<font size="2"><span style="background-color:rgba(255,255,255,0)">Colin,</span></font><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">I agree fully that the first two paragraphs address the scope of his question regarding biometrics and privacy.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">However, your comment, &quot;sense of direction of travel for SC Magazine being towards Data Protection&quot; prompts me to include the rest of the material regarding Privacy. In my opinion, a focus solely on data protection misses the boat on respecting privacy and probably does it a disservice. As you are aware, having the best data protection practices in the world while using an individual&#39;s PII for unstated purposes or disclosing it inappropriately, still means the organization is not respecting an individual&#39;s privacy.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">I agree with your concern regarding &quot;a compromise in the sample or the templates database&quot; being a major issue with respect to an individual having to re-establish and re-bind their identity. However, I would argue that the same holds true for any piece of an individual&#39;s PII that is used by an organization. Biometric data, because it is viewed as unique to an individual, is in some organization&#39;s minds, viewed as a silver bullet with respect to Identifcation. However, in my opinion, it is just another piece of data that can be used to mitigate the risk of misidentification. If the consequences of misidentification are severe it should still be corroborated with other PII. In other words, it is not a silver bullet.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">This being said, I restructured the answer to address the &quot;silver bullet&quot; concept as well as the out-of-scope text. I would recommend including the background in the response as I believe that it is important to raise the &quot;technology neutral&quot; idea with respect to privacy policy/legislation. I would like to start the process of changing the perception held by many people that current policy is outdated or has been overtaken by advances in technology. (My soapbox rant for the day)</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Wile we probably aren&#39;t going to be killed for not answering all the questions I hope that others can address some of them.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Ken</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">==============</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">The perception that something should happen to privacy because biometrics enter the mix is erroneous. </span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Privacy is a state that is respected when an individual understands and consents to how their personally identifiable information (PII) is collected, maintained, used, disclosed and disposed. Biometric information, given its uniqueness to each individual, should be considered to be PII. </span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Regardless of its apparent uniqueness, an organization that wishes to mitigate the risk of misidentification of an individual should not look at biometric data as a &quot;silver bullet&quot;. If the consequences of misidentification are high they should still corroborate the biometric data with other PII during their authentication. The process, whether in the digital or real world, still requires an organization to identify the consequences of misidentification before it puts in place procedures and techniques (such as the use of biometric data) to mitigate that risk.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Background on Privacy</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">It should be noted that jurisdictions around the world have identified that respect of an individual&#39;s privacy is technology neutral.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">For the US Government NIST Special Publication 800-122 defines PII as &quot;any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.&quot;</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">In other countries with privacy protection laws derived from the OECD privacy principles, the term used is more often &quot;personal information&quot;. This term, in general, is broader than PII. For example, there are two pieces of legislation that cover privacy at the federal level in Canada: the Privacy Act and the Personal Information Protection and Electronic Documents Act (PIPEDA). The Privacy Act relates to an individual’s right to access and correct personal information the Government of Canada holds about them or the Government’s collection, use and disclosure of their personal information in the course of providing services (e.g., old age pensions or employment insurance). PIPEDA sets out the ground rules for how private-sector organizations collect, use or disclose personal information in the course of commercial activities across Canada.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Both acts is essence define personal information to be any factual or subjective information, recorded or not, about an identifiable individual. This includes information in any form, such as:</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">* age, name, ID numbers, income, ethnic origin, or blood type;</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">* opinions, evaluations, comments, social status, or disciplinary actions; and</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">* employee files, credit records, loan records, medical records, existence of a dispute between a consumer and a merchant, intentions (for example, to acquire goods or services, or change jobs).