De AVG in Beeld: biometrische gegevens (van onze Privacy Management Partners)
Kon u het rijtje met bijzondere persoonsgegevens al opdreunen onder de huidige privacywetgeving?
Dan weet u vast ook al dat er twee nieuwe soorten persoonsgegevens bij zijn gekomen onder de AVG. Naast genetische gegevens vinden we ook de zinsnede “biometrische gegevens met het oog op de unieke identificatie van een persoon” in artikel 9 lid 1 AVG. De kwalificatie van een bijzonder persoonsgegeven betekent dat een verbod op verwerking geldt voor deze gegevens. Natuurlijk mogen ze onder omstandigheden wel gebruikt worden, maar dan moet wel aan specifieke voorwaarden voldaan zijn. Daar gaan we in deze blog op in.
Wat zijn biometrische gegevens?
De AVG omschrijft in haar definities biometrische gegevens als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14).
Kortom, we hebben het over meetgegevens van personen die specifieke eigenschappen bevatten. Andere voorbeelden van biometrische gegevens zijn de iris, het netvlies, de geometrie van een handomtrek, stemgeluid, handschrift en de manier dat iemand zich voortbeweegt.
In de AVG-overwegingen vinden we terug dat foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Het smoelenboek met collega’s zal dus geen verwerking van bijzondere persoonsgegevens zijn. Een nieuw systeem waarbij alle collega’s door middel van gezichtsherkenning hun computer kunnen unlocken, valt wel onder de bijzondere categorie waar een verbod op rust.
Wat zijn de uitzonderingen voor het verwerken van biometrische gegevens?
Naast de uitzonderingsgrondslagen uit de AVG in artikel 9 lid 2 kunnen lidstaten bijkomende voorwaarden of beperkingen stellen voor de verwerking van biometrische gegevens. In de Uitvoeringswet AVG (consultatieversie, december 2016) heeft Nederland voorlopig voorzien in extra uitzonderingsmogelijkheid in artikel 26 Uitvoeringswet AVG.
Het verbod op de verwerking van biometrische gegevens (verwerkt met het oog op unieke identificatie van een persoon) kan voor een specifiek proces worden opgeheven indien dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.” Er dient dus wel een juiste belangenafweging plaats te vinden, maar binnen deze kaders ontstaat er onder deze consultatieversie van de Uitvoeringswet ruimte voor het gebruik van biometrie onder Nederlandse wetgeving.
Deze uitbreiding van de AVG-uitzonderingen is een logische stap gelet op de situatie waarin veel organisaties nu of in nabije toekomst met biometrische toegangscontrole werken voor locaties. Zonder de uitzondering in de Uitvoeringswet AVG is een van de weinige opties voor rechtmatig gebruik van biometrie de uitdrukkelijke toestemming. Die is vaak problematisch gelet op de werkgever-werknemer verhouding. Toestemming is in die gevallen bijna nooit ‘vrij’ gegeven.
Verplichte DPIA bij biometrische gegevens
In overweging 91 van de AVG staat nog iets interessants. Daar wordt uitgelegd wanneer u een Data Protection Impact Assessment (of (D)PIA, of in het Nederlands GEB) moet uitvoeren indien biometrische gegevens worden verwerkt. Daar staat:
“Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.”
Met andere woorden: het lijkt erop dat niet alle biometrische gegevens per definitie bijzondere persoonsgegevens zijn, maar alleen de biometrische gegevens die worden gebruikt met het oog op de unieke identificatie van een persoon. Die bijzin in artikel 9 lid 1 AVG staat daar niet voor niets. Het is goed mogelijk dat de AVG hier dus voor het uitvoeren van een DPIA een bredere interpretatie dan biometrische gegevens als bijzonder persoonsgegeven heeft bedoeld.
Beveiliging met biometrie
Los van het soms nog wat onduidelijke juridische kader, speelt uiteraard ook de praktijk nog een rol. Al een langere tijd tonen veel initiatieven succesvol aan dat ook beveiliging met biometrie niet 100% waterdicht is. Zo kunnen slimme jongens met play-doh, lijm of foto’s van vingerafdrukken al een eind komen. Maar wie weet ziet de AP dat nog door de vingers.
[intro textalign=”left” textcolor=”14px”]
Bron: pmppartners.nl, 9 januari 2018
[/intro]