MitID og Minority ReportSkærmklip fra filmen 'Minority Report'.

MitID-partnerens fascination af sci-fi mareridt hvor overvågning indopereres i øjet

Skrevet 28. juni 2023 af Søren Kristensen

Studerer man nogle af udmeldingerne fra direktøren i et af de firmaer, som implementerer MitID’s login på danske hjemmesider, får man indtryk af en person helt uden grænser i forhold til overvågning. Ja, faktisk er han tilsyneladende fascineret af det som vi andre opfatter som et sci-fi mareridt. Lovgiverne bag MitID argumenterer også ihærdigt for uhæmmet brug af biometrisk overvågning. Samtidig med at de forsikrer om, at MitID ikke gør brug af biometriske data. Det gør det tvungne statslige loginsystem så alligevel nu - ganske godt i tråd med partner-direktørens sci-fi mareridt.

Trods det at den offentlige enhed bag MitID - Digitaliseringsstyrelsen - oprindeligt forklarede, at MitID ikke ville indeholde ansigtsgenkendelse, er den kontroversielle overvågningsteknologi alligevel taget i anvendelse i det tvungne danske loginsystem.
Og ser man på, hvad dem der samarbejder med staten om at implementere login-teknologien siger, og hvad den oprindelige danske lovgivning på området fra starten har åbnet op for, må man forvente at flere biometriske login-metoder introduceres gradvist. Ja, så må man faktisk forvente at de mest ekstreme teknologier vil blive taget i anvendelse. At dømme ud fra hvordan lovgiverne fjerner andre muligheder og dermed de facto tvinger folk til at anvende deres system, kan man formode, at dette vil blive gennemført først som tilbud, senere som krav.

Signicat er certificeret som MitID broker. Det vil sige at Signicat hjælper "tjenesteudbydere" med at implementere MitID-login på deres hjemmesider. En "tjenesteudbyder" betyder her fx en bank eller en anden offentlig eller privat virksomhed, der har en hjemmeside som skal have MitID-login.
I forbindelse med overgangen til MitID må tjenesteudbydere ikke selv integrere MitID - der skal de bruge en certificeret broker som fx Signicat.

Signicat siger om sig selv, at firmaet "er den førende udbyder af digitale identitetsløsninger i Europa".
De skriver desuden:
"Signicat har en historisk lang erfaring som eID broker i andre europæiske lande.
Brokerrollen er en del af Signicats DNA, og Signicat er nu ved at bygge MitID løsninger for både eksisterende og nye kunder. Signicat hjælper allerede et stort antal danske virksomheder med verificering af identitet, autentifikation og behov for elektronisk underskrift. I tillæg til broker rollen tilbyder vi vores omfattende identitetsplatform, der muliggør integration til 25 forskellige eID løsninger fra mere end 10 europæiske lande samt vores alsidige signeringsservice."
Her kan man se deres udviklingsside om MitID, og her kan man se en digital præsentation fra et informationsmøde for private tjenesteudbydere for MitID-partnerskabet mellem Digitaliseringsstyrelsen og de danske pengeinstitutter.

Læs også: Mere end halvdelen af alle verdens centralbanker i gang med at udvikle digitale penge - CBDC's

Firma med specialistviden indenfor biometrisk login
Signicat er et firma med stor ekspertise indenfor "biometrisk autentifikation". Dvs. teknologier hvor man skal bevise, hvem man er med sin krops unikke kendetegn - fx med ansigtsscanning eller fingeraftrykslogin.

Signicats marketingdirektør (CMO - Chief Marketing Officer) Aron Kozak har skrevet en blog-artikel på firmaets egen hjemmeside, hvor han afslører at Signicat, anbefaler sine kunder ikke bare én men flere biometriske login-krav og overvågnings-teknologier; ansigtsscanning, fingeraftryk, øjeiris- og stemme-scanning – ja, sågar gang-art analyse.

