Organisator telecombeurs MWC krijgt AVG-boete voor gebruik gezichtsherkenning

De organisatie achter telecombeurs Mobile World Congress heeft een AVG-boete van 200.000 euro gekregen vanwege het gebruik van gezichtsherkenning in 2021. De Spaanse privacyautoriteit vindt dat de uitgevoerde gegevensbeschermingseffectbeoordeling onvoldoende was.

Organisator GSMA gebruikte in 2021 voor het eerst de gezichtsherkenningssoftware Breez om de identiteit van bezoekers te kunnen verifiëren. Het gebruik van Breez was voor bezoekers optioneel; ze konden er ook voor kiezen om hun identiteitsbewijs te laten zien aan MWC-personeel. Om de gezichtsherkenning te kunnen gebruiken, voerde GSMA een onder de AVG verplichte gegevensbeschermingseffectbeoordeling uit om risico's en de noodzakelijkheid in kaart te brengen.

TechCrunch schrijft dat die beoordeling volgens de Spaanse privacyautoriteit AEPD onvoldoende was. Er zou niet genoeg onderzoek zijn gedaan naar de noodzaak en proportionaliteit van de gezichtsherkenning, en de beveiligingsrisico's zouden ook niet genoeg in kaart zijn gebracht. De organisatie kan nog tegen de boete in beroep gaan. Breez werd volgens de GSMA door 7585 van de 17.462 bezoekers gebruikt. De rest koos er dus voor om de identiteitsbewijzen handmatig te laten controleren. Er was ook een virtuele versie zonder identiteitscontroles.

MWC-spreker Anastasia Dedyukhina diende de klacht bij de Spaanse privacyautoriteit in, schrijft ze op LinkedIn. De digitaalwelzijnsspreker was ontevreden over de gang van zaken van GSMA, omdat ze verplicht was haar identiteitsbewijs te uploaden, ook als ze geen gebruik wilde maken van Breez. Dedyukhina koos ervoor de beurs virtueel bij te wonen. GSMA gebruikte in de afgelopen twee MWC-edities nog steeds gezichtsherkenning of handmatige identiteitscontroles. Het is niet duidelijk of GSMA het gebruik van Breez wil staken of de beoordeling wil verbeteren.

Door Hayte Hugo

Redacteur

Feedback • 09-05-2023 08:26 30

09-05-2023 • 08:26

30

Lees meer

Duitse provider toont prototype telefoon met chatbot in plaats van apps
Duitse provider toont prototype telefoon met chatbot in plaats van apps Nieuws van 15 februari 2024
Creditcardbedrijf ICS krijgt AVG-boete wegens ontbreken risicoanalyse privacy
Creditcardbedrijf ICS krijgt AVG-boete wegens ontbreken risicoanalyse privacy Nieuws van 16 januari 2024
Gezichtenzoekmachine PimEyes gaat zoekopdrachten naar kinderen blokkeren
Gezichtenzoekmachine PimEyes gaat zoekopdrachten naar kinderen blokkeren Nieuws van 24 oktober 2023
Spotify krijgt AVG-boete van vijf miljoen euro na handhavingsverzoek Max Schrems
Spotify krijgt AVG-boete van vijf miljoen euro na handhavingsverzoek Max Schrems Nieuws van 13 juni 2023
Huawei zou bezoekers op booth telecombeurs hebben getrackt zonder toestemming
Huawei zou bezoekers op booth telecombeurs hebben getrackt zonder toestemming Nieuws van 6 maart 2023
Het belangrijkste Mobile World Congress-nieuws op een rij
Het belangrijkste Mobile World Congress-nieuws op een rij Nieuws van 2 maart 2023
Ook Google trekt zich terug van telecombeurs MWC in juni
Ook Google trekt zich terug van telecombeurs MWC in juni Nieuws van 1 april 2021
GSMA verplaatst telecombeurs MWC in Barcelona van maart naar eind juni
GSMA verplaatst telecombeurs MWC in Barcelona van maart naar eind juni Nieuws van 23 september 2020
Organisator MWC ontslaat 20 procent personeel door annulering beurs
Organisator MWC ontslaat 20 procent personeel door annulering beurs Nieuws van 10 juni 2020
Smartphonemakers annuleren telefoonpresentaties rond afgelaste telecombeurs MWC
Smartphonemakers annuleren telefoonpresentaties rond afgelaste telecombeurs MWC Nieuws van 13 februari 2020
Meer producten en artikelen
Privacy Beurs Biometrie Boete gdpr GSMA Spanje

