EU-organ advarer mot EUs kontrollplaner

Datatilsynet i EU advarer mot EUs omfattende sammenkobling mot biometri-data.

Biometri betraktes av myndigheter verden over, ikke minst EU, som det endelige middelet mot falske identiteter. EU-embetet som overvåker personvernet, EDPS (European Data Protection Supervisor, Peter Hustinx), har publisert en vurdering av EUs planer for flere omfattende persondatabaser og ytterligere samkjøring av disse. Vurderingen til EDPS inneholder en skarp advarsel mot bruken av biometri i personkontrollen: Comments on the Communication of the Commission on interoperability of European databases.

EDPSs advarsler retter seg mot en utredning som EU-kommisjonen publiserte i november: Communication from the Commission to the Council and the European parliament: On improved effectiveness, enhanced interoperability and synergies among European databases in the area of Justice and Home Affairs. Utredningen vurderer tre EU-omfattende databaser som også angår Norge: et planlagt fellessystem for informasjon om visum («Visa Information System» eller VIS), den planlagte overhalingen av Schengen Information System (SIS II), og EURODAC, databasen over fingeravtrykk fra asylsøkere.

EU-kommisjonens utredning tar opp tekniske utfordringer knyttet til samkjøringen av disse databasene, og diskuterer hvordan samkjøringssynergier kan brukes til å fremme personkontrollen, kampen mot terrorisme og kampen mot organisert kriminalitet.

Utredningen vurderer ytterligere tre kontrollsystemer: et felles system for å overvåke kryssing av EU-landenes grenser, et felles system som kan gjøre det enklere for hyppigreisende å krysse grensene til og fra EU, og et felles europeisk system for å lagre fingeravtrykk fra kriminelle (døpt «Automated Fingerprints Identification System», AFIS).

EDPS advarer at EU-kommisjonens utredning underkjenner personvernet på flere viktige punkter.

EUs personvernembete peker på at begrepet «interoperabilitet» – samkjøring – ikke er korrekt definert, og at bruken er upresis. Det brukes både som «felles bruk av storskala IT-systemer» og til å betegne «mulighetene for å aksessere eller utveksle data, og til med å slå sammen databaser». EDPS peker på at ulike typer interoperabilitet krever forskjellige former for kontrolltiltak. Slike kontrolltiltak er desto mer påkrevet siden EU-kommisjonen har planer om å bruke IT-systemer til nye formål, med de alvorlige følgene det får for personvernet.

– EU-kommisjonen betrakter interoperabilitet som et teknisk begrep, i motsetning til et juridisk eller politisk begrep. Det virker forvirrende og bidrar til at man unngår grunnleggende problemstillinger. Interoperable systemer øker risikoen for borgerne, dersom slike systemer åpner for nye former for tilgang til deres personlige informasjon. Det er vesentlig å granske dette nøye, og ikke prøve å tilsløre det som noe teknisk, heter det i EDPSs vurdering av kommisjonens utredning.

EDPS er videre spesielt kritisk til EU-kommisjonens holdning til biometri. Kommisjonen går nemlig inn for at biometriske data som fingeravtrykk og DNA kan brukes som primærnøkkel i EU-systemets felles databaser med personinformasjon.

Databaser med felles primærnøkkel er spesielt enkle å kople sammen, og dersom biometriske data, heller enn databasespesifikke registreringsnummer, brukes som primærnøkkel i de nye persondatabasene, frykter EDPS for hva dette kan føre til av sammenkopling, utstrakt tapping av personinformasjon, og nye måter å bruke data på i strid med hva som var det opprinnelige formålet.

EDPS peker videre på flere utredninger i EU-regi der det slås fast at biometriske data ikke er tilstrekkelig entydige til at de kan brukes som primærnøkler i persondatabaser. Biometri bygger på sannsynligheter. Bruken av biometriske data som primærnøkler i persondatabaser kan derfor ventes å undergrave datakvaliteten, heter det.

EU-kommisjonens ideer om hvordan EU-databaser kan knyttes sammen for å styrke kampen mot kriminalitet, terrorisme og ulovlig innvandring viser at den går utover å tenke seg samkjørte databaser, til å tenke i form av varig sammenkoplete databaser, skriver EDPS. I forbindelse med fingeravtrykk og DNA, omfatter disse tankene også varig sammenkopling av databaser i de enkelte medlemsland.

– Dette vil føre til desentraliserte systemer som består av sammenstilte databaser. Disse systemene vil fungere mer som «peer to peer» nettverk enn som sentraliserte systemer. Det faktum at primærnøkkelen kan genereres naturlig (som i tilfellet biometriske data) heller en av hvert enkelt system (som i tilfellet entydig ID-tall) vil også lette veksten av en slik databasesamling med stadig flere og mer varierte databaser som bruker den samme enkle og fritt tilgjengelige primærnøkkelen, skriver EDPS.

EUs personvernvokter frykter at denne opphopingen av databaser vil øke risikoen for at data brukes til andre formål enn dem som var motivet da dataene opprinnelig ble samlet inn.

– Dette er klart i strid med prinsippet om at data ikke skal brukes til andre formål enn det opprinnelige, heter det i advarselen.

EDPS peker til slutt på at opphopningen av persondatabaser med felles biometrisk primærnøkkel vil undergrave harmoniseringen av personvernet innen EU.

    Les også:

Til toppen