"Har adgang til kreditvurderinger" - Hvad?!
Han fortæller, i sin blogartikel, i øvrigt også at NemID (og dermed sandsynligvis også MitID) "er bundet til nationale ID-numre, pas, en gyldig adresse og har adgang til kreditvurderinger".
Ja, det står faktisk i hans blog-indlæg.
I sammenhæng med at han skriver om de nordiske landes digitale ID-løsninger skriver han:
"Disse elektroniske ID-ordninger (eID), som BankID og NemID, er knyttet til nationale ID-numre, pas, en gyldig adresse og har adgang til kreditvurderinger. Brugere skal typisk logge ind med en multifaktorautentificering og generelt set er der en omfattende risikoanalyse som en del af interaktionen."
Her er altså en leder i et firma, der arbejder indgående med MitID og tidligere NemID, som fortæller at "NemID har adgang til kreditvurderinger". Betyder det, at NemID (og MitID) har adgang til kreditvurderinger på danskerne - kan det virkelig være rigtigt...? Betyder det, at NemID (og MitID) bruger denne adgang til at kreditvurdere danskere, der anvender login-systemet? Hvilket kreditvurderingssystem er det mon konkret? Må staten godt samkøre den type data med deres login-system, sådan som denne MitID-partner antyder, at de gør? Og hvad skal det bruges til...? Skal folk der ikke er kreditværdige have en særlig (dårlig?) behandling eller...?
Giver det ikke ubehagelige mindelser om princippet om "social credit score" - her i stedet med baggrund i konkret økonomisk kreditværdighed...?

Tilsyneladende grænseløst ønske om sikkerhed
Når man læser Aron Kozaks blog-artikel får man indtryk af en mand helt uden grænser, når det kommer til overvågning og mistillid til mennesker. Fx skriver han at "autentificering for evigt vil være et dyr i udvikling" (“authentication forever will be an evolving beast”) - og han remser derefter forskellige biometriske metoder op, man bør bruge.
Han skriver:
"Hos Signicat udforsker vi en række avancerede biometriske identifikationsmetoder. Ansigtsscanning, fingeraftryk, iris- og stemmegenkendelse er i øjeblikket velkendte metoder. Men hvad med ganganalyse? Går du, som du plejer? Hvad med bevægelse? Håndterer du din mobilenhed normalt, eller er der uregelmæssigheder i din adfærd? Der er subtile, men sigende køer, der kan spores for at hjælpe med at identificere, om det ser ud til at være dig. Hvis der er nogen usikkerhed, kan yderligere, step-up autentificeringsmetoder anvendes." (se oprindelige engelske tekster herunder eller via linket til denne artikel og de øvrige engelske tekster).
Videre fortæller han, hvor imponeret han er over de nordiske landes digitale ID'er: "De nordiske lande satte baren for pålidelig digital identitet for flere år siden ved at introducere en delt digital identifikationsinfrastruktur, som leverandører kan bruge til at interagere mere problemfrit med deres kunder."
Om Norges BankID-løsning skriver han:
"Introduktionen af biometri og mobile enheder har yderligere forenklet og forbedret godkendelsesprocessen. For eksempel krævede Norges BankID tidligere en "kode-brik" for at autentificere. Nu bruges mobiltelefoner som en ekstra godkendelsesmetode, der kræver fingeraftryk og pinkode, foruden et unikt ID og adgangskode."
Mange danskere bruger også fingerscanningslogin på deres mobiltelefoner - således selvfølgelig også når de logger på MitID via telefon.

Hvor går den etiske grænse for MitIDs login-partner?
Aron Kozak afslutter sin artikel med disse ord: "Sammenkædning af eID'et til den mobile enhed og implementeringen af biometriske faktorer øger sikkerheden betydeligt og muliggør en friktionsfri digital kundegodkendelsesproces. Lag af biometrisk teknologi til eksisterende identiteter giver kunderne mulighed for at bevise, at de-er-den-de-siger-de-er via deres mobile enheder.
Denne sammenkædning af vores fysiske ID med et eID til vores mobile enhed med transaktions- og adfærdsovervågning går længere end to- eller tre-faktor biometrisk baserede autentificeringer. Denne kombination giver ikke kun ekstremt robust sikkerhed og validering, men den tackler måske også et presserende problem i den digitale økonomi – det med sikker validering af digitale identiteter til on-boarding og autentificering af kunder."

Så hvor stopper mon egentlig MitIDs "forever evolving beast"?
Det virker som om MitIDs login-partner stræber efter absolut sikkerhed. Det er i den forbindelse værd at bemærke, at 100% sikkerhed formodentlig aldrig kan opnås i praksis. Men i teorien kan det opnås med ekstreme løsninger som fx sammenknytning af brugerens DNA med login-teknologien, og samtidig ved at sikre sig at login-teknologien er en uadskillelig del af brugerens krop.

