Gå til innhold
Trenger du råd om juss? Still spørsmål anonymt her ×

Bruk av Windows Hello i bedriftssammenheng


ilpostino

Anbefalte innlegg

Jeg har et spørsmål rundt bruk av biometrisk data for pålogging i et bedriftsnettverk. Jeg vet det stilles en del krav til maskinvaren for å kunne ta i bruk Windows Hello, men hvordan er det med jussen om at biometrisk data om ansatte lagres på utstyr som eies av bedriften?

  • Liker 1
Lenke til kommentar
Videoannonse
Annonse

Bedriften må i første omgang ha god nok hensiktsmessig begrunnelse for å kunne gjøre dette der det tydeliggjøres at andre mindre inngripende tiltakt ikke er tilstrekkelige. Videre må de sikre seg mot at slike data havner på avveie. Dette faller inn under GDPR.

I en slik prosess bør de ta med personvernombudet i bedriften, evt hyre inn ekstern hjelp.

  • Liker 1
Lenke til kommentar

Ja, biometriske data lagres kun lokalt, kryptert. Så det er data som kun tilhører brukeren, den er ikke tilgjengelig for noen andre. 

Selv om noen skulle få tilgang på dataen, så vil den ikke kunne gjøres om til et fingeravtrykk f.eks.

Jobben min kommer trolig til å tilby Windows Hello etterhvert, for de som ønsker det. Passord alene er et sikkerhetsproblem. Jeg tror vi kommer til å satse relativt bredt og forsøke å gå vekk i fra passord og benytte sikrere måter for å legitimere seg, hvor biometri er en av løsningene.  

  • Liker 1
Lenke til kommentar
  • 3 uker senere...

"Lagres lokalt på PC-en" er irrelevant, så lenge PC-en er arbeidsgivers eiendom er det arbeidsgiver som innhenter og behandler opplysningene. 

Ansiktsbilder, fingeravtrykksopplysninger, og andre personopplysninger som gjør det mulig å entydig identifisere en fysisk person regnes som biometriske opplysninger etter GDPR. Slike opplysninger regnes som "særlige kategorier" og er i utgangspunktet forbudt å behandle etter artikkel 9. 

Behandling av slike opplysninger kan skje på bakgrunn av fritt, informert, og uttrykkelig samtykke (artikkel 9 nr. 2a). 

  • Liker 1
Lenke til kommentar
51 minutes ago, krikkert said:

"Lagres lokalt på PC-en" er irrelevant, så lenge PC-en er arbeidsgivers eiendom er det arbeidsgiver som innhenter og behandler opplysningene. 

Ansiktsbilder, fingeravtrykksopplysninger, og andre personopplysninger som gjør det mulig å entydig identifisere en fysisk person regnes som biometriske opplysninger etter GDPR. Slike opplysninger regnes som "særlige kategorier" og er i utgangspunktet forbudt å behandle etter artikkel 9. 

Behandling av slike opplysninger kan skje på bakgrunn av fritt, informert, og uttrykkelig samtykke (artikkel 9 nr. 2a). 

Samtykke vil vel kunne ses i sammenheng med at ansatte skriver under på sikkerhetserklæringen / policyen bedriften har? Som andre er inne på, overordnet informasjonssikkerhet anses å være bedre med denne beskyttelsen, og vil da være et argument som taler for å tas i bruk da man etter beste evne skal forsøke å sikre ansattes opplysninger (selv om balansert sikkerhet også er en greie).

Det er vel også relevanse (hvertfall mtp. DPIA) hvorvidt opplysningene samles på felles løsning fremfor sertifikat / token (aner ikke detaljene i Helo) på enhet, fordi du får en mengde av personopplysninger på samme sted som vil kreve ekstra beskyttelse?

Avslutningsvis, som det ble nevnt - balansert sikkerhet, passord er egentlig noe herk. Å gå over til passordløst vil være en veldig forbedring av informasjonssikkerheten (og da sikringen av personopplysninger). Fordelene utveier vel da ulempene og vil kunne medføre at man allikevel kan prosessere denne typen opplysninger?

