Mag je onder de Privacyverordening geen biometrische identificatie meer uitvoeren?

Een lezer vroeg me:

Bij het nalezen van de Algemene Verordening Gegevensbescherming viel me op dat biometrische gegevens daar als zogeheten bijzondere persoonsgegevens aangemerkt worden. Het verwerken daarvan is verboden, tenzij in de AVG expliciet toegestaan wordt dat dit mag. Maar dat betekent effectief dat biometrische identificatie niet meer mag, want toestemming eisen is natuurlijk niet mogelijk en er is geen algemene belangenafweging. Klopt deze conclusie?

Het klopt dat de AVG (de Privacyverordening) in beginsel verbiedt dat iemand biometrische persoonsgegevens verwerkt. Daaronder vallen vingerafdrukken, gezichtsherkenning, irismetingen en dergelijke. Het doel doet er daarbij niet toe, je mag die gegevens gewoon niet verzamelen, opslaan of gebruiken want het zijn bijzondere persoonsgegevens. Ze onthullen immers gevoelige informatie over personen.

Het gebruik van bijzondere persoonsgegevens mag alleen in speciale gevallen, zoals bij het dienen van iemands “vitaal belang” – urgente medische kwesties – of een zwaarwegend algemeen belang. Daarnaast kun je met “uitdrukkelijke toestemming” soms nog een grondslag verkrijgen, maar die toestemming moet vrijwillig en apart worden gegeven en kan op ieder moment worden ingetrokken. Daarmee is er eigenlijk geen grondslag om te kunnen werken met bijzondere persoonsgegevens voor beveiliging, toegangscontrole et cetera.

(Voor `gewone’ persoonsgegevens ligt dat anders; daar is er de grond van de “eigen dringende noodzaak” waarbij een belangenafweging eigenlijk genoeg is. Die grond bestaat nadrukkelijk niet in de AVG voor bijzondere persoonsgegevens.)

De reden dat er specifiek voor biometrische identificatie geen regeling is in de AVG, is een politieke: de Europese landen konden het niet eens worden over of en in hoeverre dit toegestaan zou moeten zijn. Daarom is dit onderwerp buiten scope gelaten. Landen mogen dit dus zelf regelen als zij het willen toestaan. En gelukkig lijkt Nederland dat te willen: in de Uitvoeringswet (althans het concept dat in internetconsultatie is gegaan) is een artikel 26 opgenomen:

Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.

Oftewel, je mag biometrische identificatie inzetten mits je maar een duidelijk belang daarvoor hebt én eigenlijk geen andere optie hebt ter identificatie dan biometrie. Je moet dit onderbouwen en die onderbouwing moet in je verwerkingsregister zitten.

Dit is met name van belang voor het kunnen identificeren van bezoekers en werknemers. Die hebben namelijk geen keus als ze door zo’n scan heen moeten. Werknemers kunnen juridisch geen toestemming geven aan hun werkgever. Ook bij bezoekers lijkt me dat een lastig te verdedigen punt: je bent er al, je wilt/moet naar binnen en dan moet je even toestemming geven voor een vingerafdruk of irisscan. Dat klopt niet.

(Diensten zoals Privium of de vingerafdrukscanner op je laptop zijn een ander verhaal. Daar kies je zelf voor en je kunt op ieder moment die keuze ongedaan maken.)

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Gerelateerde berichten:

• Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot? (02/10/17 08:14)
• Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG? (14/06/21 08:14)
• Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening (03/07/17 08:14)
• Gezichtsherkenning op Facebook; een gevaar voor onze privacy? (01/09/11 16:14)
• Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken? (12/08/16 08:15)

Reacties:

Er zijn nog geen reacties op dit bericht.