Biometrische toegang en AVG-compliance
Biometrische toegangscontrole — vingerafdruk, gezichtsherkenning, iriscan — biedt een hoog beveiligingsniveau maar raakt aan fundamentele privacyrechten. De AVG stelt strenge voorwaarden aan de verwerking van biometrische gegevens. Voor de facility manager is het essentieel om het juridisch kader te kennen voordat biometrie wordt overwogen.
Nederlandse context
De Uitvoeringswet AVG (UAVG) verbiedt in artikel 29 de verwerking van biometrische gegevens voor unieke identificatie, tenzij het noodzakelijk is voor authenticatie of beveiligingsdoeleinden. De Autoriteit Persoonsgegevens (AP) heeft in meerdere handhavingsbesluiten verduidelijkt dat werkgevers biometrie alleen mogen inzetten als er geen minder ingrijpend alternatief beschikbaar is. Een Data Protection Impact Assessment (DPIA) is verplicht bij grootschalige biometrische verwerking.
Kernbegrippen
- Biometrische gegevens
- Persoonsgegevens die het resultaat zijn van technische verwerking van fysieke of gedragskenmerken, zoals een vingerafdruktemplate of gezichtsscan.
- Bijzondere persoonsgegevens
- Categorie in de AVG waartoe biometrische gegevens behoren. Verwerking is verboden tenzij een wettelijke uitzondering van toepassing is.
- DPIA
- Data Protection Impact Assessment — verplichte risicobeoordeling voorafgaand aan verwerkingen die een hoog privacyrisico met zich meebrengen.
- Noodzakelijkheidstoets
- De juridische eis dat biometrische toegangscontrole alleen is toegestaan als er geen minder ingrijpend alternatief is dat hetzelfde beveiligingsniveau biedt.
Wat de wet vereist
De AVG classificeert biometrische gegevens als bijzondere persoonsgegevens. Verwerking is in principe verboden, tenzij een uitzondering van toepassing is. De UAVG staat verwerking toe wanneer het noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Het woord 'noodzakelijk' is hier juridisch zwaar: u moet aantonen dat een pasjesysteem of andere methode het vereiste beveiligingsniveau niet kan bieden.
Voordat u biometrische toegangscontrole invoert, moet u een DPIA uitvoeren. Deze beoordeling beschrijft het doel van de verwerking, de noodzakelijkheid, de risico's voor betrokkenen en de maatregelen om die risico's te beperken. Raadpleeg uw functionaris voor gegevensbescherming (FG) en betrek de Ondernemingsraad — die heeft instemmingsrecht op grond van artikel 27 WOR.
Praktisch betekent dit dat biometrie in de meeste kantooromgevingen niet gerechtvaardigd is. Een pasjesysteem met pincode (twee-factorauthenticatie) biedt doorgaans voldoende beveiliging. Biometrie kan wel gerechtvaardigd zijn voor hoogbeveiligde zones zoals datacenters, laboratoria of kluizen, mits de DPIA positief uitvalt en betrokkenen adequaat zijn geïnformeerd over de verwerking en hun rechten.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via Toegangscontrole op FM Radar →