De Gegevensbeschermingsautoriteit (GBA), de vroegere Privacycommissie, is door de uitzendgroep Adecco op de hoogte gebracht van het lek waarbij de vingerafdrukken van ongeveer 2.000 Belgische werknemers betrokken zijn. Ze gaat de zaak “nauwlettend” opvolgen, klinkt het woensdag in een reactie.
Vorige week woensdag onthulden Israëlische beveiligingsonderzoekers dat een omvangrijke databank met zowat een miljoen vingerafdrukken en andere biometrische gegevens zo goed als onbeschermd en onversleuteld op het internet terug te vinden was. De gegevens waren afkomstig van het systeem ‘Biostar 2’ van de Zuid-Koreaanse firma Suprema, die naar eigen zeggen de Europese marktleider is voor toegangscontrolesystemen op basis van biometrische data. Ook zowat 2.000 vingerafdrukken van werknemers van Adecco in België zaten in het lek.
De GBA spreekt van “bijzonder gevoelige gegevens”, omdat “de verwerking ervan een groot risico inhoudt voor de rechten en vrijheden van de burgers”. “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen”, zegt voorzitter David Stevens. “Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen.”
Adecco heeft het gegevenslek gemeld bij de GBA, zoals vereist door de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR), luidt het. “De GBA heeft contact opgenomen met het bedrijf om de ernst van de overtreding te beoordelen en de belangen van de betrokken personen te waarborgen.”
De GBA benadrukt dat het gebruik van biometrische persoonsgegevens door de GDPR verboden is, behalve in een beperkt aantal gevallen. “Alvorens biometrische gegevens te verwerken, moet de verwerkingsverantwoordelijke zich steeds afvragen of dit absoluut noodzakelijk is. Er zijn vaak minder ingrijpende manieren om de identiteit van een persoon doeltreffend te controleren”, zegt Stevens.
