Et spansk universitet ønsket å sikre at det faktisk var riktig student som satt bak skjermen under hjemmeeksamen. Løsningen de valgte var ansiktsgjenkjenning kombinert med video- og lydovervåking gjennom hele prøven.
Resultatet? Et gebyr på 160 000 euro fra den spanske tilsynsmyndigheten, Agencia Española de Protección de Datos.
Saken viser tydelig hva som kan skje når ny teknologi tas i bruk før personvernarbeidet er godt nok på plass. Selv om dette skjedde i Spania, er lærdommene relevante for alle virksomheter som bruker – eller vurderer å bruke – biometriske løsninger.
I 2024 tok universitetet i bruk et overvåkingssystem for digitale eksamener. Systemet brukte ansiktsgjenkjenning for å bekrefte studentenes identitet og fange opp mistenkelig atferd.
Dagen før eksamen fikk studentene en e-post med et samtykkeskjema. Samtidig fikk de beskjed om at overvåkingen ville gjennomføres uansett om de samtykket eller ikke.
Totalt ble 153 studenter berørt før systemet ble avviklet. Én student klaget saken inn, og undersøkelsen avdekket flere alvorlige mangler.
Å be om samtykke kvelden før en eksamen oppfyller ikke kravene i General Data Protection Regulation. Samtykke skal være frivillig og informert – noe det ikke var her.
Studentene hadde i praksis ikke noe reelt valg. Eksamen var rett rundt hjørnet, og informasjonen de fikk var for uklar. Myndighetene var tydelige: Det hjelper ikke å spørre om samtykke hvis det ikke faktisk er mulig å si nei.
For virksomheter betyr dette at samtykke som grunnlag for behandling av sensitive opplysninger krever at den registrerte har et reelt valg. I tillegg må dere huske at bruk av biometri også må oppfylle de strenge vilkårene i artikkel 9.
Universitetet hadde gjort en konsekvensvurdering (DPIA), men den ble ferdigstilt etter at systemet allerede var tatt i bruk. Det er ikke godt nok.
At universitetet senere tilbød en løsning uten ansiktsgjenkjenning, viser også at de ikke hadde vurdert mindre inngripende alternativer på forhånd. Det er nettopp dette en DPIA skal avdekke.
En DPIA skal dokumentere at dere har valgt den minst inngripende løsningen – før dere starter. Hvis det finnes gode alternativer uten biometri, blir det vanskelig å forsvare hvorfor dere bruker det.
Ifølge GDPR artikkel 35 er en DPIA obligatorisk før behandling av biometriske opplysninger begynner.
Ansiktsgjenkjenning brukt til identifisering regnes som biometriske personopplysninger, og omfattes av de strenge reglene i GDPR artikkel 9.
Det betyr at dere må ha et tydelig unntak for å kunne bruke slike data – og at kravene til dokumentasjon og nødvendighet er høye.
Mange undervurderer dette. Det holder ikke at formålet er legitimt, for eksempel å forhindre juks. Dere må også kunne vise at det er nødvendig – og at samme resultat ikke kan oppnås på en mindre inngripende måte.
Hvis virksomheten deres bruker – eller vurderer å bruke – biometriske løsninger, for eksempel til adgangskontroll, tidsregistrering eller identifisering, bør dere stille dere disse spørsmålene:
Dette gjelder ikke bare biometri, det er kjernen i et godt personvernarbeid.
Ved å ha kontroll på vurderinger, dokumentasjon og beslutninger før dere setter i gang, står dere langt tryggere dersom dere blir kontrollert.
Vil dere se hvordan dette kan gjøres i praksis? Ta en gjennomgang og få bedre kontroll på hvordan dere håndterer sensitive opplysninger før det får konsekvenser.
Kilde: Agencia Española de Protección de Datos, vedtak publisert april 2026.