Spaans bedrijf krijgt 365.000 euro boete voor inlogsysteem met vingerafdruk
Een Spaans outsourcingsbedrijf heeft wegens meerdere AVG-overtredingen bij het gebruik van een inlogsysteem met vingerafdruk een boete van 365.000 euro gekregen (pdf). Het bedrijf liet medewerkers twee jaar lang inloggen via hun vingerafdruk. De Spaanse privacytoezichthouder AEPD ontving een klacht over het systeem en besloot onderzoek te doen.
Het bedrijf liet weten dat de vingerafdrukscanner geen identificatiesysteem was, maar een authenticatiesysteem. Er werden dan ook geen vingerafdrukken opgeslagen, maar hashes van vingerafdrukken. De vingerafdruk zou na de scan meteen verwijderd worden. Tevens stelde het bedrijf dat medewerkers via een werknemersportaal over de gegevensverwerking werden ingelicht.
Volgens de Spaanse privacytoezichthouder was de informatievoorziening over de gegevensverwerking onjuist, te algemeen en onvoldoende informatief. Er werd alleen gemeld dat er een vingerafdruk-inlogsysteem werd gebruikt. Informatie over het verzamelen, verwerken en opslaan van vingerafdrukgegevens werd niet gegeven. Medewerkers werden ook niet ingelicht dat ze over het systeem een klacht bij de AEPD konden indienen.
Verder stelde de toezichthouder vast dat er onvoldoende beveiligingsmaatregelen waren genomen om de vingerafdrukgegevens te beschermen. Zo had het bedrijf niet aangetoond hoe de vingerafdrukgegevens na elke scan werden gewist en liet het geen enkele technische maatregel zien om de verwerkte persoonsgegevens te beschermen. De hash van de vingerafdruk en identifier van de medewerker werden wel in aparte tabellen opgeslagen, maar het bedrijf toonde niet aan dat de opslaglocaties voldoende gescheiden waren.
De derde AVG-overtreding die de toezichthouder vaststelde betrof het niet uitvoeren van een data protection impact assessment (DPIA) voor het verwerken van de vingerafdrukgegevens. Het gaat hier om bijzondere persoonsgegevens. In het geval van biometrische gegevens heeft de AEPD het uitvoeren van een DPIA verplicht. Vanwege de duur van de overtredingen en gevoeligheid van biometrische data besloot de toezichthouder een boete van 365.000 euro op te leggen.