De Autoriteit Persoonsgegevens heeft een boete van 725.000 opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde. Het niet genoemde bedrijf deed dat om werktijden te registreren, maar dat was in strijd met de privacywetgeving.
De AP gaf de boete aan een bedrijf dat werknemers verplichtte om hun vingerafdruk te laten scannen bij in het in- en uitklokken. De AP ging na een tip langs bij het bedrijf en bevestigde dat daar meerdere 'scanstations' stonden waarop medewerkers hun tijdregistratie moesten doorgeven. Nieuwe werknemers moesten hun vingerafdruk bij aanvang van hun dienstverband afstaan, maar bestaande werknemers moesten die ook later nog registreren. De scans werden bij het bedrijf zelf opgeslagen. Van werknemers die uit dienst gingen, werden de gegevens niet verwijderd, maar wel geblokkeerd in het bijbehorende softwareprogramma...
...Volgens het bedrijf hadden werknemers bovendien de keus hun vingerafdruk wel of niet af te staan. Daarvoor moesten ze echter in gesprek met de directeur van het bedrijf, wat in de praktijk amper voorkwam. "In de paar gevallen waarin dit voorgevallen is, heeft de werknemer na het gesprek met de directeur alsnog zijn of haar vingerafdruk afgegeven", schrijft de AP.
Werknemers zeiden ook verrast te zijn over het feit dat zij plotseling hun vingerafdruk moesten afstaan. Er waren geen goede documentaties of procedures over wat er gebeurde bij weigering. Werknemers konden daardoor geen uitdrukkelijke toestemming geven voor de opslag van hun vingerafdrukken. Sommigen van hen verklaren tegen de AP dat het gebruik verplicht was.
Alles bij de bron; Tweakers
Wanneer burgers onderling gezichtsherkenning gaan inzetten kan dit het einde van anonimiteit betekenen, zo waarschuwen onderzoekers van het Tilburg Institute for Law, Technology and Society (TILT) in een onderzoek naar de privacyrisico's van gezichtsherkenning in horizontale relaties. Het onderzoek werd in opdracht van het ministerie van Justitie en Veiligheid uitgevoerd (pdf)...
..."In Nederland heeft naar schatting 92 procent van de bevolking van 12 jaar en ouder een mobiele telefoon of smartphone. Het feit dat de gezichtsherkenningstechnologie op smartphones kan draaien en via cloud services te verkrijgen is, maakt het bovendien moeilijk om eventuele verboden te handhaven. De mogelijkheid dat burgers zelf aan de slag gaan met gezichtsherkenning en de privacy-implicaties die dat met zich meebrengt, is op dit ogenblik onderbelicht", aldus de onderzoekers.
Ook zal gezichtsherkenning de autonomie van gebruikers onder druk zetten doordat de technologie zonder extra handelingen werkt. Daarnaast zijn er vragen over de betrouwbaarheid van gezichtsherkenning.
De onderzoekers zien ook verschillende privacyrisico's voor de relatie tussen burgers onderling. Wanneer gezichtsherkenning via bijvoorbeeld apps wordt gebruikt door burgers in het sociale verkeer, dan is men straks grotendeels afhankelijk van het oordeel en de discretie van deze app-gebruikers om geen inbreuk te plegen op de privacy van anderen. Verder liggen machtsongelijkheid en het aanpassen van het eigen gedrag op de loer.
Ook waarschuwen de onderzoekers voor het einde van anonimiteit. Wanneer straks iedereen bijvoorbeeld via zijn smartphone gezichtsherkenning kan toepassen, zal het de facto niet langer mogelijk zijn voor mensen om zich anoniem in de publieke en semi-publieke ruimte te begeven. "Gedragsmatige privacy en de informationele component van ruimtelijke privacy komen hiermee onder druk te staan", zo laat het onderzoek weten.
Alles bij de bron; Security
Ook Turkse vreemdelingen zijn verplicht een foto van het gezicht en tien vingerafdrukken te leveren bij hun aanvraag om een voorlopige verblijfsvergunning. Dat heeft de Raad van State bepaald in een uitspraak in een langlopende procedure van twee Turken die bezwaar hebben gemaakt tegen de verplichting zogeheten biometrische gegevens te verstrekken.
Volgens de raad gaat het verwerken, opslaan en de bewaartermijn van vijf jaar van deze gegevens niet verder dan nodig is voor de bestrijding van identiteits- en documentfraude.
In de loop van de procedure heeft de Raad van State het Europese Hof van Justitie vragen over deze zaak voorgelegd. Volgens het hof is het leveren van biometrische gegevens een nieuwe beperking, maar is het bestrijden van fraude daar een goede reden voor.
Alles bij de bron; DvhN
In Nederland wordt technologie van gezichtsherkenning nog niet zo vaak ingezet, maar de wetenschappers roepen wel al op tot heldere regelgeving. Er worden volgens hen wereldwijd veel toepassingen ontwikkeld en de privacyrisico’s daarbij zijn reëel en ingrijpend. Dat stellen rechtswetenschappers van Tilburg University in een onderzoeksrapport, opgesteld voor het ministerie van Justitie en Veiligheid (JenV).
De Tilburgse wetenschappers vragen zich af of de huidige wet- en regelgeving voldoende is om de privacy te beschermen en hoe inbreuken kunnen worden beperkt. Hun onderzoek toont bovendien aan dat Nederlandse bedrijven die met de technologie van start gaan, niet altijd helder hebben hoe ze de juridische vereisten moeten interpreteren.
De privacyrisico’s van gezichtsherkenningstechnologie zijn uiteenlopend, staat in het rapport. Zo is de informatieverzameling meestal ondoorzichtig, mist bij de technologie vaak de autonomie of keuzevrijheid bij de burger en kan het systeem kampen met vooringenomenheid (bias) en fouten. Een ander groot risico heeft betrekking op de onmogelijkheid om je anoniem in de (semi-)publieke ruimte te begeven.
Het zijn vooral overheden die gezichtsherkenningstechnologie nu al inzetten, maar er verschijnen ook commerciële toepassingen. Zo passen zoekmachines en sociale-mediaplatformen de technologie toe en zet de retailsector de technologie in voor het volgen van klanten.
De wetgever moet duidelijkheid verschaffen, vinden de onderzoekers. Sander Dekker, minister voor Rechtsbescherming, gaat naar aanleiding van het rapport in gesprek met belanghebbende organisaties. Dat zijn de producenten en gebruikers van gezichtsherkenningstechnologie en privacy-organisaties. Dekker verwacht in het najaar een beleidsreactie gereed te hebben.
Alles bij de bron; Computable
Werkgevers mogen niet zomaar de lichaamstemperatuur van werknemers of bezoekers opnemen, meldt de Autoriteit Persoonsgegevens (AP). Partijen die dat wel doen, riskeren een hoge boete.
"We horen dat allerlei organisaties verschillende middelen inzetten om mensen snel te kunnen controleren op koorts. Niet alleen met een thermometer, maar ook met thermische camera's." zegt AP-voorzitter Aleid Wolfsen. "Dat mag niet. Vanuit de privacywet, de Algemene verordening gegevensbescherming (AVG), is dit een ernstige overtreding. Als dit gebeurt, zullen we als AP handhavend optreden."
Ook als werknemers hier toestemming voor geeft, is dit volgens de AP niet toegestaan. In een arbeidsrelatie is namelijk geen sprake van gelijkwaardigheid. Volgens de AP kan een werknemer zich onder druk gezet voelen en om die reden toestemming geven.
Alles bij de bron; NU
Het is minister Grapperhaus van Justitie en Veiligheid 'op dit moment niet bekend' of er overheidsdiensten zijn die de gezichtsherkenningssoftware van Clearview gebruiken, schrijft hij in een brief aan de Tweede Kamer. In ieder geval maakt de politie daar geen gebruik van. De politie is 'niet centraal benaderd', en is volgens de minister niet op de hoogte van contacten bij het bedrijf. Verder verwijst hij naar minister Knops van Binnenlandse Zaken. Die 'beziet breder' bij de overheid of er gebruik wordt gemaakt van de software.
Grapperhaus reageert in zijn brief op Kamervragen van GroenLinks-Kamerlid Kathalijne Buitenweg. Zij stelde de vragen enkele weken geleden aan de minister. Dat deed ze naar aanleiding van een publicatie van onder andere Buzzfeed waaruit zou blijken dat Clearview AI klanten heeft in Nederland en België. De database van het bedrijf zou volgens een klantenlijst die Buzzfeed inzag, gebruikt zijn door Nederlandse en Belgische politiekorpsen of overheidsorganisaties.
Alles bij de bron; Tweakers
Gezichtsherkenning biedt tal van toepassingsmogelijkheden en wordt daarom op steeds meer manieren ingezet. De vraag is alleen in hoeverre deze legitiem en ethisch zijn...
...in een artikel van Peter-Paul Verbeek (hoogleraar techniekfilosofie Universiteit Twente) en Daniël Tijink (Platform voor de Informatiesamenleving) die pleiten voor ethische discussies, waarbij de techniek en samenleving niet tegenover elkaar, maar naast elkaar worden geplaatst. Beide zijn volgens de auteurs namelijk fundamenteel met elkaar verweven.
Gezichtsherkenning is al privacyvriendelijk te maken door alleen metadata op te slaan, waaruit het gezicht niet terug te herleiden is. De metadata is wel te gebruiken voor opsporing als er bij ongewenst gedrag metadata wordt gegenereerd, die matcht met een database. Tevens dienen gebruikers er goed bewust van gemaakt te worden wat wel en wat niet mag met de data.
‘We moeten absoluut duidelijke grenzen stellen om misbruik te voorkomen en privacy te bewaken. Maar daarnaast moeten we ook –met oog voor de kernwaarden van onze samenleving- voorwaarden creëren voor een nieuwe digitale wereld.’
Alles bij de bron; BeveilNieuws
Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.
Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn...
...De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.
De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.
"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers.
Alles bij de bron; Security
Commerciële DNA-tests beloven consumenten hulp bij hun gezondheid, maar maken dit niet waar. Bovendien gaan de aanbieders onzorgvuldig om met de privacy van hun klanten. Dat concludeert de Consumentenbond die 8 tests onderzocht....
...De onderzoekers onderwierpen de test ook aan de Privacymeter van de Consumentenbond. En ook op dat vlak bleek nogal wat mis. iGene zegt bijvoorbeeld DNA-profielen anoniem met derden te delen. Maar DNA is uniek en dus nooit anoniem. En FamilyTreeDNA deelt het DNA van klanten standaard met opsporingsinstanties. Ook plaatsten alle websites van de aanbieders advertentiecookies zonder hiervoor (duidelijke) toestemming te vragen aan de bezoeker.
Sandra Molenaar, directeur Consumentenbond, raadt consumenten aan om terughoudend te zijn met het gebruik van commerciële DNA-tests. ‘Het kan zinvol zijn als je zekerheid wilt over je verwantschap, maar realiseer je wel dat je DNA afstaat. Iets persoonlijkers is er niet. We vinden de handel in persoonsgegevens al te ver gaan, de handel in DNA is nóg een stap verder. En ook hier zien we dat bedrijven zich niet aan de privacyregels houden.’
De Consumentenbond heeft de uitkomsten van het onderzoek onder de aandacht gebracht bij de Autoriteit Persoonsgegevens en bij de verschillende aanbieders. iGene belooft voortaan vooraf toestemming te vragen voor het delen van DNA-profielen.
Alles bij de bron; Consumentenbond
Microsoft stopt met een verdere investering in de Israëlische startup AnyVision, een specialist in gezichtsherkenning. Het bedrijf heeft besloten om geen minderheidsbelangen te houden in bedrijven die gezichtsherkenningstechnologie verkopen.
Microsoft heeft in juni 2019 via zijn M12 fonds geïnvesteerd in AnyVision, dat onder andere door mensenrechtenorganisaties en in de media beschuldigd van het onderzoeken van Palestijnen op de Westelijke Jordaanoever. Microsoft huurde daarop Eric Holder in, een voormalig openbaar aanklager uit de VS, om te onderzoeken of het gebruik van gezichtsherkenningstechnologie ethisch verantwoord is.
Microsoft kondigde eerder ethische richtlijnen aan voor het gebruik van gezichtsherkenning. Het bedrijf wil zich hiermee inzetten voor het beschermen van de democratische vrijheden met betrekking tot surveillance. Microsoft gaf toen aan gezichtsherkenningstechnologie niet te zullen inzetten in scenario's waarin deze vrijheden worden aangetast.
Alles bij de bron; DutchIT-Channel