Hoe u kunt blijven voldoen aan de regelgeving inzake biometrische gegevens ISMS.online

Hoe u kunt blijven voldoen aan de regelgeving op het gebied van biometrische gegevens

Door John Leyden • 9 april 2024

Door AI aangedreven gezichtsherkenningstechnologie is een steeds populairder hulpmiddel voor organisaties die de toegangscontrole willen stroomlijnen en de beveiliging willen verbeteren. Maar zoals Serco Leisure onlangs ontdekte, besteden toezichthouders op het gebied van gegevensbescherming dergelijke implementaties extra aandacht. Privacyrisicobeoordelingen en andere best practices worden in snel tempo onmisbaar om ervoor te zorgen dat implementaties aan de goede kant van de wet blijven.

Face / Off

Toezichthouders van de Information Commissioner's Office (ICO) hebben Serco Leisure gestraft omdat hij er niet in slaagde een alternatief te bieden voor het scannen van de gezichten en vingerafdrukken van werknemers om in- en uit te klokken. Minder ingrijpende middelen zoals identiteitskaarten of fobs hadden in plaats daarvan eenvoudig kunnen worden gebruikt, oordeelde de ICO.

Ruim 2,000 medewerkers bij 38 vrijetijdsvoorzieningen moesten biometrische gegevens aanleveren voor aanwezigheidscontrole. Serco Leisure slaagde er niet in om aan te tonen dat het gebruik van biometrische technologieën “noodzakelijk en proportioneel” was bij het registreren van de aanwezigheid van werknemers.

“Biometrische gegevens zijn volledig uniek voor een persoon, dus de risico’s op schade in het geval van onnauwkeurigheden of een inbreuk op de beveiliging zijn veel groter – je kunt iemands gezicht of vingerafdruk niet resetten zoals je een wachtwoord kunt resetten,” John Edwards, Britse Information Commissioner , zei in a verklaring. “Serco Leisure heeft de risico’s niet volledig overwogen voordat hij biometrische technologie introduceerde om de aanwezigheid van personeel te monitoren, waarbij zakelijke belangen prioriteit kregen boven de privacy van zijn werknemers.”

De ICO beschuldigde Serco er verder van dat hij werknemers die zich niet op hun gemak voelen met biometrische controles niet had voorzien van een mechanisme om zich af te melden voor het systeem. Serco Leisure, Serco Jersey en zeven geassocieerde gemeenschapstrusts kregen de opdracht te stoppen met de verwerking van biometrische gegevens voor het monitoren van de aanwezigheid van werknemers op het werk. De bedrijven kregen verder de opdracht om alle biometrische gegevens die zij niet wettelijk verplicht zijn te bewaren, te vernietigen.

De sancties vielen samen met de publicatie door de ICO van nieuwe begeleiding over hoe organisaties biometrische gegevens rechtmatig kunnen verwerken.

Access Controle

Gezichtsherkenningstechnologie wint steeds meer terrein in de onderneming om de toegang tot beveiligde locaties te controleren en gebruikers te authenticeren via ID-verificatiediensten. onder andere. Maar biometrische gegevens zijn, in tegenstelling tot wachtwoorden, intrinsiek verbonden met een individu, dus de impact van de blootstelling ervan in het geval van een datalek kan ernstiger en langduriger zijn.

Erkenning van de verhoogde privacybescherming die de EU verdient Algemene Verordening Gegevensbescherming (AVG) bevat strengere regels voor de verwerking van biometrische gegevens, inclusief doelbinding als bescherming tegen missie-creep, transparantie en toestemmingsvereisten.

Implementatiehindernissen

Het uitrollen van biometrische technologieën op de werkplek kan verenigbaar zijn met de wettelijke vereisten, maar alleen op voorwaarde dat deze worden geïntroduceerd na een uitgebreide gegevensbeschermingseffectbeoordeling (DPIA), aldus deskundigen.

Jon Bartley, partner en hoofd van de Data Advisory Group bij het internationale advocatenkantoor RPC, vertelt ISMS.online dat het “van cruciaal belang is om een duidelijk proces te hebben voor het onboarden van technologieën” waarbij gebruik wordt gemaakt van biometrische gegevens, zoals vingerafdrukken of irisscans.

“Vanuit het perspectief van de wetgeving inzake gegevensbescherming moeten bedrijven zich bewust zijn van de obstakels voor de implementatie ervan”, legt hij uit. “Afhankelijk van de gebruikssituatie van de technologie kan het bijvoorbeeld moeilijk zijn om een wettelijke basis vast te stellen voor de verwerking van de biometrische gegevens, tenzij de getroffen personen een echte keuze krijgen om de technologie te accepteren of een alternatief te kiezen.”

Omdat biometrische gegevens kunnen worden gebruikt om individuen uniek te identificeren, vallen ze in een speciale categorie en zijn ze daarom onderworpen aan strengere regels voor gegevensverwerking.

“Deze gegevens brengen een groter risico met zich mee en er moet aan een verdere voorwaarde worden voldaan om de verwerking te legitimeren, wat moeilijk kan zijn vanwege het beperkte aantal en de reikwijdte van dergelijke voorwaarden”, zegt Bartley.

