Hoe om aan biometriese dataregulasies te voldoen
INHOUDSOPGAWE:
KI-aangedrewe gesigsherkenningstegnologie is 'n toenemend gewilde hulpmiddel vir organisasies wat toegangskontroles wil stroomlyn en sekuriteit verbeter. Maar soos Serco Leisure onlangs uitgevind het, is databeskermingsreguleerders besig om sulke ontplooiings uit te sonder vir groter ondersoek. Privaatheidsrisikobeoordelings en ander beste praktyke word vinnig onontbeerlik om te verseker dat ontplooiings aan die regte kant van die wet bly.
Face / Off
Reguleerders by die Inligtingskommissaris se kantoor (ICO) het Serco Leisure gepenaliseer omdat hy nie 'n alternatief bied om werknemers se gesigte en vingerafdrukke te laat skandeer om in en uit die werk te klok nie. Minder indringende middele soos ID-kaarte of fobs kon net maklik eerder gebruik word, het die ICO beslis.
Meer as 2,000 38 werknemers by XNUMX ontspanningsfasiliteite was verplig om biometriese data in te dien vir bywoningskontroles. Serco Leisure het nie daarin geslaag om te demonstreer dat sy gebruik van biometriese tegnologieë “nodig en proporsioneel” was om werkers se bywoning aan te teken nie.
"Biometriese data is heeltemal uniek aan 'n persoon, so die risiko's van skade in die geval van onakkuraathede of 'n sekuriteitsbreuk is baie groter - jy kan nie iemand se gesig of vingerafdruk terugstel soos jy 'n wagwoord kan terugstel nie," John Edwards, Britse inligtingskommissaris , gesê in 'n stelling. "Serco Leisure het nie die risiko's ten volle in ag geneem voordat hulle biometriese tegnologie ingestel het om personeelbywoning te monitor en sakebelange bo sy werknemers se privaatheid te prioritiseer nie."
Die ICO het Serco verder verwyt omdat hy versuim het om werkers wat ongemaklik is met biometriese tjeks te voorsien van enige meganisme om uit die stelsel te onttrek. Serco Leisure, Serco Jersey en sewe geassosieerde gemeenskapstrusts is beveel om die verwerking van biometriese data te staak om werknemers se bywoning by die werk te monitor. Die besighede is verder beveel om alle biometriese data te vernietig wat hulle nie wetlik verplig is om te behou nie.
Die sanksies het saamgeval met die publikasie deur die ICO van nuwe leiding oor hoe organisasies biometriese data wettig kan verwerk.
Toegangsbeheer
Gesigsherkenningstegnologie is besig om vastrapplek in die onderneming te kry om toegang tot veilige liggings te beheer en gebruikers te verifieer deur ID-verifikasiedienste, onder andere. Maar biometriese data, anders as wagwoorde, is intrinsiek gekoppel aan 'n individu, so die impak van die blootstelling daarvan in die geval van 'n data-oortreding kan ernstiger en langduriger wees.
Erkenning van die verhoogde privaatheidsbeskerming wat dit verdien, die EU s'n Regulasie Algemene Data Protection (GDPR) stel strenger reëls uiteen wat die verwerking van biometriese data reguleer, insluitend doelbeperking as 'n beskerming teen missiekruip, deursigtigheid en toestemmingsvereistes.
Ontplooiingshindernisse
Die uitrol van biometriese tegnologieë in die werkplek kan versoenbaar wees met regulatoriese vereistes, maar slegs mits dit ingestel word na 'n omvattende databeskermingsimpakbeoordeling (DPIA), volgens kenners.
Jon Bartley, vennoot en hoof van die Data Advisory Group by die internasionale regsfirma, RPC, sê aan ISMS.online dat dit "kritiek is om 'n duidelike proses te hê vir aanboordtegnologie" wat die gebruik van biometriese data, soos vingerafdruk- of irisskanderings, behels.
"Vanuit die perspektief van databeskermingswetgewing, moet maatskappye bewus wees van die struikelblokke vir ontplooiing," verduidelik hy. "Byvoorbeeld, afhangende van die gebruiksgeval vir die tegnologie, kan dit moeilik wees om 'n wettige basis vir die verwerking van die biometriese data te vestig, tensy geaffekteerde individue 'n werklike keuse gegee word om die tegnologie te aanvaar of 'n alternatief te kies."
