image

Spaans bedrijf krijgt 365.000 euro boete voor inlogsysteem met vingerafdruk

donderdag 4 april 2024, 14:15 door Redactie, 9 reacties

Een Spaans outsourcingsbedrijf heeft wegens meerdere AVG-overtredingen bij het gebruik van een inlogsysteem met vingerafdruk een boete van 365.000 euro gekregen (pdf). Het bedrijf liet medewerkers twee jaar lang inloggen via hun vingerafdruk. De Spaanse privacytoezichthouder AEPD ontving een klacht over het systeem en besloot onderzoek te doen.

Het bedrijf liet weten dat de vingerafdrukscanner geen identificatiesysteem was, maar een authenticatiesysteem. Er werden dan ook geen vingerafdrukken opgeslagen, maar hashes van vingerafdrukken. De vingerafdruk zou na de scan meteen verwijderd worden. Tevens stelde het bedrijf dat medewerkers via een werknemersportaal over de gegevensverwerking werden ingelicht.

Volgens de Spaanse privacytoezichthouder was de informatievoorziening over de gegevensverwerking onjuist, te algemeen en onvoldoende informatief. Er werd alleen gemeld dat er een vingerafdruk-inlogsysteem werd gebruikt. Informatie over het verzamelen, verwerken en opslaan van vingerafdrukgegevens werd niet gegeven. Medewerkers werden ook niet ingelicht dat ze over het systeem een klacht bij de AEPD konden indienen.

Verder stelde de toezichthouder vast dat er onvoldoende beveiligingsmaatregelen waren genomen om de vingerafdrukgegevens te beschermen. Zo had het bedrijf niet aangetoond hoe de vingerafdrukgegevens na elke scan werden gewist en liet het geen enkele technische maatregel zien om de verwerkte persoonsgegevens te beschermen. De hash van de vingerafdruk en identifier van de medewerker werden wel in aparte tabellen opgeslagen, maar het bedrijf toonde niet aan dat de opslaglocaties voldoende gescheiden waren.

De derde AVG-overtreding die de toezichthouder vaststelde betrof het niet uitvoeren van een data protection impact assessment (DPIA) voor het verwerken van de vingerafdrukgegevens. Het gaat hier om bijzondere persoonsgegevens. In het geval van biometrische gegevens heeft de AEPD het uitvoeren van een DPIA verplicht. Vanwege de duur van de overtredingen en gevoeligheid van biometrische data besloot de toezichthouder een boete van 365.000 euro op te leggen.

Reacties (9)
04-04-2024, 14:19 door Anoniem
Het zou particuliere bedrijven sowieso verboden moeten worden om vingerafdrukken van werknemers te eisen. Hoezo kan dat "proportioneel" zijn?

"Ja, we willen uw DNA, maar alleen voor authenticatie, niet voor identificatie, hoor!"
"Ja, we willen dat u elke dag een beetje ontlasting inlevert, maar alleen voor authenticatie hoor, en nadat we het hebben geanalyseerd, gooien we het meteen weg, dus niks aan de hand."

Waar is men in godsnaam mee bezig.
04-04-2024, 14:34 door Anoniem
De rekensom wordt gemaakt: Is 185k per jaar goedkoper dan een fatsoenlijk toegangssysteem? Ja? Dan gaan we gewoon door.

Daarnaast: leuk om medewerkers te informeren, maar ze geen alternatief te bieden.
04-04-2024, 15:38 door musiman
Hoe zit dat met Windows Hello for Business? Ik laat nu mijn gebruikers inloggen met hun gezicht, maar daar mogen ze zelf voor kiezen: of het wachtwoord (minimaal een flink aantal karakters) of via HfB. Moet ik hiervoor ook een DPIA uitvoeren?
04-04-2024, 15:39 door Anoniem
Wat de grote datacenters van Equinix en NorthC doen, mag dat dan wel? Als ik daar kom moet ik ook verplicht ieder keer mijn vingerafdruk registreren en gebruiken om door het eerste poortje te komen.