Reacties (30)

-Moderatie-faq
30
30
16
0
0
11
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 9 mei 2023 08:52
Mooi zo, meteen stevig boetes uit delen als bedrijven zich niet aan AVG regels houden,
zeker voor een tech beurs.
The Zep Man
@Verwijderd9 mei 2023 08:56
Mooi zo, meteen stevig boetes uit delen als bedrijven zich niet aan AVG regels houden,
zeker voor een tech beurs.
Een omzet van 158 miljoen USD. Dit is geen 'stevige boete'. Dit is een 'foei' met een opgestoken en schuddend vingertje.
Zyppora @The Zep Man9 mei 2023 09:55
Dit is geen Facebook of Tiktok die willens en wetens elke privacywet breken onder het mom van winstmaximalisatie. Zoals ik het begrijp heeft de organisatie van MWC gewoon een onderzoek uitgevoerd om te kijken of ze aan de relevante wetten voldeden, en dat onderzoek blijkt nu niet dekkend. Wat mij betreft is die 2 ton boete dan gewoon voldoende.
Stijnvi @Zyppora9 mei 2023 10:34
Bij de politie kom je er ook niet mee weg als je zegt dat je het wetboek hebt gelezen maar toevallig hebt gemist dat je niemand mag vermoorden.
Natuurlijk is dit minder erg, maar alsnog is de boete een lachertje.
€200.000 voor een bedrijf met een omzet van $158 miljoen (€144 miljoen), is evenredig aan een boete van €55.55 voor iemand met een inkomen van €40.000 per jaar.
Zelfs de boete voor het vergeten van een blauwe parkeerschijf is bijna twee keer zo hoog (€100 + administratiekosten)
Tintel
@Stijnvi9 mei 2023 11:19
Zelfs de boete voor het vergeten van een blauwe parkeerschijf is bijna twee keer zo hoog (€100 + administratiekosten)
Idd goed dat je dit er bij zet want deze scheefgroei begint steeds meer op te vallen. Een relatief licht vergrijp als geen parkeerschijf is voor de meeste mensen al een aardige 'inkomensklap' en bezwaar maken is kansloos.
ander voorbeeld: een keertje toeteren: 280 euro... nou hoop ik dat deze niet vaak wordt uigeschreven maar het gaat vooral om het bedrag...

En bedrijven komen weg met boetes die soms gewoon lager zijn dan de extra te maken kosten om een bepaalde boete te vermijden - dus is het altijd voordeliger om een mogelijke boete af te wachten.

En bij boetes geldt nu al: het afschrikwekkende effect of leer-effect is heel beperkt. Wat echt werkt is tijdelijke beperkingen na het vergrijp (dus geen beurs mogen organiseren of minder mensen mogen ontvangen).
tunnelforce1 @Tintel9 mei 2023 12:54
Juist progressieve boetes werken het beste, kijk maar naar Noorwegen.
Snap niet dat we dat niet hebben in NL eerlijk gezegd.

Dan zie je toch wel dat "de Elite" echt wel bestaat en een flinke vinger in de pap heeft.
Tintel
@tunnelforce19 mei 2023 15:58
Maar steeds hoger worden boetes zijn nu juist voor mensen met een overschot aan besteedbaar inkomen een veel kleiner probleem.
En voor mensen met nauwelijks overschot is een enkele boete (die misschien wel terecht op zich is) een veel groter probleem - want dan komen ze in de schulden of gaan in paniek onverstandige beslissingen nemen.

En boetes naar inkomen kent ditzelfde probleem - hoe meer overschot hoe minder het effect heeft. En erger nog; wat vooral bij bedrijven maar dus ook bij mensen met een heel hoog inkomen geldt: die kunnen - vaak met succes - bezwaar maken (want de gerechtskosten zijn voor hen nog goed te betalen). En daarnaast kunnen ze de extra kosten afwentelen. Al dan niet via belasting of doordat ze nu zeer waarschijnlijk veel meer mogelijkheden om kosten te drukken. Even een jaar geen nieuwe (dure) auto omdat je een boete moet betalen van 30.000 euro is vervelend maar als je inkomen op boven de 200k ligt, zul je er echt niet minder om eten.
YangWenli @tunnelforce110 mei 2023 13:22
Je hebt helemaal gelijk. Voor rijke mensen en bedrijven is een boete zoiets als een vergunning. Dat calculeren ze gewoon in.

