Region Hovedstaden sletter alle fingeraftryk fra bloddonerer

Illustration: Region Hovedstaden
Fremover bliver fingeraftryk krypteret med en hashværdi i Region Hovedstaden. Det sker, efter at flere bloddonorer har gjort opmærksom på potentielle sårbarheder i det fingeraftrykssystem, der har sikret en høj patientsikkerhed siden 2013.

Siden 2013 har alle, der har doneret blod i Region Hovedstaden, skullet afgive aftryk fra to fingre som identifikation. Oplysningerne lagres elektronisk i it-systemet Blodflödet i form af bitmap-filer, altså billedfiler, sammen med donors cpr-nummer.

Hver gang en ny donor har givet blod, er der blevet taget et billede af fingeraftrykket, som Region Hovedstaden har gemt.

Den praksis bliver nu ændret. Det har Blodbanken skrevet i en mail til alle hovedstadens bloddonorer.

Illustration: Screendump af mail fra Region Hovedstaden

Alle de fingeraftryk bliver nu slettet, og blodbanken starter forfra med at registrere alle donorers fingeraftryk på ny.

»Det er gået op for os, at der er en potentiel sikkerhedsbrist forbundet med at opbevare fingeraftryk som billedfiler, og det reagerer vi så på nu i samarbejde med Datatilsynet. Vi har indtil i dag gemt fingeraftryk som en billedfil, men fremover får hver enkelt bloddonors aftryk tildelt en hashværdi, så selve fingeraftrykket ikke gemmes,« siger Morten Bagge Hansen, blodbankchef i Region Hovedstaden, til Version2.

Læs også: Datatilsynet: Opbevaring af bloddonorers fingeraftryk som bitmap-filer er ikke godt nok

It-professionelle donorer råbte vagt i gevær

Han fortæller, at ændringen blev sat i værk, efter at flere it-professionelle bloddonorer henvendte sig til Blodbanken med forslag til at optimere sikkerheden ved opbevaring af fingeraftryk.

»Vi har lyttet til de henvendelser, vi har fået, og reagerer nu ved at slette alle eksisterende fingeraftryk og starte forfra. Vi er netop nu i gang med at validere det nye system og håber at kunne overgå endeligt til det nye system i indeværende år. Projektet har højeste prioritet,« siger Morten Bagge Hansen.

Sagen har også været en tur forbi Datatilsynet, som sidste år udtalte, at det er inden for rammerne af Persondataloven at bruge biometriske løsninger til identifikation af bloddonorer. De skriver dog samtidig, at Region Hovedstaden går for langt, når de opbevarer fingeraftrykkene i form af billeder.

Det er ifølge Datatilsynet ikke proportionelt med det formål, som fingeraftrykkene bruges til.

Datatilsynet har før godkendt praksissen med at benytte biometriske data, men i de tilfælde har det ikke været som bitmap-filer, men som matematiske værdier kaldet templates. Værdien afhænger dermed af, hvilken algoritme der anvendes.

»Den matematiske værdi hos én dataansvarlig vil altså ikke nødvendigvis være den samme, som registreres på baggrund af det samme fingeraftryk hos en anden dataansvarlig. Hvis der anvendes forskellige og unikke algoritmer, er mulighederne for at kunne samkøre to databaser og eventuelt anvende oplysningerne til uretmæssige eller uforenelige formål således begrænsede,« skrev Datatilsynet i sin begrundelse af sagen i 2017.

Region Hovedstaden har tidligere oplyst til Datatilsynet, at det har været af økonomiske hensyn, at man valgte at tage billeder af fingeraftrykkene i stedet for at bruge kryptering ved hjælp af en hash-funktion, men det bliver nu ændret i løbet af 2018.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (32)
Henrik Madsen

Er der nogen der kan forklare hvad det er der gør at man skal aflevere sit fingeraftryk for at give blod.

Altså en forklaring på hvorfor det er nødvendigt at bruge fingeraftryk som identifikation ?

Døjer de med at folk kommer og vil give blod og udgiver sig for at være nogen anden end de virkeligt er ?

Er ikke bloddonor men hvis jeg ville være det og opdagede at jeg skulle aflevere fingeraftryk for at blive det, så ville jeg nok bare takke nej til at hjælpe.

