Biometrisk adfærdsdata: Den nye super-cookie

Identifikation ved biometrisk adfærdsdata bliver mere og mere populært. På trods af muligheden for at spore internetbrugere ved hjælp af denne data, mener Erhvervsstyrelsen umiddelbart ikke, at denne type sporing er omfattet af cookie-reglerne.

HVAD ER BIOMETRISK ADFÆRDSDATA?
Den unikke måde man taster, benytter musen eller swiper på sin smartphone på, kan nu bruges til at lave en unik profil af en internetbruger - såkaldt biometrisk adfærdsdate. Denne profil kan herefter benyttes til at identificere internetbrugeren, når brugeren besøger en anden hjemmeside eller besøger den samme hjemmeside igen, som man kender det fra traditionelle cookies.

Ved 'device fingerprinting' eller traditionelle cookies er det de fysiske enheder og programmer, der bliver sporet. Her ved man ikke med sikkerhed, om det er den samme internetbruger, der benytter enheden, ligesom man heller ikke kan identificere brugeren, når denne benytter en anden enhed. Det nyskabende ved profilering igennem biometrisk adfærdsdata er, at internetbrugeren kan blive identificeret, selvom man bruger en anden enhed, eksempelvis en offentlig eller lånt computer. Biometrisk adfærdsdata kan også identificere internetbrugere, som ellers benytter tjenester for at gøre dem selv anonyme på internettet f.eks. igennem VPN-opkoblinger eller anonyme internetbrowsere som TOR. Det skyldes, at brugerprofilen bliver knyttet til brugerens adfærd, og ikke det værktøj som benyttes.

ØGET SIKKERHED: 97,4 % AF "SVINDLERNE" IDENTIFICERET
Biometrisk adfærdsdata kan dog bruges til mere end blot målrettede annoncer. Identifikationen kan også bruges til at øge sikkerheden ved log-in til hjemmesider f.eks. til netbank

Teknologien er allerede testet på netbanker, og det svenske firma BehavioSecs biometriske løsning kunne i 97,4 % af tilfældene identificere, at det var en anden person end kontoejeren, der loggede ind, også selvom personen benyttede den rigtige kode. Teknologien kan derfor også bruges som et ekstra sikkerhedslag, som kan vise sig at være meget vanskeligt for hackere at bryde.

ERHVERVSSTYRELSEN: UMIDDELBART IKKE EN COOKIE
Erhvervsstyrelsen mener ikke umiddelbart, at biometrisk adfærdsdata falder ind under 'cookie-reglerne'. Derfor kan der være mulighed for at benytte biometriske løsninger til at identificere og målrette annoncer til internetbrugere, uden at der skal indhentes samtykke, som man kender det fra traditionelle cookies. Denne holdning står i modsætning til Erhvervsstyrelsen udmelding tidligere i år vedrørende 'device fingerprinting', som styrelsen mente var omfattet af cookie-reglerne.

Det er dog vigtig at huske på, at persondatalovens regler om indsamling og behandling af persondata også gælder for biometrisk adfærdsdata.

---