Mag je onder de Privacyverordening geen biometrische identificatie meer uitvoeren?

Een lezer vroeg me:

Bij het nalezen van de Algemene Verordening Gegevensbescherming viel me op dat biometrische gegevens daar als zogeheten bijzondere persoonsgegevens aangemerkt worden. Het verwerken daarvan is verboden, tenzij in de AVG expliciet toegestaan wordt dat dit mag. Maar dat betekent effectief dat biometrische identificatie niet meer mag, want toestemming eisen is natuurlijk niet mogelijk en er is geen algemene belangenafweging. Klopt deze conclusie?

Het klopt dat de AVG (de Privacyverordening) in beginsel verbiedt dat iemand biometrische persoonsgegevens verwerkt. Daaronder vallen vingerafdrukken, gezichtsherkenning, irismetingen en dergelijke. Het doel doet er daarbij niet toe, je mag die gegevens gewoon niet verzamelen, opslaan of gebruiken want het zijn bijzondere persoonsgegevens. Ze onthullen immers gevoelige informatie over personen.

Het gebruik van bijzondere persoonsgegevens mag alleen in speciale gevallen, zoals bij het dienen van iemands “vitaal belang” – urgente medische kwesties – of een zwaarwegend algemeen belang. Daarnaast kun je met “uitdrukkelijke toestemming” soms nog een grondslag verkrijgen, maar die toestemming moet vrijwillig en apart worden gegeven en kan op ieder moment worden ingetrokken. Daarmee is er eigenlijk geen grondslag om te kunnen werken met bijzondere persoonsgegevens voor beveiliging, toegangscontrole et cetera.

(Voor ‘gewone’ persoonsgegevens ligt dat anders; daar is er de grond van de “eigen dringende noodzaak” waarbij een belangenafweging eigenlijk genoeg is. Die grond bestaat nadrukkelijk niet in de AVG voor bijzondere persoonsgegevens.)

De reden dat er specifiek voor biometrische identificatie geen regeling is in de AVG, is een politieke: de Europese landen konden het niet eens worden over of en in hoeverre dit toegestaan zou moeten zijn. Daarom is dit onderwerp buiten scope gelaten. Landen mogen dit dus zelf regelen als zij het willen toestaan. En gelukkig lijkt Nederland dat te willen: in de Uitvoeringswet (althans het concept dat in internetconsultatie is gegaan) is een artikel 26 opgenomen:

Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.

Oftewel, je mag biometrische identificatie inzetten mits je maar een duidelijk belang daarvoor hebt én eigenlijk geen andere optie hebt ter identificatie dan biometrie. Je moet dit onderbouwen en die onderbouwing moet in je verwerkingsregister zitten.

Dit is met name van belang voor het kunnen identificeren van bezoekers en werknemers. Die hebben namelijk geen keus als ze door zo’n scan heen moeten. Werknemers kunnen juridisch geen toestemming geven aan hun werkgever. Ook bij bezoekers lijkt me dat een lastig te verdedigen punt: je bent er al, je wilt/moet naar binnen en dan moet je even toestemming geven voor een vingerafdruk of irisscan. Dat klopt niet.

(Diensten zoals Privium of de vingerafdrukscanner op je laptop zijn een ander verhaal. Daar kies je zelf voor en je kunt op ieder moment die keuze ongedaan maken.)

Arnoud

10 reacties

  1. Opzichter vanuit security oogpunt vind Ik dit niet zo gek. Biometrische? beveiliging word keer op keer aantoonbaar gekraakt,en een nieuw wachtwoord is niet mogelijk met een vingerafdruk of irisscan.

    Helaas zijn we technisch nog niet instaat dit zowel veilig voor zowel gebruiker als leverancier te gebruiken. Als je er zelf voor kiest prima, maar geen verplichtingen.

  2. Tja, met die uitvoeringswet wordt het wel heel gemakkelijk om het verbod te omzeilen. Je hoeft alleen maar een reden te verzinnen, die natuurlijk best een beetje opgedikt wordt, deze in het verwerkingsregister zetten en klaar is kees. Alleen bij heel grote partijen zal daar iemand vragen over gaan stellen.

    Klopt de redenering niet en is de verwerking daarom niet rechtsgeldig? Boeiend, je wordt toch nooit gestraft.

  3. Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.

    Vertaling: ‘Je mag geen biometrische gegevens verwerken om iemand te identificeren behalve wanneer je dat doet om iemand te identificeren…’

    1. Is dat raar? Juridisch gezien klopt het, er is een verbod op identificatie middels biometrische persoonsgegevens dat mag worden opgeheven via regelingen met waarborgen. “Het verbod op parkeren is niet van toepassing indien het parkeren niet langer dan 15 minuten duurt” is toch ook een normale zinsconstructie?

      1. Dan wel ja. Want dan beschrijft het stuk achter ‘indien’ een gedeelte dat uigezonderd wordt van het verbod. Maar in het geval van

        Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene…
        zondert het gedeelte achter ‘indien’ alles uit dat in het eerste deel is verboden, nl. het verwerken van biometrische gegevens ter identificatie. Daarmee lijkt dit verbod me overbodig.

  4. Ik vraag mij af of CAPTCHA’s hier ook onder vallen. Immers, het is een belangrijk gegeven voor sites om te weten of een bezoeker echt is of gewoon een bot. Okay, de biometrische data is beperkt tot: “Deze gebruiker is echt” maar toch… Waar ligt de grens waarbij biometrische gegevens hieronder zullen vallen?

  5. CAPTCHA’s verwacht ik dat wel mogen. Overigens heb je datacenters die de beveiliging via een vingerafdrukscanner regelen. In hoeverre dat mag vraag ik me nu wel af. Immers als iemand dat weigert die er werkt (voor het datacenter of voor een klant er van) in hoeverre is dan sprake van toestemming?

  6. Vraag: mag ik in mijn app gebruik blijven maken van authenticatie via vingerscanner (of gezicht / iris / hand / … ) zonder specifieke toestemming? Technisch gezien doe ik niets met de scan van de vingerprint. Enkel krijg ik een goed of fout door van het apparaat / scanner. Volgens de tekst en functioneel gebruik je biometrische gegevens om te identificeren. Mijnziens, zolang je de technische uitkomst / gegevens van de vingerscanner niet opslaat of verwerkt kan je de identificatie scan blijven gebruiken zoals nu het geval is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.