Martin Skou

Hvis man skal sikre den er den korrekte person som donere blodet, så er cpr nummeret ikke nok.
Ellers vil man kunne donere blod med et sygesikringsbevis fundet gaden. Og det vil medføre en større risiko for den der kommer til at modtage blodet
Så der er blevet indført krav om anvendelse af biometrisk id.
Et alternativ til fingeraftryk kunne være billede id, men det vil kræve medbringelse af pas, kørekort eller kommunalt udsted id.

Tom Paamand

Artiklen refererer, at fingeraftryk i billedfil ifølge Datatilsynet ikke er proportionelt med det formål som fingeraftrykkene bruges til. Nysgerrige læsere må så selv finde formålet andetsteds, som er at sikre et sjældent problem med potentielt livsfarlige forbytninger af blodportioner, hvor donor A’s blod tappes i donor B’s blodpose.

Et lille skulderklap til Blodbanken for ikke at råbe AIDS, terror eller om at stoppe bøsser fra ulovligt at give blod - men de holder altså fast i indgribende biometrik til at løse, hvad tidligere nemt blev klaret gennem et par spørgsmål fra de ansatte...

Anne-Marie Krogsbøll

Tak for svar, Bjarne Nielsen.

Da det skal bruges til identifikation, så må man jo kunne udpege en person.

Næste spørgsmål:
Vil det være lettere eller sværere at forske i hashværdien end i billedet?

Jeg tør næsten ikke sige det af skræk for at give nogen gode ideer, men min aktuelle interesse for forskning i DBDS-projektet gør spørgsmålet aktuelt (men måske naivt): Man kunne f. eks forestille sig, at hashværdierne for folk med genetiske sygdomme ville have andre karakteristika end for folk med perfekte gener?

Og kan vi være helt sikre på, at disse aftryk slettes - og ikke bare flyttes (der var noget med PET-oplysningerne, var der ikke?)
http://www.ft.dk/samling/20171/beslutningsforslag/B120/index.htm

Det kan sagtens være en god ideer at ændre fra billede til hash - men jeg er lidt forbavset over imødekommenheden fra blodbankerne - det kan give en lille mistanke om alternative motiver...

Palle Due Larsen

Man kunne f. eks forestille sig, at hashværdierne for folk med genetiske sygdomme ville have andre karakteristika end for folk med perfekte gener?


Fingeraftryk er ikke genetiske. De opstår i fostertilstandelsen ved tilfældige foldninger af huden (INAD, I'm not a doctor).
Hashing er en en-vejs-funktion, så hashværdien må ikke kunne sige noget om billedet. Alt der kræves er, at den kan genberegnes ud fra et tilsvarende billede. Du kan roligt tage sølvpapirshatten af i dette tilfælde.

Bjarne Nielsen

Vil det være lettere eller sværere at forske i hashværdien end i billedet?

En fornuftig hash vil gøre det til en i praksis uoverkommelig opgave at komme fra hash og tilbage til informationen i det bagvedliggende billede.

Er man interesseret i fingeraftrykket som fingeraftryk, så kan hashen ikke bruges. Står man kun med en maskinel fortolkning (i artiklen kaldet en template) lavet efter andre principper, så kan hashen heller ikke bruges.

Men står man med et konkret fingeraftryk erhvervet på anden vis, og kender man algoritmen, så er det trivielt at regne hashen. F.eks. hvis andre har gemt et billede. Eller hvis andre bruger samme algoritme til at lave "template".

I praksis vil der være flere informationer i et cpr.nummer, og det vil være nemmere at bruge til samkøring. Til gengæld er det nemmere at få et nyt cpr.nummer, end det er at få et nyt fingeraftryk.

Håber at det svarer på dine spørgsmål.

Anne-Marie Krogsbøll

Tak for svar, Bjarne Nielsen. Jeg forsøger at fordøje det...

  1. DBDS har adgang til stort set alle sundheds- og mange andre data på deltagerne - på individniveau.

  2. DBDS forsker i forvejen i genetisk sammenhæng mellem 3D-ansigtsfotos og forskellige - for tiden primært - psykiatriske sygdomme.

