Sinds 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht en dat is niet onopgemerkt gebleven. Veel organisaties worstelen nog steeds met de interpretatie ervan. Ook op ons eigen vakgebied, biometrische toegangscontrole, heeft de AVG de nodige impact. Dat bleek o.a. enige jaren geleden uit een uitspraak in deze zaak tussen Manfield en een werknemer.
De rechter bepaalde in die zaak dat de schoenwinkelketen werknemers niet had mogen verplichten hun vingerafdruk af te staan voor biometrische toegang tot het kassasysteem. De case van Manfield werpt de vraag op: wat mag er nu eigenlijk wel en wat mag er niet volgens de AVG? In dit artikel schetsen we het juridische kader waarmee organisaties rekening moeten houden die biometrische toegangscontrole gebruiken of overwegen in te voeren.
Rekening houden met de AVG én de UAVG
De AVG is inmiddels een bekende afkorting. Het is de letterlijke vertaling van de GDPR, de Europese verordening ter bescherming van de persoonsgegevens. Iets minder bekend, maar zeker niet minder relevant als we het over biometrische toegangscontrole en privacy hebben, is de Uitvoeringswet AVG, oftewel de UAVG.
Daar waar de AVG ruimte laat voor nationale keuzes zijn deze, waar nodig, verwerkt in de UAVG. Over het gebruik van biometrische toegangscontrole wordt binnen de AVG, die op alle Europese lidstaten van toepassing is, niet gesproken. De UAVG, die uitsluitend in Nederland geldt, gaat hier wel op in.
AVG: verwerking biometrische gegevens alleen bij uitdrukkelijke toestemming en keuzevrijheid
In de AVG is bepaald dat gebruik van biometrie verboden is (artikel 9, lid 1) “…tenzij de betrokkene uitdrukkelijke toestemming [heeft] gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden…”
Alleen wanneer iemand uitdrukkelijk toestemming verleent, mogen diens biometrische gegevens dus worden verwerkt. En let op: er moet ook sprake zijn van keuzevrijheid. Je moet als organisatie dus ook altijd een andere methode aanbieden om de persoon in kwestie te identificeren.
Meer weten? Neem contact op.
Biometrie voor werknemers: alleen indien noodzakelijk en proportioneel
Als het gaat om werknemers, stelt de wet nog strengere eisen aan de verwerking van biometrische gegevens. Dit vanwege de gezagsverhouding tussen werkgever en werknemer. Niet iedereen zegt immers even makkelijk ‘nee’ tegen zijn of haar werkgever, zeker niet als daar consequenties aan verbonden kunnen zijn. Verwerking van biometrische gegevens van werknemers mag daarom alleen als die noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Om precies te zijn wordt het onderwerp biometrie in artikel 29 van de UAVG als volgt uit de AVG overgenomen: “Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.”
Ook bepaalt de wet dat er een toetsing nodig is of biometrie noodzakelijk en proportioneel is, en in verhouding staat tot de inbreuk op de privacy. In het kader van deze toetsing is een zogeheten Data Protection Impact Assessment (DPIA) verplicht.
Data Protection Impact Assessment (DPIA)
Wilt u zelf biometrische toegangscontrole gebruiken? Dan moet er vooraf altijd een Data Protection Impact Assessment (DPIA) plaatsvinden. Dit is een instrument waarmee organisaties de privacyrisico’s in kaart kunnen brengen die er komen kijken bij de verwerking van biometrische gegevens. Daarnaast kunnen er in de DPIA maatregelen worden beschreven ter beperking van deze risico’s.
De DPIA moet in ieder geval de volgende onderdelen bevatten:
- Een systematische beschrijving van de verwerking van gegevens
- Het doel van de verwerking
- Een beoordeling van de noodzaak van de verwerking, in verhouding tot de inbreuk op privacy
- Beschrijving van de privacyrisico’s
- Maatregelingen ter beperking van deze risico’s
DPIA: waar te beginnen?
Veel van de onderdelen binnen de DPIA hebben betrekking op de werking van het biometrische product dat u wilt gebruiken. Daarom is de leverancier van uw systeem een logisch startpunt. Voor onze eigen systemen hebben wij alle relevante informatie in elk geval nauwkeurig in kaart gebracht.
Interessante optie: biometrische toegangscontrole zónder verwerking in een database
Veel van de privacyzorgen rond biometrische toegangscontrole vloeien voort uit de verwerking van persoonsgegevens in een database. Want wat als onbevoegden toegang krijgen tot zo’n database? Met het oog daarop is het goed om te weten dat er tegenwoordig ook oplossingen bestaan waarbij biometrische gegevens van een persoon niet worden opgeslagen en verwerkt in een database, maar op een kaart worden gezet.
Overigens geldt ook voor dit soort oplossingen dat het ene systeem het andere niet is, bijvoorbeeld als het gaat om de gebruikte encryptietechnologie. Dus welke oplossingen u ook vergelijkt, bekijk ze altijd door een (U)AVG-bril. Alleen op die manier zorgt u ervoor dat zowel de biometrische toegangscontrole als de privacy van uw medewerkers goed geregeld is. Zoals de wet het voorschrijft.
Meer weten of zoekt u een biometrische beveiligingsoplossing voor uw organisatie?