Så hvor mon den etiske grænse går for ledelsen hos MitIDs login-partner Signicat?
Måske får man svaret ved at læse starten på Aron Kozaks artikel, hvor han fascineret skriver om Steven Spielbergs sci-fi film “Minority Report”. Han skriver bl.a.: "Der er et ikonisk øjeblik i Steven Spielberg-filmen 'Minority Report', hvor Tom Cruise begiver sig ind i fremtidens indkøbscenter, og da han passerer butikkerne, scanner de hans iris, og tavlerne begynder at lave alle mulige personlige salgstibud til ham. Vi gætter måske på, at det næste logiske skridt ville være at købe en vare, blinke med øjet, og sende betalingen?
Nutidens hastigt udviklende biometriske teknologier tyder på, at vi er på vej mod en fremtid, som måske ikke er så langt væk fra Spielbergs epos. Faktisk - for at parafrasere forfatteren William Gibson - 'fremtiden er her allerede, den er bare ikke ligeligt fordelt’."

Fascineret af transhumanistisk teknologi fra dystopisk sci-fi mareridt
Han er altså fascineret af teknologien som fremlægges i dette dystopiske sci-fi mareridt. Og han skriver direkte, at det ikke er langt fra at blive virkelighed. Han giver altså mange kritikere ret i, at dette er den åbenlyse retning, der er på samfundsudviklingen på teknologiområdet. Og man må fra Aron Kozaks artikel forstå, at MitIDs teknologiske samarbejdspartner er kraftigt med til at fremme udviklingen i den retning. Eneste udfordring fra Aron Kozaks synsvinkel er tilsyneladende, at de biometriske overvågningsteknologier endnu ikke er "ligeligt fordelt" (“evenly distributed”).

Filmscenen som Aron Kozak refererer til, viser hovedpersonen som en blanding af menneske og maskine. De nævnte salgstilbud kan kun tilbydes direkte til hovedpersonen via scanning af hans øjeiris, fordi der er indopereret en teknologi i hans øje. I filmen gennemgår hovedpersonen da også en øjentransplantation, under sin flugt fra staten, for at spolere funktionen af nethindescannerne i det statssystem, som han har installeret i øjet. Scenen som MitID-partneren er så begejstret for, viser altså princippet om "transhumanisme", dvs. at teknologi integreres i menneskekropppen i et ønske om at forbedre og udvide menneskets intellektuelle og fysiske formåen. I filmen er hovedpersonen på flugt fra et altovervågende statsapparat, og han er nødt til at få gennemført et smertefuldt indgreb for at få teknologien i sit øje fjernet - og for på den måde at overkomme statens jagt på ham.
Det er muligt at MitID-partneren ikke er bevidst om disse ting, når han skriver sin artikel, men det er ikke desto mindre det, han kommer til at forherlige med sine udsagn.

Filmen 'Minority report': Hovedpersonen går igennem et område med reklamestandere. Hans øjne scannes og lyser op, som om han er en robot<br>
									af kameraer
Filmen 'Minority report': Interaktive reklamestandere. Skærmklip fra denne video.


Hovedpersonen i filmen 'Minority report' går igennem et område med reklamestandere. Hans øjne scannes af kameraer, og ud fra denne scanning bliver der fremvist personligt tilpassede interaktive reklamer for ham. Man ser også hans navn - John Anderton - fremkomme på en skærm, hvor der står "medlem siden 2037". Under processen lyser mandens øjne op flere gange, som om han er en robot.



Filmen 'Minority report': Hovedpersonen får opereret tekonologi ud af sit øje
Filmen 'Minority report': Hovedpersonen får opereret teknologi ud af sit øje. Skærmklip fra denne video.



