Extra aandacht voor biometrie bij toegangscontrole

blog
  • Project & System Integration
  • Workflow & Identity
  • Performance & Maintenance
  • Observation & Control
  • Insourcing
    08 juni 2018

    Onder de AVG zijn biometrische gegevens verwerkt met het oog op de unieke identificatie van een persoon, een nieuwkomer in de categorie bijzondere persoonsgegevens. Verwerking hiervan is verboden, tenzij hiervoor een wettelijke uitzondering geldt. In de uitvoeringswet AVG (art. 26) heeft Nederland daarnaast voorzien in een extra uitzonderingsmogelijkheid. Welke is dit? En hoe wordt deze toegepast in organisaties?

    biometrie

    Biometrische gegevens zijn niet overdraagbare unieke eigenschappen van een persoon. Denk hierbij aan een irisscan, een gezichtsherkenning of een vingervein. Het is uiterst gevoelige informatie, waarmee de identiteit van een persoon kan worden vastgesteld en waar organisaties vertrouwelijk mee om moeten gaan.

    Zijn pasfoto’s ook biometrische gegevens?

    Pasfoto’s vallen alleen onder de definitie van biometrische gegevens wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Het smoelenboek met collega’s is dus geen verwerking van bijzondere persoonsgegevens.

    De uitzondering op het verbod voor verwerking van biometrische gegevens

    Het verbod op de verwerking van biometrische gegevens kunnen organisaties opheffen als zij op basis van gerechtvaardigd belang kunnen aantonen dat dit noodzakelijk en proportioneel is voor het doel dat zij willen bereiken. De entree voor een voetbalwedstrijd van Excelsior is bijvoorbeeld een compleet andere context dan de identiteitscontrole en entree van het VN-tribunaal. Organisaties moeten de impact en omvang op waarde schatten en dan de juiste afwegingen maken.

    Hoe tonen organisaties aan dat biometrie noodzakelijk en proportioneel is?

    Het is voor organisaties verplicht om een PIA uit te voeren als er plannen zijn om biometrie voor toegangscontrole in te zetten. Met een PIA wordt vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht. Hiermee kunnen vervolgens maatregelen genomen worden om deze risico’s te verkleinen.

    Biometrie toepassen in de praktijk

    Met een goede onderbouwing is het dus in bepaalde situaties toegestaan om biometrische gegevens te gebruiken voor toegangscontrole. Desondanks dient de eigenaar van de persoonsgegevens hierover altijd geïnformeerd te zijn. De verwerker heeft een zorgplicht dat hij zich moet houden aan de procedures zoals beschreven in het verwerkingsregister. Aangezien de verwerking van biometrische gegevens praktisch gezien gevoeliger ligt dan ‘gewone’ persoonsgegevens, dient dit onderdeel extra aandacht te krijgen bij de verwerking ervan.

    Meer weten over biometrie en toegangscontrole?

    Samen met Privacy Management Partners denkt Nsecure met u mee om AVG compliant te zijn, zonder dat u daarvan hinder ondervindt. De komende weken publiceren wij een aantal artikelen over AVG in relatie tot access control. Wilt u op de hoogte blijven of meer weten over dit onderwerp? Volg ons via LinkedIn of Twitter of neem contact op via info@nsecure.nl .

    • Project & System Integration
    • Workflow & Identity
    • Performance & Maintenance
    • Observation & Control
    • Insourcing