maj 5, 2026 Admin

Biometrisk övervakning av studenter kostade universitetet 160 000 euro – tre lärdomar för din organisation

Ett spanskt universitet ville säkerställa att rätt person satt bakom skärmen när studenterna tentade hemifrån. Lösningen? Ansiktsigenkänning och video- och ljudövervakning under hela provet. Resultatet? En sanktionsavgift på 160 000 euro från den spanska dataskyddsmyndigheten AEPD.

Fallet är ett tydligt exempel på vad som händer när ny teknik rullas ut utan att dataskyddsarbetet hinner ikapp. Och även om det hände i Spanien är lärdomarna relevanta för alla svenska organisationer som arbetar med – eller planerar att använda – biometriska system.

Vad hände?

Under 2024 införde universitetet ett övervakningssystem för onlineprov. Systemet använde ansiktsigenkänning för att verifiera studenternas identitet och flagga för misstänkt beteende. Dagen före tentamen fick studenterna ett e-postmeddelande med ett samtyckesformulär, med information om att övervakningen skulle ske oavsett om de samtyckte eller inte.

153 studenter berördes av systemet innan universitetet avvecklade det. En student anmälde till AEPD, och utredningen visade på allvarliga brister.

Tre konkreta lärdomar

1. Samtycke under tidspress räknas inte som giltigt samtycke

Att skicka ut ett samtyckesformulär kvällen innan en tenta uppfyller inte GDPR:s krav på att samtycket ska vara frivilligt och informerat. Studenterna hade i praktiken inget reellt val – tentamen närmade sig och informationen var för vag. AEPD var tydliga: det spelar ingen roll att man frågar om samtycke om förutsättningarna inte medger ett fritt nej.

För er organisation innebär det att samtycke som rättslig grund för känsliga uppgifter kräver genuint handlingsutrymme hos den registrerade. Undersök alltid om det finns en mer stabil rättslig grund, men kom ihåg att biometri kräver att ni också uppfyller de strikta undantagskraven i artikel 9.

2. DPIA ska vara klar innan behandlingen börjar – inte efter

Universitetet hade genomfört en konsekvensbedömning (DPIA), men den var inte undertecknad och hade gjorts efter att systemet redan var i drift. Det räcker inte. Att erbjuda ett alternativ utan ansiktsigenkänning i efterhand visade dessutom att universitetet aldrig hade utvärderat om mindre ingripande metoder var möjliga – vilket är en central del av DPIA-processen. En DPIA ska användas för att bevisa att man valt den minst integritetskränkande metoden innan start. Om det finns ett fungerande alternativ utan biometri (vilket universitetet visade att det fanns), är det svårt att motivera varför biometri överhuvudtaget behövdes.

Enligt GDPR artikel 35 är en DPIA obligatorisk innan behandling av biometriska uppgifter inleds. Den ska dokumentera riskerna och visa att ni har övervägt alternativa tillvägagångssätt.

Med Draftits DPIA-verktyg kan ni genomföra konsekvensbedömningen steg för steg och dokumentera hela processen – så att ni kan visa att ni gjort rätt, om det någonsin skulle granskas.

3. Biometriska uppgifter är nästan alltid känsliga uppgifter

Ansiktsigenkänning i identifieringssyfte klassas som biometriska personuppgifter och omfattas av det strikta skyddet i GDPR artikel 9. Det innebär att ni behöver ett uttryckligt undantag för att ens få behandla dem – och att kraven på dokumentation och proportionalitet är högt ställda.

Många organisationer underskattar detta. Att systemet används för ett legitimt syfte (som att förhindra fusk) räcker inte. Ni måste också kunna visa att det är nödvändigt och att ni inte kan uppnå samma resultat med en mindre ingripande metod.

Vad bör ni göra nu?

Om er organisation använder eller planerar att använda biometriska system – till exempel för tillträdeskontroll, tidrapportering eller identifiering – är det dags att se över grunden ni lutar er mot:

Är den rättsliga grunden giltig och dokumenterad?
Är en DPIA genomförd och godkänd innan behandlingen startade?
Har ni utvärderat om det finns mindre integritetskänsliga alternativ?

Dessa frågor är inte bara relevanta för biometri. De är kärnan i ett seriöst dataskyddsarbete. Med Draftits helhetslösning för dataskydd guidar vi er genom hela konsekvensbedömningen – steg för steg, med rätt dokumentation på plats innan behandlingen börjar.

Vill du se hur det fungerar? Boka en genomgång och se hur ni arbetar säkrare med känsliga uppgifter – innan det blir kostsamt.

Källa: AEPD (Agencia Española de Protección de Datos), beslut publicerat april 2026.

Biometrisk övervakning av studenter kostade universitetet 160 000 euro – tre lärdomar för din organisation

Vad hände?

Tre konkreta lärdomar

1. Samtycke under tidspress räknas inte som giltigt samtycke

2. DPIA ska vara klar innan behandlingen börjar – inte efter

3. Biometriska uppgifter är nästan alltid känsliga uppgifter

Vad bör ni göra nu?

Share blog post

Related blog posts

GDPR i offentlig sektor – hur förenar man dataskydd med krav på öppenhet och insyn

Så kan du som chef prata om (och upptäcka) våld i nära relationer på arbetsplatsen

Skatteregler för sommarfester och gåvor till anställda