Een bedrijf dat voor allerlei partijen online leeftijdsverificatie regelt heeft wegens het overtreden van de AVG een boete van bijna één miljoen euro gekregen. Yoti biedt verschillende manieren waarop klanten van het bedrijf de leeftijd van hun gebruikers kunnen controleren. De Spaanse privacytoezichthouder AEPD besloot op eigen initiatief een onderzoek naar de digitale identiteits-app van Yoti uit te voeren (pdf).
Om de app te kunnen gebruiken moeten gebruikers een kopie van hun identiteitsbewijs en een selfie uploaden. Vervolgens kan de app aan een bedrijf laten weten of een gebruiker ouder of jonger dan een bepaalde leeftijd is, zonder de volledige datum of een kopie van het identiteitsbewijs te delen. Deze attributen werden door Yoti in een Brits datacentrum opgeslagen en na de verificatie verwijderd.
Andere verificatiemethodes die het bedrijf ondersteunt zijn het uploaden van een identiteitsbewijs voor een automatische of optionele handmatige controle, het laten uitvoeren van een gezichtsscan, creditcardverificatie en databasecontroles. Bij deze methodes wordt allerlei persoonlijke data verwerkt, waaronder afbeeldingen van documenten, selfies, gezichtsdata, telefoonnummers, creditcardgegevens en adresgegevens.
Bij de handmatige controle kon het Indiase personeel van Yoti op afstand toegang krijgen tot de Britse servers. Afbeeldingen konden tot 28 dagen worden bewaard. Yoti verzamelde ook technische informatie van gebruikers, waaronder op IP-gebaseerde locatiegegevens, verificatielogs en timestamps. Volgens de AEPD heeft Yoti meerdere bepalingen van de AVG overtreden. Zo verwerkte het bedrijf biometrische data gebruikt voor gezichtsherkenning, zonder dat het voor alle verwerkingsdoelen geldige toestemming van de betreffende gebruikers had ontvangen.
De AEPD stelt dat Yoti verschillende verwerkingsdoelen in één toestemmingsverzoek verwerkte. Gebruikers die van de dienst gebruik wilden maken moesten er ook mee akkoord gaan dat hun biometrische gegevens kon worden gebruikt voor onderzoek- en ontwikkelingsactiviteiten. Doordat gebruikers het gebruik van hun data voor deze activiteiten niet konden weigeren, zonder toegang tot de dienst te verliezen, was hun toestemming niet vrijelijk gegeven, aldus de AEPD.
Een ander kritiekpunt van de toezichthouder betrof de toestemming voor het verwerken van gevoelige biometrische data. De gebruikte methode was niet gedetailleerd genoeg, waardoor er geen sprake was een geldige grondslag. Als laatste oordeelt de AEPD dat Yoti biometrische data en gerelateerde persoonlijke gegevens te lang bewaarde. Ook kon het bedrijf niet aantonen dat het systematisch persoonlijke data van gebruikers verwijderde nadat de verificatie had plaatsgevonden.
Voor het onrechtmatig verwerken van bijzondere persoonlijke gegevens kreeg Yoti een boete van 500.000 euro opgelegd. Het te lang bewaren van gegevens werd bestraft met een boete van 250.000 euro en voor de overtredingen met betrekking tot het krijgen van geldige toestemming legde de AEPD een boete van 200.000 euro op. Yoti laat in een reactie weten dat het tegen de boete in beroep gaat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
