GDPR: Saker att tänka på vid behandling av biometriska data

Biometriska data kan användas av olika slag: fingeravtryck-skanning för att låsa upp iPhones, ansiktsigenkänningsprogramvara för att förbättra säkerhetssystemen, och till och med öronkanalens autentisering för hörlurssäkerhet.

Liksom någon form av data är biometri möjligen tillgängliga av skadliga källor, och insatserna för potentiella biometriska dataöverträdelser är mycket högre än andra överträdelser. Du kan alltid byta ut ditt betalkort om din ekonomiska information är äventyrad, men om hackare bryter sig i MasterCards ‘selfie pay’ teknik, skulle du förmodligen inte vilja byta ut ditt ansikte.

Inga gällande lagar om skydd av personuppgifter behandlar biometriska data, men he EU General Data Protection Regulation (GDPR)  täcker det i detalj.Med verkan den 25 maj 2018 försöker GDPR att balansera de innovativa möjligheterna som biometri tillhandahåller, och organisationernas skyldighet att samla in uppgifterna ansvarigt och förvara dem säkra.

Vad är biometrisk data?

GDPR definierar biometriska uppgifter som “personuppgifter som härrör från specifik teknisk bearbetning avseende fysiska, fysiologiska eller beteendemässiga egenskaper hos en fysisk person, som tillåter eller bekräftar den fysiska persons unika identitet”.

Det är en av de “speciella kategorierna av personuppgifter” som endast kan bearbetas om:

  • Den registrerade har gett uttryckligt samtycke;
  • Behandling är nödvändig för att fullgöra skyldigheterna och utöva specifika rättigheter för den registeransvarige eller den registrerade inom områdena för anställnings- och social trygghet, och socialt skyddslagstiftning;
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för dataföremålet;
  • Behandling är nödvändig för upprättande och utövande av försvar av rättsliga krav; eller
  • Behandling är nödvändig av hänsyn till allmänintresset.

Bearbetning av biometriska data

Det finns många fördelar med att använda biometri.Känsligheten hos informationen gör det till ett mycket säkrare sätt att verifiera någons identitet – det finns inget sådant som svaga fingeravtryck eller brutala kraftattacker av ansiktsigenkänning.Som en del av ett autentiseringssystem med flera faktorer kan biometri minska risken för att hackare bryter sig in i användarnas konton.

Organisationer använder även biometri för alltmer kreativ forsknings- och dataanalys. Till exempel, hävdar Biometric Advertising kan biometriska reklam-krav “fånga konsumentbeteende och omedelbart tolka dess reaktioner på ditt specifika meddelande, display eller varumärkesidentitet”. Herta Security använder ansiktsigenkänningsprogram i kasinon och high-end-återförsäljare för att varna anställda när en medlem av ett VIP-lojalitetsprogram går in i affären.

GDPR kommer säkerligen inte att undertrycka sådana användningsområden av biometriska data, men det betonar behovet av försiktighet.Innan biometrisk data behandlas måste organisationer:

  • Ha en laglig grund för att behandla biometriska data

Du behöver en laglig grund när du behandlar personuppgifter. Samtycke är alltid det minst föredragna alternativet, så du borde söka en av fem andra lagliga skäl först.

  • Överväg om de verkligen behöver biometriska data

Organisationer kan skapa en massa roliga och nya teknologier tack vare biometriska data, men om uppgifterna som behövs för att verifiera din identitet är betydligt mer känsliga än den information som det tillhandahåller användarna, kan du göra bättre i att använda en mindre noggrann autentiseringsprocess.Säkerhet bör alltid ha högsta prioritet, men lagring av mycket känslig information lägger till ytterligare skyldigheter för din organisation att följa.Det kan hända att du kan få liknande säkerhetsnivåer från en annan form av verifiering.

På samma sätt kan många organisationer frestas att använda biometri bara för att tekniken finns där.I så fall avslöjar behandlingen av biometriska data förmodligen mer om datasystemets vanor än de registrerade”.

Se de möjligheter som integritet och säkerhet presenterar

GDPR konstaterar att dataprocessorer måste genomföra lämpliga “tekniska och organisatoriska åtgärder” för att hålla data säkra. Detta kommer att bli knepigt, men som Information Age skriver, “priset är att etik och äkthet, tillsammans med kreativitet, bygger rykte med potential som är svår att nå och befintliga kunder”.

Genom att vara tydlig med registrerade om hur du ska använda dess uppgifter kan du förbättra kundernas förtroende för din organisation, hjälpa dem att förstå varför delning av denna information är nödvändig och på så vis uppmuntra dem att lämna sina uppgifter.

 

Förberedelser för GDPR

Om du vill veta mer om biometri och GDPR ska du registrera dig till en av våra kurser.Beroende på din kompetensnivå kan du vara intresserad av antingen:

Certified EU General Data Protection Regulation Foundation (GDPR) Training Course

Certified EU General Data Protection Regulation Practitioner (GDPR) Training Course

Kurserna finns i klassrummet, distansundervisning och Live Online-format.

Boka dessa kurser tillsammans i vår kombinationskurs och spara 15 %.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.