Dit is ook precies waarom de politie een Ferrari in beslag neemt bij een straat race in plaats van een boete uit te schrijven.
Blokker_1999
@The Zep Man9 mei 2023 11:03
Je moet ook kijken naar proportionaliteit natuurlijk. Hoe zwaar was de inbreuk? Dat een beoordeling onvoldoende is zegt niets over hoe slecht deze was. Was het net niet goed genoeg of ontbrak er enorm veel? Waren sommige beslissingen misschien gewoonweg niet goed genoeg gemotiveerd?
Tomatoman @The Zep Man9 mei 2023 12:57
€ 200.000 is zeker geen lachertje waar een bedrijf schouderophalend op reageert, ook niet met een omzet van € 158 miljoen. Als je je realiseert dat verreweg de meeste bedrijven van die omvang beduidend minder dan 10% van de omzet overhouden als nettowinst, weet je dat de nettowinst waarschijnlijk niet meer dan € 10 miljoen zal bedragen. Een boete van 2 ton is dan opeens 2% van de nettowinst. Voor een AVG-overtreding is dat meer dan genoeg reden om heel hard je best te doen om nooit meer zo’n boete opgelegd te krijgen.
xmenno @The Zep Man10 mei 2023 09:09
Omzet is geen winst, wil niet zeggen dat ze geld hebben. Zeker niet in corona tijd.
Sjaakys @Verwijderd9 mei 2023 08:58
200k stevig? Dat is gewoon een lachertje...
marcieking @Sjaakys9 mei 2023 09:20
Als je een extern bureau een beter onderzoek had laten doen was je waarschijnlijk meer kwijt geweest dan nu aan de boete omdat het onderzoek niet goed genoeg was.
Blokker_1999
@Verwijderd9 mei 2023 11:05
Ik zie de link niet direct tussen het organiseren van een tech beurs en de ins en outs goed kennen van de AVG. De AVG heeft uiteindelijk een weerslag op alle bedrijven, van 1 manszaken tot de grootste multinationals.

Als morgen een staalverwerkend bedrijf beslist om de prikklok te vervangen door een gezichtherkenningssysteem moeten zij ook gewoon aan diezelfde regels voldoen bijvoorbeeld. Het feit dat zij een productiebedrijf zijn ipv een bedrijf dat een beurs organiseerd zorgt er niet ineens voor dat de verwachtingen bij hen anders liggen voor de AVG.
lenwar
@Verwijderd9 mei 2023 14:51
zeker voor een tech beurs.
Ik mag toch hopen dat daar niet naar gekeken wordt?

Of het nou een techbeurs is, een winkeliersvereniging van een klein dorpje is of een HEMA-filiaal in Amsterdam.
GekkePrutser 9 mei 2023 08:58
In 2019 gebruikten ze ook al gezichtsherkenning, kennelijk van een andere leverancier omdat er staat dat in 2021 Breezz voor het eerst gebruikt werd. Ik vraag me af wat er veranderd is.

Dat je je foto ID moet uploaden zelfs als je het niet gebruikt is idd vervelend. Ik ben zelf sinds 2019 niet meer geweest helaas.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 22:11]

michaelboon82 9 mei 2023 09:35
Hoogte van de boete is wellicht een lachertje, maar van mij hoeft een overtreder niet meteen aan de hoogste boom geknoopt te worden. Een foei met bijbehorende boete is prima.

MAAR als ze van te voren al een foei of een heads-up hebben gekregen of ze blijven privacy wetten overtreden na de foei, mogen ze wat mij betreft wel een enorme boete krijgen. Een onderzoek duurt echter lang en de informatie die het publiek krijgt over wat er achter schermen gebeurt tussen de privacy organisatie en de overtreder is minimaal. We weten dus niet of ze nu tijdens de laatste 2 edities al wisten dat ze in overtreding waren.

