Onlangs heeft de Autoriteit Persoonsgegevens (hierna: AP) een boete van €725.000 opgelegd aan een bedrijf dat biometrische gegevens van haar medewerkers verwerkte. In een uitspraak van de voorzieningenrechter is bepaald dat de naam van het desbetreffende bedrijf niet bekend zal worden gemaakt. Eerder, in augustus 2019 had de kantonrechter een ander bedrijf (Landelijke schoenwinkel) al op de vingers getikt vanwege het gebruik van een vingerscan autorisatiesysteem voor het openen van kassa’s. Het verwerken van biometrische gegevens kan dus niet zomaar.
Wat zijn biometrische gegevens en waar moeten bedrijven op letten als zij biometrische gegevens (willen) verwerken?
Biometrische gegevens
Biometrische gegevens bevatten unieke (fysieke, fysiologische of gedragsgerelateerde) kenmerken waarbij identificatie van een persoon mogelijk is of wordt bevestigd. Voorbeelden hiervan zijn: vingerafdrukken, iris/netvlies scans, gezichtsafbeeldingen en stemherkenning. Biometrische gegevens zijn bijzondere persoonsgegevens en worden extra beschermd. Dit komt doordat het vrijwel altijd gaat om unieke gegevens die niet vervangbaar of te veranderen zijn. Komt dit eenmaal in de verkeerde handen terecht, dan is de kans groot dat dit leidt tot misbruik (chantage, identiteitsfraude) en onherstelbare schade.
Grondslag
In beginsel is verwerking van biometrische gegevens verboden (Art. 9 lid 1 AVG). Hierop zijn twee (relevante) uitzonderingen voor bedrijven die zulke gegevens willen gebruiken van hun werknemers: uitdrukkelijke toestemming (Art. 9 lid 2 sub a AVG) en noodzakelijk voor authenticatie en/of beveiligingsdoeleinden (Art. 29 UAVG).
Voor toestemming is vereist dat dit vrij moet worden gegeven. Gezien de gezagsverhouding en afhankelijkheidsrelatie tussen werkgever en werknemer wordt geacht dat toestemming niet vrij kan worden gegeven door de werknemer. In het geval een beroep wordt gedaan op de uitzondering noodzakelijk voor authenticatie en/of beveiligingsdoeleinden, dient een belangenafweging te worden gemaakt. Hierbij moet worden gekeken of er geen minder ingrijpend alternatief is.
Een goed voorbeeld waarbij deze rechtsgrond toegepast kan worden is bij een kerncentrale. In deze situatie is het namelijk erg belangrijk om de toegang te beperken tot personen die daartoe geautoriseerd zijn. Door biometrische gegevens te gebruiken, wordt het risico op misbruik kleiner. Met een pasje bijvoorbeeld zou dit risico groter zijn, nu een pasje makkelijk in handen van een onbevoegde kan komen.
Zelf biometrische gegevens verwerken?
Wil uw organisatie toch biometrische gegevens gaan verwerken? Dan is het van belang om op de volgende punten te letten:
Conclusie
Als uitgangspunt wordt gehanteerd dat het verwerken van biometrische gegevens verboden is. Gelet op de boete van de AP en de uitspraak van de kantonrechter is het van belang om na te gaan of de verwerking van biometrische gegevens mag, bijvoorbeeld omdat deze noodzakelijk is voor de beveiliging van gebouwen/systemen of hiervoor (vrije) toestemming gegeven is.
Is er een alternatief voor het verwerken van dergelijke gegevens? Kies dan altijd voor de minst ingrijpende optie.
Tips en advies over gebruik van biometrische gegevens nodig? Heeft u vragen over de wet- en regelgeving of wilt u een DPIA laten uitvoeren?
Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.