Aangesien dit gebruik kan word om individue uniek te identifiseer, val biometriese data in 'n spesiale kategorie, en is dus onderhewig aan strenger dataverwerkingsreëls.
"Hierdie data is 'n hoër risiko en 'n verdere voorwaarde moet nagekom word om die verwerking te legitimeer, wat moeilik kan wees as gevolg van die beperkte aantal en omvang van sulke toestande," sê Bartley.
KI verhoog risiko
Sarah Pearce, vennoot by prokureurs Hunton Andrews Kurth en 'n kenner in dataprivaatheid, beweer die ICO se Serco Leisure-beslissing wys waarom ondernemings regspersoneel moet raadpleeg oor regulatoriese nakoming. Afgesien van databeskermingswetgewing, veroorsaak gesigsherkenning wat deur KI-tegnologie ondersteun word, vereistes om te voldoen aan 'n groeiende hoeveelheid wetgewing wat hierdie opkomende tegnologieruimte beheer, sê sy aan ISMS.online.
Die onlangs bekragtig EU KI-wet daarstel 'n risiko-gebaseerde wetlike raamwerk vir KI-bestuur wat die gebruik van KI in samewerking met gesigsherkenningstegnologieë as "hoë risiko" kenmerk.
Dit sou beteken dat, om ten volle aan daardie wet te voldoen, besighede "menslike toesig oor die KI-stelsel moet toewys, 'n fundamentele regte-impakbeoordeling moet doen (nie anders as 'n DPIA kragtens die GDPR nie), en die werknemers moet inlig en ondernemingsraad waar toepaslik,” verduidelik sy.
Die hoërisiko-benaming is van toepassing op beide klantgerigte en werknemergefokusde ontplooiings van biometriese tegnologieë in samewerking met KI.
RPC se Bartley voeg by: "Die gebruik van gesigsherkenningstegnologie om werknemers op te spoor, kan geklassifiseer word as 'n hoërisiko-gebruik van KI onder die KI-wet, wat verskeie verpligtinge veroorsaak soos menslike toesig, monitering, rekordhouding en werknemerkonsultasie."
Bedryfsvoordele
Ashley Avery, vennoot by die Britse regsfirma Foot Anstey, vertel aan ISMS.online dat sy 'n "aansienlike toename" aangeteken het in die volume navrae van kliënte wat biometriese tegnologie wil gebruik. Hierdie organisasies sien die besigheidsvoordele daarvan vir sekuriteitsdoeleindes, of as deel van 'n kliënteaanbieding, maar is "bedagsaam" vir die data-privaatheidsrisiko's, verduidelik Avery.
"Die leiding wat deur die ICO uitgereik is, is nuttig aangesien dit die punte bevat wat oorweeg moet word voordat sulke tegnologie aangeneem word en hoe besighede voldoening aan dataprivaatheidswetgewing kan demonstreer," voeg sy by.
Raamwerke en standaarde – soos ISO 27001 – kan besighede help om hulself te posisioneer om voldoening te bereik wanneer gesigsherkenningtegnologieë uitgerol word. ISO 27001 bied 'n sistematiese benadering tot die bestuur en beskerming van sensitiewe inligting, insluitend data wat deur gesigsherkenningstegnologieë hanteer word.
Die ICO se leiding plaas 'n sterk fokus op die vereiste om DPIA's uit te voer.
"In ons ervaring is DPIA's 'n waardevolle hulpmiddel om privaatheidverwante risiko's te identifiseer, wat beteken dat besighede maatreëls kan instel om sulke risiko's van die begin af te verminder - dit is van kardinale belang wanneer sulke sensitiewe data verwerk word," sluit Avery af.
Ondernemings wat biometriese tegnologieë wil gebruik, moet die volgende oorweeg:
⦁ Oorweeg minder indringende verifikasie- of toegangsbeheeropsies
⦁ Volg die ICO se nuwe biometriese leiding
⦁ Voer 'n streng DPIA uit
⦁ Raadpleeg belanghebbendes (kliënte, vennote en werknemers) voor ontplooiing
⦁ Verskaf duidelike en deursigtige inligting oor hoe biometriese data gebruik sal word
⦁ Implementeer toepaslike tegniese en organisatoriese maatreëls om die sekuriteit en integriteit van die biometriese data te verseker – deur gebruik te maak van standaarde soos ISO 27001 waar van toepassing
