1.1 Datatilsynet tildeles flere ressourcer til kontrol og inddrager flere personer med teknologisk ekspertise i vurdering og godkendelse af biometriske systemer
Vurdering af nye teknologiske løsninger kræver stadig større teknisk ekspertise. Arbejdsgruppen anbefaler, at procedurerne for lovgivning om brugen af biometriske løsninger ændres, så personer med teknologisk indsigt bliver inddraget i vurderingen. Arbejdsgruppen anbefaler videre, at man i den forbindelse lader sig inspirere af den praksis, der er i Norge. En ændret praksis i Danmark vil kræve tilførsel af flere ressourcer, men arbejdsgruppen vurderer, at det er et helt nødvendigt tiltag, da man herved vil kunne sikre en mere kvalificeret vurdering af de enkelte sager.

1.2 Opstillere af biometri tilbydes rådgivning og mulighed for forhåndsgodkendelse
Et stigende antal virksomheder og organisationer ønsker at opstille biometriske systemer. De kan på nuværende tidspunkt ikke få forhåndsgodkendt et system eller få teknisk rådgivning i opstartsfasen. På grund af de biometriske systemers kompleksitet kan det være vanskeligt at gennemskue, hvordan man mest hensigtsmæssigt konstruerer en løsning, der lever op til kravene om effektivitet og privatlivsbeskyttelse. Muligheden for rådgivning og for at få forhåndsgodkendt et system vil for det første skabe større sikkerhed for, at opstillere af et biometrisk system ikke senere i processen får påbud om at ændre i systemet. For det andet vil det medvirke til at sikre, at løsningerne opnår en højere kvalitet.

1.3 Præcisering af fortolkning af Persondataloven
En række teknologier udvikles i disse år markant og står overfor et massivt gennembrud. Biometri er en af disse teknologier, men også Radio Frequency Identification (RFID) og videoovervågning kan fremhæves. Der er behov for at præcisere, hvordan Persondataloven skal fortolkes i forhold til aktuelle teknologier og disses indflydelse på privatlivets fred. Arbejdsgruppen foreslår, at der bliver udarbejdet en vejledning, som med autoritet fortolker persondataloven og anviser, hvordan teknologier skal anvendes i praksis, og hvilke privatlivsfremmende hensyn såsom Privacy Impact Assessment (PIA), Privacy Enhancing Technologies (PET) og Privacy by Design, der bør tages med i overvejelserne ved implementering af ny teknologi.

2 Biometri skal bruges til at opnå øget privatlivsbeskyttelse og til at sikre, at brugerne har kontrol med egne data
Biometri åbner for at styrke privatlivsbeskyttelsen, da teknologierne giver mulighed for sikker autentifikation (bekræftelse af adgangsrettigheder), uden at ens fulde identitet bliver afsløret. Man kan beskytte en række personfølsomme oplysninger ved hjælp af forskellige former for biometri kombineret med passwords. Arbejdsgruppen anbefaler, at man undgår at skabe biometriske systemer, hvor for eksempel et fingeraftryk og intet andet giver adgang til en lang række forskelligartede personfølsomme oplysninger. Arbejdsgruppen anbefaler videre, at der i relation til alle nye biometriske systemer bliver udarbejdet en privatlivsimplikationsanalyse (PIA), der sikrer en fornuftig balance mellem formålet med systemet, detaljeringsgraden af identifikation, de lagrede persondata og risikoen for datamisbrug og -tyveri. Privatlivsbeskyttelse og gennemsigtighed skal medtænkes, når systemerne bliver designet, og man bør udarbejde en plan for anvendelse af ”Privacy Enhancing Technologies” (PET) – det er teknologier, som understøtter beskyttelse af borgernes privatliv. Samtidig bør etiske overvejelser om risici for social stigmatisering, social inklusion og social eksklusion medtænkes helt fra start. Arbejdsgruppen peger endvidere på, at jo mere der fra politisk hold bliver lagt vægt på at benytte biometri til at styrke privatlivsbeskyttelsen, jo mere accepteret vil biometri på sigt blive i offentligheden, da risikoen for misbrug herved minimeres.

2.1 Biometriske systemer skal konstrueres på en sådan måde, at de tager mest muligt hensyn til privatlivets beskyttelse
Man bør altid sikre, at målet med den biometriske løsning nås med mindst mulig indgriben i brugernes privatliv. En indledende vurdering med dette formål kan tage udgangspunkt i følgende spørgsmål:

1. Er systemet konstrueret på en sådan måde, at man i videst mulig omfang undgår at lagre personfølsomme oplysninger?
2. Er det muligt, for derved at undgå central lagring af personfølsomme oplysninger, at lagre data decentralt og sikre, at brugerne har kontrol over egne data – for eksempel ved brug af en såkaldt ”system on card-løsning” eller en ”match on card-løsning”?
3. Er det muligt at opfylde formålet med systemet, uden at brugerens identitet – for eksempel brugerens navn – bliver knyttet til biometriske data?
4. Er der alternative muligheder for brugere, som ikke kan eller ønsker at anvende biometri?
5. Er det muligt at anvende en pseudonymiseret, central database – det vil sige en database, hvor borgernes rigtige navne er erstattet af pseudonymer?
6. Er det biometriske system afsondret fra netværk?
7. Er der anvendt kryptering?
8. Er der fastlagt procedurer for, hvem der har adgang til de biometriske templates eller data knyttet til templates?
9. Slettes templates og tilknyttede data, som ikke længere anvendes?

2.2 Registrering af borgere og kunder skal ske på en sådan måde, at der bliver taget mest mulig hensyn til privatlivets beskyttelse
De seneste år har en række diskoteker, fitnesscentre og andre søgt Datatilsynet om tilladelse til at anvende biometri. Disse henvendelser har ført til forskelligartede svar, som arbejdsgruppen ønsker at knytte følgende kommentarer til:

2.2.1 Restaurationsbranchen bør anvende ”match on card-teknologi”
Arbejdsgruppen vurderer, at restaurationsbranchens ønsker til brug af biometri er uhensigtsmæssige. Branchens mål vil kunne opnås på mindre privatlivsindgribende vis, hvor restaurantgæster selv beholder deres biometri. Det kan for eksempel ske ved at udstede chipkort til gæsterne, hvorpå deres biometri lagres. På den måde vil man undgå den nuværende sammenknytning af navn, billede og biometri. Arbejdsgruppen vurderer, at lagring af såvel biometriske data som personens navn og billede i en central database repræsenterer et unødigt indgreb i den enkeltes privatliv. Målet kan i stedet nås ved brug af såkaldt ”match on card-teknologi”– det vil sige en løsning, hvor de biometriske data i krypteret form er lagret på et plastikkort med chip. Ved adgang matches informationerne på chippen med resultatet af en aktuel scanning af gæstens fingeraftryk. Et alternativ kunne være brug af negativlister, hvor kun de uønskede gæster er registrerede. Udfordringen i den sammenhæng er, at uønskede personer vil kunne snyde nogle scannertyper ved fx at placere fingeren skævt på scannerenheden og derved opnå adgang alligevel. Derfor stiller både negativlister og selvbetjeningsløsninger større krav til scannerenhedernes beskaffenhed, så der kan tages højde for fejl. Generelt er det nødvendigt at etablere robuste systemer med læsere, der ikke kan snydes, og løbende følge den teknologiske udvikling og løbende opgradere sikkerheden.