</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Excluded is information concerning the name, title, business address or telephone number of an employee of an organization.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Both acts identify how personal information should be collected, maintained, used, disclosed and disposed. Of interest is the requirement to identify a retention period for the personal information that is collected about an individual and how that information is expunged from an organization&#39;s records.</span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)"><br></span></font></div><div><font size="2"><span style="background-color:rgba(255,255,255,0)">Also of interest is how the power and versatility of re-identification algorithms have significantly increased the ability of identifying an individual without the use of PII. As such, Big Data is becoming an issue in privacy circles.</span></font></div></div><br>On Sunday, 21 February 2016, Colin Wallis &lt;<a href="mailto:colin_wallis@hotmail.com">colin_wallis@hotmail.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div><div dir="ltr">Many thanks Ken, for taking on what you have!<br>And I don&#39;t think we will be killed for not taking on every question.. :-). <br>I agree that the first 2 paras probably best in terms of scope, with my sense of the direction of travel for SC Magazine being towards Data Protection, than privacy per se.. perhaps using them interchangeably?<br>In terms of DP, if there is a compromise in the sample or (worse still) the templates database, then there&#39;s potentially a lot of work for the customer to do to re-establish and re-bind their biometric based identity. <br>Cheers<br>Colin<br>(PS Not responding to Patrick&#39;s request re data analytics which starts to fork this thread) <br><div><hr>Date: Sat, 20 Feb 2016 17:10:46 -0500<br>Subject: Re: [KI-LC] FW: Media query from SC Magazine - deadline 2/26/2016 17:30:00<br>From: <a href="javascript:_e(%7B%7D,&#39;cvml&#39;,&#39;kendaggtbs@gmail.com&#39;);" target="_blank">kendaggtbs@gmail.com</a><br>To: <a href="javascript:_e(%7B%7D,&#39;cvml&#39;,&#39;colin_wallis@hotmail.com&#39;);" target="_blank">colin_wallis@hotmail.com</a><br>CC: <a href="javascript:_e(%7B%7D,&#39;cvml&#39;,&#39;lc@kantarainitiative.org&#39;);" target="_blank">lc@kantarainitiative.org</a><br><br>Colin,<div><br></div><div>I can&#39;t take on the whole task. However, I spent an hour and addressed one of the questions: What happens to privacy when biometrics are thrown into the mix? </div><div><br></div><div>Before anything is said, I know I went beyond the scope of the question in my response by discussing privacy as a whole and broaching the topic of big data and privacy. In my opinion, the answer to the question asked is in the first two, maybe three, paragraphs.</div><div><br></div><div>Is this the sort of response you were looking for?</div><div><br></div><div>I welcome comments and suggestions from other LC members.</div><div><br></div><div>Thanks,</div><div>Ken</div><div><br></div><div>===============<br><div><br></div><div>The perception that something should happen to privacy because biometrics enter the mix is erroneous. </div><div><br></div><div>Privacy is a state that is respected when an individual understands and consents to how their personally identifiable information (PII) is collected, maintained, used, disclosed and disposed. Biometric information, given its uniqueness to each individual, should be considered to be PII. </div><div><br></div><div>It should be noted that jurisdictions around the world have identified that respect of an individual&#39;s privacy is technology agnostic.</div><div><br></div><div>For the US Government NIST Special Publication 800-122 defines PII as &quot;any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.&quot;</div><div><br></div><div>In other countries with privacy protection laws derived from the OECD privacy principles, the term used is more often &quot;personal information&quot;. This term, in general, is broader than PII. For example, there are two pieces of legislation that cover privacy at the federal level in Canada: the Privacy Act and the Personal Information Protection and Electronic Documents Act (PIPEDA). The Privacy Act relates to an individual’s right to access and correct personal information the Government of Canada holds about them or the Government’s collection, use and disclosure of their personal information in the course of providing services (e.g., old age pensions or employment insurance). PIPEDA sets out the ground rules for how private-sector organizations collect, use or disclose personal information in the course of commercial activities across Canada.</div><div><br></div><div>Both acts is essence define personal information to be any factual or subjective information, recorded or not, about an identifiable individual. This includes information in any form, such as:</div><div>* age, name, ID numbers, income, ethnic origin, or blood type;</div><div>* opinions, evaluations, comments, social status, or disciplinary actions; and</div><div>* employee files, credit records, loan records, medical records, existence of a dispute between a consumer and a merchant, intentions (for example, to acquire goods or services, or change jobs).</div><div><br></div><div>Excluded is information concerning the name, title, business address or telephone number of an employee of an organization.</div><div><br></div><div>Both acts identify how personal information should be collected, maintained, used, disclosed and disposed. Of interest is the requirement to identify a retention period for the personal information that is collected about an individual and how that information is expunged from an organization&#39;s records.</div><div><br></div><div>Also of interest is how the power and versatility of re-identification algorithms have significantly increased the ability of identifying an individual without the use of PII. As such, Big Data is becoming an issue in privacy circles.</div><div><br></div><br><br>On Saturday, 20 February 2016, Colin Wallis &lt;<a href="javascript:_e(%7B%7D,&#39;cvml&#39;,&#39;colin_wallis@hotmail.com&#39;);" target="_blank">colin_wallis@hotmail.com</a>&gt; wrote:<br><blockquote style="padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">


