Blogs

Regelmatig publiceren we hier een blog over privacy onderwerpen.

Zweedse toezichthouder legt boete op aan school.

De Zweedse autoriteit voor gegevensbescherming (Datainspektionen) heeft een onderzoek uitgevoerd naar een openbare school. Dit na berichten in de media te hebben ontvangen dat het schoolbestuur, in een pilot situatie voor 22 leerlingen gedurende drie weken, gezichtsherkenningstechnologie had gebruikt om de aanwezigheid van leerlingen vast te stellen.

De school gebruikte de gezichtsherkenningssoftware via een camerasysteem. De bedoeling was om na een geslaagde pilot dit als systeem in te zetten voor de hele school. De school had uitgerekend dat dit een forse besparing zou opleveren. Immers: het klasseboek hoeft niet meer gebruikt te worden. Dat zou 10 minuten per lesuur besparen. In totaal 17.280 uren per jaar.

Ondanks dat voor de pilot de expliciete toestemming was verkregen en de deelname aan de pilot niet verplicht was, heeft de Zweedse toezichthouder een boete opgelegd van SEK 200.000 (= € 18.500,-).

Dit is best opmerkelijk en streng: immers het gaat om een pilot, er namen slechts een gering aantal leerlingen aan de pilot deel, er was toestemming verkregen en de duur was kort.

Waarom een boete?

De reden voor het opleggen van de boete is dat de school géén DPIA (een gegevensbeschermingseffectbeoordeling, oftewel een uitgebreid risicoassessment) heeft uitgevoerd, en de toezichthouder niet voorafgaand aan de pilot heeft geraadpleegd.

De toezichthouder vindt dat de school de AVG op drie manieren heeft overtreden:

  1. overtreding van het proportionaliteitsbeginsel: het doel (controleren van de aanwezigheid) kan ook worden gerealiseerd op een wijze die minder inbreuk maakt op de privacy;
  2. het verwerken van bijzondere persoonsgegevens zonder dat daar een wettelijke grondslag voor is;
  3. overtreding van artikel 35 AVG, door geen DPIA uit te voeren voorafgaand aan het verwerken van de persoonsgegevens.

Inzet van biometrische gegevens heeft de aandacht van de EU

Het inzetten van biometrische gegevens is binnen de EU een issue.

De Europese Commissie (EC) wil strenge regels opstellen voor het gebruik van technologie voor gezichtsherkenning. De EC wil het toenemende gebruik van gezichtsherkenning door bedrijven en overheden gaan beperken. De regels moeten EU-burgers duidelijk omschreven rechten geven over het gebruik van gegevens die door gezichtsherkenning zijn verkregen. Daarnaast krijgen burgers het recht om te weten wanneer en waarvoor die gegevens worden gebruikt.

Het initiatief van de EC volgt na ophef over ongereguleerd gebruik van gezichtsherkenning. De inzet van de technologie in Britse winkelcentra gaf eerder aanleiding tot een onderzoek van de Britse privacy toezichthouder (ICO). De boete oplegging door de Zweedse toezichthouder aan de school speelt ook een rol. 

Inzoomen op de overtreding van artikel 35 AVG: de DPIA

De school in kwestie had wel een soort van risicoassessment uitgevoerd, maar geen volledige DPIA. De toezichthouder vond het uitgevoerde risicoassessment onvoldoende om de risico’s op het gebied van de ‘rechten en vrijheden van betrokkenen’ te kunnen beoordelen. Daarbij is er geen afweging gemaakt of de maatregel (gezichtsherkenning) wel proportioneel is ten opzichte van het doel (controleren van de aanwezigheid). Op deze manier heeft de school geen invulling gegeven aan de verplichtingen van artikel 35 AVG.

Wat voor boetes staan er in Nederland op het niet uitvoeren van een DPIA?

De Autoriteit Persoonsgegevens heeft in haar Boetebeleidsregels van 19 februari 2019 het niet uitvoeren van een DPIA voorafgaand aan een verwerking de categorie II gegeven.

Dit betekent dat de Basisboete € 310.000,- bedraagt voor een overtreding. Deze kan naar boven of naar beneden worden bijgesteld op basis van de specifieke feiten en omstandigheden.

Wat kunnen we hiervan leren?

Veel organisaties zijn bezig met het implementeren van de verplichtingen vanuit de AVG. Maar weinig organisaties voeren een DPIA uit voorafgaand aan een nieuwe verwerking van persoonsgegevens.

Op basis van het voorgaande weet je nu dat je een groot risico loopt.

Stel je bijvoorbeeld de vraag: is er binnen jouw organisatie bijvoorbeeld voorafgaand aan het implementeren van Microsoft Windows of Office 365 een DPIA uitgevoerd?

Als het antwoord ‘nee’ is, dan moet je je realiseren dat de DPIA toch écht verplicht is voorafgaand aan verwerkingen van persoonsgegevens waarbij waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen optreedt.

Zorg dus voor een DPIA beleid en proces en een sjabloon voor een rapportage.

En meer dan dat: voer het ook uit.

Het uitvoeren van een DPIA is overigens niet altijd even eenvoudig, vooral omdat er een combinatie van technische, juridische, en organisatorische kennis vereist is. Kijk bijvoorbeeld maar naar de uitgebreide DPIA die de Rijksoverheid heeft uit laten voeren naar de producten van Microsoft. Dit levert rapporten op van soms meer dan 100 pagina’s. Hieruit blijkt dat er grote risico’s zijn verbonden aan het werken met Office Online en de mobiele Apps.

Disclaimer          Algemene voorwaarden          Privacy Statement