2.2.2 Fitnesscentre bør anvende ”match on card-teknologi”
Flere fitnesscentre har ansøgt om at måtte bruge biometri med det formål at undgå snyd og samtidig skabe nemmere adgang til centrene for medlemmerne. Datatilsynet har afvist at give disse fitnesscentre mulighed for at benytte et system med en tilhørende database, hvor medlemmernes biometri bliver lagret i krypteret form. Arbejdsgruppen vurderer, at de pågældende fitnesscentre bør have mulighed for at udstede medlemskort baseret på ”match on card-teknologi” – en løsning, hvor de biometriske data i krypteret form er lagret på medlemskortets chip og ved adgang til fitnesscentret bliver matchet med resultatet af en aktuel scanning af brugerens fingeraftryk. Denne løsning vil betyde en merudgift for fitnesscentret, men systemet vil formentlig også mindske omfanget af snyd med medlemskort. Arbejdsgruppen anbefaler, at et sådant system skal være frivilligt og baseret på samtykke fra brugerne, ligesom det skal være muligt at vælge et alternativ, som ikke stiller brugerne dårligere, end hvis de benytter den biometriske løsning.

2.2.3 Erhvervslivet bør gå sammen om en fælles løsning, hvor brugerne bevarer kontrollen med egne data
I lyset af de ovenfor nævnte ønsker fra private virksomheder bør man undersøge mulighederne for, at private virksomheder i fællesskab designer et system, som både øger sikkerheden, gør brugen af serviceydelser mere bekvem og lader brugerne bevare kontrollen med egne data. En mulig egnet business case i denne sammenhæng, som bør undersøges nærmere, er biometrisk ”match on card-teknologi” – eventuelt i ombination med en pinkode – som mulig erstatning for adgangskort, medlemskort, betalingskort mv.

3. Et fremtidigt biometrisk borgerservicekort skal baseres på ”system on card-teknologi” eller lignende teknologier
Arbejdsgruppen mener, at et borgerkort med krypterede biometriske data, som er baseret på ”system on card-teknologi” eller lignende teknologier, ud fra en sikkerhedsmæssig betragtning er en ønskelig løsning. ”System on card” betyder, at brugeren ved hjælp af biometrisk identifikation har adgang til sit eget kort, som rummer en række koder/elektroniske nøgler til forskellige formål – blandt andet udveksling af informationer med det offentlige. Brugeren vil med denne teknologi have fuld kontrol over egne data, og systemet vil være mere privatlivsbeskyttende end for eksempel den nuværende digitale signatur. Arbejdsgruppen anbefaler, at et borgerservicekort baseres på decentral datalagring, og at borgeren via kortet kan aktivere en række forskellige koder/nøgler. Ved tyveri eller tab af kortet skal det være muligt at blokere det og oprette et nyt uden væsentlige omkostninger for hverken det offentlige eller brugeren. Prisen for et sådant system er dog på nuværende tidspunkt relativ høj, og det er blandt andet derfor værd at overveje alternativer til et borgerkortservicekort, som er udstedt og finansieret af staten. Arbejdsgruppen vurderer, at der på lidt længere sigt er potentiale i at anvende biometri i mobiltelefoner, PDA’er eller lignende, hvor adgang til de lagrede oplysninger, koder og nøgler kontrolleres af brugerne selv. Arbejdsgruppen peger på, at brug af mobiltelefon frem for et borgerservicekort vil have en række fordele:

• Brugerne er vant til at benytte mobiltelefonen
• Brugerne har (altid) mobiltelefonen med
• Brugerne betaler selv for den
• Mobiltelefonen har indbygget processor og kan derfor generere koder og nøgler
• Et stigende antal mobiltelefoner har både kamera, mikrofon og trykfølsomt display, hvilket potentielt giver mulighed for brug af følgende biometriske teknologier: Tastedynamik, irisscanning, ansigtsgenkendelse, signaturanalyse og stemmegenkendelse. Flere vil komme til i de kommende år.

4. Start med at definere formålet med den biometriske løsning

Hvis formålet med den biometriske løsning er tydeligt defineret på forhånd, kan man undgå urealistiske forventninger til løsningens formåen. Erfaringer fra udlandet viser, at manglende formålsspecifikationer har resulteret i biometriske løsninger, der ikke lever op til forventningerne hos hverken opstillerne eller brugerne. Arbejdsgruppen anbefaler derfor, at man allerede i udviklingsfasen skaber maksimal klarhed om den biometriske løsnings reelle formål og performance. Dette vil endvidere sætte fokus på potentielle faldgruber – for eksempel risikoen for såkaldt ”function creep”, hvilket vil sige, at data bruges til andet end det oprindelige formål. Arbejdsgruppen anbefaler, at man i en personalehåndbog eller lignende fastslår formålet med det biometriske system og samtidig formulerer præcist, hvad de opsamlede data bliver brugt til. Det vil give medarbejderne sikkerhed for, at data ikke bruges til andre formål end de tilsigtede. Det er arbejdsgruppens holdning, at en klar og tydelig formålsspecifikation vil skabe tryghed om den biometriske løsning hos medarbejdere/brugere. Samtidig vil det mindste risikoen for misbrug af data. Arbejdsgruppen fremhæver, at de mulige konsekvenser ved misbrug af data, som er opsamlet i en biometrisk løsning, afhænger af løsningens størrelse og omfang.

De følgende anbefalinger er primært rettet mod større biometriske installationer:

5. Et biometrisk systems sikkerhed er betinget af sikkerheden i hele systemet
Et biometrisk systems sikkerhed er altid betinget af sikkerheden i hele den it-løsning, som biometrien er ét af mange elementer i. Arbejdsgruppen fremhæver derfor, at man altid skal se på helheden, når man vurderer et systems sikkerhed. Risikoen i et givet system for blandt andet ”hacking” og ”spoofing” – ”spoofing” er ,når en person udgiver sig for at være en anden ved for eksempel at anvende et falsk fingeraftryk – skal vurderes i alle de faser, en bruger skal gennemgå i forhold til registrering og øvrig brug af systemet. Arbejdsgruppen påpeger, at selve registreringsprocessen i et biometrisk system er en særligt sårbar fase. For eksempel skal der kun én uopmærksom medarbejder i kommunen til at skabe et lovligt udstedt pas, hvor de anvendte biometriske data passer sammen med en andens identitet.