Den gradvise udvikling i retning af Aron Kozaks fremtidsvision
Aron Kozak underbygger sin pointe om at Spielbergs fremtidsvision er nær bl.a. med at "smile-to-pay" ansigtsgenkendelsessystemer i øjeblikket bliver testet af Kentucky Fried Chicken i Kina, og han skriver at "mere udbredte biometriske autentificeringsmidler såsom Microsofts 'Windows Hello' eller Apples 'FaceID' dukker op som dagligdags autentificeringsmetoder, da de har løst nogle af de indledende hacks ved at bruge infrarød scanning og live videodetektion for at bekræfte, at personen er virkelig, levende og tilstede."
Man kan tilføje at ansigtsgenkendelsessystemer ikke kun bliver introduceret i kinesiske forretninger, men rigtig mange steder i verden i øjeblikket, inklusiv Danmark. Fx i Sallings Bilka, i detailhandlen og i fitnesscentre.
Også Nets arbejder med ansigtsscanning - i 2019 gik de i gang med et pilotforsøg i København. Nets er "udbyder af betalingskort- og informationsservices", og står bag bl.a. Betalingsservice, Dankortet, eFaktura - og ja, såmænd MitID og NemID. Det er Nets, Digitaliseringsstyrelsen og Finans Danmark (sammenslutning af danske banker), der sammen ejer MitID - og det er Nets som drifter og udvikler MitID.
I forhold til andre typer biometriske data, fx fingerscanning, anvendes det bredt i Danmark allerede. "Flere arbejdspladser, restauranter, transportsektoren mv. benytter i stigende omfang biometriske data til at sikre identifikation af kunder eller medarbejdere", som der står i denne 13 år gamle rapport fra Teknologi-rådet. I det offentlige anvendes biometri af politiet (dna-registre, registrering af fingeraftryk) og i danske pas, hvor foreløbig fingeraftryk lagres - samt altså som nævnt i MitID-loginsystemet. I 2010 skrev Teknologi-rådet i sin rapport om brug af biometriske teknologier i det danske samfund, at der desuden dengang var planer om at lagre både fingeraftryk og iris i danske pas. Det er altså foreløbig fingeraftryk der er blevet realiseret. Desuden er der selvfølgelig den standardintegrerede fingerscan som mulighed på de fleste danskeres smartphones.
Biometrisk login med fx ansigtsscanning og fingeraftryk bliver altså efterhånden "dagligdags autentificeringsmetoder" - som Aron Kozak kalder det - også i Danmark.
Videre skriver Aron Kozak at: "Hvis vi ser på de højprofilerede databrud, der optræder i nyhederne med jævne mellemrum, indser vi, at selv med de imponerende fremskridt inden for biometrisk autentificering, er ingen enkelt teknologi isoleret set fuldstændig ufejlbarlig."
Det får ham til at konkludere at ét enkelt biometrisk overvågningskrav ikke er nok: Nej, der skal flere til - "Multi-faktor, intelligent biometrisk autentikation", som han kalder det.
Virkelighedens verden - inklusiv Danmark - er altså fuld af biometriske overvågningskrav og "tilbud". Og de introduceres i takt med, hvad man forventer, offentligheden vil være villig til at acceptere. Indtil videre er fingeraftryk normaliseret mest, nu arbejdes der ihærdigt for at det samme sker med ansigtsgenkendelse, og derefter er det formodentlig irisscanning som står for tur.
En gradvis tilvænning som passer rigtig fint med Aron Kozaks rådgivning og fremtidsvision såvel som Teknologi-rådets udsagn om, at både finger- og irisscanning var planlagt tilbage i 2010 - men at det "kun" er ansigtsscanning, som indtil videre er blevet introduceret.

Ekstremt usikre MitID
Aron Kozak mener at MitID er meget sikkert - ja han mener ligefrem, at det er et af de skandinaviske systemer, som "sætter baren for pålidelig digital identitet".
Men i september 2022 kom det frem at "Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID". En professionel sikkerhedsekspert, som blev bakket op af flere eksperter fra branchen, udtalte: »Det er et angreb, en teenager ville kunne sætte i gang – det er simpelthen vildt«.
Det var ingenørgmediet Version2 som havde lavet en test hvor de selv hackede sig ind i MitID. Mediet fortale at de angrebne ikke kunne logge på MitID, og konstaterede at dette login jo "allerede nu er den eneste mulighed, hvis man vil logge på adskillige netbanker". Det simple hackerprogram "holder hoveddøren til det digitale Danmark lukket," skrev ingeniørmediet.
Mediet skrev også; "Hvis det frustrerede offer åbner sin app for at se, hvad der foregår, vil der ligge en anmodning klar til at swipe på. Hvis ofret i frustration eller nysgerrighed swiper, lukker man angriberen ind med den højeste form for identifikation, vi har i Danmark."
Kriminelle ville altså ret nemt kunne få adgang til fx rigtig mange danskeres netbank med et hackerangreb, som "en teenager ville kunne sætte i gang".

