Wist je dat het verwerken van vingerafdrukken niet per definitie verboden is maar wel een strenge toets moet doorstaan? En wist je dat je uit biometrische gegevens zoals een vingerafdruk vaak meer kunt afleiden dan je op het eerste gezicht zou denken?
Biometrische persoonsgegevens
Biometrische persoonsgegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon. Op grond hiervan is eenduidige identificatie van die persoon mogelijk. Of wordt zijn/haar identiteit bevestigd.
Voorbeelden van biometrische persoonsgegevens zijn vingerafdrukken of gezichtsafbeeldingen. Deze lichaamskenmerken zijn uniek. Daarom kunnen organisaties ze gebruiken om mensen te identificeren of te controleren of iemand is wie hij/zij zegt te zijn (authenticatie).
De meest gangbare en toegepaste vormen van biometrie zijn de vingerafdruk, de iris- of netvliesscan, stemherkenning en de gezichtsscan. Organisaties zetten deze vormen van biometrie vaak in voor identificatie bij toegangscontrole. Ook kunnen organisaties bepaalde gedragskenmerken gebruiken voor identificatie, bijvoorbeeld de manier waarop iemand een handtekening zet.
Privacy waarborgen
Het waarborgen van de privacy van een individu is van groot belang bij de inzet van biometrie. De unieke lichaamskenmerken zijn te herleiden naar één individu. Biometrische gegevens bevatten vaak ook meer informatie dan strikt noodzakelijk is voor bijvoorbeeld identificatie. Zo kan uit bepaalde lichaamskenmerken ook afgeleid worden wat iemands gezondheidstoestand of ras is.
De Algemene verordening gegevensbescherming (AVG) regelt de verwerking van biometrische persoonsgegevens. Daarnaast bevat de Uitvoeringswet AVG (UAVG) nadere bepalingen hierover.
Bijzondere persoonsgegevens
De AVG bepaalt dat de verwerking van biometrische persoonsgegevens een verwerking van bijzondere persoonsgegevens is. Volgens de AVG is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden. Nederland heeft in de UAVG bijkomende voorwaarden hierover vastgesteld. Het verbod op het verwerken van biometrische gegevens is in Nederland niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Inzet biometrie voor toegangscontrole?
Het gebruik van biometrische persoonsgegevens als vingerafdrukken of gezichtsafbeeldingen voor toegangscontrole is niet per definitie verboden. Toegangscontrole met biometrie is toegestaan als het noodzakelijk is voor beveiligingsdoeleinden. Dat staat in de UAVG.
Een strenge toets is dan nodig of het belang van het gebruik van biometrie in verhouding staat tot de inbreuk op de privacy. En of het gebruik van biometrische gegevens de beste manier is om de toegang te beveiligen of dat er ook andere manieren zijn.
Bij een kerncentrale mag bijvoorbeeld biometrie worden ingezet voor toegangscontrole. Daar is het belang van beveiliging heel groot en mogen maar bepaalde mensen toegang hebben.
Verplicht vingerafdruk afstaan?
De werkgever kan de werknemer vragen om een vingerafdruk te geven, bijvoorbeeld voor toegangscontrole. Of de werknemer verplicht is de vingerafdruk af te staan, hangt ervan af of de verwerking van de vingerafdruk noodzakelijk is. De werkgever moet daarom vooraf een afweging maken of identificatie met biometrische gegevens noodzakelijk is.
De werkgever moet afwegen of gebouwen en informatiesystemen zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken.
De werkgever kan in bepaalde gevallen een noodzaak hebben om de vingerafdruk te gebruiken om de werknemer te identificeren, bijvoorbeeld als de werknemer met de vingerafdruk toegang krijgt tot een plek met een hoog veiligheidsrisico, zoals een kerncentrale.
Noodzakelijk gebruik
Het gebruik van de vingerafdruk moet hiervoor dan wel noodzakelijk zijn. Dat wil zeggen dat de werkgever het doel, in dit geval toegangscontrole, niet op een andere manier kan bereiken.
Is er geen manier die minder ingrijpend is voor de privacy van werknemers, zoals gebruik van een toegangspas? Alleen als de werkgever het doel niet op een andere manier kan bereiken, is er sprake van noodzaak.
Toestemming geldt niet
Let op: is er geen noodzaak maar vraagt de werkgever toestemming van de werknemer om de vingerafdruk te verwerken? Dat mag niet. De werknemer is namelijk afhankelijk van de werkgever, dus niet in een positie om te kunnen weigeren.
Vingerafdruk beveiligen
Heeft de werkgever een noodzaak? Dan mag hij de vingerafdruk alleen gebruiken als hij niet de vingerafdruk zelf opslaat, maar deze opslaat in de vorm van een versleutelde code. Met deze code kan de werkgever nagaan of het de werknemer is. Uit zo’n code kan niemand de vingerafdruk afleiden.
Ook is de werkgever wettelijk verplicht om het systeem dat de code op deze manier opslaat goed te beveiligen.
Alles over biometrie op de site van Autoriteit Persoonsgegevens