6. Procedurerne for registrering af biometriske data skal standardiseres
For at sikre interoperabilitet på tværs af grænserne – interoperabilitet er produkters, systemers og forretningsprocessers evne til at arbejde sammen om løsningen af en fælles opgave – anbefaler arbejdsgruppen, at registrering af biometriske oplysninger standardiseres. Dette skal helst ske globalt, men i det mindste i EU. Arbejdsgruppen anbefaler, at en person, der skal registreres i en biometrisk løsning, skal oplyses om formålet med og omfanget af registreringen. Det skal endvidere være muligt for brugeren at se og kontrollere, om de registrerede oplysninger er korrekte. Registreringsproceduren skal derudover indeholde nogle klare, standardiserede procedurer for, hvordan man fjerner data om en bruger fra systemet. Veluddannet personale og transparente procedurer skal i det hele taget sikre fuld gennemskuelighed for de registrerede brugere. Der skal desuden udformes standardiserede procedurer for sletning af data.

7. Procedurerne for lagring og matchning af biometriske data skal standardiseres
Arbejdsgruppen anbefaler, at man, når det er muligt, undgår at anvende centrale databaser i forbindelse med biometriske løsninger. Hvis en biometrisk løsning alligevel baseres på en central database, skal datakvaliteten i denne være af højst mulig kvalitet og behandles af certificeret personale. Samtidig skal det være muligt for brugere at trække egne data tilbage eller rette i egne data, hvis brugerne finder, at der er fejl eller mangler i de registrerede data. Der skal ligeledes være en standardiseret klagemulighed, som fuldt ud respekterer individets suverænitet, og som understøtter procedurerne i et demokratisk samfund. Arbejdsgruppen anbefaler videre, at biometriske data aldrig lagres i råformat, hvilket for eksempel kan være et digitalt billede af et fingeraftryk. I stedet lagres data som krypterede templates. Dette vil reducere risikoen for identitetstyveri og misbrug af persondata betydeligt. Samtidig anbefaler arbejdsgruppen, at man undgår at udlicitere databehandling til tredjepart, da man derved forringer adgangen til at praktisere sikker kontrol med de lagrede oplysninger. Endelig anbefaler arbejdsgruppen øget standardisering på teknisk niveau i form af fælles algoritmer, kalibrering og interface og i forhold til uddannelse af certificeret personale. Standardiseringen på disse områder bør ske globalt og i det mindste på EU-niveau. Arbejdsgruppen anbefaler, at biometrisk matchning kun matcher de biometriske data og ikke forespørger de persondata, der er knyttet til de biometriske data. Det vil mindske risikoen betydeligt for, at personfølsomme oplysninger falder i forkerte hænder.

8. Der skal altid være sikre alternativer og ”fall-back-procedurer”
Arbejdsgruppen peger på, at der især knytter sig to svagheder til biometrisk identifikation: Biometri kan aldrig blive 100 procent nøjagtigt, og biometriske systemer vil altid både afvise og acceptere
en andel ”forkerte” personer. Ikke alle har brugbare biometriske karakteristika – for eksempel kan et fingeraftryk være beskadiget, hvorfor det ikke kan registreres korrekt. Disse forhold gør, at det er umuligt at skabe et sikkert system, som udelukkende er baseret på biometri. Der vil derfor altid være behov for et eller flere klart definerede alternativer – såkaldte ”fall-back-procedurer”. Der bør endvidere i forbindelse med blandt andet automatiseret grænsekontrol uddannes operatører, der forstår at behandle både korrekt og forkert afviste personer på en anstændig måde, så der ikke foregår social stigmatisering og lignende.

9. Der er brug for flere test af biometriske systemer
Det er på nuværende tidspunkt meget vanskeligt at sammenligne forskellige biometriske systemers performance. De fleste af de tilgængelige test er fortaget af producenterne selv i laboratorier uden de fejlkilder, som findes i de miljøer, hvor systemerne bliver anvendt. En omfattende test af biometriske systemer fortaget af den britiske regering har vist en meget stor reel fejlrate for systemer, som er baseret på fingeraftryksscanning, irisgenkendelse eller ansigtsgenkendelse. Arbejdsgruppen anbefaler, at man indfører flere standardiserede test, og at der derigennem bliver skabt større åbenhed om de biometriske systemernes reelle formåen.

10. Berøringsfrie enheder bør benyttes i miljøer, hvor hensynet til hygiejne er vigtigt
Arbejdsgruppen anbefaler, at man benytter berøringsfrie scannere – hvor man for eksempel holder hånden i nogle centimeters afstand fra scanningspladen – på steder, hvor en høj grad af hygiejne er påkrævet. Det gælder eksempelvis på hospitaler. Arbejdsgruppen peger på, at iris- og venescanning i denne sammenhæng bør overvejes som gode alternativer til scanning af fingeraftryk.

Biometri bliver på nuværende tidspunkt bl.a. anvendt til:

• Automatiseret grænsekontrol
• Visumansøgninger
• Fast track i lufthavnen
• Efterforskning
• Overvågning
• Militære formål
• Uddeling af nødhjælp
• Økonomiske transaktioner
• Arbejdstidsregistrering
• Eksamensregistrering
• Udbetaling af sociale ydelser
• Låse på køretøjer, værktøj og boliger
• Sikring af adgang til journaler
• Udlån af bøger på biblioteket

Anvendelse i den offentlige sektor
I det offentlige anvendes biometri i dag af politiet (dna-registre, registrering af fingeraftryk) og af pas-myndighederne (digitale billeder), ligesom det overvejes at integrere biometriske sikkerhedsløsninger i et fremtidigt borgerservicekort. Alle danske pas udstedt efter 1. august 2006 er såkaldte biometriske pas, da de indeholder et digitalt billede lagret på en indbygget chip. Der er desuden planer om at lagre både fin-geraftryk og iris i danske pas. Tidspunktet for indførelsen af de nye pas er endnu ikke fastsat. Planerne for et biometrisk borgerkort, hvor en række funktioner (såsom blandt andet sygesikringsbevis, kørekort, dankort og mobil digital signatur) er samlet i ét kort, er indtil videre blevet udskudt med den begrundelse, at det på nuværende tidspunkt er for dyrt. Det må antages, at teknologierne vil falde så meget i pris, at økonomi ikke vil kunne forhindre udbredelsen af et biometrisk borgerkort, som mange eksperter anser for at være den foretrukne løsning.

Anvendelse i den private sektor
Især den private sektor har taget biometri til sig på flere områder og overfor både ansatte og kunder. Flere arbejdspladser, restauranter, transportsektoren mv. benytter i stigende omfang biometriske data til at sikre identifikation af kunder eller medarbejdere. Her benyttes de biometriske teknologier både i forbindelse med betaling og til fysisk og logisk adgangskontrol – adgang til for eksempel pc, database eller be-stemte applikationer.
Biometri kan anvendes til utallige formål. For eksempel vil man kunne installere ansigtsgenkendelse i biler, som kan udelukke andre end autoriserede personer fra at køre dem. Ligeledes vil teknologien kunne give signal fra sig, hvis føreren gør tegn til at falde i søvn bag rattet. Registrering af det enkelte menneskes fysiske ledningsevne kan implementeres i for eksempel store håndværktøjer, som automatisk detekterer, om man har autorisation til at bruge det pågældende værktøj.

