Onlangs heeft de Autoriteit Persoonsgegevens (hierna: AP) een boete van €725.000 opgelegd aan een bedrijf dat biometrische gegevens van haar medewerkers verwerkte. In een uitspraak van de voorzieningenrechter is bepaald dat de naam van het desbetreffende bedrijf niet bekend zal worden gemaakt. Eerder, in augustus 2019 had de kantonrechter een ander bedrijf (Landelijke schoenwinkel) al op de vingers getikt vanwege het gebruik van een vingerscan autorisatiesysteem voor het openen van kassa’s. Het verwerken van biometrische gegevens kan dus niet zomaar.

Wat zijn biometrische gegevens en waar moeten bedrijven op letten als zij biometrische gegevens (willen) verwerken?

Biometrische gegevens

Biometrische gegevens bevatten unieke (fysieke, fysiologische of gedragsgerelateerde) kenmerken waarbij identificatie van een persoon mogelijk is of wordt bevestigd. Voorbeelden hiervan zijn: vingerafdrukken, iris/netvlies scans, gezichtsafbeeldingen en stemherkenning. Biometrische gegevens zijn bijzondere persoonsgegevens en worden extra beschermd. Dit komt doordat het vrijwel altijd gaat om unieke gegevens die niet vervangbaar of te veranderen zijn. Komt dit eenmaal in de verkeerde handen terecht, dan is de kans groot dat dit leidt tot misbruik (chantage, identiteitsfraude) en onherstelbare schade.

Grondslag

In beginsel is verwerking van biometrische gegevens verboden (Art. 9 lid 1 AVG). Hierop zijn twee (relevante) uitzonderingen voor bedrijven die zulke gegevens willen gebruiken van hun werknemers: uitdrukkelijke toestemming (Art. 9 lid 2 sub a AVG) en noodzakelijk voor authenticatie en/of beveiligingsdoeleinden (Art. 29 UAVG).

Voor toestemming is vereist dat dit vrij moet worden gegeven. Gezien de gezagsverhouding en afhankelijkheidsrelatie tussen werkgever en werknemer wordt geacht dat toestemming niet vrij kan worden gegeven door de werknemer. In het geval een beroep wordt gedaan op de uitzondering noodzakelijk voor authenticatie en/of beveiligingsdoeleinden, dient een belangenafweging te worden gemaakt. Hierbij moet worden gekeken of er geen minder ingrijpend alternatief is.

Een goed voorbeeld waarbij deze rechtsgrond toegepast kan worden is bij een kerncentrale. In deze situatie is het namelijk erg belangrijk om de toegang te beperken tot personen die daartoe geautoriseerd zijn. Door biometrische gegevens te gebruiken, wordt het risico op misbruik kleiner. Met een pasje bijvoorbeeld zou dit risico groter zijn, nu een pasje makkelijk in handen van een onbevoegde kan komen.

Zelf biometrische gegevens verwerken?

Wil uw organisatie toch biometrische gegevens gaan verwerken? Dan is het van belang om op de volgende punten te letten:

  • Voer een Data Protection Impact Assessment (DPIA) uit om de juridische grondslag te bepalen en na te gaan of u gebruik kunt maken van een uitzonderingssituatie.
  • Toestemming dient geheel in vrijheid gegeven te worden door de werknemer. De werknemer moet goed geïnformeerd worden en er mogen geen negatieve gevolgen zijn in het geval de werknemer geen toestemming geeft. Als bedrijf moet u ook aan kunnen tonen dat hier sprake van is door dit bijvoorbeeld op te nemen in het beleid/procedure. Let er wel op dat toestemming over het algemeen niet wordt geacht vrij te zijn in het geval van een arbeidsrelatie tussen werkgever en werknemer.
  • Om zich te beroepen op de uitzonderingsgrond noodzakelijk voor authenticatie en/of beveiligingsdoeleinden, dient u een belangenafweging te maken. Er dient te worden nagegaan of gebouwen/informatiesystemen zodanig moeten worden beveiligd dat er biometrische gegevens moeten worden verwerkt. Een bedrijf dat veel persoonsgegevens verwerkt zou zich kunnen beroepen op deze uitzonderingsgrond. Een autogarage of winkel lijken hier niet onder te vallen.
  • Als u als bedrijf biometrische gegevens verwerkt bent u er zelf voor verantwoordelijk dat dit rechtmatig gebeurt. U kunt zich niet beroepen op het feit dat de leverancier van de software die de gegevens verwerkt aangeeft dat het verwerken rechtmatig is.
  • Dat de veiligheid van de gegevens gewaarborgd is doet niet af aan het feit dat het alsnog niet verwerkt mag worden in veel gevallen. De overtreding ziet namelijk niet op de beveiliging, maar of de verwerking is toegestaan.

Conclusie

Als uitgangspunt wordt gehanteerd dat het verwerken van biometrische gegevens verboden is. Gelet op de boete van de AP en de uitspraak van de kantonrechter is het van belang om na te gaan of de verwerking van biometrische gegevens mag, bijvoorbeeld omdat deze noodzakelijk is voor de beveiliging van gebouwen/systemen of hiervoor (vrije) toestemming gegeven is.

Is er een alternatief voor het verwerken van dergelijke gegevens? Kies dan altijd voor de minst ingrijpende optie.

Hulp nodig?

Tips en advies over gebruik van biometrische gegevens nodig? Heeft u vragen over de wet- en regelgeving of wilt u een DPIA laten uitvoeren?

Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.