Europese toezichthouders wijzen luchthavens op risico's gezichtsherkenning
De Europese privacytoezichthouders verenigd in de EDPB wijzen luchthavens en luchtvaartmaatschappijen op de risico's van het gebruik van gezichtsherkenningstechnologie en stellen dat personen maximale controle over hun biometrische data moeten hebben. Daarnaast voldoen bepaalde methodes voor de opslag van biometrische data niet aan voorwaarden voor het veilig verwerken van gegevens en vereisten voor databescherming by design en default. Dat laat de EDPB in een opinie weten (pdf).
"Meer luchthavens en luchtvaartmaatschappijen experimenteren met gezichtsherkenningssystemen om passagiers sneller door de controles te laten gaan. Het is belangrijk om te beseffen dat biometrische gegevens met name gevoelig zijn en dat het verwerken ervan grote risico's voor personen met zich kan meebrengen", aldus EDPB-voorzitter Anu Talus.
Talus merkt op dat gezichtsherkenningstechnologie kan leiden tot valse negatieven, bevooroordeeldheid en discriminatie. "Misbruik van biometrische data kan ook ernstige gevolgen hebben, zoals identiteitsfraude of imitatie. Daarom verzoeken we luchthavens en luchtvaartmaatschappijen om waar mogelijk voor een minder indringende manier te kiezen om passagiersstromen te stroomlijnen. Personen moeten maximale controle over hun eigen biometrische data hebben", stelt de EDPB-voorzitter verder.
Een ander punt dat Talus noemt is dat de EU geen uniforme juridische verplichting voor luchthavens en luchtvaartmaatschappijen kent om te verifiëren dat de naam op een boardingpass overeenkomt met de naam op het identiteitsdocument en dit aan nationale wetgeving is. Waar geen verificatie van de identiteit van passagiers met een officieel identiteitsdocument is vereist, zou er geen biometrische verificatie moeten plaatsvinden. "Dit zou zorgen voor een excessieve verwerking van gegevens", legt de EDPB-voorzitter uit.
Opslag biometrische data
Wat betreft de opslag van biometrische data voldoet dit alleen aan de principes van integriteit en vertrouwelijkheid, databescherming by design en default en veilige gegevensverwerking wanneer de biometrische data wordt opgeslagen bij het individu of in een centrale database, waarbij de encryptiesleutels in handen van het individu zijn. Daarnaast moet bij een dergelijke opslagoplossing ook een lijst van waarborgen worden toegepast.Wanneer de opslag van biometrische data plaatsvindt in een centrale database van de luchthaven of in de cloud, waarbij de encryptiesleutels niet in handen van het individu zijn, voldoet dit niet aan de eerder gestelde voorwaarden. Ook moet de dataverwerker beschikken over voldoende rechtvaardiging voor de beoogde opslagperiode en dit beperken tot wat noodzakelijk is voor het beoogde doel.
Wat betreft de opslag van biometrische data voldoet dit alleen aan de principes van integriteit en vertrouwelijkheid, databescherming by design en default en veilige gegevensverwerking wanneer de biometrische data wordt opgeslagen bij het individu of in een centrale database, waarbij de encryptiesleutels in handen van het individu zijn. Daarnaast moet bij een dergelijke opslagoplossing ook een lijst van waarborgen worden toegepast.
Wanneer de opslag van biometrische data plaatsvindt in een centrale database van de luchthaven of in de cloud, waarbij de encryptiesleutels niet in handen van het individu zijn, voldoet dit niet aan de eerder gestelde voorwaarden. Ook moet de dataverwerker beschikken over voldoende rechtvaardiging voor de beoogde opslagperiode en dit beperken tot wat noodzakelijk is voor het beoogde doel.
Moet dit niet gewoon voor alle tot een persoon behorende data gelden?
Denk aan medische data, denk aan de persoonsgegevens die je werkgever of gemeente opslaat. Nu staat het vaak in de cloud en... oh wacht, ik woon in Eindhoven... mijn BSN staat misschien ook al ergens op het darkweb.
Wat betreft de opslag van biometrische data voldoet dit alleen aan de principes van integriteit en vertrouwelijkheid, databescherming by design en default en veilige gegevensverwerking wanneer de biometrische data wordt opgeslagen bij het individu of in een centrale database, waarbij de encryptiesleutels in handen van het individu zijn. Daarnaast moet bij een dergelijke opslagoplossing ook een lijst van waarborgen worden toegepast.
Wanneer de opslag van biometrische data plaatsvindt in een centrale database van de luchthaven of in de cloud, waarbij de encryptiesleutels niet in handen van het individu zijn, voldoet dit niet aan de eerder gestelde voorwaarden. Ook moet de dataverwerker beschikken over voldoende rechtvaardiging voor de beoogde opslagperiode en dit beperken tot wat noodzakelijk is voor het beoogde doel.
Moet dit niet gewoon voor alle tot een persoon behorende data gelden?
Denk aan medische data, denk aan de persoonsgegevens die je werkgever of gemeente opslaat. Nu staat het vaak in de cloud en... oh wacht, ik woon in Eindhoven... mijn BSN staat misschien ook al ergens op het darkweb.
Dat haalt de angel uit het verlies van een BSN....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!