En avvägning mellan att använda RFID och skydda integriteten
En lagstiftning är nära förestående, offentliga möten planeras och integritetsförespråkare protesterar mot RFID-teknologin. Teknologin, som länge varit till nytta för miljontals människor, skapar nu rubriker runt om i världen.
För konsumenterna innebär RFID att transaktioner i butiker, på flygplatser och vid vägtullar kan utföras snabbare och effektivare. Inom industri- och handelssektorn utnyttjas RFID för att förenkla och underlätta insamlingen av data i lagerlokaler och butiker. Exempelvis används teknologin på oljeriggar, där man inventerar den RFID-märkta utrustningen med hjälp av bärbara läsare.
De senaste RFID-tillämpningarna har inte gett upphov till någon diskussion kring integritetsskyddet. HID har till exempel levererat över 250 miljoner identitetshandlingar som bygger på RFID-teknologi till kunder världen över, och man har inte fått några klagomål på bristande integritetsskydd vid användningen av dessa.
Frågan om integritetsskydd har dock aktualiserats i och med nya användningsområden för teknologin.
De farhågor man främst ser med RFID gäller möjligheten att:
• spåra privatpersoner
• skapa profiler över konsumenternas intressen och/eller vanor
• använda insamlad information för andra syften än de ursprungliga
• stjäla identiteter
Inom RFID-branschen, som omfattar tillverkare, återförsäljare och myndighetsorgan, bemöter man den befogade oron genom att försöka utveckla lösningar och rutiner som både ger ett skydd åt den personliga integriteten och möjliggör en bred användning av teknologin.
EU-kommissionen uppmanar till offentlig debatt
På CeBIT-mötet som nyligen hölls i Tyskland framhöll Vivian Reding, kommissionär för informations- och mediefrågor, behovet av att hitta den rätta balansen mellan allmänintresset och integritetsskydd.
På mötet presenterade Reding en serie offentliga seminarier som ska ägnas åt att diskutera skyddet av den personliga integriteten i samband med användning av RFID. Dessa seminarier planeras att hållas i juni 2006.
Även OECD, organisationen för ekonomiskt samarbetet och utveckling, har utfärdat riktlinjer angående integritetsskydd och gränsöverskridande flöden av personuppgifter. Riktlinjerna avser inte RFID specifikt, men de utgör ett utmärkt underlag för motsvarande riktlinjer om integritetsskydd vid RFID-användning.
I synnerhet OECD:s föreskrifter om insamlade personuppgifter är intressanta och kan även tillämpas på personuppgifter som samlas in av RFID-system:
• ”Personuppgifter ska inte röjas, göras tillgängliga eller på annat sätt användas för andra syften än de som preciserats … om inte personen i fråga samtyckt till det eller lagen så kräver.”
• ”Personuppgifter ska vara skyddade med rimliga säkerhetsarrangemang mot risker som exempelvis förlust eller obehörigt tillträde, förstörelse, användning, ändring eller röjande av data.”
Enligt OECD kan riktlinjerna bidra till att harmonisera nationella lagar om integritetsskydd och samtidigt förhindra störande avbrott i internationella dataöverföringar.
De internationella flödena av personuppgifter är tydligast inom passanvändningen. Elektroniska pass blir allt vanligare. Nya Zeeland och Australien utfärdar redan e-pass till sina medborgare och Singapore utfärdar e-pass till flygbolagspersonal. USA utvärderar för närvarande e-pass tillsammans med dessa tre länder.
Passen ska stå för en högre säkerhet och effektivisera passkontrollsrutinerna. I USA har e-passen en säkerhetsfunktion som kallas Basic Access Control (BAC), som förhindrar att obehöriga kan läsa in, eller skimma, personuppgifterna och som därigenom skyddar den enskildes integritet. Under den aktuella testperioden kan RFID-taggen inte läsas förrän innehavaren öppnar sitt pass.
