MENU
Biometrische gegevens en de AVG

Biometrische gegevens en de AVG

13 maart 2018

Steeds vaker wordt voor identificatie en verificatie gebruik gemaakt van biometrische gegevens. Denk aan vingerafdruk, de irisscan, toetsaanslaganalyse of gezichtsherkenning.

Mag dat eigenlijk nog wel onder de nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming)?

Biometrische gegevens

Biometrische gegevens zijn gegevens over gedragskenmerken en fysiologische kenmerken van een persoon, die de unieke identificatie van die persoon mogelijk maken, zoals een vingerafdruk of een (portret)foto. Deze gegevens kunnen worden gebruikt om mensen te identificeren.

Wettelijk verbod en uitzonderingen daarop

Onder de Algemene Verordening Gegevensbescherming zijn biometrische gegevens voor het eerst expliciet opgenomen in een wettelijke regeling. Onder de AVG is geregeld dat wanneer biometrische gegevens worden verwerkt met het oog op de unieke identificatie van een persoon, de gegevens als “bijzondere persoonsgegevens” worden aangemerkt. Een foto van iemand die ter identificatie wordt gebruikt (bijvoorbeeld bij een toegangscontrole) is daarmee een bijzonder persoonsgegeven. Een foto die iemand herkenbaar in beeld brengt, maar het doel “identificatie” niet heeft, is geen bijzonder persoonsgegeven. In principe rust er een algemeen verbod op de verwerking van bijzondere persoonsgegevens, dus ook op de verwerking van biometrische gegevens ter identificatie.

Er bestaan uitzonderingen op het algemene verbod. Biometrische gegevens mogen bijvoorbeeld wel verwerkt worden:

  • wanneer de betrokkene daarvoor uitdrukkelijk toestemming heeft gegeven (let erop dat toestemming ook weer allerlei beperkingen heeft, zie ook hieronder); of
  • Wanneer dit noodzakelijk is om wettelijke plichten of rechten na te komen binnen het arbeidsrecht of sociale zekerheids- en sociaalbeschermingsrecht (hetgeen in een cao of wettelijke regeling moet zijn vastgelegd); of
  • wanneer het gebruik van biometrische gegevens noodzakelijk is om iemands vitaal belang te dienen  (dat zijn urgente medische kwesties );of
  • wanneer het noodzakelijk is in het kader van een gerechtelijke procedure (bijvoorbeeld als bewijsstuk); of
  • wanneer het noodzakelijk is voor medische doeleinden in het kader van arbeid (dit is beperkt toepasbaar);
  • bij zwaarwegend algemeen belang.

In Nederland is in de Uitvoeringswet een nadere invulling gegeven aan het verbod. De Nederlandse wetgever acht het verbod op het verwerken van biometrische gegevens niet van toepassing wanneer dit ‘geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde’, aldus art. 26 van de Uitvoeringswet.  

Dat betekent dat je biometrische identificatie mag inzetten voor identificatiedoeleinden wanneer sprake is van een gerechtvaardigd belang, er geen andere mogelijkheid voor identificatie is én de verwerking van de gegevens niet  verder gaat dan noodzakelijk voor dat belang (denk aan o.a. bewaartermijnen, soort en hoeveelheid biometrische gegevens, etc.). Wie biometrische verificatie- of identificatiemethoden gebruikt, moet de onderbouwing daarvoor vastleggen in het verwerkingsregister. Dat geldt niet alleen voor de verantwoordelijke. De AVG schrijft immers voor dat een verwerker ook verplicht kan zijn een verwerkingsregister bij te houden.

Case uit de praktijk: de Autoriteit Persoonsgegevens oordeelt dat assessmentbureau niet voldoet aan de wettelijke vereisten voor het verwerken van bijzondere persoonsgegevens (gezondheidsgegevens)

De regels over gebruik en verwerking van biometrische gegevens gelden deels ook al onder de huidige Wet bescherming persoonsgegevens. De Autoriteit Persoonsgegevens (AP) tikte assessment-platform BrainCompass op de vingers, omdat het bedrijf persoonsgegevens over ras en gezondheid in strijd met de Wet bescherming persoonsgegevens verwerkt. De manier waarop BrainCompass toestemming vraagt aan deelnemers voor de verwerking van hun gegevens, voldoet niet aan de wettelijk vereisten en de beveiliging van persoonsgegevens is niet op orde.

BrainCompass is een assessmentbureau, dat een biologisch profiel gebruikt als basis voor de rapportage aan klanten. De AP heeft vastgesteld dat BrainCompass geen (geslaagd) beroep kan doen op een van die wettelijke uitzonderingsgronden voor het gebruik van bijzondere persoonsgegevens. Zo gaven de deelnemers aan de assessments wel toestemming, maar volgens de AP kan van uitdrukkelijke toestemming alleen sprake zijn als deze vrij, specifiek en geïnformeerd is gegeven. Omdat een deel van de mensen die bij BrainCompass een assessment ondergaan, dit binnen een arbeidsrelatie doet en de werknemer (financieel) afhankelijk is van de werkgever is, kan geen sprake zijn van ‘vrije’ toestemming. Daarnaast stelde de AP vast dat informatie over verstrekking van persoonsgegevens aan derden onduidelijk en onvolledig was en dat  BrainCompass onjuiste en onvolledige informatie verstrekte over de vrije toestemming in arbeidsrelaties.

Maakt u gebruik van biometrische gegevens en wilt u weten of uw beveiliging – technisch en organisatorisch – op orde zijn? Neem dan contact met ons op!

 

Praktijkgroep IT Internet en Privacy
  • I. (Iris) Tuk