Een bedrijf dat voor allerlei partijen online leeftijdsverificatie regelt heeft wegens het overtreden van de AVG een boete van bijna één miljoen euro gekregen. Yoti biedt verschillende manieren waarop klanten van het bedrijf de leeftijd van hun gebruikers kunnen controleren. De Spaanse privacytoezichthouder AEPD besloot op eigen initiatief een onderzoek naar de digitale identiteits-app van Yoti uit te voeren (pdf).

Om de app te kunnen gebruiken moeten gebruikers een kopie van hun identiteitsbewijs en een selfie uploaden. Vervolgens kan de app aan een bedrijf laten weten of een gebruiker ouder of jonger dan een bepaalde leeftijd is, zonder de volledige datum of een kopie van het identiteitsbewijs te delen. Deze attributen werden door Yoti in een Brits datacentrum opgeslagen en na de verificatie verwijderd.

Andere verificatiemethodes die het bedrijf ondersteund zijn het uploaden van een identiteitsbewijs voor een automatische of optionele handmatige controle, het laten uitvoeren van een gezichtsscan, creditcardverificatie en databasecontroles. Bij deze methodes wordt allerlei persoonlijke data verwerkt, waaronder afbeeldingen van documenten, selfies, gezichtsdata, telefoonnummers, creditcardgegevens en adresgegevens.

Bij de handmatige controle kon het Indiase personeel van Yoti op afstand toegang krijgen tot de Britse servers. Afbeeldingen konden tot 28 dagen worden bewaard. Yoti verzamelde ook technische informatie van gebruikers, waaronder op IP-gebaseerde locatiegegevens, verificatielogs en timestamps. Volgens de AEPD heeft Yoti meerdere bepalingen van de AVG overtreden. Zo verwerkte het bedrijf biometrische data gebruikt voor gezichtsherkenning, zonder dat het voor alle verwerkingsdoelen geldige toestemming van de betreffende gebruikers had ontvangen.

De AEPD stelt dat Yoti verschillende verwerkingsdoelen in één toestemmingsverzoek verwerkte. Gebruikers die van de dienst gebruik wilden maken moesten er ook mee akkoord gaan dat hun biometrische gegevens kon worden gebruikt voor onderzoek- en ontwikkelingsactiviteiten. Doordat gebruikers het gebruik van hun data voor deze activiteiten niet konden weigeren, zonder toegang tot de dienst te verliezen, was hun toestemming niet vrijelijk gegeven, aldus de AEPD.

Een ander kritiekpunt van de toezichthouder betrof de toestemming voor het verwerken van gevoelige biometrische data. De gebruikte methode was niet gedetailleerd genoeg, waardoor er geen sprake was een geldige grondslag. Als laatste oordeelt de AEPD dat Yoti biometrische data en gerelateerde persoonlijke gegevens te lang bewaarde. Ook kon het bedrijf niet aantonen dat het systematisch persoonlijke data van gebruikers verwijderde nadat de verificatie had plaatsgevonden.

Voor het onrechtmatig verwerken van bijzondere persoonlijke gegevens kreeg Yoti een boete van 500.000 euro opgelegd. Het te lang bewaren van gegevens werd bestraft met een boete van 250.000 euro en voor de overtredingen met betrekking tot het krijgen van geldige toestemming legde de AEPD een boete van 200.000 euro op. Yoti laat in een reactie weten dat het tegen de boete in beroep gaat.