Stel je voor: bij de entree van een groot kantoorgebouw worden medewerkers geïdentificeerd en binnengelaten op basis van een geavanceerd gezichtsherkenningssysteem. Maar hoe werkt dat nu precies? En hoe zou de DPIA eruit hebben gezien? Voor juristen die overwegen biometrie te integreren in hun bedrijfsvoering, is het cruciaal om een diepgaand begrip te hebben van zowel de technologische nuances als het complexe juridische landschap dat hieraan verbonden is.
Biometrische technologie
Biometrie refereert naar technologieën die individuele kenmerken van een persoon meten en analyseren - zoals vingerafdrukken, gezichtsherkenning en iris-scans. Deze technologieën zijn aantrekkelijk voor toepassingen als toegangsbeheer, tijdsregistratie en betalingsverificatie.
Bij de implementatie van biometrische systemen zijn er enkele kritieke technische aspecten waarmee rekening moet worden gehouden. Denk hierbij aan:
- Encryptie: De biometrische gegevens moeten sterk versleuteld worden opgeslagen om ongeautoriseerde toegang te voorkomen. Maar wanneer is dit sterk genoeg, en hoe controleer je dat?
- Dataminimalisatie: Het is essentieel om alleen die gegevens te verzamelen die strikt noodzakelijk zijn voor het beoogde doel. Dit vereist duidelijk vastleggen van het doel en analyse van de noodzaak. En natuurlijk weten welke gegevens het systeem überhaupt verzamelt – denk ook aan logbestanden voor technisch beheer en tijdelijke opslag.
- Foutmarges: Elk biometrisch systeem heeft een zekere foutmarge, zoals false positives en false negatives. Deze correct kunnen plaatsen in bijvoorbeeld een DPIA-risicoanalyse is van groot belang.
Vragen om over na te denken
Vanuit een juridisch oogpunt wordt biometrie beschouwd als verwerking van ‘gevoelige’ persoonsgegevens. Dit betekent dat de verwerking ervan aan strenge regels is gebonden. Dit geeft direct een aantal juridische vragen:
- Noodzaak: Werkgevers moeten de noodzaak van gebruik van deze technologie kunnen onderbouwen, inclusief proportionaliteit en de (on-)werkbaarheid van alternatieven zoals toegangspasjes of een menselijke portier.
- Transparantie: Bedrijven moeten duidelijk communiceren over hoe, waarom en hoelang biometrische gegevens worden opgeslagen en wie daar toegang toe hebben. Dit kan alleen als je zelf goed begrijpt hoe een en ander werkt.
- Rechten van betrokkenen: Op grond van de AVG hebben werknemers en bezoekers rechten, zoals verwijdering van irrelevante gegevens en correctie van evidente fouten. Wat betekent dit bij zo’n toegangscontrole?
De technologische en juridische uitdagingen vereisen dus een multidisciplinaire benadering. Organisaties moeten zowel technisch onderlegd personeel als juridische experts in huis hebben, of raadplegen, om te zorgen voor een naadloze en compliant implementatie van biometrische systemen.
Jouw expertise in privacy en ICT uitbreiden?
Privacy en gegevensbescherming zijn kernthema's in de ICT. Dit maakt het essentieel om zowel de technologische als juridische nuances te kennen. Voor professionals zoals jij die zich hierin willen verdiepen, hebben wij twee gloednieuwe opleidingen ontwikkeld. Toegespitst op de praktijk met diepgaande aandacht voor de techniek.