Digitaliseringsstyrelsens virkelighedsflugt eller lodrette løgn...?
Digitaliseringsstyrelsen, som står bag MitID, benægtede alt dette og påstod, "at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark", trods det at Version2 havde soleklare beviser for det som var sket. Det var ingeniørmediet selv der havde vist det og informeret Digitaliseringsstyrelsen.
Digitaliseringsstyrelsen gjorde intet ved det enorme hul de havde i deres system, og siden viste det sig, at de havde kendt til hullet i månedsvis, fordi nogle danskere tilfældigt havde logget ind i andres private konti med MitID. Disse venlige danskere havde informeret Digitaliseringsstyrelsen om deres oplevelser. Heller ikke det havde Digitaliseringsstyrelsen gjort noget ved. Disse voldsomme usikkerheder har med al sandsynlighed eksisteret i MitID siden lanceringen i sommeren 2021. Det vil sige godt og vel et par år. Nu påstår Digitaliseringsstyrelsen så at de med en opdatering i juni 2023 har "reduceret risikoen". Men de siger ikke noget om, de har eller ikke har ændret noget i den fundamentale designfejl, som ifølge eksperter er i systemets kerne. De adresserer heller ikke, i deres udsagn om opdateringen, problemet med at brugere ved tilfældigheder har logget ind på andres konti.
Du kan læse mere om detaljerne i dette forløb her: "Hvorfor tvinges danskerne til ekstremt usikkert MitID-login?".

Digitaliseringsstyrelsens utroværdige løfter
At man ikke kan stole på Digitaliseringsstyrelsen, som står bag MitID, er også tydeligt fx af denne artikel: "MitID bruger ansigtsgenkendelse i ny app trods løfter om det modsatte".
Som der står i artiklen: “Digitaliseringsstyrelsen har tidligere forklaret, at MitID ikke vil indeholde ansigtsgenkendelse, men i ny app bruges den kontroversielle teknologi.”
Altså endnu et eksempel på at Digitaliseringsstyrelsen siger én ting, og virkeligheden er lige modsat.
I dette tilfælde gør de simpelthen nøjagtigt det modsatte af, hvad de tidligere har sagt de ikke vil gøre.
I oktober 2021 lovede Digitaliseringsstyrelsen dette, for at skabe tryghed om, at den meget kontroversielle overvågningsteknologi - ansigtsgenkendelse - ikke ville blive taget i anvendelse. Otte måneder senere i juni 2022 løber de så altså fra dette løfte og tager netop denne teknologi i anvendelse.

Her er det IT-politisk forenings formand som anfører at Digitaliseringsstyrelsen indfører "usikker ansigtsgenkendelse i MitID app'en på præcist samme måde som i den franske Alicem app, der blev droppet efter store protester, og i modstrid med alle tidligere løfter om ingen biometri uden for den lokale enhed."
I sit svar formår Digitaliseringsstyrelsen på den ene side at indrømme at "den behandling der foretages, sker med henblik på verifikation af en persons identitet", og samtidig benægte at det er ansigtsgenkendelse. De insisterer på at kalde det "ansigtsscanning" og det er åbenbart noget helt andet for Digitaliseringsstyrelsen.
I alle de definitioner, man umiddelbart kan finde, står der noget i retning af, at "Ansigtsgenkendelse er en metode til at identificere eller bekræfte en persons identitet, ved hjælp af ansigtet". Ingen steder står der noget om, at "identifikation af en person blandt flere andre" er et krav, for at det kan kaldes ansigtsgenkendelse.
Digitaliseringsstyrelsen forsvarer sig desuden bl.a. med denne sætning: "Teknologien er den samme, som bruges i den automatiske paskontrol i lufthavnen".
Her en artikel hvor der om denne ansigtsscanning står:
"Efter godkendt paskontrol og ansigtsgenkendelse, kan passageren fortsætte rejsen. Hvis der ikke opnås en positiv tilbagemelding, må man i stedet tage en snak med politiet."
Altså endnu et eksempel på Digitaliseringsstyrelsens helt unikke virkelighedsopfattelse.
Ligesom det andet eksempel hvor Digitaliseringsstyrelsen benægtede, at tilfældige fremmede loggede på andres private konti med MitID, og at folk var blevet udelukket fra at komme ind på deres konti på grund af uhyre simpelt hack. Også dengang benægtede Digitaliseringsstyrelsen simpelthen bare og påstod, "at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark".
Digitaliseringsstyrelsen vil tilsyneladende have virkeligheden til at passe ind i styrelsens behov, og når det ikke er tilfældet, påstår styrelsen åbenbart bare, at virkeligheden er, som styrelsen synes den skal være...?