<div><div dir="ltr">Folks<div>This came through the staff list as you see.</div><div>We can probably add some value here, but I know my spare time these next few days is tight and I could only do something lightweight.</div><div><br></div><div>Does someone want to while away their weekend and take on the whole job? :-).</div><div><br></div><div>Alternatively, put your hand up for a question or two. </div><div><br></div><div>And we pick up loose ends (or not) at the end.</div><div><br></div><div>Hands up now  through Sunday night..</div><div><br></div><div>Cheers</div><div>Colin<br><br><div>&gt; To: <a>staff@kantarainitiative.org</a><br>&gt; Subject: Media query from SC Magazine - deadline 2/26/2016 17:30:00<br>&gt; Date: Fri, 19 Feb 2016 21:19:16 +0000<br>&gt; From: <a>assistant@itjournalist.com</a><br>&gt; <br>&gt; From: Kim Lynk &lt;<a>assistant@itjournalist.com</a>&gt;<br>&gt; Subject: Media query from SC Magazine - deadline 2/26/2016 17:30:00<br>&gt; <br>&gt; Message Body:<br>&gt; My name is Kim Lynk, personal assistant to Danny Bradbury.  Danny is a freelance tech writer for multiple outlets.  Danny is writing an article for SC Magazine on ID Management. Would Kantara Initiative be able to answer some questions by his deadline of 2/26/2016 17:30:00?<br>&gt; <br>&gt; At airports around the world, travelers&#39; identities are routinely verified using biometric identification. Recently in India, a new facility for pension distribution adapted an iris authentication scanner to validate citizens. New generations of fully integrated, end-to-end cloud identity management platforms offer clients secure and flexible means to pick and choose which services they need. For this latest ebook from SC Magazine, we speak to a number of experts with hands-on experience about how these advances in technologies are changing the face of identity management and opening up new opportunities for the enterprise to become more secure—and we’ll throw in a few caveats (for one, what happens to privacy when biometrics are added to the mix?) that any organization should heed when revamping its identity management strategy.<br>&gt; <br>&gt; Here are the questions he&#39;s exploring:<br>&gt; <br>&gt; What are the latest advances in ID Management technology?<br>&gt; <br>&gt; How has it evolved over the years?<br>&gt; <br>&gt; What happens to privacy when biometrics are thrown into the mix?<br>&gt; <br>&gt; How are ID management systems and access management/roles-based management converging? <br>&gt; <br>&gt; ID management has been largely about people in the past. How will the Internet of Things change that, if at all?<br>&gt; <br>&gt; Is authentication keeping up with trends in ID management?<br>&gt; <br>&gt; My identity as my wife sees it may be different to my identity as my bank sees it, which may be different again to my identity as my employer sees it. How do we cope with multiple attributes in ID management? <br>&gt; <br>&gt; How do we maintain and preserve identity in the long term, as a person&#39;s life and circumstances change? <br>&gt; <br>&gt; Are there standard for ID management?<br>&gt; <br>&gt; What are the biggest challenges facing companies that want to design and deploy their own ID management systems?<br>&gt; <br>&gt; Looking forward to hearing from you.<br>&gt; <br>&gt; Best regards,<br>&gt; <br>&gt; Kim Lynk<br>&gt; Personal Assistant to Danny Bradbury<br>&gt; <span style="white-space:nowrap">913.706.6926<a title="Call: 913.706.6926" style="margin:0px;border:currentColor;width:16px;min-height:16px;overflow:hidden;vertical-align:middle;float:none;display:inline;white-space:nowrap" href="#345004983_"><img title="Call: 913.706.6926" style="margin:0px;border:currentColor;width:16px;min-height:16px;overflow:hidden;vertical-align:middle;float:none;display:inline;white-space:nowrap"></a></span><br>&gt; <br>&gt; --<br>&gt; This mail is sent via contact form on Kantara Initiative <a href="http://kantarainitiative.org/contact-us/" target="_blank">http://kantarainitiative.org/contact-us/</a><br>&gt; <br>&gt; -- <br>&gt; You received this message because you are subscribed to the Google Groups &quot;Kantara Staff&quot; group.<br>&gt; To unsubscribe from this group and stop receiving emails from it, send an email to <a>staff+unsubscribe@kantarainitiative.org</a>.<br>&gt; <br></div></div>                                               </div></div>
</blockquote></div><br><br>-- <br>Kenneth Dagg<br>Independent Consultant<br>Identification and Authentication<br><span style="white-space:nowrap">613-825-2091<a title="Call: 613-825-2091" style="margin:0px;border:currentColor;width:16px;min-height:16px;overflow:hidden;vertical-align:middle;float:none;display:inline;white-space:nowrap" href="#345004983_"><img title="Call: 613-825-2091" style="margin:0px;border:currentColor;width:16px;min-height:16px;overflow:hidden;vertical-align:middle;float:none;display:inline;white-space:nowrap"></a></span><br><a href="javascript:_e(%7B%7D,&#39;cvml&#39;,&#39;kendaggtbs@gmail.com&#39;);" target="_blank">kendaggtbs@gmail.com</a><br></div>                                               </div></div>
</blockquote><br><br>-- <br>Kenneth Dagg<br>Independent Consultant<br>Identification and Authentication<br>613-825-2091<br><a href="mailto:kendaggtbs@gmail.com">kendaggtbs@gmail.com</a><br>