Gebruikersinformatie

1. Privacyverklaring voor 20face gebruikersportaal en het verlenen van toegang

Dit is de laatst goedgekeurde versie van 1 mei 2022. 
Wij passen de tekst aan als daar aanleiding voor is. 
Deze verklaring is gemaakt om te voldoen aan de eisen van professionaliteit en de wettelijke verplichtingen waaronder die uit de Algemene Verordening Gegevensbescherming (AVG). 
Wij beschrijven in dit document hoe het 20face systeem werkt en hoe wij persoonsgegevens verzamelen, verwerken en verwijderen.

2. Bedrijfsgegevens 20face B.V.

KVK nummer: 69220085
Adres: Hengelosestraat 500 7521 AN Enschede
Contactgegevens algemeen: [email protected] en +31532032003

3. Het product (de dienst)

20face levert een toepassing met gebruik van gezichtsherkenning voor onder andere toegangscontrole. 
Die is ontwikkeld met respect voor de privacy van de gebruiker. Duidelijke informatie over de werking en alleen de echt noodzakelijke gegevens verzamelen zijn het uitgangspunt. 
Inzicht voor gebruikers over de werking is vanzelfsprekend.

4. De persoonsgegevens en de verwerkingen

4.1 Algemeen

Wij verwerken persoonsgegevens alleen voor het doel waarvoor ze zijn verstrekt. 
De genomen technische en organisatorische maatregelen staan in punt 6.

4.3 Gegevens opgeleverd door de opdrachtgever

Onze opdrachtgever geeft zijn geautoriseerde medewerkers de mogelijkheid om de 20face toepassing te gebruiken voor het verlenen van toegang met gezichtsherkenning via zijn bestaand systeem. 
De opdrachtgever verstrekt daarvoor aan 20face: de voor- en achternaam, het e-mailadres en de persoonlijke-id in dat bestaande toegangscontrolesysteem. 
Deze gegevens gebruikt 20face om de geautoriseerde gebruiker te registreren in haar systeem.
De opdrachtgever verstrekt aan 20face ook een verwijderverzoek met daarin de gegevens van de geautoriseerde gebruiker die moet worden verwijderd uit het 20face systeem. 
De gegevens worden verwerkt vanaf de oplevering en de registratie tot en met het verwerken van het verwijderverzoek. 

4.3 Het 20face systeem

De uitnodiging

Geautoriseerde gebruikers krijgen van 20face een e-mail, op het door de opdrachtgever aangeleverde adres, met de uitnodiging om deel te nemen aan de toegangscontrole op basis van gezichtsherkenning. In het bericht staat een link naar dit document.
20face gebruikt daarvoor het van de opdrachtgever ontvangen e-mailadres, de voornaam en achternaam.

De registratie

De uitgenodigde geautoriseerde gebruiker kan via een link in de uitnodiging op het online aanmeldingsformulier van het gebruikersportaal een account aanmaken. Hij kiest een eigen gebruikersnaam (e-mailadres) en een eigen wachtwoord. 
Hierna maakt hij met de camera van zijn apparaat een foto van zijn gezicht. Die foto wordt in het eigen 20face programma vertaald in een vector en daarna opgeslagen in de database. 
De foto wordt gewist uit het geheugen en is dus niet opgeslagen. 
De foto kan om die reden dus niet voor een ander doel worden verwerkt.
De gebruiker maakt zijn inschrijving compleet door zijn uitdrukkelijke toestemming te geven voor de verwerking van zijn persoonsgegevens: het e-mailadres, wachtwoord, afbeelding van zijn gezicht zonder opslag en zijn gezichtsvector. 

Het verlenen van toegang

De gebruiker loopt naar een toegangspoort met een camera. De camera stuurt beelden van het gezicht, na een lokale kwaliteitscontrole, naar de 20face toepassing. De toepassing vertaalt de afbeelding naar een vector. Die nieuwe vector wordt vergeleken met de vectoren van de geregistreerde gebruikers van de opdrachtgever. 
Als dezelfde vector wordt gevonden is er een match. 
De persoonlijke-id die hoort bij die gevonden vector wordt naar het toegangscontrolesysteem gestuurd. 
De autorisatie in dat systeem bepaalt of de toegang opent of niet. Dit is een geautomatiseerde verwerking.

De beelden en de op basis daarvan gemaakte vector worden gebruikt, zij worden nergens bewaard. 
Zij kunnen dus ook niet voor een ander doel worden verwerkt.

Het verwijderen van gegevens

De gebruiker verwijdert zijn gegevens door:

• één gezichtsvector te verwijderen;
• zijn gehele account te verwijderen. 

Alle actuele gegevens zijn daardoor direct verwijderd. 
De gegevens in de back-up worden verwijderd als alle back-ups zijn overschreven. 
Daarmee is ook de toestemming voor de verwerking ingetrokken.

Het onderhouden en verbeteren van het 20face systeem

Het systeem van gezichtsherkenning wordt periodiek bijgewerkt om de beveiliging en het herkennen van gezichten te verbeteren op basis van ervaringen, nieuwe inzichten en de resultaten van de periodieke risicoanalyse. 
Als het model voor gezichtsherkenning is gewijzigd wordt de gebruiker, indien nodig, uitgenodigd om een nieuwe vector te maken.

Reflectie

De geregistreerde gebruiker ontvangt periodiek een e-mailbericht dat 20face zijn gegevens verwerkt. 

Hij krijgt daarmee een herinnering dat hij de mogelijkheid heeft zijn toestemming in te trekken en zijn gegevens te verwijderen.

De grondslag voor het verwerken van de gegevens tijdens de registratie en het verlenen van de toegang is de uitdrukkelijke toestemming van de gebruiker.

5. De rol van de opdrachtgever en 20Face in de verwerking van de gegevens

Onze opdrachtgever is de verantwoordelijke voor de verwerking. 
20face verwerkt de persoonsgegevens als verwerker zoals overeengekomen met de opdrachtgever.

6. Delen van de gegevens

IT-dienstverleners van 20Face verwerken de gegevens die de opdrachtgever en de gebruiker aan 20face hebben verstrekt. In AVG termen zijn ze verwerkers en met hen zijn contractuele afspraken gemaakt in een verwerkersovereenkomst. Zij verwerken de gegevens alleen zoals hierin is afgesproken.

Wij maken gebruik van de diensten van Google, de gegevens worden opgeslagen in hun rekencentrum in Nederland.

Wij delen ook gegevens met derden als daarvoor een wettelijke verplichting bestaat. 

7. Genomen maatregelen

Alle persoonsgegevens zijn opgeslagen in programma’s en bestanden die zijn beveiligd in samenwerking met onze leveranciers.
De genomen maatregelen zorgen ervoor dat:

• alleen geautoriseerde medewerkers toegang hebben tot de gegevens; 
• gegevens niet verloren gaan of onjuist zijn;
• geen onnodige gegevens worden opgeslagen of gegevens te lang worden bewaard. 

De beveiliging voldoet aan de gangbare normen. 
Wij evalueren maatregelen jaarlijks en bij wijzigingen in de organisatie of de werkwijze.

8. Uitoefenen van rechten

Je kan per e-mail (met een veilige kopie van een geldig legitimatiebewijs) een inzageverzoek doen aan de controller voor de verwerking. 
Je kan ook in je account je eigen gegevens inzien, wijzigen en verwijderen. 
Ook is het mogelijk je toestemming in te trekken door je account en daarmee alle gegevens te verwijderen, het recht om vergeten te worden. 

Je hebt verder het recht om:

• onder de in de wet genoemde voorwaarden, te vragen de gegevensverwerking te beperken. 
• indien technisch mogelijk een gegevensoverdracht te vragen naar een andere verantwoordelijke. 

9. Een klacht of een vraag

Een klacht of een vraag over de verwerking van je persoonsgegevens kan je sturen aan de verantwoordelijke voor de verwerking.

Als je ontevreden bent over de verwerking van je persoonsgegevens heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

10. Samenvatting persoonsgegevens

Gegeven	Persoonsgegeven	Verstrekt door a)	Grondslag b)	Opslag	Opslagtermijn c)	Verwerken
Voor- en achternaam	Ja	1	1	Ja	1	Ja
E-mail (zakelijk)	Ja	1	1	Ja	1	Ja
Persoonlijke ID	In combinatie	1	1	Ja	1	Ja
E-mail (privé)	Ja	2	1	Ja	2	Ja
Wachtwoord	Ja	2	1	Ja	2	Ja
Gezichtsvector inschrijving	In combinatie	n.v.t.	2	Ja	2	Ja
Gezichtsvector toegang verlenen	In combinatie	n.v.t.	2	Nee	n.v.t.	Ja
Afbeelding gezicht inschrijving	Ja	2	2	Nee	n.v.t.	Ja
Afbeelding toegang verlenen	Ja	2	2	Nee	n.v.t.	Ja

a) Verstrekt door

1 opdrachtgever;
2 gebruiker.

b) in contract met opdrachtgever dan wel gebruiker 

1 uitvoeren overeenkomst;
2 uitdrukkelijke toestemming.

c) bepaald door

1 opdrachtgever;
2 gebruiker.