Digitaliseringsstyrelsen indrømmer at MitID foretager ansigtsscanning
									med henblik på verifikation af en persons identitet, men benægter at der er tale om ansigtsgenkendelse
Digitaliseringsstyrelsen benægter at MitID indeholder ansigtsgenkendelse. Skærmklip fra denne Twittertråd."




Lovgivere argumenterer for totalt fri anvendelse af biometrisk data
Lovgiverne havde allerede planlagt biometri i MitID lang tid inden det blev lanceret. I “Forslag til Lov om MitID og NemLog-in” skriver de, at de vil bruge databeskyttelsesforordningen og/eller databeskyttelsesloven til at retfærdiggøre det med.
Den tager vi lige igen: Lovgiverne bruger databeskyttelsesforordningen og databeskyttelsesloven, som skulle forestille at være skabt for at beskytte borgerne mod datamisbrug, til at indføre brug af personfølsomme biometriske data i statens tvungne loginsystem. Forekommer det en anelse på hovedet? Og siger det måske noget om lovgivernes ekstreme kreativitet og ihærdighed for at kunne gøre brug af bl.a. ansigtsgenkendelse i MitID?

Flere steder i det fremsatte lovforslag tales der om biometriske data. Og hver gang det sker, står der først, at der ikke indgår behandling af biometriske data i MitID-løsningen - men hver gang er det også efterfulgt af en sætning om, at det dog kan blive aktuelt af "hensyn til løbende at bevare løsningens høje sikkerhed".
Så den "høje sikkerhed" som i praksis betyder, at uvedkommende fremmede tilfældigt logger sig på danskeres private konti med MitID, bliver altså brugt som undskyldning for at indføre ansigtsgenkendelse, fingeraftryksscanning osv. i statens tvungne loginsystem.
Nogle vil måske spørge, hvordan de selv finder sammenhæng i deres udsagn og påstande?

På et tidspunkt i det fremsatte lovforslag er der et meget langt afsnit, som fortæller hvor meget juristerne i ministerierne har undersøgt, for at der på et tidspunkt kan gøres brug af biometriske data i MitID.
Det er dette afsnit:
"Biometriske data udgør følsomme personoplysninger, og omfattes af behandlingsforbuddet i databeskyttelsesforordningens art. 9, stk. 1, medmindre betingelserne for behandling efter artikel 9, stk. 2 litra a, c, d, e eller f er opfyldt. Det er Finansministeriets vurdering, at den eventuelle behandling af biometriske oplysninger ikke kan henføres under disse hjemmelsbestemmelser, men vil skulle henføres under forordningens art. 9, stk. 2, litra b, g og h. Artikel 9, stk. 2, litra b, g og h giver under nærmere betingelser mulighed for behandling af følsomme personoplysninger, herunder biometriske data. Såfremt, man vurderer at betingelser i litra b, g eller h er til stede, vil en hjemmel kunne tilvejebringes ved lovhjemmel eller ved databeskyttelseslovens § 7, stk. 5. Bestemmelsen indebærer, at finansministeren efter forhandling med justitsministeren og inden for databeskyttelsesforordningens rammer kan fastsætte nærmere regler om behandling af personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1 uden for de i § 7, stk. 1-4 nævnte tilfælde. Der foreligger imidlertid ikke på nuværende tidspunkt et behov for indsamling af biometriske data. Såfremt behovet måtte opstå for at imødegå sikkerhedsrisici eller sikkerhedstrusler, kan der være behov for enten en lovændring af denne lov eller udstedelse af en bekendtgørelse i medfør af databeskyttelseslovens § 7, stk. 5. Dog vurderer Finansministeriet, at indsamlingen af biometriske oplysninger også vil kunne ske med den eksisterende hjemmel i databeskyttelseslovens § 7, stk. 5. Det fremgår af bemærkningerne til bestemmelsen i databeskyttelsesloven, at bemyndigelsesbestemmelsen er tænkt anvendt i situationer, hvor det kan være vanskeligt på forhånd fuldstændigt at forudse behovet for at kunne behandle personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1. Det fremtidige trusselsbillede er uforudsigeligt og behovet for indsamling af biometriske data kan ikke forudses på nuværende tidspunkt, men det kan blive relevant at indhente biometriske data både ved udstedelse af MitID og ved løbende anvendelse heraf af hensyn til løsningens generelle sikkerhed, samt af hensyn til den enkelte MitID brugers sikkerhed mod misbrug af vedkommendes digitale identitet."

