Bruk av biometri er ikke uproblematisk. Utfordringen blir å minimere misbruk.

Biometri: Kommer snart til en skole nær deg

Når du må inn i skolebygget eller logge deg på et system, kan du nekte å bruke ansiktsgjenkjenning eller fingeravtrykk?

Inger Johanne Rein
redaktør i Lektorbladet
Publisert Sist oppdatert

Eller må arbeidstakere akseptere å gi fingre og ansikt for å sikre arbeidsgiverens verktøy?

– Nei, du kan kreve at arbeidsgiveren velger digitale verktøy som gir deg frihet til å velge mellom kode og biometri, sier Else Leona McClimans, advokat i Lektorlaget. I de fleste elektroniske systemer vil det være mulig å reservere seg mot bruk av biometri og kreve å få bruke kode.

Hva er biometri?

Biometri er en fellesbetegnelse på individuelle kjennetegn ved en person, som fingeravtrykk, hodeform, ansikt, irismønster, biologiske spor og atferdskjennetegn.

Personvernkommisjonen definerte biometri som
«en betegnelse for måling og registrering av data som er knyttet til et individs kropp, og inkluderer blant annet genmateriale, fingeravtrykk, ansikt, stemmeinformasjon, og ganglag. Biometrisk verifisering brukes gjerne til å bekrefte individers identitet, for eksempel som en del av sikkerhetsmekanismer, men kan også anvendes til overvåkningsformål.»

Biometriske data er et effektivt identifiseringsverktøy og blir i økende grad brukt i forbrukerteknologi, for eksempel til ansiktsgjenkjenning og fingeravtrykk for å åpne mobiltelefoner, iPader og PC-er. I skolen kan det være aktuelt å bruke biometri for å gi tilgang til bygg eller dører, og til to-faktor-autentisering av digitale verktøy som PC eller mobil dersom arbeidstakeren ønsker å åpne personlig BankID med enten ansikt eller fingergjenkjenning.

Rask teknologiutvikling

McClimans peker på at protester mot biometri over tid kan være vanskelig å unngå i lys av den teknologiske utviklingen og økte krav til elektronisk effektiv og unik og sikker identifisering.

Behovet for sikker identifisering eller autentisering er begrunnelsen for å akseptere denne teknologien. Dette er to ulike begreper: Identifisering vil si gjenkjenning av en person blant flere mulige personer. Autentisering er en sjekk av om vedkommende er den hen utgir seg for. Bruk av biometri til adgangskontroll og tilgangsstyring vil altså være til autentiseringsformål.

– Juridisk sett er biometri brukt til autentisering, som døradgang, regnet som mindre inngripende enn biometri brukt til identifisering, sier McClimans, men legger til at lovverket omfatter begge.

Ulemper med biometrisk identifikasjon

Bruk av biometri er ikke uproblematisk. Utfordringen blir å minimere misbruk.

– Det kan handle om at arbeidsgiveren bruker dataene til å kontrollere de ansatte, eller at utenforstående får tilgang til opplysningene og misbruker disse, sier McClimans.

Innsamling og lagring av biometriske data medfører risiko for brudd på personvernet, spesielt hvis dataene blir hacket eller misbrukt. Biometriske systemer er ikke feilfrie og kan føre til feil-identifikasjon, noe som kan ha alvorlige konsekvenser for ansatte. Gjennomføring og vedlikehold av biometriske systemer kan dessuten være kostbart, både i form av teknologi og infrastruktur og vedlikeholdskostnader.

Portrette av Else Leone McClimans, advokat og leder av juridisk kontor i Lektorlaget.
Else Leona McClimans

Det er også viktig å merke seg at innsamling av biometriske data krever samtykke fra de ansatte.

Else Leona McClimans, advokat

Strenge regler og inngripende tiltak

Ansikt, fingre og iris, altså kroppslige identitetsmarkører, er en særlig kategori personopplysninger. Det er strenge regler for hvordan personopplysninger kan innhentes, behandles og lagres. Biometriske data krever særlig sikring: Data må lagres sikkert og beskyttes mot uautorisert tilgang. Innføring av slike systemer krever en grundig vurdering av nødvendigheten og proporsjonaliteten av tiltaket opp mot de ansattes personvern.

Det stilles også krav om at metoden er nødvendig for å oppnå slik «identifisering». Nødvendighetskravet er ikke oppfylt dersom andre identifikasjonsmidler gir tilfredsstillende sikkerhet.

– Det er også viktig å merke seg at innsamling av biometriske data krever samtykke fra de ansatte, sier advokaten. Hun presiserer videre at det må være reelt frivillig, altså at arbeidstakeren ikke vil kunne oppleve negative følger ved å si nei. Det må også finnes et reelt alternativ til bruk av biometri, for eksempel et adgangskort med personlig kode.

Datatilsynet sier at «dersom det finnes alternative og tilnærmet likeverdige løsninger, så bør virksomheten velge den løsningen som er minst inngripende for den enkeltes personvern».

Personvernkommisjonen anbefalte å vurdere nasjonale regler som opprettholder, eventuelt innfører nye vilkår for behandling av biometriske opplysninger på arbeidsrettsområdet. Dette er foreløpig ikke gjort.

Må få veiledere!

Arbeidstilsynet og Datatilsynet har en felles veileder om kontroll og overvåkning på arbeidsplassen fra 2019 som beskriver gode rutiner for gjennomføring av drøftelser og dialog på arbeidsplassen ved innføring av kontrolltiltak, men har dessverre ingen ting spesifikt om biometri.

– Dette er det på høy tid å få utarbeidet, avslutter McClimans.

digital artikler
Powered by Labrador CMS