Ik weet natuurlijk ook dat "ik wist niet dat het niet mocht" geen reden is om een overtreding te begaan. Maar de privacywetgeving heeft wel een enorm grijs gebied en verschilt per land. Elk bedrijf zoekt hier de grenzen op en hoewel iedereen dit moraal verwerpelijk vind, zoekt vrijwel iedereen in welke vorm dan ook grenzen van regeltjes en wetten op. Aard van het beestje :)
Aldy @michaelboon829 mei 2023 13:54
Maar de privacywetgeving heeft wel een enorm grijs gebied en verschilt per land
Dat zou binnen de EU niet zo moeten zijn. Maar van de week weer gezien met dat Oostenrijkse verzoek aan het Europese hof hoe knullig het e.e.a. geregeld is. In het redactionele stukje van Tweakers kon ik daar niets over terug vinden, maar vanmorgen gelezen dat het hof vindt dat elk land zelf een minimum bedrag mag bepalen bij het eisen van schadevergoedingen. Het artikel eindigt toevallig ook nog over het aard van het beestje. (https://www.computable.nl...&utm_content=topartikelen)
CAPSLOCK2000
9 mei 2023 10:32
Ik moet zeggen dat ik de boete deze keer vrij hoog vind aangezien het bedrijf in kwestie heeft geprobeerd een alternatief te bieden voor gezichtsherkenning. Op grond van wat ik van de zaak weet (niet veel) ben ik geneigd om in de goede bedoelingen van de organisator te geven en zou ik een waarschuwing hebben gegeven.

Van de andere kant gaat het uploaden van je paspoort ook wel heel ver, gevoeliger dan dat wordt het haast niet. Dat het nu juist deze club is, die standaarden opstelt voor mobiele telefoons, het verkeerde voorbeeld geeft is ook een beetje jammer omdat ze (een beetje) een voorbeeldfunctie hebben.
Wat mj betreft zouden we eens moeten nadenken over een verbod op het vragen om je paspoort te uploaden (met een paar uitzonderingen), toestemming of niet. Al denk ik dat het beter zou zijn om een goed alternatief te hebben zodat de behoeft wegvalt om je paspoort te zien.

Zoals ik het lees heeft eigenljk niet heel veel Breeze of gezichtsherkenning te maken, volgens mij hebben ze dat deel op zich prima geregeld. Het echte probleem is het verplicht uploaden van je paspoort als je geen gebruik wil maken van gezichtsherkenning. Eigenlijk staat er zels dat alleen dat de toezichthouder niet tevreden was met gegevensbeschermingseffectbeoordeling (beter bekend als DPIA). Strict genomen laat dat ruimte voor de mogelijkheid dat alles eigenlijk wel ok was als het beter was onderbouwd in dat rapport. Al geloof ik ook weer niet dat ze zoveel moeite zouden als er verder niks vervelends was gebeurd of er alleen een paar komma's verkeerd stonden.

Mijn gok is dus dat de tgegevensbeschermingseffectbeoordeling echt zwaar onder de maat is. Ik lees nog wel eens van die rapporten die bestaan uit niet meer dan de woorden "ja, voldoet".

Nog wat bemoedigende woorden van Anastasia Dedyukhina:
This outcome gives me hope. If an ordinary citizen like myself with NO legal education can execute her privacy right and create some waves, maybe we don't have to completely give up on our privacy in the digital future.
McOrmick 9 mei 2023 10:33
Breez (niet Breezz) maakt gebruik van ScanViS, een bedrijf uit HongKong, da's fraai. De Chinezen staan bekend om hun privacywaarborgen. Mag hopen dat er goede afspraken omtrent de opslag en retentie van deze privacygevoelige data is gemaakt. Daar de gegevensbeschermingseffectbeoordeling al gebrekkig was, mogen we hier ook vraagtekens bij zetten imo.
EdwinHamers 9 mei 2023 10:34
Is er in de AVG niet zoiets als "het nut en het alternatief"?. Net als een biometrische controle voor een simpele authenticatie, ipv met een pasje. Vraag me af waarom een beurs, net als in de RAI bijvoorbeeld, het leuk vindt om gezichtscontrole te doen, terwijl het ook kan met een simpele check van je kaartje?!
WillemJunior 9 mei 2023 13:32
Misschien is dit een beetje muggenziften over termen, maar was het niet beter geweest als in het artikel de afkorting GDPR wordt gebruikt? AVG is de specifieke Nederlandse wetgeving die de GDPR implementeert en het artikel heeft het over de Spaanse privacyauthoriteit die een boete heeft uitgedeeld. Ik neem aan dat Spanje hun eigen GDPR implementatie heeft.
Viper_Core 9 mei 2023 10:23
Van de 7500 bezoekers, heeft er 1 een klacht ingediend.