Endret av The Very End
Lenke til kommentar

Nei, en rent generell underskrift på en overordnet sikkerhetserklæring/sikkerhetspolicy vil ikke være nok. GDPR artikkel 7 forutsetter at samtykkeerklæringen skal være lett synlig og adskillbar fra øvrige deler av dokumentet. I tillegg skal det være et frivillig samtykke, og artikkel 7 sier at ved vurderingen av om samtykket er frivillig "skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale". 

GDPR artikkel 9 har heller ikke en generell "fordeler oppveier ulemper"-bestemmelse, det er artikkel 6f for generell behandling av alle typer opplysninger du tenker på. 

Jeg er enig i at passord er noe herk. Men passord kan endres. Det er ikke bare bare å stikke ut og skaffe seg nye fingeravtrykk. 

  • Innsiktsfullt 1
Lenke til kommentar

Men hvordan forholde seg til «frivillighet» i en bedrift sammenheng? Som privatperson må du kun svare til egne interesser og kan velge å gi eller ikke gi et samtykke, men bedrifter har en rekke hensyn å ta. Jeg forstår at GDPR sier det skal være et samtykke, og hvis ikke - være særs godt begrunnet, men denne gråsonen er vanskelig.

Si du er en offentlig bedrift; Dere vil bruke Helo fordi passord er en sikkerhetsrisiko og dere har ikke muligheten for andre sikringstiltak. Dere forvalter data og informasjon på vegne av offentligheten (tjenestlig behov), blandt annet sårbare grupper, kategori 6 og 7. Børre på finans mener Helo er noe kvasi - tullball og nekter å bruke dette, og vil da ikke gi sitt samtykke. Er det da å forstå at regelverket fortsatt er såpas sort / hvitt at hans rett trumfer hensynet til forvaltningen bedriften gjør på vegne av eksempelvis sårbare grupper?

Grunnen til hvorfor jeg spør er fordi vi jobber med dette ofte (ikke Helo, men avveining og praktisering av GDPR). Mitt inntrykk er at selv om teksten i GDPR muligens mener ting er klart, med stor personlig frihet, blir ofte formålet (og da hvorfor disse sikkerhetstiltakene) en diskusjon som selv ikke vårt personvernombud tør å være helt steil på. Vi forsøker å rådføre oss med andre, men alle kjenner på det samme - det er så mye om og menne og atte og praktiseringer at man blir litt deprimert av situasjonen. Har heller ikke nevnt de xx andre regelverkene som påvirker valgene i bedriften eller hvordan hierarkiet i disse er…. Det er… tungt.

Ps: tolk ikke som apati, dette er interresant og desto artigere med folk som har gjort hjemmeleksen sin :) 

Endret av The Very End
Lenke til kommentar

Børre på finans mener at Hello er tull og nekter å samtykke. Børre får varsel fra sin nærmeste leder om at foretaket ikke kan tilrettelegge for hans ønsker uten å bryte med god sikkerhetsmessig praksis, fordi Børre mister passordet sitt seks ganger i uka og skriver det ned på gule lapper, og at han dessverre må omplasseres til en stilling uten tilgang til selskapets datanettverk, som juniorvaktmester.

Krav om at samtykket skal være frivillig betyr ikke at det å nekte samtykke ikke skal få noen konsekvenser. Det betyr - som jeg siterte over fra GDPR artikkel 7 - at det skal tas hensyn til om samtykket er fremprovosert/fremønsket av irrelevante faktorer. Jeg ser for meg at å la brukerne velge mellom fingeravtrykk og passord (med sikkerhetsmessig forsvarlige krav om innhold, utforming, og bytte av passord) vil være mer enn godt nok for å godta samtykket etter artikkel 9. 

