Enligt jur.dr. Juhani Korja är det ett stort problem att personuppgiftslagen inte beaktar att biometrisk identifiering i praktiken kräver intrång i medborgarnas personliga integritet.
– Det finns ett klart behov av en klarare lagstiftning kring integritetsfrågorna. Biometrisk identifiering baserar sig på en persons fysiska, fysiologiska eller beteendemässiga kännetecken. Den borde därför klassas som känslig information som kräver klara spelregler, säger han.
Korja doktorerade i fjol våras på ämnet biometrisk identifiering vid Lapplands universitet och torde vara en av de personer i Finland som är mest insatta i ämnet.
– Om lagen uttryckligen säger att det är obligatoriskt med biometrisk identifiering, som i passen, är saken klar. Följden är dock att den som inte vill ge sina fingeravtryck inte heller kan resa utanför Europa. Men om till exempel passersystemet i ett företag baserar sig på fingeravtryck kan de anställda inte tvingas ge sina fingeravtryck, säger han.
Lagstiftningen släpar efter
Europeiska rådets dataskyddsavtal uppdaterades 2012 då biometrisk identifiering togs med bland förteckningen över känsliga personuppgifter. Avtalet förpliktar EU- och EES-länderna och ska införas i alla länder senast i maj 2018.
– Den finländska lagstiftningen har inte ännu över huvud taget uppdaterats i denna fråga. En arbetsgrupp i justitieministeriet håller i alla fall på att utarbeta ett förslag till ny lagstiftning i den här frågan, säger Korja.
Enligt den nuvarande personuppgiftslagen är exempel på känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, samt personuppgifter som rör hälsa. Uppgifter om hälsa kan vara till exempel graviditet.
– Men biometrisk identifiering finns inte överhuvudtaget nämnd trots att den kan avslöja mycket som faller inom ramen för känsliga personuppgifter, säger Korja.
Hundraprocentigt skydd finns inte
Korja påpekar att biometrisk identifiering endast försinkar någon som verkligen vill bryta skyddet. Att något hundraprocentigt skydd inte finns visar ett avsnitt av den amerikanska tv-serien Mythbusters. Man kopierade ett fingeravtryck på ett glas och gjorde 3D-avtryck av det för att testa en högklassig fingeravtrycksläsare.
– Programmakarna lyckades logga in sig i datorn som var skyddad av fingertrycksavläsaren. Det är egentligen bara fråga om hur mycket tid och energi någon vill sätta på för att överlista ett biometriskt skydd, om det sedan är ögat, rösten, ansiktet, handflatan, pulsen eller något annat som utgör passersedeln, säger Korja.
Han betonar att det också behövs klarare regler för dem som utvecklar biometriska identifieringstjänster.
– Riskerna gällande biometrisk identifiering ökar då världen i allt högre grad är uppkopplad och biometrisk information finns sparad på många olika håll. Därför är det oerhört viktigt att få klara spelregler för hur biometrisk identifiering får användas och hur den ska lagras, säger Korja.
Stannar fingeravtrycket i telefonen?
Korja blev intresserad av olika säkerhetssystem när han före studierna jobbade på ett privat säkerhetsföretag. Framför allt väckte de kamerabaserade säkerhetssystemen hans intresse och de blev sedan ämnet för hans pro gradu.
– När jag jobbade med min magisterexamen blev jag fascinerad av ansiktsigenkänning och andra biometriska identifieringsmetoder. Jag märkte att det har forskats väldigt lite i de juridiska aspekterna av biometrisk identifiering, säger han.
Intresset för biometrisk identifiering ökar hela tiden hos människorna, framför allt gällande möjligheten att enkelt logga in på olika tjänster via mobiltelefonens eller datorns fingeravtrycksläsare. Därför borde ämnet enligt Korjas åsikt vara på tapeten också gällande de juridiska aspekterna.
– Jag ser tillsvidare skeptiskt på telefonernas fingeravtrycksläsare. De fungerar ofta inte som de borde, de är lätta att lura och jag är inte alls så säker på att fingeravtrycken endast sparas i telefonen. Det finns indikationer på att de också kan hittas telefontillverkarens register, säger han avslutningsvis.