Datatilsynet har givet tilladelse til, at diskotekskæden Crazy Daisy kan registrere gæsternes fingeraftryk (med deres samtykke), så deres adgang til diskoteket kan lettes, og i restaurationsbranchen arbejder man på at få indført et landsdækkende bølleregister baseret på biometriske identifikation. Et biometrisk bor-gerkort ville også potentielt kunne bruges til meget andet end udveksling af oplysninger mellem borgere og det offentlige. For eksempel adgang til netbank, som betalingskort, som adgangskort til arbejdspladsen og til transport.

International anvendelse af biometri
Registrering ved hjælp af biometriske teknologier bliver stadig mere udbredt internationalt. For eksempel har irisscanning i en årrække været brugt i forbindelse med grænsekontrol i De Forenede Arabiske Emira-ter, af FN til uddeling af nødhjælp og af det amerikanske militær i Irak og Afghanistan til at sikre, at kun de rette personer har fået adgang til bestemte faciliteter. I USA og England kan man i nogle lufthavne springe dele af sikkerhedskontrollen over, hvis man tidligere er blevet registreret som ”trusted traveller”. Automatiseret biometrisk grænsekontrol baseret på ansigtsgenkendelse bruges i dag i Australien og Ki-na, og der arbejdes på at udstede biometriske ID-kort til alle borgere i blandt andet Indien, Thailand og Portugal. I Japan anvendes biometrisk ansigtsgenkendelse desuden til registrering af forbrugeres køn og alder og til at kontrollere, om de ansatte smiler tilstrækkeligt på jobbet.

Trends
Både store offentlige og militære biometriske systemer vil i de kommende år forsat blive udbygget. Samtidig vil flere og flere billige løsninger til private og firmaer vinde frem. Mobiltelefoner med biometri, automatiseret grænsekontrol, overvågningskameraer med ansigtsgenkendelse og banktransaktioner er allerede udbredt andre steder i verden. Danmark er på nuværende tidspunkt under massivt pres fra ud-landet om at anvendte biometri i det offentlige. Det gælder for eksempel i forhold til biometriske pas og det europæiske immigrationssystem EURODAC. Men de biometriske teknologier vil, som det fremgår af case-artiklerne i denne rapport, vinde frem over alt: Blandt andet i hjemmet, på arbejdspladsen, på rejsen, på biblioteket, i Forsvaret og i supermarkedet (se case-artikler).

Hvilken vej bør vi gå?
Udviklingen går i øjeblikket i en retning, hvor flere og flere informationer bliver samlet hos myndighederne. Hvis vi åbner for at sammenkøre alle de oplysninger, der på nuværende tidspunkt ligger i separate databaser, kan vi udvikle avancerede og detaljerede profiler over alle borgeres adfærd, vaner, præferencer, økonomi, sociale forhold, sundhed og meget mere. Argumenterne herfor er mange, blandt andet: Øget effektivitet og bedre service hos offentlige myndigheder, sikkerhed mod terrorisme, målrettet service i butikkerne, målrettet markedsføring og bedre indtjening i den private sektor, øget sikkerhed i trafikken og øget sundhed i befolkningen. For blot at nævne nogle få.

Men biometri kan også modsat understøtte en udvikling, hvor al information ligger hos borgeren. Ved at benytte biometri og koble det med kryptering kan vi være tæt på 100 procent sikre på, at de oplysninger, en borger afgiver, rent faktisk stammer fra denne borger.

Individ vs. kollektivet
I en etisk diskussion er det derfor afgørende, om vurderingen af et biometrisk system bliver foretaget ud fra hensyntagen til individets eller kollektivets behov. Kan kollektivets behov for eksempel være af en sådan karakter, at de overstiger hensynet til individet? Og hvornår bør hensynet til det enkelte menneskes frihed og ret til privatliv omvendt vægtes over kollektivets behov? Hvilke private og følsomme op-lysninger skal lagres? Hvor skal de lagres, og hvilken kontrol bør det enkelte individ have over oplysningerne? Opretholdelsen af privatlivets fred står dermed i modsætning til kollektivets interesse i øget bekvemmelighed, sikkerhed og kontrol.

I de kommende år vil borgerne og forbrugere i stigende grad blive stillet i situationer, hvor de skal aflevere biometri som følge af lovkrav. Dette gælder blandt andet EU-krav til pas og opholdskort. Hvis borgerne ikke vil medvirke, vil konsekvensen være, at deres personlige frihed – her friheden til at rejse – bliver begrænset.

Social inklusion og eksklusion
Biometri kan være både socialt inkluderende og ekskluderende. For eksempel vil blinde eller mennesker med nedsat syn kunne få adgang til betalingsautomater via sikkerhedssystemer, der bygger på stemme-identifikation i stedet for en pinkode. Tilsvarende vil en erstatning af foto med irisgenkendelse eller finger- eller håndaftryk i passet have den konsekvens, at muslimske kvinder, der af religiøse årsager bærer tørklæde, ikke tvinges til at blotte ansigtet. Et fingeraftryk eller iris afgiver i sig selv ikke informationer om religiøs baggrund, eller om man har en ren straffeattest eller ej. Dog er det ud fra iris og fingeraftryk men især ud fra ansigtsgenkendelse muligt at lave estimater for personens etniske oprindelse. Biometrisk ansigtsgenkendelse vil, ud over at anslå personens etniske baggrund, også kunne estimere køn og alder. Desuden er det muligt at registrere visse former for sygdomme og handicap. Også social klasse bliver i Japan forsøgt kortlagt i forbindelse med biometrisk skabte forbrugerstatistikker af handlende i butikker og indkøbscentre.

En ny forståelse af kroppen
Indførslen af biometriske teknologier vil betyde, at spørgsmål om, hvem man er, og hvordan man vil blive behandlet i forskellige situationer, i stigende grad vil blive afgjort på baggrund af informationer, som oprindeligt nedstammer fra din egen krop, men som er behandlet andetsteds gennem netværk, databaser og algoritmer. Dette gør det muligt at analysere og kategorisere personer og personoplysninger på en måde, der ikke var mulig før. En sådan udvikling kan forandre den måde, vi opfatter os selv som mennesker og individer i et fællesskab.

Internationalt perspektiv
Biometriske teknologier skaber en række muligheder i det internationale samfund. Biometri kan for eksempel være med til at sikre en lige fordeling af nødhjælp i ulande eller bruges til at forhindre selvmordsbombere i at få adgang til centrale offentlige faciliteter i Irak og Afghanistan. I fattige lande, hvor der ikke findes sikre identifikationspapirer, kan biometri skabe øget sikkerhed for, at en person er den, som vedkommende giver sig ud for – og for eksempel sikre, at det kun er kvinden i en familie, der har adgang til en bankkonto, hvis manden i stedet ønsker at drikke pengene op. Om en sådan adfærdsregulering vil være etisk korrekt eller ej afhænger dog i høj grad af den konkrete kontekst.