Bij de datacenters waar ik permanente toegang heb kan ik met mijn vingerafdruk en de pas gewoon doorlopen. Alleen hoe weet ik dat dat voldoende veilig is opgeslagen?

Ik besef me dat ik dat kan weigeren, maar dan kom ik niet binnen en kan ik mijn werk niet uitvoeren.
04-04-2024, 16:00 door Anoniem
Door Anoniem: Het zou particuliere bedrijven sowieso verboden moeten worden om vingerafdrukken van werknemers te eisen. Hoezo kan dat "proportioneel" zijn?

"Ja, we willen uw DNA, maar alleen voor authenticatie, niet voor identificatie, hoor!"
"Ja, we willen dat u elke dag een beetje ontlasting inlevert, maar alleen voor authenticatie hoor, en nadat we het hebben geanalyseerd, gooien we het meteen weg, dus niks aan de hand."

Waar is men in godsnaam mee bezig.
Meeste sectors en bedrijf soorten ben ik het met je eens. Er zijn echter paar uitzonderingen waar biometrische controle wel regelmatig vereist zijn. Zoals toegang extra beveiligd datacenter voorbeeld irisscan combi met pasje of kluis toegang, opslag ruimte hardware forensisch data onderzoek Maar de uitzonderingen die ik kan bedenken zijn minimaal en in de uitzondering gevallen weet je van te voren waar je aan begint als medewerker en is het enkel voor bepaalde gebieden op het bedrijfsterein vaak.

We hebben zelf afbakening van zones met kleurenstrips op de grond en plattegrond
Groene zone klanten toegankelijk, Gele zone regulier personeel en onder begeleiding klanten, Rode zone bevoegd personeel. Groene zone geen eis tot identificatie, Gele zone op verzoek bewaking, Rode zone altijd vereist bij binnenkomst en vertrek.
04-04-2024, 16:24 door Anoniem
Prachtig om te lezen. Hoe ook Spaanse juridische stukken altijd met in hoofdletters PRIMERO, SEGUNDO enzovoorts gaan. En dan hoe de bijl erin gaat met een boete. Zeker weten omdat de baas maling had aan de vingerafgedrukten. Die dan op zijn bazenbeurt weer naar een rechter kan met heel die riedel in de pdf. Dus dat duurt effies voordat er een hoofdpijnvrije rechter is die het weer helemaal door wil lezen. (Waarna het trouwens vaak weer met een sisser afloopt hoor, zo zijn ze ook.) Kan jaren duren.

Ondertussen staat die boete en die zegt dat je vingerverven lekker thuis moet doen. Maar niet met je personeel. Dus dan heeft het voorlopig voor jaren een aangename progressieve werking naar anderen die van die scankastjes overwegen.

Wel ook echt HULDE aan wie die hele formele pdf heeft zitten schrijven. Dat alleen al moet een flinke klus geweest zijn, dus noem ze nog maar eens lui in dat Spanje. Soms denk ik wel eens, als ze de 80 jarige oorlog gewonnen hadden, dan hadden daar ook veel voordelen aan gezeten.
04-04-2024, 18:15 door Anoniem
In Nederland zijn er ook een aantal bedrijven die dit hebben.
Managers vinden dit normaal, een van de argumenten is inleenkrachten raken steeds pasjes kwijt.
05-04-2024, 09:30 door Anoniem
Door musiman: Hoe zit dat met Windows Hello for Business? Ik laat nu mijn gebruikers inloggen met hun gezicht, maar daar mogen ze zelf voor kiezen: of het wachtwoord (minimaal een flink aantal karakters) of via HfB. Moet ik hiervoor ook een DPIA uitvoeren?
Ja, daar moet je een DPIA voor uitvoeren. Medewerkers mogen er vanuit gaan dat jij hebt nagedacht over hoe hun gegevens veilig verwerkt worden.
05-04-2024, 09:59 door karma4
Typisch hoe privacy activisme van het padje gaat door niet de stand van de techniek te kennen zoals in de GDPR verwoord is
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.