Sådan overholder du reglerne om biometriske data

AI-drevet ansigtsgenkendelsesteknologi er et stadig mere populært værktøj for organisationer, der ønsker at strømline adgangskontrol og forbedre sikkerheden. Men som Serco Leisure fandt ud af for nylig, udvælger databeskyttelsesmyndigheder sådanne udrulninger for øget kontrol. Privatlivsrisikovurderinger og anden bedste praksis er hurtigt ved at blive uundværlig for at sikre, at implementeringer forbliver på den rigtige side af loven.

Face / Off

Regulatorer ved Information Commissioner's Office (ICO) straffede Serco Leisure for ikke at tilbyde et alternativ til at få medarbejdernes ansigter og fingeraftryk scannet for at klokke ind og ud af arbejde. Mindre påtrængende midler såsom ID-kort eller fobs kunne bare have været brugt i stedet, fastslog ICO.

Mere end 2,000 medarbejdere på 38 fritidstilbud var forpligtet til at indsende biometriske data til fremmødekontrol. Serco Leisure kunne ikke påvise, at dets brug af biometriske teknologier var "nødvendigt og forholdsmæssigt" ved registrering af arbejdernes tilstedeværelse.

"Biometriske data er helt unikke for en person, så risikoen for skade i tilfælde af unøjagtigheder eller et sikkerhedsbrud er meget større - du kan ikke nulstille nogens ansigt eller fingeraftryk, ligesom du kan nulstille en adgangskode," John Edwards, informationskommissær i Storbritannien. , sagde i en udmelding. "Serco Leisure overvejede ikke risiciene fuldt ud, før de introducerede biometrisk teknologi til at overvåge personaledeltagelse og prioriterede forretningsinteresser frem for sine ansattes privatliv."

ICO beskyldte Serco yderligere for at have undladt at give arbejdere, der ikke er komfortable med biometriske kontroller, en hvilken som helst mekanisme til at fravælge systemet. Serco Leisure, Serco Jersey og syv tilknyttede samfundsfonde blev beordret til at stoppe behandlingen af ​​biometriske data for at overvåge medarbejdernes deltagelse på arbejde. Virksomhederne blev desuden pålagt at destruere alle biometriske data, som de ikke er juridisk forpligtet til at opbevare.

Sanktionerne faldt sammen med offentliggørelsen af ​​ICO af ny vejledning om, hvordan organisationer kan behandle biometriske data lovligt.

Adgangskontrol

Ansigtsgenkendelsesteknologi vinder indpas i virksomheden for at kontrollere adgangen til sikre lokationer og autentificere brugere gennem ID-verifikationstjenester, blandt andet. Men biometriske data, i modsætning til adgangskoder, er uløseligt knyttet til et individ, så virkningen af ​​deres eksponering i tilfælde af et databrud kan være mere alvorlig og langvarig.

I anerkendelse af den øgede beskyttelse af privatlivets fred, det fortjener, er EU's Generel databeskyttelsesforordning (GDPR) opstiller strammere regler for behandling af biometriske data, herunder formålsbegrænsning som en beskyttelse mod krav om mission kryb, gennemsigtighed og samtykke.

Implementeringshindringer

Udrulning af biometriske teknologier på arbejdspladsen kan være forenelig med lovkrav, men kun forudsat at de introduceres efter en omfattende databeskyttelsesvurdering (DPIA), ifølge eksperter.

Jon Bartley, partner og leder af Data Advisory Group hos det internationale advokatfirma, RPC, siger til ISMS.online, at det er "kritisk at have en klar proces for onboarding-teknologier", der involverer brugen af ​​biometriske data, såsom fingeraftryk eller iris-scanninger.

"Fra databeskyttelseslovens perspektiv skal virksomheder være opmærksomme på forhindringerne for implementering," forklarer han. "For eksempel, afhængigt af anvendelsessagen for teknologien, kan det være vanskeligt at etablere et lovligt grundlag for at behandle de biometriske data, medmindre berørte personer får et reelt valg om at acceptere teknologien eller vælge et alternativ."

