Nye love kræver, at voksenwebsteder bekræfter, at en person er over 18 år, før de giver dem adgang til porno. De tillader dog ikke voksenwebsteder at håndtere dette selv; de kræver, at de bruger tredjepartsvirksomheder til at behandle transaktioner, hvilket ofte fører til systemsårbarheder.
Men mere end blot risikoen for at blive hacket, er der andre problemer, såsom at overholde EU’s privatlivslovgivning, mens man stadig overholder landets lov om aldersbekræftelse. Lad os bare sige, at det er en delikat balancegang, især når lovene ofte modsiger hinanden.
Det er, hvad der foregår med Yoti.
Spaniens databeskyttelsesmyndighed har idømt det britiske identitetsverifikationsfirma Yoti Ltd en bøde på 950.000 € (1.086.894 $) efter at have fundet flere overtrædelser af EU’s databeskyttelsesregler i deres Digital ID-ansøgning.
Håndhævelsessagen blev udstedt af Agencia Española de Protección de Datos, almindeligvis kendt som AEPD. Resolutionen blev underskrevet af AEPD-præsident Lorenzo Cotino Hueso og offentliggjort under filreference EXP202317887.
Ifølge myndigheden overtrådte virksomheden adskillige bestemmelser i den generelle databeskyttelsesforordning i driften af sin Digital ID-applikation, herunder regler for biometriske data, brugersamtykke og dataopbevaring.
Straffene var fordelt på tre separate overtrædelser. Spanien pålagde en bøde på 500.000 EUR (572.000 USD) for ulovlig behandling af biometriske data i henhold til artikel 9 i GDPR. En anden bøde på 200.000 € (228.000 USD) blev udstedt for ugyldig samtykkepraksis i forbindelse med forsknings- og udviklingsbehandling i henhold til artikel 7. Den tredje straf, 250.000 € (286.000 USD), blev idømt for overdreven opbevaring af personoplysninger i strid med princippet om opbevaringsbegrænsning i artikel 5.1(e).
Sideløbende med de økonomiske sanktioner beordrede regulatoren Yoti til at implementere korrigerende foranstaltninger inden for seks måneder efter, at beslutningen er blevet endelig.
Yoti leverer værktøjer til aldersbekræftelse og digital identitet, der bruges af onlineplatforme på tværs af flere lande. Virksomheden, der er registreret i Det Forenede Kongerige, rapporterede en omsætning på €15.029.907 ($17.195.706) i marts 2025, et tal, som tilsynsmyndigheder bruger, når de bestemmer omfanget af sanktioner.
Håndhævelseshandlingen er centreret om Yotis Digital ID-applikation, som giver brugerne mulighed for at oprette en verificeret identitetskonto ved at uploade et offentligt udstedt identitetsdokument og tage en selfie.
Ifølge dokumenter indsendt under undersøgelsen bruger appen dybe neurale netværk til at vurdere en brugers alder. Ansigtsbilledet konverteres til pixelværdier og behandles gennem lag af matematiske noder, hvilket producerer et aldersestimat typisk inden for 1 til 1,5 sekunder.
Yoti tilbyder adskillige aldersbekræftelsesmetoder til erhvervskunder, herunder estimering af ansigtsalder, dokumentbekræftelse, kreditkortkontrol, mobilnummerbekræftelse og databaseopslag. Virksomheden leverer også elektroniske identitetsintegrationer, der bruges i lande som Schweiz, Danmark og Finland, samt support til amerikanske mobilkørekort.
I de fleste klientintegrationer fungerer platformsoperatører som dataansvarlige, mens Yoti fungerer som processor. I selve Digital ID-appen fungerer Yoti dog som den ansvarlige for behandlingen.
Den største bøde pålagt af spanske myndigheder vedrørte håndteringen af biometriske ansigtsdata.
Spanske tilsynsmyndigheder har tidligere idømt FC Barcelona en bøde på 500.000 EUR (572.000 USD) for at undlade at gennemføre en databeskyttelseskonsekvensvurdering relateret til den biometriske identifikation af klubmedlemmer. Myndigheden pålagde også en bøde på 1,8 mio. EUR (2.059.378 USD) til AENA for ansigtsgenkendelse i lufthavne.
På tværs af Europa kontrollerer regulatorer i stigende grad digitale identitetssystemer, der bruges til aldersbekræftelse og online adgangskontrol. Vejledning udstedt af European Data Protection Board har understreget, at alderssikringsteknologier skal bruge den mindst mulige metode og undgå at skabe yderligere sporings- eller profileringsrisici.
Yoti-dommen signalerer, at regulatorer nøje vil undersøge, hvordan biometriske systemer er designet, især når de involverer børn eller genererer vedvarende identitetsskabeloner.
Men for at være ærlig, vil vi sandsynligvis se bøder som denne igen i fremtiden med Yoti og andre udbydere af aldersbekræftelse, da love om overholdelse af aldersbekræftelse ofte er i konflikt med love om beskyttelse af personlige oplysninger.