Man har altså undersøgt og overvejet Databeskyttelsesforordningens Artikel 9 og ser nogle muligheder i stk. 2, litra b, g og h i kombination med Databeskyttelsesloven § 7 stk. 5. Først skriver de, at det dog vil betyde at kan der være behov for enten en lovændring eller udstedelse af en ny bekendtgørelse. Men til sidst når de frem til at Finansministeriet vurderer, "at indsamlingen af biometriske oplysninger også vil kunne ske med den eksisterende hjemmel i databeskyttelseslovens § 7, stk. 5."
Lyder det ikke ligetil og klart? Eller lyder det som om, der bliver gjort nogle seriøse workarounds omkring de eksisterende regler, for at kunne etablere anvendelse af biometriske data i MitID?
For mig lyder det mest som det sidste...
Og de har altså gjort dette dydbegårende juridiske undersøgelsesarbejde, om hvordan de kan begynde at bruge biometriske data i MitID, samtidig med, at de hele tiden beroliger med, at der ikke indgår behandling af biometriske data i MitID-løsningen, forstås.
Man skal vist holde tungen rimeligt lige i munden for at være jurist i danske ministerier.

Summasumarum er, at "af hensyn til din sikkerhed" er der blevet åbnet op for totalt fri anvendelse af biometriske data i MitID.
Formuleringen "at indhente biometriske data både ved udstedelse af MitID og ved løbende anvendelse heraf af hensyn til løsningens generelle sikkerhed" indbefatter jo nemlig alt.
Det passer jo også med at vi allerede nu ser det anvendt i MitID. Hvilke "sikkerhedsrisici eller sikkerhedstrusler" der er blevet brugt til at retfærdiggøre denne anvendelse er uklart. Måske reelt ingen? Måske den "sikkerhedstrussel" udviklerne bag MitID selv har skabt ved helt selv at lave et ektremt usikkert loginsystem...?
Nåh nej, det er jo nok slet biometriske data, da det ikke er ansigtsgenkendelse, men derimod "ansigtsscanning" "der foretages, med henblik på verifikation af en persons identitet". Og det er ikke ansigtsgenkendelse, for det skriver Digitaliseringsstyrelsen nemlig.
Og så er det ligemeget at alle andre og virkeligheden fortæller noget andet, for Digitaliseringsstyrelsen er åbenbart helt udenfor virkelighedens rækkevidde.

Men folkene bag den oprindelige lov, som danner baggrund for MitID, havde allerede fra starten foretaget dybdegående undersøgelser og argumenteret kraftigt for, at den eksisterende lov allerede baner vejen for præcis det samarbejdspartneren Signicat anbefaler: Anvendelse af biometriske data og helst flest muligt af dem.
Så mon ikke det er det, som kommer til at ske...?
At de indfører gradvist flere biometriske login-“muligheder”, så folk gradvist accepterer mere og mere indtrængen i deres allermest private informationer. Når mange nok har accepteret frivilligt, kan du godt regne med at mulighederne bliver til krav.

