Idency omarmt nieuwste ICO-privacyrichtlijnen

Blog door Andy | Geplaatst op vrijdag maart 17 2023

Biometrie is een veelbesproken onderwerp. We gebruiken steeds vaker biometrische gegevens om onszelf te verifiëren op apparaten zoals mobiele telefoons, tablets en laptops. Het begint vrij normaal te voelen in ons dagelijks leven. Wij geloven dat ze een geweldige vooruitgang zijn op het gebied van beveiliging, authenticatie en nauwkeurigheid.

Privacy blijft voor veel mensen een punt van zorg. Dat is begrijpelijk. Je hebt waarschijnlijk al talloze verhalen, artikelen en opinies gezien op allerlei media die je waarschuwen voor de gevaren van het verliezen van privacy.

En laten we eerlijk zijn, elke keer dat je naar een nieuwe website gaat, wordt je gevraagd om cookies te accepteren die je gedrag kunnen volgen.

Het is een keuze die de basis vormt van een verhaal dat in de winter van 2023-24 is gepubliceerd. Een vooraanstaand bedrijf dat vrijetijdsfaciliteiten in het Verenigd Koninkrijk beheert, heeft kritiek gekregen vanwege de implementatie van gezichtsherkenningssystemen voor de aanwezigheid van werknemers. In een vonnis van de ICO bleek dat ze hun personeel niet voldoende keuze hadden gegeven in de manier waarop hun informatie werd gebruikt en dus in strijd waren met de GDPR-wetgeving.

ICO-richtlijnen

De ICO heeft haar richtlijnen aangepast zodat werknemers een keuze moeten hebben met betrekking tot de gebruikte methode bij het gebruik van tijdregistratietechnologie. Voor GDPR-doeleinden heeft een individu controle nodig over waar, wanneer en hoe zijn persoonlijke gegevens worden gebruikt, en voor het gebruik van biometrische gegevens zoals gezichtsherkenning en vingerafdruklezers is toestemming nodig.

Hoe werkt gezichtsherkenning in onze tijdregistratie apparaten?

Het is een misvatting dat vingerafdrukken of 3D-beelden van gezichten worden genomen en opgeslagen wanneer je biometrische apparaten gebruikt. In feite wordt er een ‘sjabloon’ van willekeurige gegevenspunten genomen. Deze worden door het apparaat gecodeerd en versleuteld voordat ze worden opgeslagen.

Vanuit het perspectief van de workflow en de principes van het algoritme zijn de gezichtssjablonen niet langer gegevens van gezichtskenmerkpunten, maar fragmenten of lagen van gezichtskenmerken die nodig zijn voor het algoritme van het gebruikte apparaat. (zie afbeelding rechts). Dit wordt in dat apparaat opgeslagen als gezichtssjabloongegevens en het originele beeld wordt weggegooid. Als gevolg hiervan kunnen de opgeslagen gegevens niet worden gebruikt om de originele afbeelding te reproduceren, noch kunnen ze worden gebruikt door een andere organisatie. Het gebruik ervan wordt echter door de ICO geclassificeerd als de verwerking van gegevens van speciale categorieën en dit is de basis voor de verduidelijking voor GDPR.

Wat moet ik doen om GDPR-compliant te zijn?

Voor een correcte implementatie moeten organisaties het personeel een keuze bieden voor authenticatie bij het gebruik van dergelijke apparaten. Ons advies is om alternatieven te bieden voor biometrische authenticatie. Hoewel gezichtsherkenningsapparaten standaard gezichtsgegevens gebruiken, hebben ze fallbacks zoals RFID-kaartlezers en ID & PIN die in plaats daarvan kunnen worden gekozen. Bedrijven moeten ook beschikken over mechanismen om gegevens die zijn verzameld via biometrische apparaten te wissen als ze niet langer nodig zijn of als een persoon daarom vraagt. Zorg ervoor dat je clausules over de behandeling van dergelijke gegevens opneemt in het betreffende privacybeleid.

Als je meer informatie wilt, bekijk dan de ICO-richtlijnen voor het gebruik van biometrische herkenning of neem contact op om de mogelijkheden voor uw organisatie te bespreken.