Magt over mennesker
Hvis biometriske data er registreret i et biometrisk system, medfører dette, at nogle mennesker har viden og dermed magt over andre mennesker. Kritikere argumenterer for, at en sådan magt altid vil blive mis-brugt, hvis der er mulighed for misbrug. De individuelle frihedsrettigheder vil i så tilfælde blive svækket, hvilket i yderste konsekvens kan være til fare for både det demokratiske system og markedets funktions-evne. Set i dette lys er det derfor helt afgørende, at der udvikles biometriske løsninger, som sikrer, at biometriske data ikke kan misbruges.

Hvorfor overhovedet registrere?
Spørgsmålet er, om der overhovedet skal registreres biometriske data. Hvad er det, vi gerne vil opnå med registreringen – og kan dette opnås på andre måder, som ikke har en nær så indgribende karakter? Er al denne registrering og identifikation overhovedet ønskelig eller nødvendig? Får vi løst de problemer, som vi gerne vil have løst, eller er det udtryk for, at politikerne har behov for at udtrykke handlekraft i situationer, hvor de føler sig afmægtige?

Persondataretlige implikationer
Biometriske personoplysningers varige karakter gør dem principielt egnede til at identificere en person gennem et helt liv. Når det offentlige eller en privat virksomhed vil behandle en persons biometriske oplysninger, kan det ske på baggrund af et samtykke eller en interesseafvejning. Når en offentlig myndighed eller en privat virksomhed behandler biometriske personoplysninger på baggrund af et samtykke, er der altid mulighed for, at den person, som er indehaver af f.eks. et fingeraftryk, kan tilbagekalde samtykket med den konsekvens, at den biometriske personoplysning skal slettes.

Når man skal behandle biometriske personoplysninger, er det også væsentligt at vurdere, om anvendelse af biometri er den nødvendige løsning. Man skal således spørge sig selv, om der findes andre mindre ind-gribende metoder, som kan identificere/verificere den pågældende person. Hvis eksempelvis et sygesikringsbevis og et foto i en database kan identificere en diskoteksgæst, er det ikke nødvendigt at etablere en central database med fingeraftryk.

Vurderingen af, om det er nødvendigt at anvende en konkret biometrisk løsning, skal også indeholde en vurdering af, om det enkelte menneske selv er i besiddelse af sine biometriske personoplysninger på eksempelvis et smart card, eller om oplysningerne opbevares i en central database. En central database indebærer en større risiko for, at den menneskelige integritet kompromitteres.

Samtykkets betydning
Uanset om en dataansvarlig behandler almindelige eller følsomme personoplysninger, kan et samtykke fra den registrerede altid danne det retlige grundlag for behandlingen. Forudsætningen er dog, at selve samtykket opfylder de krav, som lovgivningen stiller til det, og at behandlingen også opfylder de regler, der ligger i kravet om god databehandlingsskik.

Muligheden for at tilbagekalde et samtykke, kan også ses som en ulempe, fordi den iværksatte behandling skal stoppe, og der skal udtænkes alternative identifikations/verifikationsmetoder. Her er det spørgsmålet, om det reelt er muligt at basere en teknologisk behandling af personoplysninger på den registreredes samtykke. Det er muligt at basere behandling af biometriske personoplysninger på en af-vejning af interesser, hvor hensynet til den virksomhed eller offentlige myndighed, som anvender en biometrisk løsning vejer tungere end hensyn til den person, hvis biometriske personoplysninger behandles. Denne løsning har den fordel, at det ikke er muligt for den registrerede at stoppe behandlingen, fordi samtykket tilbagekaldes.
Behandling af biometriske oplysninger er ikke genstand for nogen form for specialregulering fra hverken national eller europæisk side. Persondataretten har allerede vist sig vanskelig at anvende i praksis, når nye teknologiers lovlighed skal vurderes. Den praktiske anvendelse bliver nok ikke mindre besværlig af, at den dataansvarlige også skal vurdere, om en behandling af personoplysninger ved hjælp af ny tekno-logi er i overensstemmelse med ikke altid lige gennemsigtige regler.

Stadig mere registrering og overvågning
I fremtiden vil politikere sandsynligvis også skulle forholde sig til befolkningens ændrede holdning til registrering og overvågning. Hvis befolkningen først og fremmest er styret af “convenience”- og ”I’ve got nothing to hide”-argumenter, kan politikerne indskrænke det enkelte individs privatsfære med deraf øget adgang til behandling af personoplysninger.

Der opsættes i disse år stadig flere kameraer, som overvåger trafikken på motorvejene, passagerer i toge, kunder på posthuse, i banker, på benzinstationer, i butikker, i indkøbscentre og tilskuere til fodboldkampe. På mange arbejdspladser registreres de ansattes aktivitet på internettet, på mailen og telefonen. På biblioteket registreres alle udlån med cpr-nummer som reference. I virksomheder og i detailhandlen registreres kunderne og deres indkøb. Teleselskaberne registrerer al teletrafik og opbevarer oplysningerne, så politiet kan få adgang til dem i en sag. På samme måde kan alle med en mobiltelefon i dag spores døgnet rundt på grund af registrering og opbevaring af oplysninger fra sendemasterne. Flyselskaberne indsamler passageroplysninger om destinationer og madpræferencer, som politiet har direkte adgang til uden dommerkendelse. Der er således åbnet op for, at man i princippet vil kunne udvikle mere og mere detalje-rede profiler over alle borgeres adfærd, vaner, præferencer, økonomi, sociale forhold, sundhed og meget mere.

Privatlivsbeskyttelse en grundlæggende rettighed
Privatlivsbeskyttelsen er en grundlæggende rettighed i den Europæiske Menneskerettighedskonvention. Af artikel 8 fremgår det, at både personen selv, herunder krop og udseende, og hans eller hendes adfærd i forhold til for eksempel familie, seksualitet og kommunikation er omfattet af beskyttelsen. Det samme er de materielle ting, der tilhører vedkommende, og de oplysninger, der er knyttet til ham eller hende.

Biometri og personfølsomme oplysninger
Biometriske systemer åbner for identifikation af en person, der enten har eller ikke har nogle bestemte rettigheder. Det betyder, at information om køn, alder, etnicitet mv. ikke nødvendigvis afgives ved ad-gang. Modsat er der en række problemer ved mange biometriske systemer. For eksempel kan man ud fra irisscanning, ansigtsscanning og ganganalyse afsløre en række sygdomme og handicap. Disse informationer vil være yderst attraktive for forsikringsselskaber, der på den baggrund vil kunne vælge at opsige samarbejdet med en kunde eller hæve prisen på vedkommendes forsikring. De biometriske systemer bør derfor altid konstrueres på en sådan måde, at der ikke kan læses mere ud af biometrien, end hvad der er relevant til det pågældende formål.

