De meest gangbare en toegepaste vormen van biometrie zijn de vingerafdruk, de iris- of netvliesscan, stemherkenning en de gezichtsscan. Organisaties zetten deze vormen van biometrie vaak in voor identificatie bij toegangscontrole.
Minister Dekker van Rechtsbescherming beantwoordt Kamervragen over het bericht ‘Tientallen camera’s houden klanten van filiaal Jumbo in de gaten: Willen we dit?’.
Verboden
De verwerking van biometrische gegevens is op grond van artikel 9, eerste lid, AVG met het oog op de unieke identificatie van een persoon in principe verboden (artikel 9 ziet op de verwerking van bijzondere categorieën van persoonsgegevens).
Het verbod geldt niet als de verwerkingsverantwoordelijke zich baseert op een van de uitzonderingen van artikel 9, tweede lid, AVG. Van deze uitzonderingen zijn die onder a en g relevant in relatie tot gezichtsherkenning.
Toestemming
De onder a bedoelde uitzondering betreft het geval waarin betrokkene uitdrukkelijk toestemming voor toepassing van gezichtsherkenning voor een of meer welbepaalde doeleinden heeft gegeven.
Zwaarwichtig belang
De onder g bedoelde uitzondering heeft betrekking op gezichtsherkenning die noodzakelijk is om redenen van zwaarwegend algemeen belang, door de nationale wetgever is toegestaan en aan bepaalde onder g genoemde voorwaarden voldoet.
Lees hier de integrale tekst van de AVG
Authenticatie of beveiliging
Het verbod om biometrische gegevens te verwerken is niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden, zo stelt artikel 29 Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
De minister heeft eind oktober 2019 laten weten de UAVG te wijzigen en in artikel 29 UAVG expliciet het belang te benoemen dat in de rechtspraktijk noodzakelijk kan maken om biometrische gegevens te verwerken voor authenticatie en beveiligingsdoeleinden. Verder moet de betrokkene bij expliciete toestemming altijd de optie hebben om te weigeren, maar toch gebruik kunnen blijven maken van de dienst.
Artikel 29. Uitzonderingen inzake biometrische gegevens
Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
AVG-proof?
De Autoriteit Persoonsgegevens (AP) heeft normenkaders en beleidsregels opgesteld voor specifieke toepassingen van gezichtsherkenningstechnologie, zoals het normenkader digitale billboards. Hier geeft de AP aan onder welke omstandigheden het gebruik van gezichtsherkenningstechnologie eventueel legitiem zou kunnen zijn.
Daarnaast heeft het Hof van Justitie van de Europese Unie in een recente uitspraak in een Nederlandse zaak wat betreft de afname en verwerking van biometrische gegevens (in deze zaak een gezichtsopname en vingerafdrukken) van vreemdelingen, geoordeeld dat het voorkomen en bestrijden van identiteits- en documentfraude een goede reden kan zijn om het afnemen van biometrische gegevens verplicht te stellen.
De betreffende inbreuk mag echter niet verder gaan dan nodig is om het nagestreefde doel te bereiken en mag geen onevenredige inbreuk vormen op het recht op de persoonlijke levenssfeer bij de verwerking van persoonsgegevens. Het EU-Hof heeft geoordeeld dat in dit geval aan deze voorwaarden is voldaan.
Beantwoording Kamervragen door minister Dekker
Vingerafdruk verplicht?
Mag een werkgever de werknemer verplichten een vingerafdruk af te staan?
De werkgever moet vooraf een afweging maken of identificatie met biometrische gegevens noodzakelijk is. Soms kan de werkgever het nodig vinden om een vingerafdruk te gebruiken als identificatie van de werknemer, bijvoorbeeld als de werknemer met zijn vingerafdruk toegang krijgt tot een plek met een hoog veiligheidsrisico.
Als er geen noodzaak is, mag de werkgever de werknemer niet om toestemming vragen om de vingerafdruk te verwerken.
Bij noodzaak mag de werkgever de vingerafdruk alleen gebruiken als hij niet de vingerafdruk zelf opslaat, maar deze opslaat in de vorm van een versleutelde code. Ook is de werkgever wettelijk verplicht om het systeem dat de code op deze manier opslaat goed te beveiligen.
Meer over biometrie op site Autoriteit Persoonsgegevens