  3. Fingeraftryk er - i modsætning til, hvad Palle Due Larsen lige har oplyst - i nogen grad genetisk bestemt: https://ghr.nlm.nih.gov/primer/traits/fingerprints

  4. Man kan vel i nogen grad så sammenligne fingeraftryk med 3D-ansigtsfotos?

  5. Da DBDS bruger diverse bloddonordata på individniveau (om end muligvis ofte pseudonymiserede) til forskning, og da hashværdien vel så er koblet til de øvrige data, så kan analyse af fingeraftryk via hashværdier måske bruges til at koble fingeraftryk til øvrige sundhedsdata - og f.eks. måske gøre det muligt at diagnosticere genetiske sygdomme via fingeraftryk?

Jeg går ud fra, at der er noget afgørende, der er kikset i min forståelse af hashværdier, siden jeg kan komme på den tanke.

Mogens Lysemose

Hvis nogen tvivler på det kan misbruges: For flere år siden så jeg Mythbusters affotografere et fingeraftryk fra et glas og bruge det til at låse diverse fingertryksaflæsere op med - på computere, adgangskontrol på døre m.m
Så det er altså ikke bare et hypotetisk problem.
Endnu værre bliver det selvfølgelig hvis man planter andres fingeraftryk ifm. kriminalitet...

Jesper S. Møller

»Det er gået op for os, at der er en potentiel sikkerhedsbrist forbundet med at opbevare fingeraftryk som billedfiler, og det reagerer vi så på nu i samarbejde med Datatilsynet. [...]

Det havde jeg ellers en kort mailveksling med manden om i 2012...

De oplyste ellers (mundtligt) at de kun opbevarede en template, men det har de ikke gjort.
Region Syddanmark har ellers godt kunnet finde ud af det.

Anne-Marie Krogsbøll

Jesper S. Møller:

Det havde jeg ellers en kort mailveksling med manden om i 2012...


Ja, det anede mig, at det nok ikke var nye henvendelser ... Så noget andet må have fået dem til pludseligt at se behovet for en anden metode, og dit eksempel tyder jo på (sammen med andre ting), at de ikke er til at stole på. Så det er værd at bore mere i, hvad denne historie gemmer.

Jørgen Kanters

Fingeraftryk er ikke genetiske. De opstår i fostertilstandelsen ved tilfældige foldninger af huden (INAD, I'm not a doctor).

Det er ikke helt rigtigt (og heller ikke helt forkert)

Der er betydelig arvelighed i fingeraftryk. Enæggedes tvillingers mønstre ligner hinanden, men er ikke identiske. Netop som du beskriver at trykforholdende i fostervæsken påvirker de præcise strukturer. Men de overordnede strukturer som hvirvler eller ej er klart genetisk bestemt (IAD)

Anne-Marie Krogsbøll

Tak for opklaring, Jørgen Kanters. Jeg går ud fra, at når du blander dig i diskussionen, så er det på baggrund af kendskab til området.

Mht. at det ikke er 100% genetisk betinget: Det gælder jo for rigtigt mange arvelige forhold, at også miljøfaktorer spiller ind på, hvordan de konkret kommer til at udmønte sig. Det gælder også for ansigtstræk, som man jo allerede forsker i mht. sammenhæng med genetiske forhold.

Da jeg synes, at du lyder til at være fagmand på området, vil jeg spørge dig: Er det scenarie, jeg ridser op ovenfor, realistisk (du kan selvfølgelig kun besvare dette, hvis du også ved noget om hashværdier)?

På forhånd tak for svar.

Anne-Marie Krogsbøll

Hans Nielsen.

Tak for at gøre mig opmærksom på, at det var klodset udtrykt - det var ment pænt - faktisk direkte taknemmeligt. Jeg forsøgte at fange, at Jørgen Kanters normalt ikke er deltager i debatten, men er nytilkommen - og jeg mente det på ingen måde uvenligt. Skal nok gøre mig mere umage næste gang, så det ikke kan misforstås.

Og stort undskyld til Jørgen Kanters for, at det åbenbart kunne lyde uvenligt. Jeg blev glad for, at en fagmand pludseligt deltog (ikke "blandede" sig) med en oplysende kommentar.