Medtænk privacy fra starten!
Mange af de biometriske systemer, der bruges i dag, er baseret på systemer med ikke-krypterede data. Brug af ikke-krypterede, biometriske data har blandt andet den fordel, at det er lettere for myndigheder-ne at sammenligne og sammenkøre forskellige registre og databaser. I effektivitetens og paradoksalt også i sikkerhedens navn bliver hensynet til privacy hermed kraftigt nedtonet. Hvis man derimod ønsker at lave et teknologisk design, der tager hensyn til privacy, bør privacy indbygges i teknologierne helt fra start – det kaldes også ”Privacy by Design”. Når først et system er opstillet, er det meget vanskeligt og dyrt at indbygge bedre privatlivsbeskyttelse.
Biometri kan rent faktisk bruges på en måde, der tager hensyn til beskyttelse af personoplysninger. For det første bør man sikre de biometriske data i sig selv. Det gøres bedst i de såkaldte ”system on card”-løsninger, hvor både den biometriske læser og lagringen af data foregår på selve kortet. Man kan endvi-dere sikre, at de nøgler, som ligger på kortet, er privatlivsbeskyttende. Det vil i praksis sige, at der genere-res koder, som giver brugeren rettigheder, men som ikke muliggør identifikation af for eksempel personens navn, cpr-nummer, adressen, køn og etnicitet.
(for yderligere information om privacy by design se evt. det europæiske projekt PRISE).

PRISE-projektet
Det EU finansierede projekt om PRIvacy og SEcurity, PRISE har analyseret udviklingen af sikkerhedsteknologier såvel som aktuelle sikkerhedspolitikker, specielt med sigte på det centrale spørgsmål, hvorvidt mere flere sikker-hedsforanstaltninger, herunder overvågning, nødvendigvis altid vil indebære et tab på privatlivskontoen. PRISE konkluderer, at i en række tilfælde er det muligt at opnå større sikkerhed, uden at det går ud over privatlivet, i visse tilfælde kan privatlivets fred endda blive beskyttet bedre.Projektet har desuden udviklet kriterier til at evaluere ansøgninger til EU’s forskningsprogrammer inden for sikker-hed, et konkret værktøj til at undersøge, om en given sikkerhedsteknologi lever op til både lovgivning om personda-ta- og privatlivsbeskyttelse, og om teknologien er i konflikt med etik og holdninger blandt borgere i Europa.

PRISE-modellens tre niveauer
Grundlæggende er der tre forskellige niveauer for privatlivsbeskyttelse, som udviklere eller brugere af sikkerheds-teknologi skal forholde sig til.Det første niveau kaldes Baseline med minimumskravene til beskyttelse af privatsfæren, med andre ord en kerne-sfære af privatliv som aldrig må krænkes. Baseline-testen tjekker, om teknologien, som ansøgeren vil udvikle eller brugeren vil benytte, giver mulighed for at overvåge personer og indsamle oplysninger, som krænker personens menneskeværdighed og fysiske integritet. Det giver bl.a. anledning til spørgsmål såsom: Vil teknologien gøre det muligt at overvåge i private hjem? Eller: Tillader den foreslåede teknologi indsamling og bearbejdning af personføl-somme data som eksempelvis seksuelle præferencer, intime tanker og samtaler? Det næste niveau kaldes Data Protection Compliance og kigger på, hvorvidt den foreslåede teknologi er i overens-stemmelse med relevante love og regler inden for databeskyttelse. På dette trin stilles der spørgsmål som: Indehol-der teknologien aktiviteter som samkøring af data og tværgående analyser? Eller: Muliggør teknologien anonymitet hos de personer, som der indsamles data om (borgerne)?Det øverste trin, Context-Sensitive Trade-Off, beskæftiger sig med de situationer, hvor en teknologi reelt overskrider grænserne for begge de foregående niveauer, men alligevel mener at have en berettigelse på grund af den øgede sikkerhed for samfundet, teknologien medfører. På dette niveau accepterer man altså et trade-off, men PRISE-metoden skal samtidig sikre, at der er proportionalitet mellem gevinsten på sikkerhedssiden og tabet for privatlivets beskyttelse på den anden, hvorfor der spørges der ind til konteksten – hvilke sikkerhedsfordele teknologien konkret medfører.

Sådan fungerer PRISE-modellen i praksis
Ud over at identificere niveauet for privatlivsbeskyttelse, tilbyder PRISE-modellen også konkrete værktøjer og metoder til at overkomme en eventuel privacy-krænkelse. F.eks. i forbindelse med en af tidens mest omdiskuterede sikkerhedsteknologier, den såkaldte “nøgenmaskine”, som bruges i bl.a. USA og England. Nøgenmaskinen bruges typisk i lufthavne til at scanne den enkelte passager med det formål at identificere farlige materialer som f.eks. plastisk sprængstof. Det indebærer imidlertid at afbilde passageren uden tøj på, og det virker krænkende på mange mennesker. Reaktionen hos de borgere, der deltog i PRISE projektets interviewmøder var da også, at de afviste brugen af den type teknologi. “Hvis en nøgenmaskineløsning har problemer med at klare eksempelvis baseline-kriterierne, vil PRISE’s værktøjer formentlig kunne hjælpe med gode råd. F.eks. ved at billedet kun viser konturerne på personen, men ikke er kropsspecifik. En anden løsning kunne være, at den person der betjener scanneren, og dermed ser personen, ikke er den samme, som kigger på billederne. En juridisk løsning kunne være at teknologien kun må blive brugt i specifikke situationer eller under specielle, prædefinerede omstændigheder. De samme principper gør sig gældende på de to øvrige niveauer.

Biometri er aldrig 100 procent sikkert. For eksempel kan kunstige gummifingre eller masker bruges til at omgå mange biometriske scannere. Men selv i situationer, hvor der ikke gøres forsøg på at snyde de bio-metriske systemer, er der ofte en betydelig andel falske ”matchs” – også kaldet ”non-matchs”. En fejlrate på bare 1 procent i store landsdækkende eller internationale biometriske systemer er ensbetydende med et stort antal forkerte afgørelser. Der er derfor god grund til at tænke sig grundigt om, inden man vælger at bruge biometri til identifikation i stor skala. Når det er sagt, kan de fejlprocenter, der er forbundet med ren menneskelig kontrol, i nogle tilfælde være meget højere.

Bekvemmelighed eller datasikkerhed?
Der kan være flere grunde til at opstille biometriske systemer. En af hovedbegrundelserne for at benytte biometriske teknologier er bekvemmelighed – ofte kaldet ”convenience”. Men biometri bliver ligeledes anvendt med henblik på at opnå en bedre sikring af såvel data og materielle genstande som mennesker. Selv om bekvemmelighed er hovedformålet med et biometrisk system, er det desuden vigtigt også at være opmærksom på, hvilke andre sikkerhedsmæssige effekter brugen af biometri medfører.

Øget sikkerhed kan også være målet for brug af biometri. Der er dog mange faldgruber. Selv om man i princippet altid burde kryptere biometriske data, har erfaringer vist, at dette langt fra altid sker. Ligeledes er såkaldte ”system-on-card”, hvor både lagring, scanning og matchning forgår på et smartcard med en biometrisk læser, set i forhold til datasikkerhed at foretrække frem for systemer, hvor matchning og lag-ring af data foregår uden for brugeres kontrol. Krav til effektivitet og lavest mulige omkostninger gør dog, at biometriske løsninger baseret på ”system-on-card” endnu ikke har fået sit store gennembrud.