Ik zou willen dat er op andere plaatsen in de maatschappij net zo doortastend zou worden opgetreden als hier.

Ik hoop dat ze in hoger beroep worden vrijgesproken. Ze hebben van tevoren een onderzoek gepleegd. Oftewel, ze hebben hun inspanning verplichting geleverd.
White Feather @Viper_Core9 mei 2023 10:36
Ik hoop dat ze in hoger beroep worden vrijgesproken. Ze hebben van tevoren een onderzoek gepleegd. Oftewel, ze hebben hun inspanning verplichting geleverd.
Oh, dus met een onderzoekje aan komen kakken is genoeg om de wet te kunnen overtreden?

Je weet niet eens of het onderzoek überhaupt wel de dingen onderzocht heeft waarop ze hier zijn aangepakt.

Het is sowieso natuurlijk kansloos om van iedereen maar even een kopie legitimatie te vragen en op te slaan.

Iedereen met ook maar een beetje verstand van zaken had dat kunnen vertellen.

Dus het onderzoek is slecht gedaan door het bedrijf dat het onderzoek deed, de scope was verkeerd doorgegeven, er ontbrak informatie richting het bedrijf dat onderzoek deed of er is gewoon te weinig met de uitkomsten van het onderzoek gedaan.
mjtdevries @Viper_Core9 mei 2023 15:06
Ze krijgen die boete niet vanwege de inspanning verplichting.
Helaas is tweakers weer erg slecht in het verwoorden van datgene wat bij de bron heel duidelijk vermeld staat:
It was the lack of a free choice for conference attendees around uploading sensitive biometric data which led to a complaint against the GSMA’s data processing being lodged with the AEPD by Dr Anastasia Dedyukhina, a digital wellness speaker who had been invited to speak on a panel at MWC 2021. It’s her complaint that’s led — a couple of years later — to the GSMA being sanctioned now.
Crahsystor @mjtdevries9 mei 2023 16:39
Inderdaad jammer dat Tweakers dit essentiele punt weggelaten heeft in de laatste allinea gestopt heeft. Het geeft de boete een heel ander aanzien. "Onvoldoende onderzoek én verplicht uploaden kopie ID" Klinkt toch anders dan alleen onvoldoende onderzoek. Framing of gewoon een misser?

[Reactie gewijzigd door Crahsystor op 22 juli 2024 22:11]

HBSVDK 9 mei 2023 11:08
Ik heb ~5 jaar geleden in Oostenrijk ook met een skiliftpasje van een ander proberen in te stappen (had per ongelijk elkaars kaarten verwisseld) maar direct werd ik door een medewerker uit de rij gepikt en mocht ik verhaal doen. Kon toen bij hem in het hokje op het scherm zien dat in die incheck paal een camera zat die ziet welk gezicht incheckte. Blijkbaar zat daar dus ook een soort gezichtsherkenning in, en leek ik als man onvoldoende op een vrouwelijk reisgenoot.
Geen idee of avg er toen al was. Maar blijkbaar kan dat dan wel weer...
ochhanz @HBSVDK9 mei 2023 13:10
Geen idee of avg er toen al was. Maar blijkbaar kan dat dan wel weer...
, waarschijnlijk is de pakkans gewoon klein. Ik denk niet dat dit soort dingen zomaar mogen tenzij strict met de data wordt omgegaan (en misschien moet een instantie het ook goed aangeven of een alternatief bieden?).
dok33 @HBSVDK9 mei 2023 15:19
Het is niet zo dat het niet kan, op die beurs, maar ze hebben hun onderzoek niet goed genoeg gedaan. Ze hadden het ook correct kunnen doen, zonder deze gevolgen.
Veneus 9 mei 2023 23:44
gegevensbeschermingseffectbeoordeling
Dit mooie galgje woord is wat mij betreft woord van de dag. ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq