image

Poolse school krijgt AVG-boete voor verwerken vingerafdrukken leerlingen

vrijdag 6 maart 2020, 16:04 door Redactie, 6 reacties

Een Poolse school heeft een AVG-boete van omgerekend 4700 euro gekregen voor het verwerken van de vingerafdrukken van bijna zevenhonderd leerlingen. Dat heeft de Poolse privacytoezichthouder UODO in een persbericht bekendgemaakt. De school gebruikte bij de ingang van de schoolkantine een biometrische vingerafdruklezer om te controleren of leerlingen wel voor hun schoollunch hadden betaald.

Het systeem was al sinds 1 april 2015 in gebruik en de school had schriftelijke toestemming van ouders gevraagd. Volgens de Poolse privacytoezichthouder had de school geen wettelijke grondslag voor het verwerken van de vingerafdrukken, aangezien het ook op een andere manier had kunnen controleren of studenten in aanmerking voor een lunch komen. Zo gebruikte de school naast het vingerafdruksysteem ook een elektronische kaart waarmee leerlingen zich konden identificeren.

Vier leerlingen maakten gebruik van dit alternatieve systeem. Deze leerlingen moesten leerlingen die zich biometrisch lieten controleren voorgaan. Dergelijke regels zorgen volgens de toezichthouder voor een ongelijke behandeling, omdat het leerlingen met biometrische identificatie voortrekt. Daarnaast was het gebruik van het vingerafdruksysteem disproportioneel, aldus de UODO. Naast het betalen van de boete voor het overtreden van de AVG moet de school ook alle verzamelde biometrische data verwijderen en stoppen met het gebruik van het systeem.

Reacties (6)
06-03-2020, 16:23 door karma4
Intussen worden leerlingen onderworpen aan leerlingvolgsysteem wat de oude machten heel graag gehand zouden hebben.
Is het privacy geburen het verlengde van het minitrue?
06-03-2020, 17:18 door Anoniem
En als die vingerafdrukken gestolen waren door een hacker lagen deze voor de rest van hun leven op het straat.
07-03-2020, 17:00 door karma4
Door Anoniem: En als die vingerafdrukken gestolen waren door een hacker lagen deze voor de rest van hun leven op het straat.
Dat is niet erg. een kopietje van een omgezet iets van een vingerafdruk zegt weinig, net zo weinig als het weten van een bsn. De gangbare terugkerende fout die je maakt is het verschil tussen identificatie ofwel de bewering van wie je bent en authenticatie het bewijs leveren van die bewering.
Alleen bij forensische wetenschap is dat verschil niet zo nadrukkelijk. Het bewijzen wie de dode is doet die dode niet zelf.
08-03-2020, 07:31 door Anoniem
Door Anoniem: En als die vingerafdrukken gestolen waren door een hacker lagen deze voor de rest van hun leven op het straat.
Dan maar hopen dat ze gestolen worden door een dief dan is de ellende na een paar maanden over.
08-03-2020, 12:47 door Anoniem
Door karma4: Intussen worden leerlingen onderworpen aan leerlingvolgsysteem wat de oude machten heel graag gehand zouden hebben.
Is het privacy geburen het verlengde van het minitrue?
Heb je dat boek gelezen? Want dit is breinsmeltende onzin.


Door karma4:
Door Anoniem: En als die vingerafdrukken gestolen waren door een hacker lagen deze voor de rest van hun leven op het straat.
Dat is niet erg. een kopietje van een omgezet iets van een vingerafdruk zegt weinig, net zo weinig als het weten van een bsn.
Dat is twee keer niet waar. Ten eerste: Een "omgezet iets" zoals lijstjes van verhaspelde wachtwoorden betekent dat, mits gedaan met een voldoende sterk algoritme, er geen algoritme sneller dan dom alle mogelijkheden proberen ("brute force") publiekelijk bekend is om de omzetting ongedaan te maken.

Dat wil niet zeggen dat je niet gewoon alle mogelijke "ietsen" door je "omzetter" kan halen en kijken welke er overeenkomt met de gezochte. Dat kan namelijk wel.

Dan hoop je dat je omzetting zoveel tijd en moeite kost dat het proberen van alle mogelijkheden ondoenlijk wordt. Dat hoeft helemaal niet het geval te zijn. Bijvoorbeeld waren korte wachtwoorden al kansloos voordat er wachtwoordprobeerders die extra snelheid uit GPGPUs halen beschikbaar kwamen.

Hoe dat met vingerafdrukken zit is nog weer ingewikkelder, want daar moet de "omzetter" rekening houden met dat de vingerafdruk er bij de volgende lezing best eens net iets anders uit kan zien. Dus de invoer moet eerst "vervaagd" worden. En dat betent dat bijna-goed nu echt-goedgevonden gaat worden. Dus wordt namaken makkelijker. En zo zijn er nog wel meer redenen waarom zo'n "omgezet iets" danwel minder gevaarlijk is dan een plaatje van een vingerafdruk, maar niet automatisch geheel zonder gevaar.

Ten tweede: Je kan met een BSN meer dan alleen kijken of de naam klopt. Als je de juiste toegang hebt (*kuch* UWV bijvoorbeeld *kuch*) kun je met alleen een BSN ontzettend veel gegevens loskrijgen. Wil je dat op naam, moet je eerst het BSN uitvogelen. Het BSN is dan ook geen "omgezet iets", het is een zogenaamde primary key bedoeld voor gebruik bij alle overheidsdatabases en ondertussen ook bij ettelijke niet-overheidsdatabases. Het is onderhand gevaarlijker dan alleen je naam.

De gangbare terugkerende fout die je maakt is het verschil tussen identificatie ofwel de bewering van wie je bent en authenticatie het bewijs leveren van die bewering.
Zegt karma4, die keer op keer precies diezelfde fout maakt (en vele meer, meestal meermaals).

Het klopt wel dat die fout veel gemaakt wordt maar ook dat betekent niet dat zelfs "omgezette" vingerafdrukken op straat ineens wel veilig zijn.

Alleen bij forensische wetenschap is dat verschil niet zo nadrukkelijk. Het bewijzen wie de dode is doet die dode niet zelf.
Niet alleen dat. Er bestaat ook een aanmerkelijk verschil tussen "z'n vingerafdrukken zitten op het moordwapen dus dit was de dader", en "ja dit ben ik, doe mij even toegang tot mijn bankrekening". Oftewel een naamkaartje is niet hetzelfde als een kluissleutel.
10-03-2020, 14:31 door Anoniem
En dat is een school, lekker voorbeeld, vraag me af wat voor leerkrachten daar werken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.