Denny Christensen

Jeg er pga krav om fingeraftryk ikke bloddonor - kunne ikke se det rimelige i det. Omvendt er jeg helt med på at det er essentielt at kunne identificere mig eller dig som netop den person, så alle regler om 'rent blod' kan overholdes.

Een gang det går galt og sladderblade, politikere og andre sladdertanter får en fest og danner nye tåbelige regler - at blodbanken gør sit bedste for at beskytte modtagere af blod (kunne være mig selv en dag) er naturligvis prisværdigt.

David Kjær

Jeg ved ikke lige helt om jeg har forstået det scenarie du remser op, Anne-Marie. Sådan som jeg fortolker det, så spørger du om man kan identificere specielle generelle kendetegn på fingeraftryk hos folk der er syge - ud fra hash værdierne?

Dette er umuligt da en fornuftig kryptografisk hash funktion genererer vidt forskellige værdier for to fingeraftryk der ikke er 100% ens. Med andre ord, selv hvis to fingeraftryk deler visse træk kan det ikke umiddelbart identificeres ud fra hash-værdierne.

Anne-Marie Krogsbøll

Mange tak for svar, David Kjær. Gælder det også, såfremt hashværdier er koblede til en mængde andre sundhedsdata på individniveau?

Sådan som jeg fortolker det, så spørger du om man kan identificere specielle generelle kendetegn på fingeraftryk hos folk der er syge - ud fra hash værdierne?


Måske kommer det ud på et - men jeg tænkte nu mere omvendt - om man vil kunne identificere særlige karakteristika ved hashværdier på fingeraftryk - ud fra sammenkøring med andre sundhedskarakteristika. Dvs.: Hvis man har en stor mængde hashede fingeraftryk, identificerbare på individniveau, som man kan samkøre med en stor mængde data om genetiske sygdomme, identificerbare på individniveau - vil man så kunne indkredse særlige karakteristika ved hashværdier fra personer med genetiske sygdomme?

Jeg forestiller mig, at der f.eks. kunne være en større eller mindre kompleksitet i fingeraftryk fra personer med genetiske sygdomme - og at dette i så fald måske ville give sig udtryk i hashværdierne?

Men det er muligt, at min forestilling har at gøre med, at jeg ikke forstår hashede værdier godt nok.

Jørgen Kanters

Da jeg synes, at du lyder til at være fagmand på området, vil jeg spørge dig: Er det scenarie, jeg ridser op ovenfor, realistisk (du kan selvfølgelig kun besvare dette, hvis du også ved noget om hashværdier)?

Det afhænger jo fuldstændigt af hash algoritmen. Det er det ingeniører (og fysikere) ofte glemmer, at det største signal ikke nødvendigvis er(og i biologi sjældent) særligt vigtigt. Hvis jeg skulle gemme en hash værdi for et fingeraftryk for identifikation ville jeg jo nok hashe efter de vigtigste karakteristika. Men tager man konspirationsteoribrillerne på kunne man jo hashe efter småting der prædikterede sygdom, og i såfald ville man hente lignende information ud af hashværdierne. Men i realiteten siger genetik ikke så meget. Har overvejet at lægge mit genom ud på facebook, så folk kan se mine få dødelige mutationer (som i andre også har nogen af) og så indse at genetik intet siger om individet, men giver interessant information om grupper

Da jeg synes, at du lyder til at være fagmand på området, vil jeg spørge dig: Er det scenarie, jeg ridser op ovenfor, realistisk (du kan selvfølgelig kun besvare dette, hvis du også ved noget om hashværdier)?

Anne-Marie Krogsbøll

Mange tak for svar, Jørgen Kanters.

Det afhænger jo fuldstændigt af hash algoritmen.


Men tager man konspirationsteoribrillerne på kunne man jo hashe efter småting der prædikterede sygdom, og i så fald ville man hente lignende information ud af hashværdierne.


Det tager jeg som en bekræftelse på, at mit mistænkte scenarie faktisk er realistisk (hvilket ikke nødvendigvis betyder, at det også sker).

Men i realiteten siger genetik ikke så meget.


