Britse school berispt om gebruik gezichtsherkenning voor kantinebetalingen
De Engelse privacy toezichthouder (ICO) heeft een berisping gegeven aan een school die de wet overtrad toen het gezichtsherkenningstechnologie introduceerde.
Chelmer Valley High School, in Chelmsford, Essex, begon de gezichtsherkenningstechnologie voor het eerst te gebruiken in maart 2023 om contante kantinebetalingen van studenten aan te nemen.
De gezichtsherkenningstechnologie verwerkt biometrische gegevens om mensen op unieke wijze te identificeren en leidt waarschijnlijk tot hoge risico's voor gegevensbescherming. Om het legaal en verantwoord te gebruiken, moeten organisaties een gegevensbeschermingseffectbeoordeling (DPIA) hebben uitgevoerd. Dit is om de hoge risico's die kunnen voortvloeien uit de verwerking van gevoelige gegevens te identificeren en te beheersen.
Chelmer Valley High School, die ongeveer 1.200 leerlingen van 11-18 jaar heeft, slaagde er niet in een DPIA uit te voeren voordat ze de technologie gingen gebruiken. Dit betekent dat er vooraf geen inschatting is gemaakt van de risico's voor het gebruik van de gegevens van de kinderen. De school had niet op de juiste manier duidelijke toestemming gekregen om de biometrische gegevens van de leerlingen te verwerken en de leerlingen kregen niet de mogelijkheid om te beslissen of ze wel of niet wilden dat deze op deze manier werden gebruikt.
Lynne Currie, ICO Head of Privacy Innovation, zei:
"Het correct omgaan met de informatie van mensen in een schoolkantine-omgeving is net zo belangrijk als de omgang met het voedsel zelf. We verwachten van alle organisaties dat ze de nodige beoordelingen uitvoeren bij de implementatie van een nieuwe technologie om eventuele risico's op het gebied van gegevensbescherming te beperken en ervoor te zorgen dat ze voldoen aan de wetgeving inzake gegevensbescherming.
"We hebben actie ondernomen tegen deze school om te laten zien dat het invoeren van maatregelen zoals gezichtsherkenningstechnologie niet lichtvaardig moet worden genomen, vooral als het om kinderen gaat.
"We willen niet dat dit andere scholen ervan weerhoudt om nieuwe technologieën te omarmen. Maar dit moet correct gebeuren met gegevensbescherming op de voorgrond, het verdedigen van vertrouwen, het beschermen van de privacy van kinderen en het waarborgen van hun rechten."
Chelmer Valley High School heeft ook nagelaten om advies te vragen aan haar functionaris voor gegevensbescherming of om ouders en studenten te raadplegen voordat de technologie werd geïmplementeerd.
In maart 2023 werd een brief naar de ouders gestuurd met een briefje dat ze moesten terugsturen als ze niet wilden dat hun kind deelnam aan de gezichtsherkenningstechnologie. Er werd op dit moment geen bevestigende 'opt-in'-toestemming gevraagd, wat betekent dat de school tot november 2023 ten onrechte vertrouwde op veronderstelde toestemming. De wet beschouwt 'opt-out' niet als een geldige vorm van toestemming en vereist expliciete toestemming. Ook werd opgemerkt dat de meeste studenten oud genoeg waren om hun eigen toestemming te geven. Daarom beroofde de opt-out van de ouders studenten de mogelijkheid om hun rechten en vrijheden uit te oefenen.
Mevrouw Currie voegde eraan toe:
"Een DPIA is wettelijk verplicht – het is geen afvinkoefening. Het is een essentieel instrument dat de rechten van gebruikers beschermt, verantwoording aflegt en organisaties aanmoedigt om aan het begin van een project na te denken over gegevensbescherming."
Bron: School in Essex berispt na gebruik van gezichtsherkenningstechnologie voor kantinebetalingen | ICO