Da det kan bruges til entydigt at identificere personer, falder biometriske data ind under en særlig kategori og er derfor underlagt strengere databehandlingsregler.

"Disse data er højere risiko, og en yderligere betingelse skal være opfyldt for at legitimere behandlingen, hvilket kan være vanskeligt på grund af det begrænsede antal og omfanget af sådanne forhold," siger Bartley.

AI øger risikoen

Sarah Pearce, partner hos advokater Hunton Andrews Kurth og ekspert i databeskyttelse, hævder, at ICO's Serco Leisure-kendelse viser, hvorfor virksomheder bør konsultere juridiske fagfolk om overholdelse af lovgivningen. Bortset fra databeskyttelsesloven udløser ansigtsgenkendelse, der er understøttet af AI-teknologi, krav om at overholde en voksende mængde lovgivning, der styrer dette nye teknologiske område, siger hun til ISMS.online.

Den for nylig ratificerede EU's AI-lov etablerer en risikobaseret juridisk ramme for AI-styring, der karakteriserer brugen af ​​AI i forbindelse med ansigtsgenkendelsesteknologier som "høj risiko".

Dette ville betyde, at virksomheder, for at være fuldt ud i overensstemmelse med denne lov, skulle "tildele menneskeligt tilsyn med AI-systemet, gennemføre en konsekvensanalyse af grundlæggende rettigheder (ikke ulig en DPIA i henhold til GDPR) og informere medarbejderne og samarbejdsudvalg, hvor det er relevant,” forklarer hun.

Højrisikobetegnelsen gælder både for kundevendte og medarbejderfokuserede implementeringer af biometriske teknologier i forbindelse med AI.

RPC's Bartley tilføjer: "Brug af ansigtsgenkendelsesteknologi til at spore medarbejdere kan klassificeres som en højrisikobrug af AI i henhold til AI-loven, som udløser forskellige forpligtelser såsom menneskeligt tilsyn, overvågning, registrering og medarbejderkonsultation."

Operationelle fordele

Ashley Avery, partner hos det britiske advokatfirma Foot Anstey, fortæller til ISMS.online, at hun har registreret en "betydelig stigning" i mængden af ​​forespørgsler fra klienter, der ønsker at implementere biometrisk teknologi. Disse organisationer ser de forretningsmæssige fordele ved det af sikkerhedsmæssige årsager eller som en del af et kundetilbud, men er "på vagt" over for databeskyttelsesrisici, forklarer Avery.

"Vejledningen udstedt af ICO er nyttig, da den beskriver de punkter, der skal overvejes, før de vedtager en sådan teknologi, og hvordan virksomheder kan demonstrere overholdelse af databeskyttelseslovgivningen," tilføjer hun.

Rammer og standarder – som f.eks ISO 27001 – kan hjælpe virksomheder med at positionere sig for at opnå overholdelse, når de udruller teknologier til ansigtsgenkendelse. ISO 27001 tilbyder en systematisk tilgang til håndtering og beskyttelse af følsom information, herunder data håndteret af ansigtsgenkendelsesteknologier.

ICO's vejledning sætter et stærkt fokus på kravet om at udføre DPIA'er.

"Efter vores erfaring er DPIA'er et værdifuldt værktøj til at identificere privatlivsrelaterede risici, hvilket betyder, at virksomheder kan indføre foranstaltninger for at minimere sådanne risici fra starten - dette er afgørende, når man behandler sådanne følsomme data," slutter Avery.

Virksomheder, der ønsker at implementere biometriske teknologier, bør overveje følgende:

⦁ Overvej mindre påtrængende godkendelses- eller adgangskontrolmuligheder
⦁ Følg ICO's nye biometriske vejledning
⦁ Udfør en streng DPIA
⦁ Rådfør dig med interessenter (kunder, partnere og medarbejdere) før implementering
⦁ Giv klar og gennemsigtig information om, hvordan biometriske data vil blive brugt
⦁ Implementer passende tekniske og organisatoriske foranstaltninger for at sikre sikkerheden og integriteten af ​​de biometriske data – ved brug af standarder som ISO 27001, hvor det er relevant