Van verantwoordelijkheid naar vooruitgang

De afgelopen jaren is gebleken dat wetgeving zoals de GDPR en, recenter, de NIS2-richtlijn leidt tot stagnatie, verwarring en terughoudendheid binnen organisaties. In beide gevallen ligt de oorzaak niet in de intentie van de wetgeving, maar in de manier waarop deze wordt geïnterpreteerd en geïmplementeerd. Onduidelijke definities, brede verplichtingen en open normen zorgen ervoor dat organisaties vaak niet weten wat wel of niet toelaatbaar is. Daardoor worden investeringen uitgesteld, technologieën niet geïmplementeerd en neemt het risico op non-compliance juist toe.

Deze whitepaper toont aan dat er wel degelijk oplossingen bestaan die structureel bijdragen aan compliance én operationele eenvoud. Aan de hand van een praktijkvoorbeeld – de Palm-ID Card, een nieuw ontwikkelde biometrische toegangskaart die fundamenteel anders werkt dan gangbare oplossingen – wordt geïllustreerd hoe technologie die vanaf de basis ontworpen is met privacy en security by design, veel van de structurele problemen van wetgeving oplost in plaats van ze te beheren.

Structurele knelpunten in GDPR en NIS2

De GDPR vraagt van organisaties dat zij zorgvuldig omgaan met persoonsgegevens en daar volledige verantwoording over afleggen. Maar in de praktijk:

  • Zijn kernbegrippen zoals ‘gerechtvaardigd belang’, ‘passende maatregelen’ en ‘minimale gegevensverwerking’ juridisch vaag.
  • Ontstaat verwerking al zodra een kaartnummer wordt gekoppeld aan een persoon, tijdstip of gedraging.
  • Hebben veel organisaties geen volledig zicht op hoe data wordt verwerkt in externe systemen.

Het gevolg is dat organisaties risico’s trachten te beheersen met documentatie, DPIA’s en verwerkersovereenkomsten, maar zelden de fundamentele vraag stellen: Is deze verwerking überhaupt noodzakelijk?

NIS2: technische en organisatorische maatregelen zonder handvatten

NIS2 legt vergelijkbare verplichtingen op voor de beveiliging van netwerk- en informatiesystemen, maar:

  • Laat het aan organisaties zelf over wat ‘passend’ is.
  • Verlegt risico’s naar toeleveranciers via ketenverantwoordelijkheid.
  • Vereist aantoonbare beveiliging, zonder technische richtlijnen.

Ook hier leidt de vaagheid tot terughoudendheid en onzekerheid. Terwijl NIS2 expliciet streeft naar het versterken van cyberweerbaarheid, is het risico groot dat organisaties verzanden in papierwerk en procedures zonder daadwerkelijke risicoreductie.

Palm-ID Card als voorbeeld van risicobeperking door ontwerp

De Palm-ID Card is een voorbeeld van een technologie die vanaf het begin is ontworpen volgens de principes van privacy by design, security by design en minimal data exposure. In plaats van bestaande oplossingen aan te passen aan wetgeving, is de Palm-ID Card ontwikkeld vanuit de vraag: hoe kunnen we toegang veilig regelen zonder persoonsgegevens te verwerken of systemen kwetsbaar te maken?

Ontwerpkeuzes die compliance mogelijk maken

  • De kaart werkt volledig stand-alone en is niet verbonden met een netwerk.
  • Biometrische data wordt uitsluitend opgeslagen op de kaart en nooit extern gedeeld.
  • Bij een succesvolle biometrische match wordt een versleuteld nummer gegenereerd.
  • Alleen het toegangscontrolesysteem van de klant bepaalt de koppeling aan een persoon.
  • Er wordt geen logging uitgevoerd tenzij de klant daar expliciet voor kiest.

Waarom dit wél werkt onder GDPR en NIS2

  • Geen centrale opslag betekent geen risico op datalekken bij systeeminbraak.
  • Geen netwerkconnectie betekent geen kwetsbaarheid voor remote aanvallen.
  • Geen verwerking door de leverancier betekent geen verwerkersovereenkomst of DPIA.
  • Geen standaard logging betekent minimale impact op privacy en naleving van bewaartermijnen.

