GDPR: Ting at tage hensyn til ved bearbejdning af biometriske data

Biometriske data kan bruges til alle mulige formal: scans af fingeraftryk for at åbne en iPhone, ansigtsgenkendelsessoftware for at forbedre sikkerhedssystemer og endda øregangsautentificering til hovedtelefonssikkerhed.

Ligesom enhver form for data er biometri potentielt tilgængelig for ondsindede aktører og indsatsen ved potentielle brud på sikkerheden for biometriske data er meget højere end ved andre brud. Du kan altid udskifte dit betalingskort, hvis dine finansielle informationer er kompromitterede, men hvis hackere bryder ind i MasterCards “selfie pay” teknologi, ville du nok ikke ønske at udskifte dit ansigt.

Ingen p.t. gyldige databeskyttelseslove behandler biometriske data, men EU databeskyttelsesforordningen (GDPR) behandler temaet i detaljer. Når GDPR træder i kraft den 25. maj 2018, forsøger den at balancere imellem de innovative muligheder, som biometri giver, og organisationers pligt til at indhente de informationer på en forsvarlig måde og sikre dem.

Hvad er biometriske data?

GDPR definerer biometrisk data som “personlig data som resulterer af specifikke tekniske bearbejdningsprocesser relaterende til de fysiske, fysiologiske eller adfærdsmæssige karakteristika af en fysisk person, som tillader eller bekræfter den unikke identification af denne fysiske person”.

Det er en af de “særlige kategorier af persondata”, som kun kan bearbejdes hvis:

  • Den berørte person eksplicit har givet sit samtykke;
  • Bearbejdning er nødvendig med det formal at udføre pligterne og udøve de specifikke rettigheder, som kontrolløren eller den berørte part har indenfor sit arbejdsområde og socialsikring og social beskyttelseslovgivning;
  • Bearbejdning er nødvendig for at beskytte den berørte parts vitale interesser;
  • Bearbejdning er nødvendig for etableringen og udøvelsen af forsvar af retskrav; eller
  • Bearbejdning er nødvendig på grund af hensynet til den offentlige interesse.

Bearbejdning af biometriske data

Der er mange fordele ved at bruge biometri. Følsomheden af informationen gør det en meget mere sikker måde at autentificere nogen identitet – der findes ikke svage fingeraftryk eller angreb anvendende ansigtsgenkendelse med rå vold. Som en del af en multifaktor autentificeringssystem kan biometri drastisk reducere risikoen for, at hackere bryder ind i brugeres konti.

Organisationer kan også bruge biometri til i stigende omfang kreativ forsknings- og dataanalytiske formal. For eksempel påstår Biometric Advertising, at de kan “indfange consumenters adfærd og øjeblikkeligt fortolke deres reaktioner til dit specifikke budskab, fremvisning eller mærkes identitet”. Herta Security bruger ansigtsgenkendelsessoftware i kasinoer og luksus detailhandlere til at advare ansatte, når et medlem af et VIP loyalitetsprogram kommer ind i butikken.

GDPR vil helt sikkert ikke undertykke den slags brug af biometriske data, men det fremhæver dog nødvendigheden af at være forsigtig. Før de bearbejder biometriske data skal organisationer:

  • Have en retsgyldig grund til at bearbejde biometriske data

Du har brug for en retsgyldig grund, når du bearbejder persondata. Samtykke er altid den mindst foretrukne option, så du bør efterstræbe en af de fem andre retsgyldige grunde først.

  • Overvej, om de virkelig har brug for biometriske data

Organisationer kan skabe en masse sjove og nye teknologier takket være biometriske data, men hvis de oplysninger, der er nødvendige for at verificere din identitet, er signifikant mere følsomme end den information, som de giver brugere adgang til, så er du måske bedre tjent med a bruge en mindre striks autentificeringsproces. Sikkerhed bør altid have topprioritet, men at opbevare meget følsomme oplysninger tilføjer yderligere pligter, som din organisation skal vedligeholde. Måske finder du ud af, at du kan opnå et lignende niveau af sikkerhed med en anden form for verificering.

På lignende vis kan mange organisationer være fristet til at bruge biometri, bare fordi teknologien findes. I det tilfælde afslører bearbejdningen af de biometriske data nok mere om datakontrollørens vaner end den berørte parts.

  • Se de muligheder, som privatssfære og sikkerhed udgør

GDPR udmelder, at bearbejdere af data skal implementere passende “tekniske og organisatoriske tiltag” for at sikre data. Det kan være vanskeligt, men som Information Age skriver, så “er prisen, at etik og autenticitet, sammen med kreativitet, opbygger omdømme hos potentielle kunder, der er svære at nå ud til, og eksisterende kunder”.

Ved at være klar i mælet overfor berørte parter om, hvordan du vil bruge deres data kan du forbedre kunders tillid til din organisation, hjælpe dem med at forstå, hvorfor det er nødvendigt at dele denne information og dermed opmuntre dem til at give deres data.

Forbered dig på GDPR

Hvis du vil vide mere om biometri og GDPR, bør du indskrive dig på et af vores GDPR kurser. Afhængigt af dit faglige niveau kan du være interesseret i ét af disse to:

Certificeret EU databeskyttelsesforordning grundlag (GDPR) kursus

Certificeret EU databeskyttelsesforordning udøver (GDPR) kursus

Disse kurser kan fåes både i klasselokale- og fjernundervisningsformat.

Book disse kurser sammen i vores kombinationskursus og spar 15%.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.