 

Hvis jeg skal spekulere litt: Det er ikke Børre på finans som glemmer passordet sitt seks ganger i uka som kommer til å nekte å samtykke. Han kommer til å være sjeleglad for å slippe å mase på IT åtte ganger i uka. Det er Jonas på IT, som har et 28-tegns passord, nekter å bruke jobbens gjeste-WiFi på mobilen sin fordi han heller vil bruke 5G, og kjører Nextcloud på hjemmeserveren fordi han er skeptisk til Google Drive, som kommer til å nekte å samtykke.

  • Liker 1
  • Innsiktsfullt 2
Lenke til kommentar
krikkert skrev (På 22.10.2022 den 14.44):

Behandling av slike opplysninger kan skje på bakgrunn av fritt, informert, og uttrykkelig samtykke (artikkel 9 nr. 2a). 

Hvis arbeidsgiver legger til rette for at man kan begynne å bruke Windows Hello og den ansatte konfigurerer dette selv for å slippe å taste inn passord - regnes det som "tilstrekkelig"samtykke?

 

Lenke til kommentar
krikkert skrev (På 22.10.2022 den 14.44):

"Lagres lokalt på PC-en" er irrelevant, så lenge PC-en er arbeidsgivers eiendom er det arbeidsgiver som innhenter og behandler opplysningene. 

Ansiktsbilder, fingeravtrykksopplysninger, og andre personopplysninger som gjør det mulig å entydig identifisere en fysisk person regnes som biometriske opplysninger etter GDPR. Slike opplysninger regnes som "særlige kategorier" og er i utgangspunktet forbudt å behandle etter artikkel 9. 

Behandling av slike opplysninger kan skje på bakgrunn av fritt, informert, og uttrykkelig samtykke (artikkel 9 nr. 2a). 

Nå lagres ikke ansiktsbilder eller fingeravtrykk.
Det lagres en slags hash av fingreavtrykket og/eller bildet.
Dvs det ikke er mulig å gjenskape fingeravtrykket eller bildet selv om du får tilgang på denne hash'en.

Lenke til kommentar
ilpostino skrev (1 time siden):

Hvis arbeidsgiver legger til rette for at man kan begynne å bruke Windows Hello og den ansatte konfigurerer dette selv for å slippe å taste inn passord - regnes det som "tilstrekkelig"samtykke?

Hvis "Hello" er et alternativ til bruk av vanlig passord vil jeg tro at kriteriene om fritt og uttrykkelig er oppfylt. Spørsmålet blir om samtykket er informert (herunder om personen blir informert om at samtykket kan trekkes), altså om arbeidsgiver kan vise til at man har gitt nok informasjon om hva arbeidstaker samtykker til til at arbeidstaker kan ta et informert valg. 

Man må imidlertid være oppmerksom på at flere europeiske tilsynsmyndigheter (særlig den nederlandske) har lagt til grunn at samtykke aldri anses som "fritt" i et arbeidsgiver-arbeidstaker-forhold fordi det er en maktubalanse i dette forholdet. En nederlandsk domstol har også ansett det som GDPR-stridig å bruke fingeravtrykk som pålogging i et kassasystem fordi det er unødvendig for sikkerhetsformål. 

Personopplysningsloven § 6 lar norske arbeidsgivere behandle særlige kategorier personopplysninger etter artikkel 9 "når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter". Spørsmålet etter denne bestemmelsen (som hvis oppfylt erstatter behovet for samtykke) er om det er "nødvendig". 

sk0yern skrev (1 time siden):

Nå lagres ikke ansiktsbilder eller fingeravtrykk.
Det lagres en slags hash av fingreavtrykket og/eller bildet.
Dvs det ikke er mulig å gjenskape fingeravtrykket eller bildet selv om du får tilgang på denne hash'en.

GDPR gjelder for all behandling av personopplysninger - herunder "innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilintetgjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring" (GDPR artikkel 4 nr. 2).

Innsamlingen av fingeravtrykk er behandling av personopplysninger, selv om man prosesserer fingeravtrykket. Den lagrede hash er også en personopplysning selv om fingeravtrykket ikke kan gjenskapes fra den. 

 

  • Liker 2
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...