Ikke desto mindre er det det helt store forskningsområder for tiden, og DBDS forsker i forvejen netop i bloddonorernes genetiske forhold - koblet til ansigtstræk. Og vi er som samfund netop ved at oprette et genomcenter.

Og at det kun har betydning på gruppeniveau - det er da vist en trossag. Det kommer jo bestemt an på, hvis hænder og laboratorier, denne viden om individet havner i. F.eks. bryder jeg mig ikke om denne nyhed - som vel ikke er mulig uden adgang til individuelle gener?

https://www.dr.dk/nyheder/viden/kroppen/forskere-vil-dyrke-neandertalhje...

Martin Andersen

Hvilken praktisk værdi har en hash af et billede af et fingeraftryk?

Det vil være umuligt at tage to billeder af de samme aftryk som er bitvis identiske og som derfor vil give samme hash værdi.

Så det de hasher må være nogle specifikke træk ved aftrykkene som er entydigt identificerbare (a la https://en.wikipedia.org/wiki/Integrated_Automated_Fingerprint_Identific... ).

Jesper Lund

Hashing er en en-vejs-funktion, så hashværdien må ikke kunne sige noget om billedet. Alt der kræves er, at den kan genberegnes ud fra et tilsvarende billede. Du kan roligt tage sølvpapirshatten af i dette tilfælde.

Hashing og templates ændrer ikke ved at et fingeraftryk kan forbindes til en borger via et sådant centralt biometri-register. Med det biometri-misbrug, som Datatilsynet blåstempler med denne afgørelse varer det ikke længe inden politiets fingeraftryksregister for dømte kriminelle (og mistænkte som ikke dømmes, selvom det er ulovligt for politiet op gemme disse) er udbredt til hele befolkningen.

Bliv bloddonor og kom i statens fingeraftryksrregister! Hvem kan da sige nej til det tilbud..? Og det hele gøres alene fordi det letter arbejdsgangen i blodbanken. Det er til at brække sig over.

Og hvis nogen vil påstå, at et sådant centralt register aldrig vil blive brugt af politiet eller på anden måde brugt til uforenelige formål, så er deres påstand allerede modbevist.

Da Skattesagskommissionen for et par år siden fik et anonymt brev, gik man selvfølgelig straks i gang med DNA- og fingeraftryksanalyser. Da man fandt brugtbart DNA, lavede man selvfølgelig lige en søgning i politiets DNA-profil register. Ikke fordi der var begået en forbrydelse, hvor dette efterforskningsskridt var proportionalt (det er ikke ulovligt at sende anonyme breve). Nej, fordi man kunne og det var politisk opportunt for staten.

Jesper Lund
Formand, IT-Politisk Forening

Jesper Lund

Blot en serviceoplysning.

Behandling af fingeraftryk (og anden biometri, herunder ansigtsgenkendelse) til entydig identifikation af en fysisk person skifter fredag den 25. maj 2018 status fra at være en almindelig personoplysning til at være en følsom personoplysning.

Udover generelt at stramme kravene for hvornår personoplysninger kan behandles, er der en meget konkret effekt: legitim interesse kan ikke længere være et behandlingsgrundlag.

Derudover strammer GDPR generelt kravene til hvornår samtykke er et behandlingsgrundlag, især med hensyn til frivillighed.

Opgave til de interesserede, journalister eller andre: gennemgå de sager, som refereres i denne afgørelse fra Datatilsynet, og overvej hvor mange sager der skal tages op til fornyet vurdering, fordi der nu er tale om behandling af følsomme personoplysninger.

Svaret er ikke "ingen", fordi der er mindst en sag, hvor legitim interesse nævnes som behandlingsgrundlag.

Jesper Lund
Formand, IT-Politisk Forening

P.S. Det er selvfølgelig de dataansvarlige, som skal lave disse vurderinger i forbindelse med deres generelle GDPR-forberedelser. Hvis disse dataansvarlige (ingen nævnt, ingen glemt) er på niveauet, hvor man overvejer om man skal gemme et billede af selve fingeraftrykket i en database eller alene gemme en template, kan man måske godt blive lidt bekymret for, om disse dataansvarlige nu også husker at overveje om de har et gyldigt behandlingsgrundlag efter 25. maj. Just saying..

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder