De Zweedse gegevensbeschermingsautoriteit heeft een boete uitgeschreven van bijna 19.000 euro voor het gebruiken van gezichtsherkenning in een school. Het gaat om de eerste boete die de autoriteit uitschrijft sinds de invoering van de Europese GDPR privacyregulering.

De middelbare school in Skellefteå, een gemeente in het noorden van Zweden, testte de voorbije herfst een pilootprogramma uit waarbij ze de aanwezigheid van leerlingen gedurende twee weken monitorde door gebruik te maken van gezichtsherkenningstechnologie. Dit als alternatief voor de klassieke aanwezigheidslijsten. Dat schrijft Computer Sweden.

De gegevensbeschermingsautoriteit startte vorig jaar een onderzoek, nadat verschillende media over het project berichtten. Volgens de autoriteit overtreedt het programma verschillende regels die in de GDPR privacyregulering staan en had de school de autoriteit moeten consulteren voordat ze het project startte. Biometrische gegevens, waaronder gezichten, worden als bijzonder gevoelige informatie beschouwd onder de GDPR, en instellingen die ze verwerken moeten een reeks wettelijke maatregelen nemen om te zorgen dat ze op de juiste manier verzameld en opgeslagen worden.

De school zegt dat ze de toestemming heeft van de 22 studenten die aan het project deelnamen. Daar is volgens de gegevensbeschermingsautoriteit geen legale basis voor, gezien de machtsverhoudingen tussen een school en zijn studenten. Boetes voor een dergelijk verdrijf kunnen oplopen tot een miljoen euro, maar de autoriteit hield in dezen rekening met de korte termijn van het project.