimert digitalt tall i kryptert form. Noe egentlig fingeravtrykk registreres ikke. Det er heller ikke mulig å gjenskape et fingeravtrykk ved hjelp av de innleste målepunktene. Opplysningene lagres i en kryptert database i en server som Stockholm kommune har ansvar for. Når en elev skal logge inn på en av skolens datamaskiner, legger eleven fingeren på en fingeravleser for at elevens identitet skal kunne kontrolleres. Det primære hensynet bak fingeravleseren er at elevene skal logge seg inn på en sikker måte, slik at det bare er eleven selv som kan komme inn på sin hjemmekatalog.

Datainspektionen kommer til at den biometriske innloggingen er tillatt dersom skolens interesse i å behandle de biometriske opplysningene veier tyngre enn elevenes interesse i å få ha sine personopplysninger i fred. Etter en samlet bedømmelse kommer Datainspektionen til at behandlingen kan tillates dersom det innhentes samtykke til behandlingen fra elevenes foresatte og de foresatte blir tilstrekkelig informert om behandlingen i samsvar med PuLs bestemmelser. Det blir i interesseavveiningen lagt vekt på at de opplysninger som lagres er relativt få, det er ikke tale om å registrere hele fingeravtrykk og et fingeravtrykk kan ikke gjenskapes ut fra de opplysninger som blir registrert.

7.4.2 Spånga - Tensta skoler

Den svenske Datainspektionen har vedtatt i sak 2105-2003 (2004-05-05) at behandling av personopplysninger i forbindelse med biometrisk innlogging ved skoler i bydelen Spånga-Tensta strider mot den svenske personuppgiftslagen (PuL). Skolene benytter fingeravtrykksleser når elevene logger inn på skolens datamaskiner på samme måte som i saken vedrørende Kvarnby skole. Datainspektionen finner at den informasjon som gis til de foresatte ikke er i samsvar med PuLs krav til gyldig samtykke. Datainspektionen kommer til at behandlingen kan tillates dersom det innhentes samtykke til behandlingen fra elevenes foresatte og de foresatte blir tilstrekkelig informert om behandlingen i samsvar med PuLs bestemmelser.

7.4.3 Gymnasieskolan i Uddevalla

I Gymnasieskolan i Uddevalla blir det brukt tallerkenautomater i skolens kantine. Automaten har fingeravlesing. Årsaken er at skolen ønsker å identifisere de elevene som har betalt matavgift og dermed kan spise mat som serveres i skolens kantine. Eleven må slå sin personlige firesifrede kode og lese av en finger for å få en tallerken ut av automaten. Ca 30 målepunkter skannes inn fra en finger. Hele fingeravtrykket registreres ikke. Målepunktene lagres sammen med den personlige koden i en separat database. I en annen database lagres elevens navn, klasse og den personlige koden.

Kammarrätten i Stockholm kommer i dom av 1.11.2005 (sak nr 1982-05) til at Uddevalla kommune oppfyller de grunnleggende krav til behandling av personopplysninger i PuL. Etter en interesseavveining mellom kommunens behov for et smidig og enkelt system for å kontrollere at bare de elever som har betalt matavgift får skolemåltid og elevenes interesse i beskyttelse mot krenkelse av den personlige integritet, finner Kammarrätten at den aktuelle personopplysningsbehandlingen ikke utgjør noen nevneverdig inngrep i den personlige integritet og kommunens interesse veier dermed tyngre. Kommunens behandling av personopplysninger var derfor tillatt uten å måtte innhente samtykke.

Saken er overklaget til Regeringsrätten og har fått saksnummer 6588-05. Saken er pågående (per 18.12.2006) og det foreligger ingen beslutning ennå.

7.4.4 Bornholmerkort

I Danmark uttalte det danske Datatilsynet seg den 4.3.2003 i forbindelse med at BornholmsTrafikken ønsket å benytte fingeravtrykk til identifikasjon i forbindelse med et nytt ID-kort til pendlere. Det såkalte Bornholmerkortet er et personlig chipkort som inneholder kundens fingeravtrykk. Betaling for reisen foretas automatisk ved at billettprisen trekkes fra kundens kredittkort.

Ved utstedelse av Bornholmerkortet blir det via et ”Bio-match-program” utregnet en verdi på 19 målepunkter av kundens fingeravtrykk. Denne verdien lagres i chipkortet. Det ligger med andre ord ikke kopi av kundens fingeravtrykk i chippen. Den utregnede verdien ligger kun i kortet, den er ikke lagret i noen sentral database.