Inbyggt integritetsskydd
Idag finns det tekniska lösningar för att skydda integriteten, som BAC. Företag som tillverkar kontaktlösa enheter, kort eller handlingar måste också se till att integritetsskyddet finns inbyggt i systemen. De utfärdande organisationerna bör även införa lämpliga rutiner som understödjer integritets- och säkerhetskraven.
Bland de sekretess- och säkerhetsmetoder som kan användas i kontaktlösa tillämpningar ingår ömsesidig verifiering och kryptering. En del tillverkare av kontaktlösa kort, bland dem HID, lagrar inte några personuppgifter som kan äventyra den enskildes identitet eller integritet på kort, brickor, nyckelemblem eller andra RFID-enheter.
I HID:s iCLASS-kort används kryptografi tillsammans med metoder för ömsesidig verifiering för att säkra informationen.
RFID och integritetsskydd i USA
Förespråkarna för integritetsskydd i USA har protesterat sedan återförsäljare har visat intresse för att använda RFID i syfte att underlätta leveranskedje- och lagerstyrningen. Man oroar sig över att RFID-taggar ska användas på konsumentprodukter så att återförsäljarna kan samla in information om kundernas vanor och preferenser och använda denna i sin framtida marknadsföring.
Protesterna har lett till att det har inkommit lagförslag på delstatsnivå om att återförsäljare och/eller produkttillverkare måste märka alla produkter som innehåller RFID med en etikett. I vissa av lagförslagen ställs krav på att RFID-taggen ska inaktiveras eller tas bort när varan har köpts.
Andra delstatslagförslag gäller identitetshandlingar som utfärdas av statliga myndigheter eller andra instanser som bibliotek och universitet. Enligt dessa lagförslag måste identitetshandlingar som skapas, handhas, inhandlas eller utfärdas av olika offentliga organ, och som utnyttjar radiovågor för att sprida personuppgifter eller göra personuppgifterna tillgängliga för fjärrläsning, uppfylla särskilda krav.
Som identitetshandlingar klassas körkort, skol-ID upp till årskurs 12, sjukförsäkringskort och förmånskort som utfärdats av delstaten samt lånekort till bibliotek.
I skrivande stund har ingen delstat ännu antagit lagar gällande användningen av RFID. Företrädare för RFID-branschen, bland dem HID, deltar aktivt i debatten.
HID anordnade ett seminarium om integritetsskydd i Kalifornien, en av de delstater som diskuterar lagstiftning kring RFID, där branschföreträdare, politiker, universitetsrepresentanter och RFID-slutanvändare deltog. Målet är att skapa ett positiv ramverk, som innebär en avvägning mellan kravet på integritetsskydd och den allt större användningen av RFID-teknologi i samhället.
Enligt Denis Hébert, vd för HID, kom man fram till flera avgörande slutsatser på seminariet:
• RFID-teknologin har kommit för att stanna.
• Samhällets användning och nytta av RFID kommer endast att öka om fler användningsområden kan skapas.
• Frågan om integritetsskydd kommer att fortsätta att prioriteras.
HID är naturligtvis engagerade i frågan att skydda den personliga integriteten, och har liksom alla bolagen i ASSA ABLOY Identification Technology Group (ITG) antagit principer och rutiner för integritetsskydd vid användning av radiofrekvensteknologi.
Dessa riktlinjer om integritet omfattar rättigheterna för alla som använder HID:s och ITG:s RFID-kort.
Den framtida utvecklingen
RFID-teknologin har visat sig vara användbar och fördelaktig för säkerhetstillämpningar och för att öka bekvämligheten. Alla skulle dra nytta av ett samförstånd som kan leda till fortsatta innovationer inom RFID-teknologin, samtidigt som den enskildes integritet skyddas. Målsättningen för alla diskussioner och debatter som pågår världen över borde vara att nå en gemensam förståelse för vilka de grundläggande frågorna är samt identifiera problemen, även om det finns olika åsikter om hur de ska lösas.
Mer information finns på http://www.hidcorp.com.
OECD:s riktlinjer återfinns i sin helhet på http://www.oecd.org.
* Anger obligatoriskt fält