Sikkerhed for hvem?
Høj datasikkerhed er langt fra altid det, der bliver talt om, når politikere og andre beslutningstagere diskuterer sikkerhedsspørgsmål. I en diskussion om biometriske systemers sikkerhed kan man med fordel skelne mellem sikkerhed for brugeren og sikkerhed for opstilleren.

Sikring af den enkelte bruger, hvad enten denne er borger, kunde eller en ansat i en virksomhed, er ofte ikke målet for opstillerne af biometriske systemer, som typisk er myndigheder, organisationer eller virksomheder. For eksempel blev de biometriske pas indført med det formål at skabe et mere sikkert samfund. Men kritikerne af det nye pas vil hævde, at det repræsenterer et skridt i retning af det stik modsatte. At passet indeholder biometriske karakteristika, kan på den ene side skabe øget sikkerhed for, at en person er den, vedkommende giver sig ud for at være. Modsat har man som individ ikke særlig stor kontrol med, hvad myndighederne bruger ens biometriske oplysninger til. Det vil for eksempel i princippet være muligt at sammenligne ens fingeraftryk med profiler i det nationale kriminalitetsregister i det pågældende land. På denne måde kan der sagtens være et modsætningsforhold mellem på den ene side sikring af individets rettigheder i form af høj datasikkersikkerhed og på den anden side statens sikkerhed.

Templates og grænseværdier er afgørende for systemets sikkerhed
Templates er dannet på baggrund af specifikt udvalgte dele af selve de biometriske karakteristika – for eksempel bestemte punkter i et fingeraftryk eller en bestemt rytme knyttet til en persons gangart. Nogle templates er meget simple og eksempelvis baseret på 5-10 punkter i brugerens fingeraftryk – en sådan løsning bruges for eksempel til udlevering af skolemad i England -, mens andre indeholder mere avance-rede data. De enkelte systemer er meget forskelligt konstrueret, og der er fra teknologi til teknologi stor forskel på, hvor kompliceret det er at rekonstruere velfungerende biometriske data ud fra templates. Dog er dette, i modsætning til hvad mange tror, rent faktisk muligt.

Det er en udfordring at konstruere et koncept for templates, som på den ene side ikke stiller så store krav til match, at man bliver afvist, fordi man for eksempel smiler, og på den anden side ikke slipper andre igennem, fordi der er visse sammenfald i udseendet. Forandringer i udseendet som følge af aldring er også en udfordring for mange biometriske systemer.

Venescanning vil i princippet kunne anvendes utallige steder på kroppen. I dag bliver teknologien brugt til at scanne blodårernes struktur i håndfladen, på oversiden af hånden og i fingrene. Teknologien er baseret på en kombination af almindelig CCD-kamerateknologi og infrarødt lys. Brugen af infrarødt lys får hæmoglobinet i blodårerne til at fremstå mørkt, mens den resterende del af hånden eller fingeren fremstår som lys. Fra det billede, der bliver taget af CCD-kameraet, lokaliseres centrale punkter i blodåremønstret, og der dannes på baggrund heraf en template, som efterfølgende anvendes til at be- eller afkræfte en persons identitet. De centrale punkter, der registreres i templaten, er forgreninger i blodårerne, vinklen af disse forgreninger og tykkelsen af blodårerne.

Hvor kan venescanning anvendes?
Venescanning har tidligere hovedsageligt været brugt i Japan og Sydkorea, men har igennem de sidste år også vundet udbredelse til resten af verden. Både venescanning af håndfladen og fingervenescanning bliver i vid udstrækning anvendt i hæveautomater, til fysisk og logisk adgangskontrol, til arbejdstidsregistrering, på biblioteker og i sundhedssektoren. Fordele såsom pris og præcision forventes at medføre, at venescanning også bliver en stadig mere udbredt teknologi.

Styrker og svagheder
Teknologien måler på karakteristika inde i selve kroppen og er derfor ikke så sårbar over for ydre skader og skrammer som for eksempel fingeraftryksscanning. Problemet med at opnå den rigtige belysning i forhold til blandt andet ansigtsgenkendelse er heller ikke aktuelt for venescanning, da det, der måles på, som nævnt er inde i kroppen og ikke påvirkes af ydre lysforhold. Samtidig er personers venestrukturer med den nuværende viden ikke så lette at kopiere som for eksempel et fingeraftryk.

Venescanning er på den anden side endnu ikke særlig gennemtestet under ugunstige situationer som for eksempel kolde temperaturer og kraftigt sollys. Der er samtidig ikke foretaget studier af en persons blod-åremønster gennem en lang årrække. Endvidere er der endnu ikke særligt stort kendskab til hvilke syg-domme, der kan føre til forringede match-resultater. Ud over fysiske skader vil blandt andet tumorer, aterosklerose, diabetes og højt blodtryk formentligt kunne påvirke blodårernes udseende og derved på-virke muligheden for at scanne mønstret korrekt.

Trends
Prisen på venescannere er allerede i dag forholdsvis lav, og det forventes, at prisen vil falde yderligere de kommende år. Da de nuværende testresultater for venescanning viser lovende tegn, hvad angår præcision – den er større end ved fingeraftryks- og håndscanning -, må det forventes, at venescanning bliver en udbredt biometrisk teknologi på globalt plan i de kommende år. Endelig er venescanning en oplagt teknologi at anvende i kombination med andre biometriske teknologier som for eksempel fingeraftryks-scanning og håndscanning.

Måling af tastedynamik kræver ikke ekstraudstyr som for eksempel scannerenheder eller kameraer, det kræver udelukkende, at der installeres en softwareløsning på den computer, som personen i forvejen benytter. Det installerede program registrerer brugerens brug af keyboardet og genererer på den bag-grund templates, som bruges ved den senere verifikation af brugeren.

Styrker og svagheder
En af de store fordele ved brugen af tastedynamik er, at teknologien for det første baserer sig på allerede tilstedeværende udstyr, og at brugeren ikke skal gøre andet end at skrive sit password som ved en almindelig log-in-situation. Løsningen indebærer også den fordel, at ens password kan ændres, hvis der opstår behov for at skifte identitet. Det betyder, at tastedynamik ikke indebærer samme risici for krænkelse af privatlivets fred som biometriske teknologier, der er baseret på målinger af permanente fysiologiske karakteristika.
Der er dog også en række betydelige svagheder forbundet med brugen af verifikation baseret på tastedynamik. Teknologien er endnu ikke på et særligt højt udviklingsstadie og er ikke gennemtestet uden for laboratoriet. Det betyder blandt andet, at de algoritmer, der anvendes til at konstruere templates, ikke er særligt veludviklede. Det betyder også, at der stadig er for mange falske afvisninger af autoriserede brugere, og at der gives adgang til for mange uautoriserede personer. En anden stor svaghed er, at personers måde at skrive et password på ikke er uforanderlig, men derimod ofte ændrer sig fra gang til gang. Alt dette betyder i praksis, at firmaer og organisationer typisk fravælger at anvende tastedynamik i kombination med passwords. Teknologien skaber endnu ikke et væsentligt højere sikkerhedsniveau og er samtidig en kilde til irritation hos de ikke-accepterede, autoriserede brugere.