Doordat de Palm-ID Card niets weet, niets bijhoudt en niets verspreidt, hoeft hij juridisch ook niets te verantwoorden. Het product faciliteert toegang — niet identiteit. En dat maakt het fundamenteel anders dan vrijwel elke andere toegangsoplossing.

Van compliance naar ontwerpkeuze

Zowel GDPR als NIS2 leggen de nadruk op verantwoordelijkheid: niet alleen voor het naleven van regels, maar ook voor het onderbouwen van keuzes. De Palm-ID Card sluit hier naadloos op aan door het risico aan de bron te reduceren:

  • Geen persoonsgegevens → geen verwerking → geen verplichting
  • Geen netwerk → geen kwetsbaarheden → geen dreiging vanuit NIS2
  • Geen logging → geen opslagbeleid → geen retentieconflict

Deze ontwerpkeuzes maken de Palm-ID Card niet alleen juridisch aantrekkelijk, maar ook operationeel eenvoudig en toekomstbestendig. Het resultaat is een product dat wetgeving niet belemmert, maar overbodig maakt door zijn intrinsieke veiligheid en eenvoud.

Conclusie

De stagnatie rondom GDPR en NIS2 is niet te wijten aan onwil, maar aan onduidelijkheid. In beide gevallen geldt: wie risico’s kan vermijden, hoeft ze niet te beheren. De Palm-ID Card toont aan dat technologie, mits vanaf de basis goed ontworpen, kan bijdragen aan rust, zekerheid en eenvoud in een omgeving die steeds complexer wordt. Organisaties doen er goed aan niet langer te zoeken naar oplossingen die wetgeving proberen te omzeilen of in te passen, maar te investeren in producten die wetgeving overbodig maken door risico’s bij de bron weg te nemen.

Meer weten? Neem contact op met een specialist van privacy, security en technologie.

Actueel

Wat is aderpatroonherkenning en hoe werkt het?

In de wereld van biometrische beveiliging is aderpatroonherkenning een innovatieve techniek die steeds meer terrein wint. Maar wat is het precies en hoe werkt het? Wat is aderpatroonherkenning? Aderpatroonherkenning is een biometrische techniek die gebruikmaakt van de...

Superuser-functionaliteit biometrische technologie

Vanwege de explosieve groei van cybercrime neemt de behoefte aan hogere beveiligingsniveaus de komende jaren enorm toe en dan in het bijzonder de biometrische beveiligingsoplossingen op basis van aderpatroonherkenning.* Ironisch genoeg kan de implementatie daarvan...

Biometrische toegangscontrole en privacy: wat zegt de AVG?

Sinds 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht en dat is niet onopgemerkt gebleven. Veel organisaties worstelen nog steeds met de interpretatie ervan. Ook op ons eigen vakgebied, biometrische toegangscontrole, heeft de AVG de nodige impact....

FAR en FRR: beveiligingsniveau versus gebruiksgemak

FAR en FRR. Wie de prestaties van biometrische beveiligingssystemen wil beoordelen of vergelijken, komt niet om deze termen heen. In dit artikel leggen we uit wat FAR en FRR inhouden, hoe ze elkaar beïnvloeden en welke gevolgen ze hebben voor beveiligingsniveau en...

5 veel voorkomende biometrische technieken vergeleken

De bekendste vormen van biometrische beveiliging zijn de vingerafdruk en de irisscan. Daarnaast zijn ook gezichtsherkenning en aderpatroonherkenning (van zowel de vinger als de handpalm) sterk in opkomst. In dit artikel zetten we de voor- en nadelen van al deze vormen...

Hoe werkt aderpatroonherkenning

Er bestaan drie vormen van aderpatroonherkenning. Handpalm aderpatroonherkenning, vinger aderpatroonherkenning (die beide met behulp van zogeheten near infrarood* licht werken) en retina aderpatroonherkenning. 1. Handpalm aderpatroonherkenning De hemoglobine in je...

De basics van de biometrie

Om biometrische toepassingen op waarde te kunnen schatten is het handig om iets te weten over de basisbeginselen. In dit artikel zetten we de ‘basics van de biometrie’ kort voor u uiteen. 1. Algemene definitie van biometrie Biometrische kenmerken zijn unieke,...