AI verhoogt het risico

Sarah Pearce, partner bij advocaten Hunton Andrews Kurth en een expert op het gebied van gegevensprivacy, beweert dat de Serco Leisure-uitspraak van de ICO laat zien waarom bedrijven juridische professionals moeten raadplegen over de naleving van de regelgeving. Afgezien van de wetgeving inzake gegevensbescherming, roept gezichtsherkenning, die wordt ondersteund door AI-technologie, eisen op om te voldoen aan een groeiende hoeveelheid wetgeving die deze opkomende technologieruimte regelt, vertelt ze aan ISMS.online.

De onlangs geratificeerd EU AI-wet stelt een op risico gebaseerd juridisch kader vast voor AI-governance dat het gebruik van AI in combinatie met gezichtsherkenningstechnologieën als “hoog risico” karakteriseert.

Dit zou betekenen dat bedrijven, om volledig aan die wet te voldoen, “menselijk toezicht op het AI-systeem moeten toekennen, een impactbeoordeling op de grondrechten moeten uitvoeren (niet veel anders dan een DPIA onder de AVG) en de werknemers en ondernemingsraad waar nodig”, legt ze uit.

De aanduiding ‘hoog risico’ is van toepassing op zowel klantgerichte als werknemergerichte implementaties van biometrische technologieën in combinatie met AI.

Bartley van RPC voegt hieraan toe: “Het gebruik van gezichtsherkenningstechnologie om werknemers te volgen kan worden geclassificeerd als een gebruik van AI met een hoog risico onder de AI Act, wat verschillende verplichtingen met zich meebrengt, zoals menselijk toezicht, monitoring, het bijhouden van gegevens en overleg met werknemers.”

Operationele voordelen

Ashley Avery, partner bij het Britse advocatenkantoor Foot Anstey, vertelt ISMS.online dat ze een “significante toename” heeft geregistreerd in het aantal vragen van klanten die biometrische technologie willen inzetten. Deze organisaties zien de zakelijke voordelen ervan voor veiligheidsdoeleinden of als onderdeel van een aanbod aan klanten, maar zijn “op hun hoede” voor de risico’s op het gebied van gegevensprivacy, legt Avery uit.

“De richtlijnen van de ICO zijn nuttig omdat ze gedetailleerd beschrijven welke punten in overweging moeten worden genomen voordat dergelijke technologie wordt ingevoerd en hoe bedrijven kunnen aantonen dat ze voldoen aan de wetgeving inzake gegevensprivacy”, voegt ze eraan toe.

Kaders en standaarden – zoals ISO 27001 – kan bedrijven helpen zichzelf te positioneren om naleving te bereiken bij het uitrollen van gezichtsherkenningstechnologieën. ISO 27001 biedt een systematische aanpak voor het beheren en beschermen van gevoelige informatie, inclusief gegevens die worden verwerkt door gezichtsherkenningstechnologieën.

De richtlijnen van de ICO leggen een sterke nadruk op de vereiste om DPIA’s uit te voeren.

“In onze ervaring zijn DPIA’s een waardevol instrument voor het identificeren van privacygerelateerde risico’s, wat betekent dat bedrijven vanaf het begin maatregelen kunnen treffen om dergelijke risico’s te minimaliseren – dit is cruciaal bij de verwerking van dergelijke gevoelige gegevens”, besluit Avery.

Bedrijven die biometrische technologieën willen inzetten, moeten het volgende overwegen:

⦁ Overweeg minder ingrijpende opties voor authenticatie of toegangscontrole
⦁ Volg de nieuwe biometrische richtlijnen van de ICO
⦁ Voer een strenge DPIA uit
⦁ Overleg met belanghebbenden (klanten, partners en medewerkers) voorafgaand aan de inzet
⦁ Zorg voor duidelijke en transparante informatie over de manier waarop biometrische gegevens zullen worden gebruikt
⦁ Implementeer passende technische en organisatorische maatregelen om de veiligheid en integriteit van de biometrische gegevens te waarborgen – met behulp van normen zoals ISO 27001, indien van toepassing

John Leiden

John Leyden schrijft al meer dan twintig jaar over computernetwerken en cyberbeveiliging. Vóór de komst van internet werkte hij als misdaadverslaggever bij een plaatselijke krant in Manchester. John heeft een diploma in elektronica behaald aan City, University of London.

Lees meer van John Leyden

Data Privacy 22 augustus 2024

bedrijven worden aangespoord om de 'snel evoluerende' ai-regelgeving te volgen

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data...

John Leiden

Cyber security 20 juni 2024

waarom leveranciers moeite kunnen hebben om het ‘secure by design’-momentumbanner in stand te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Tientallen technologieleveranciers hebben zich aangesloten bij de door de Amerikaanse overheid gesteunde Secure by Design-belofte. Maar zal deze belofte een breuk met het verleden betekenen?

John Leiden

Cyber security 28 May 2024

het decoderen van de nieuwe richtlijnen van de ncsc voor in de cloud gehoste scada-banner

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA

Systemen voor operationele technologie (OT) bewaken en besturen automatisch processen en apparatuur die van alles aansturen, van energiecentrales tot slimme ziekenhuizen.

John Leiden