Trends
De lave omkostninger, der er forbundet med brugen af tastedynamik, kan på sigt gøre teknologien attraktiv. Dette kræver dog, at der udvikles algoritmer, som overvinder udfordringen med variation i brugernes anslagsmønstre. Hvis det lykkedes, er der gode muligheder for, at tastedynamik kan blive en meget ud-bredt biometrisk teknologi.

Der er to former for stemmegenkendelse: Tekstafhængig og tekstuafhængig. I systemer, der er baseret på tekstafhængig tale, præsenterer man enten et fast password, eller også beder systemet en om at sige en bestemt sætning blandt en række tidligere registrerede sætninger. Et eksempel kan være, at systemet beder en om at sige en række tilfældigt genererede tal, som man tidligere har programmeret ind i systemet – for eksempel: ”1-2-32-7”. På denne måde kan sikkerheden øges i modsætning til, når man bruger det samme password hver gang. Det tekstuafhængige system har ikke på forhånd kendskab til hvilke ord eller fraser, brugeren vil formulere, og kan derfor også bruges til at identificere personer i situationer, hvor den involverede er uvidende om indsamlingen. Denne teknologi anvendes for eksempel til at identificere lydoptagelser af Osama Bin Laden.
Teknologien bag stemmegenkendelse fungerer på den måde, at der dannes en række algoritmer på baggrund af målinger af de registrerede lydes frekvens, lydstyrke og rytme. Mange af de karakteristika, der anvendes til at danne templates, er unikke for den menneskelige stemme, hvorfor teknologien er meget vanskelig at kopiere selv med gode lydoptagere. På trods af at en optagelse i høj kvalitet vil ligge meget tæt op ad den menneskelige stemme, vil det ikke kunne undgås, at der bliver tilført ikke-menneskelige elementer til den afspillede stemme. Muligheden for at snyde stemmegenkendelsessoftwaren er dog stadig til stede, men det er en forholdsvis vanskelig proces.
Stemmegenkendelse har hidtil hovedsagligt været brugt til at skabe højere sikkerhed i forbindelse med økonomiske transaktioner via telefon eller mobiltelefon. Teknologien bliver også i få tilfælde brugt til fysisk adgangskontrol.

Styrker og svagheder
Stemmegenkendelse er relativt set en billig biometrisk teknologi, da den kan anvendes sammen med traditionelle teknologiske komponenter som mikrofoner, headsets, fastnet- og mobiltelefoner. Desuden er stemmegenkendelse en relativt sikker teknologi – den er for eksempel mere sikker end visse systemer baseret på fingeraftryksscanning. Stemmegenkendelse har desuden den fordel, at befolkningen ikke forbinder teknologien med overvågning og registrering, hvorfor den ikke i så høj grad opfattes som privatlivskrænkende.

Der er også en række ulemper forbundet med stemmegenkendelse. Dårlige telefonforbindelser og baggrundsstøj kan give falske ”non-matchs” og kan derfor skabe irritation for brugerne. Der kan for eksempel opstå problemer, hvis man har ladet sig registrere første gang på en fastnettelefon og derefter forsøger at anvende en mobiltelefon. Desuden er det stadig en generel opfattelse, at biometrisk stemmegenkendelse er en forholdsvis usikker teknologi. Der er blandt andet en udbredt men ofte ubegrundet bekymring for, at systemet ikke vil kunne genkende ens stemme i forbindelse med sygdom eller mangel på søvn. Endelig er de templates, der anvendes til stemmegenkendelse, typisk større end dem, der bliver brugt til andre biometriske teknologier, hvorfor matchning-processen foregår relativt langsom.

I praksis skal brugeren af teknologien registrere sin underskrift på en elektronisk ”notesblok”. Det skal ske gentagne gange for at udjævne variationer mellem de enkelte signaturer. Den template, der bliver gemt i systemet, rummer således data for brugerens ”gennemsnitlige” underskrift.

Teknologien er endnu ikke særlig udbred, men den kan blive det alt efter hvilke normer og standarder, der vinder indpas – for eksempel til verifikation af personers identitet på kontrakter inden for blandt andet finansverdenen, forsikringsbranchen, internethandel, i sundhedssektoren og i forbindelse med tildeling af velfærdsydelser.

Styrker og svagheder
En fordel ved biometrisk signaturanalyse er, at underskriften i århundreder har været en accepteret form for verifikation af ens identitet. Det at afgive sin underskift er en af de mindst indgribende autentifikationsformer og nyder en høj grad af accept i befolkningen. Netop af denne grund anses det for relativt uproblematisk at anvende biometrisk signaturanalyse til elektroniske transaktioner.

Teknologien er derudover relativt sikker. Man kan forholdsvist nemt kopiere en anden persons underskrift, så den – set med det blotte øje – ligner den originale underskrift. Men det er meget vanskeligt at lave en kopi, der både ligner originalen og er udført med samme rytme, tryk og hastighed. Samtidig er det muligt at ændre sin underskrift, hvis brugeren er nødsaget til at ændre identitet.

Men der er også en række ulemper forbundet med brugen af biometrisk signaturanalyse. Der er stor forskel på, hvor ensartet en given person kan skrive sin underskrift. Dermed er der også en relativt stor gruppe af personer, som vil have vanskeligheder ved at registrere og senere verificere deres personlige signatur. Specielt personer med sygdomme, der påvirker musklerne i hånden, vil have vanskeligt ved at verificere deres identitet, og de vil derfor være udsat for en væsentligt højere ”False Rejection Rate” (FRR). Desuden kan brugerens mentale tilstand bevirke, at personen kommer til at udføre deres personlige signatur på en måde, der afviger fra den normale. Dertil kommer, at de fysiske omgivelser bør være de samme under den første registrering og den senere verifikation. Her er det for eksempel relevant, om brugeren står op eller sidder ned, eller om der er de samme muligheder for at hvile underarmen. Endelig skal det nævnes, at ens personlige underskrift ikke er uforanderlig, men for manges vedkommende ændrer sig betydelig gennem livet.

Trends
Verdensmarkedet for biometrisk signaturanalyse ventes ifølge blandt andet Global Industry Analysts Inc. at vokse med stor hastighed frem mod 2015. I perioden 2010-15 forventes salget af trådløse systemer baseret på signaturanalyse at stige støt. Teknologien vil især blive anvendt til at bekræfte identiteten af forbrugere og borgere, som ønsker at modtage bestemte services eller varer.

Udviklingen mod et papirløst samfund har været med til at skabe et behov for systemer som biometrisk signaturanalyse. Om det bliver biometrisk signaturanalyse eller en af de konkurrerende biometriske teknologier, der vinder kapløbet, vil vise sig i løbet af de kommende år. Introduktionen af et biometrisk borgerservicekort vil blandt andet kunne have indvirkning på denne udvikling.