Når kunden skal reise, dras Bornholmerkortet i en kortleser som sjekker om kundenummeret finnes i bookingsystemet. Deretter drar kunden en finger på en skanner. Hvis skanneren kan matche kundens fingeravtrykk med verdien i Bornholmerkortet, gis kunden adgang til fergen.

Datatilsynet kommer til at hensynet til BornholmsTrafikkens interesse i å sikre entydig identifikasjon av kundene veier tyngre enn kundens interesse i at opplysningene ikke behandles. Datatilsynet legger vekt på at kunden frivillig har valgt å benytte rabattkortet Bornholmerkortet. Videre legges det vekt på at kundens fingeravtrykk kun oppbevares på kundens eget kort og at verken verdien eller fingeravtrykket oppbevares eller lagres andre steder.

 

7.5 Personopplysningsloven § 12

7.5.1 Er fingeravtrykk et "entydig identifikasjonsmiddel"?

Personopplysningsloven § 12, 1. ledd lyder:

Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Det følger av forarbeidene (Ot prp nr 92 (98-99) side 114, 1. spalte):

Bestemmelsen gir en generell regulering av bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data. Slike identifikasjonsmidler bør ikke benyttes i utrengsmål. Kravet til nødvendighet i første ledd vil bare være oppfylt dersom andre og mindre sikre identifikasjonsmidler, som f.eks navn, adresse og kundenummer ikke er tilstrekkelig. Det vil også ha betydning hvor viktig sikker identifisering er for den registrerte, dvs hvilke konsekvenser en forveksling kan føre til. Også samfunnets behov kan tillegges vekt.

Spørsmålet for Personvernnemnda er om § 12 kommer til anvendelse i denne saken.

Betegnelsen ”identifikasjonsmiddel” er ikke klar. Det kan ha ulike tolkninger. For det første kan et identifikasjonsmiddel være ”noe” som brukes for å gjenfinne opplysninger om én enkelt, på forhånd kjent person i en stor mengde med data, typisk en database. I en database vil det være en ”nøkkel”, denne nøkkelen vil måtte være entydig, ellers vil opplysninger om flere personer kunne forveksles. Fødselsnummer er en slik entydig identifikasjonsnøkkel. For det annet kan et identifikasjonsmiddel benyttes til autentisering etter at identifiseringen har funnet sted. Identifisering kan skje på en måte, for eksempel ved fødselsnummer. Når kandidaten for autentisering er funnet, skal man sikre at sannsynligheten for identitet er høy, i alle fall høyere enn den man får ved bruk av navn og fødselsdato. Spørsmålet for nemnda blir om personopplysningsloven § 12 dekker begge former for bruk av et ”identifikasjonsmiddel”.

Nemnda er i utgangspunktet av den oppfatning at fødselsnummer og fingeravtrykk ikke nødvendigvis kan sammenlignes.

Fødselsnummeret er et entydig nummer tildelt den enkelte. Det kan brukes til oppslag i ett system, men også til samkjøring av flere systemer som bruker fødselsnummeret. Nemnda antar at det først og fremst har vært risikoen for samkjøring som historisk begrunner den restriktive reguleringen av bruk av fødselsnummeret.

Fingeravtrykk er en personlig egenskap. Dette vil først og fremst kunne brukes for å bestemme at en person ved gjentatt bruk av et system, er den samme personen som tidligere har presentert seg for systemet og latt fingeravtrykket registrere.

Loven forutsetter at fødselsnummer kan brukes som ”entydig indentifikasjonsmiddel”.

Med ”entydig” sikter loven åpenbart til noe mer enn at identifikasjonen er entydig overfor det enkelte system. En identifikasjon må selvsagt være entydig innen systemets rammer, ellers vil den ikke kunne benyttes til oppslag. I denne forstand vil for eksempel en kundeidentifikasjon (KID) også være entydig innenfor det aktuelle systemet for de aktuelle kunder. Når loven krever at identifikasjonsmiddelet må være entydig, kreves det altså noe mer. Nemnda legger til grunn at loven må tolkes slik at identifikasjonsmiddelet må være egnet til bruk som identifikasjon i flere systemer. Fødselsnummeret vil i denne forstand være et entydig identifikasjonsmiddel, fordi det kan være en nøkkel til å gjenfinne informasjon i flere ulike systemer. Fingeravtrykk vil også være et entydig identifikasjonsmiddel i denne forstand fordi samme avtrykk kan brukes til å få tilgang til flere system.