Ingen steder i MitID-vilkårene står der, om de bruger eller ikke bruger data til fx at skabe profit. Profit er ellers - i sagens natur - det vigtigste motiv for banker - og nogle af verdens mest succesrige virksomheder lever næsten udelukkende af deres brugeres data (fx Alphabet/Google og Meta/Facebook).
Et tvungent centraliseret og standardiseret loginsystem giver selvfølgelig staten (yderligere) kontrol med danskerne. At staten har dette motiv, er vel efterhånden tydeligt for de fleste?
De gennemtvinger med andre ord alt dette, så de kan maksimere statens kontrol.
Samtidig med at bankerne får et enormt potentiale for yderligere fortjeneste forærende.
Og begge disse fordele vokser markant i takt med, at flere biometriske data introduceres i MitID.
Taberne er de almindelige danskere, som bliver kontrolleret og udnyttet.

Min opfordring til dig er derfor:
Drop MitID nu!
Stands din deltagelse i glidebanen.


Original engelsk tekst:
Biometrics and digital identity – is that really you?:
There is an iconic moment in the Steven Spielberg film Minority Report, where Tom Cruise heads into the shopping mall of the future, and as he passes the stores they scan his iris, and the billboards start making all sorts of personalised sales offers to him. We might guess the next logical step would be to buy an item, wink, and payment sent?
“The primary purpose on any authentication endeavour is to ensure that the digital identity is verified. The Nordic countries set the bar for trusted digital identity years ago by introducing a shared digital identification infrastructure that vendors can use to engage more seamlessly with their customers.
These electronic ID schemes (eID), such as BankID and NemID, are tied to national ID numbers, passports, a valid address, and have access to credit ratings. Users must typically log in using a multifactor authentication and generally speaking, there is a comprehensive risk analysis as part of the interaction.”

Today’s rapidly developing biometric technologies suggest we are heading to a future that may not be so far off from Spielberg’s epic. Indeed, to paraphrase author William Gibson, ‘the future is already here, it’s just not evenly distributed’. Smile-to-pay facial recognition systems are being tested currently, with KFC pioneering the system in China, allowing customers to pay simply smiling after placing their order. Amazon’s supermarket, Amazon Go, dispenses with checkouts altogether, combining mobile device and object recognition to fully automate the check-out and payment process.
More widely used biometrics authenticators such as Microsoft’s ‘Windows Hello’ or Apple’s ‘FaceID’ are emerging as everyday authentication methods, as they have solved some of the initial hacks by using infra-red scanning and live video detection to confirm the person is real, alive, and present.
If we look at the high-profile data breaches appearing in the news on a regular basis, we realise that even with the impressive advancements in biometric authentication, no single technology in isolation is entirely infallible."

" Multi-factor, intelligent biometric authentication
Authentication will forever be an evolving beast. Usernames and passwords were only just the beginning (or, arguably the past). Additional forms of authentication, such as email and SMS verification are widely used as well. Geolocation and user patterns help identify anomalies, providing insights on when to apply step-up authentication, with retail banks typically blocking transactions if there is an outlier in the customer’s purchasing pattern.

Biometric authentication adds a whole new realm of opportunity to ensure you are uniquely you, but it becomes fallible if reliant on single forms of identification. Fingerprints can be copied, siblings can trick facial scans, and more. Using multiple sources helps to prevent fraud and build trust.

At Signicat, we explore a number of advanced biometric identification methods. Facial scanning, fingerprints, iris, and voice are currently well-known methods. But what about gait analysis? Are you walking like you normally walk? What about movement? Are you handling your mobile device normally, or are there any anomalies in your behaviour? There are subtle but telling queues that can be tracked to help identify if it seems to be you. If there is any uncertainty, additional, step-up authentication methods can be employed."

"The Nordic countries set the bar for trusted digital identity years ago by introducing a shared digital identification infrastructure that vendors can use to engage more seamlessly with their customers."

"The introduction of biometrics and mobile devices have further simplified and improved the authentication process. For example, Norway’s BankID previously required a “code brick” to authenticate. Now, mobile phones are used as an additional authentication method, requiring fingerprint and pin code, in addition to a unique ID and password."

"Linking the eID to the mobile device and the deployment of biometric factors considerably enhance security and enable a frictionless digital customer authentication process. Layering on biometric technology to existing identities allows customers to prove they-are-who-they-say-they-are via their mobile devices. This linking of our physical ID to an eID to our mobile device with transactional and behavioural monitoring goes beyond two or three factor biometric based authentications. This combination not only provides extremely robust security and validation, but it also tackles perhaps a pressing issue of the digital economy – that of assuredly validating digital identities for on-boarding and authentication of customers."



Læs også: