Extra aandacht voor biometrie bij toegangscontrole

Onder de AVG vallen biometrische gegevens die verwerkt worden met het oog op de unieke identificatie van een persoon, onder de categorie bijzondere persoonsgegevens. Verwerking hiervan is verboden, tenzij hiervoor een wettelijke uitzondering geldt of wanneer de betrokkene uitdrukkelijke toestemming heeft verleend. In de uitvoeringswet AVG (art. 26) heeft Nederland daarnaast voorzien in een extra uitzonderingsmogelijkheid. Welke is dit? En hoe wordt deze toegepast in organisaties?

Biometrische gegevens zijn niet overdraagbare unieke eigenschappen van een persoon. Denk hierbij aan een irisscan, een gezichtsherkenning of een vingervein. Het is uiterst gevoelige informatie, waarmee de identiteit van een persoon kan worden vastgesteld en waar organisaties vertrouwelijk mee om moeten gaan.

Zijn pasfoto’s ook biometrische gegevens?

Pasfoto’s vallen alleen onder de definitie van biometrische gegevens wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een persoon mogelijk maken. Het smoelenboek met collega’s is dus geen verwerking van bijzondere persoonsgegevens.

De uitzondering op het verbod voor verwerking van biometrische gegevens

Het verbod op de verwerking van biometrische gegevens geldt niet voor organisaties die op basis van de bepaling in de uitvoeringswet AVG (art. 26) kunnen aantonen dat dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Hierbij moet rekening worden gehouden met proportionaliteit (in relatie tot het doel) en subsidiariteit (kan het met minder persoonsgegevens dan moet het met minder persoonsgegevens). Kortweg: zijn er oplossingen die hetzelfde beveiligingsniveau realiseren en minder privacy risico’s met zicht mee brengen?

De entree voor een voetbalwedstrijd van Excelsior is bijvoorbeeld een compleet andere context dan de toegangscontrole van het VN-tribunaal. Organisaties moeten de impact en omvang op waarde schatten en dan de juiste afweging maken. Tot slot kan de grondslag “uitdrukkelijke toestemming” nog gebruikt worden als basis voor het verwerken van biometrische gegevens. De wijze waarop dit wordt ingericht, moet dan wel aan de eisen voldoen die de AVG hieraan stelt. Deze toestemming moet schriftelijk vastgelegd worden, vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Gebruik van deze grondslag is in een werkgever-werknemer relatie bovendien vaak niet mogelijk, omdat niet aantoonbaar kan worden gemaakt dat toestemming vrij is verstrekt.

Een DPIA: aantonen dat biometrie noodzakelijk en proportioneel is

Het is voor organisaties verplicht om een DPIA (Data Protection Impact Assesment) uit te voeren alvorens biometrie voor toegangscontrole wordt ingezet. Met een DPIA worden aspecten afgewogen en worden vooraf de privacyrisico’s van de gegevensverwerking in kaart gebracht. Op basis hiervan dienen vervolgens maatregelen genomen te worden om deze risico’s te mitigeren.

Biometrie toepassen in de praktijk

Met een goede onderbouwing is het dus in bepaalde situaties toegestaan om biometrische gegevens te gebruiken voor toegangscontrole. Desondanks dient de eigenaar van de persoonsgegevens hierover altijd geïnformeerd te zijn. De verwerker moet houden aan de procedures zoals beschreven in het verwerkingsregister. Aangezien de verwerking van biometrische gegevens praktisch gezien gevoeliger ligt dan ‘gewone’ persoonsgegevens, dient dit onderdeel extra aandacht te krijgen bij de verwerking ervan.

Meer informatie over biometrie en toegangscontrole?

Wilt u meer informatie of verder in gesprek over dit onderwerp? Nsecure beschikt over een CIPP-E (Certified Information Privacy Professional/Europe) gecertificeerde Privacy Consultant. Indien gewenst kan Nsecure advies geven of een DPIA (Data Protection Impact Assesment) uitvoeren en u helpen bij het waarborgen van AVG-compliant verwerking van biometrische gegevens.