Som den innledende presentasjonen (ovenfor i pkt 7.3) illustrerer, vil det internt i systemet ikke nødvendigvis brukes en nøkkel som er identisk med fingeravtrykket eller fødselsnummeret. Fingeravtrykket konverteres til en template, og denne templaten er i seg selv ikke et entydig identifikasjonsmiddel. Også et fødselsnummer kan behandles av et system slik at systemet selv bruker (og viser) et kryptert eller pseudonymisert nummer. Personvernnemnda forstår loven slik at den med ”identifikasjonsmiddel” sikter til hva brukeren presenterer til systemet – et fingeravtrykk (som så behandles av systemets adgangskontroll) eller et fødselsnummer (som også kan f eks krypteres). Fingeravtrykket vil kunne brukes til å få tilgang til flere systemer, mens de ulike systemene i praksis vil konvertere det avleste avtrykket til ulike templater. Dette forhindrer ikke at fingeravtrykket anses som et ”entydig identifikasjonsmiddel” i lovens forstand.

Et annet hovedformål med personopplysningsloven § 12 er å unngå at fødselsnummer brukes til noe mer enn identifikasjon. I en typisk situasjon hvor en bruker søker tilgang til et system, vil brukeren først identifisere seg med et brukernavn, en brukerkonto eller lignende, deretter vil brukeren måtte autentisere denne ”påstanden”, noe som typisk gjøres ved et passord, en PIN-kode, et magnetstripekort mv som bekrefter identiteten ved sammenligning med forhåndslagrede opplysninger.

Fødselsnummeret vil være velegnet til identifikasjon, men er helt uegnet til autentisering (legitimasjon). Fingeravtrykket kan derimot brukes til begge deler.

I det aktuelle systemet i denne saken vil fingeravtrykket avleses av en enhet integrert i den bærbare maskinen. Denne avlesningen behandles med sikte på å komme frem til en representasjon. Denne representasjonen bygger på avlesning av visse punkter i fingeravtrykket bestemt av den innebygde logikken i enheten. Representasjonen kan så sammenlignes med den template som er lagret for fingeravtrykket til en autorisert bruker. Hvis sammenligningen ligger innenfor den forhåndsdefinerte margin for avvik, vil (1) brukeren være identifisert, og (2) brukeren være autentisert. Den innebygde enheten produserer så en kryptert nøkkel som sendes fra enheten til den bærbare maskinen, som deretter vil være tilgjengelig for brukeren.

Nemnda vil ikke unnlate å peke på at selv om loven må tolkes slik at både fødselsnummer og fingeravtrykk, på bakgrunn av forarbeidenes uttrykkelige eksemplifisering, må anses for å være entydige identifikasjonsmidler, er det store forskjeller på de to tilfellene. Nemnda stiller seg kritisk til hvorvidt det er ønskelig å regulere de to tilfellene på samme måte, særlig når dette bare har grunnlag i en enkelt setning i forarbeidene uten nærmere utredning av konsekvenser. Biometriske metoder til bruk for identifikasjon eller autentisering har vært i sterk utvikling siden loven ble vedtatt. Nemnda har merket seg at Datatilsynet har fremmet forslag om særlig regulering av biometriske metoder, og stiller seg sterkt positiv til at dette blir gjort, og blir gitt prioritet i revisjonsarbeidet. Nemnda forstår forslaget til revisjon av personopplysningsloven av Dag Wiese Schartum og Lee A Bygrave på samme måte, jf Utredning av behov for endringer i personopplysningsloven, Rapport 2006 (Justisdepartementet) s 198.

Oppsummeringsvis er Personvernnemnda av den oppfatning at personopplysningsloven § 12 kommer til anvendelse i denne saken. Nemnda legger da avgjørende vekt på forarbeidenes uttalelse om at fingeravtrykk er et eksempel på ”andre entydige identifikasjonsmidler”.

En særmerknad:

To av nemndas medlemmer (Leikny Øgrim og Jostein Halgunset) har et avvikende syn på hvilken vekt som skal legges på forarbeidenes uttalelse om at personopplysningsloven § 12 gjelder ”bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data”. Medlemmene mener det er uheldig å låse lovtolkningen på grunnlag av en kort bemerkning i lovforarbeidene, som åpenbart ikke er bygget på en nærmere vurdering av hvilke ulike måter fingeravtrykk kan brukes på og som derfor framstår som svært summarisk og lite nyansert. Fødselsnummer og fingeravtrykk er prinsipielt såpass forskjellige størrelser at de ikke kan betraktes som beslektet annet enn i noen spesielle anvendelser. Når ”fingeravtrykk og andre biometriske data” i lovforarbeidene omtales som ”andre entydige identifikasjonsmidler ” enn ”fødselsnummer”, må man derfor anta at forfatteren her har siktet til situasjoner hvor fingeravtrykk benyttes på en måte som har likhetstrekk med den måte fødselsnummer benyttes på, og hvor man altså teoretisk kunne velge mellom å bruke det ene eller det andre. Dette er ikke tilfelle i den foreliggende saken. Fingeravtrykk kan benyttes til å verifisere at det er riktig person som forsøker å logge seg på en datamaskin. Fødselsnummeret kan ikke brukes til dette formålet. Ut fra dette virker det ikke som personopplysningsloven § 12 er ment å skulle regulere situasjoner som den vi her har med å gjøre.

Om man likevel skulle komme til at fingeravtrykk prinsipielt er å oppfatte som ”entydig identifikasjonsmiddel”, fordi det i noen situasjoner kan brukes analogt med fødselsnummer, og at det derfor faller innenfor personopplysningsloven § 12 uansett konkret anvendelse, vil man likevel ikke kunne oppfatte templater av fingeravtrykk på denne måten. Det er vanskelig å se noen mulighet til å bruke template av fingeravtrykk som erstatning for fødselsnummer, eller omvendt. Det er ikke mulig å etablere noen en-til-en-relasjon mellom en fysisk person og et template. Argumentet om at templatet etableres ved hjelp av fingeravtrykksmønsteret og at registreringsprosedyren derfor innebærer behandling av fingeravtrykk, og altså behandling av ”entydig identifikasjonsmiddel”, selv om templatet i seg selv ikke er entydig, virker søkt. I personopplysningsloven § 2 defineres ”behandling” som ”innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”. Men siden fingeravtrykket som sådan verken samles inn eller registreres, skjer det i henhold til lovens definisjon heller ingen behandling. Konklusjonen må derfor bli at personopplysningsloven § 12 ikke kommer til anvendelse i den foreliggende saken. Personvernnemndas argumentasjon går ikke nærmere inn på dette.

Det er for øvrig hele Personvernnemndas syn at de vanlige reglene må komme til anvendelse dersom behandlingen faller utenfor § 12 (enten fordi det ikke er et identifikasjonsmiddel eller fordi identifikasjonsmiddelet ikke er entydig). Nemnda er med andre ord ikke enig med Datatilsynets antitetiske tolkning – at det som faller utenfor § 12 er forbudt. Etter nemndas mening er det mest logisk å se det slik at man da faller tilbake på en vurdering etter de vanlige reglene i §§ 11, jf 8, (§ 8 har også en nødvendighetsvurdering) slik som situasjonen er i Sverige og Danmark som ikke har noen bestemmelse som tilsvarer den norske personopplysningsloven § 12.

 

7.5.2 Foreligger det "saklig behov", og er metoden "nødvendig for å oppnå slik identifisering"

Personopplysningsloven § 12 åpner for at man kan bruke entydige identifikasjonsmidler hvis særlige forhold foreligger.

Etter personopplysningsloven § 12, 2.ledd kan Datatilsynet pålegge bruk av entydige identifikasjonsmidler ”for å sikre at personopplysningene har tilstrekkelig kvalitet”. Man har eksempler fra praksis på at dette er påbudt for å unngå forveksling, det vil si av hensyn til den registrerte selv. For eksempel har Datatilsynet uttalt at ved barnehageopptaksprosessen bør barnets fødselsnummer brukes fordi faren for forveksling av barna er spesielt stor og konsekvensene av en forveksling vil kunne være svært uheldige. I denne saken er det ikke av hensyn til den registrerte at fingeravtrykk skal brukes.

I nærværende sak skal identifiseringen skje av brukere for å få tilgang til egne, bærbare datamaskiner. På disse maskinene lagres opplysninger blant annet om tredjeparter, for eksempel klienter for sosial- eller helsetjenesten. Fingeravtrykkspålogging skal skje av hensyn til disse klientenes behov for konfidensialitet. Personvernnemnda mener at det må være rimelig klart at det her foreligger et saklig behov for sikker registrering.

Spørsmålet blir, slik Personvernnemnda ser det, om hvorvidt kravet til nødvendighet er oppfylt. Etter forarbeidene skal ikke bruk av entydige identifikasjonsmidler tillates dersom ”andre og mindre sikre identifikasjonsmidler, som for eksempel navn, adresse og kundenummer” er tilstrekkelig. Datatilsynet har sett det slik at tilfredsstillende sikkerhet kan oppnås ved bruk av for eksempel smartkort kombinert med passord.

Personvernnemnda tar utgangspunkt i at det i denne situasjonen ikke vil være tilstrekkelig med bruk av for eksempel et brukernavn kombinert med et passord. Selv om dette teoretisk har en tilfresstillende sikkerhet, bygger dette på en forutsetning om at ikke andre enn den autoriserte blir kjent med passordet. Brukernavn vil ofte være kjent, det maskeres ikke ved inntasting, og vil ofte være identisk med en persons navn, initialer eller andre vanlige forkortelser. Erfaring viser at brukere ikke stoler på sin egen evne til å huske passord, og derfor ofte gjør notater hvor passordet angis. Praksis fra blant annet Bankklagenemnda gir et rikt materiale med eksempler på hvordan brukere har oppbevart PIN-kode for bankkort slik at uvedkommende har fått tilgang til passord. Passord har også den egenskap at hvis de først er kompromittert, vil de gi en ikke-autorisert tilgang inntil passord endres. Ved bærbare maskiner ser ikke nemnda bort ifra at en bruker vil falle for fristelsen til for eksempel å gi en annen i familien tilgang til maskinen for eget bruk i en situasjon hvor dette fremstår som viktig. Da vil det foreligge en kompromittering av sikkerheten inntil en autorisert bruker tar initiativ til å endre passordet.

Bruk av smartkort kombinert med passord vil ha en høyere grad av sikkerhet. Nemnda peker på at smartkortet også kan kvalifisere til entydig identifikasjonsmiddel hvis det benyttes for å få tilgang til mer enn ett system. Smartkortet er også et middel som kan gjenglemmes eller fratas den autoriserte bruker. De aktuelle bærbare maskinene vil anvendes av brukerne også utenfor arbeidsplass eller andre ”kontrollerte områder”, og vil derfor kunne glemmes igjen eller på annen måte komme på avveie.

Nemnda har forståelse for at kommunen i en slik situasjon søker å finne et system som er enkelt, sikkert og robust. Bruk av fingeravtrykk som påloggingsprosedyre for de bærbare maskinene, som blant annet inneholder sensitive opplysninger om tredjepart, vil gi en løsning med ønsket grad av sikkerhet. Nemnda tolker forarbeidene slik at dette i seg selv ikke er nok, det må i tillegg være slik at det ikke kan tas i bruk en løsning som ikke forutsetter bruk av et entydig identifikasjonsmiddel, og som gir samme sikkerhet. Datatilsynet har nevnt bruk av smartkort med passord som et eksempel på en slik løsning. Nemnda er ikke overbevist av dette eksempelet, da det synes som om smartkortet selv etter omstendighetene kan være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk. En løsning med smartkort og passord synes også å ha administrative konsekvenser som kan vurderes som negative.

Kommunens løsning omfatter både stasjonære og bærbare stasjoner. Personvernnemndas argumentasjon har fortrinnsvis tatt utgangspunkt i de bærbare enheter. Imidlertid antar nemnda at kommunens løsning bør vurderes under ett, bl a fordi bruk av dokkingstasjoner og lignende innretninger gjør at sondringen mellom stasjonære og bærbare enheter ikke blir entydig.

Etter en konkret vurdering er Personvernnemnda kommet til at det i denne situasjonen foreligger et saklig behov for bruk av fingeravtrykk som entydig identifikasjonsmiddel, og at dette er nødvendig for å oppnå en slik sikker identifisering og autentisering. Den planlagte bruken er derfor tillatt i samsvar med personopplysningsloven § 12.

8 Vedtak

Datatilsynets vedtak oppheves.

 

Oslo, 20. desember 2006

Jon Bing
Leder