Gebruikmaken van biometrische gegevens? Gevoelig onder de AVG!

Het verwerken van persoonsgegevens is al gauw noodzakelijk voor een hoop verschillende doeleinden. Een specifiek doeleinde, namelijk het herkennen van personen, is grotendeels gericht op twee hoofdactiviteiten in de vorm van identificatie en verificatie.

Beide activiteiten maken deel uit van de alledaagse praktijk in tal van sectoren. Een snelle en vaak precieze manier om in deze activiteiten te kunnen voorzien, is door gebruik te maken van biometrische technologie en biometrische gegevens.

Waar bij identificatie biometrische gegevens gebruikt worden om die te vergelijken met de gegevens van tal van anderen, wordt bij verificatie gekeken of specifieke fysieke, fysiologische (denk aan gezichtsuitdrukking) en/of gedragskenmerken gematcht kunnen worden aan de biometrische gegevens die zijn opgeslagen in een bepaalde database.

Biometrische gegevens in de praktijk

Naast dat verdachten in toenemende mate opgespoord en geïdentificeerd worden aan de hand van gezichtsherkenningstechnologie, heeft het gebruik van biometrische gegevens ook zijn weg gevonden naar het dagelijkse leven van burgers die niet in aanraking (wensen te) komen met justitie.

Zo worden biometrische gegevens voortkomend uit vingerafdrukken verwerkt in de chips van paspoorten om te dienen als eventueel extra verificatiemiddel. Ook worden datasets met daarin informatie over iemands gezichtsafmetingen vergeleken met het gezicht van iemand aan de deur bij een beveiligde toegangspoort. Op deze manier kan geverifieerd worden of iemand de bevoegdheid heeft om het pand te betreden.

Biometrische gegevens in de wet

Hoewel het gebruik dus al helemaal ingeburgerd lijkt in de dagelijkse praktijk en Europese adviesorganen zich al meerdere malen hebben uitgelaten over het gebruik ervan (bijvoorbeeld de Artikel 29 Werkgroep), is de introductie van een specifieke regeling over deze gegevens en het gebruik van bijbehorende technologieën, binnen Europees recht, tot op heden uitgebleven.

Onder de nieuwe Algemene Verordening Gegevensbescherming, die vanaf mei 2018 van toepassing zal zijn, zijn biometrische gegevens voor het eerst expliciet opgenomen in een wettelijke regeling. Het verwerken van biometrische gegevens werd door haar Nederlandse voorganger, de ‘Wet bescherming persoonsgegevens’, alleen impliciet behandeld onder de noemer van de algemene regelingen over persoonsgegevens.

Zoals gezegd brengt de ‘AVG’ hier verandering in. Allereerst wordt er specifiek aandacht besteed aan biometrische gegevens en worden ze gedefinieerd als: “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14).

Naast dat hier bepaald wordt welke (biometrische) gegevens onder de AVG vallen, worden biometrische gegevens in de verordening genoemd als een nieuwe categorie van ‘bijzondere persoonsgegevens’. De reden hiervoor zit ‘m in de gevoeligheid van de informatie die biometrische gegevens naar voren kunnen brengen. Hierbij kan gedacht worden aan een foto die gebruikt wordt om gezichtsherkenning mogelijk te maken, waarbij het dragen van bijvoorbeeld een keppel of hoofddoek – en dus de religieuze achtergrond van deze persoon – zichtbaar is.

Als we de letter van de wet volgen is iets dus alleen een biometrisch persoonsgegeven als het ook daadwerkelijk gericht is op de unieke identificatie van een persoon en wanneer hiervoor gebruik gemaakt wordt van specifieke technische middelen. Logischerwijs houdt dit in dat een foto van iemands gezicht enkel beschouwd kan worden als ‘biometrisch’ in de zin van de privacywetgeving, wanneer de foto gebruikt wordt om iemand te kunnen identificeren of verifiëren, via gezichtsherkenningstechnologie. Dit kan bijvoorbeeld gedaan worden aan de hand van het analyseren van de afstand tussen de neus en ogen. Een portretfoto ‘an sich’ voldoet dus niet aan deze eis.

Wat betekent de AVG (niet) voor het gebruik van biometrische gegevens?

Het bestempelen van biometrische gegevens als ‘bijzonder’ heeft een aantal gevolgen voor partijen die geïnteresseerd zijn in het verwerken van deze gegevens en het gebruiken van biometrische technologieën (in het Engels vaak ‘biometrics’ genoemd). Zo is in de regel de verwerking van biometrische gegevens verboden en mogen ze alleen bij uitzondering verwerkt worden. Dit kan het geval zijn wanneer een wettelijk vastgelegde uitzondering van toepassing is, of wanneer biometrische gegevens verwerkt worden door de politie met als doel een verdachte op te kunnen sporen.

Verwerkers van biometrische gegevens in Nederland hoeven echter niet compleet in de stress te schieten. De Uitvoeringswet Algemene Verordening Gegevensbescherming komt deze personen en organisaties namelijk (deels) tegemoet door gebruik te maken van de mogelijkheid in de AVG om als lidstaat zelf invulling te geven aan specifieke bepalingen in de Verordening.

Artikel 26 van deze uitvoeringswet regelt in dit verband dat ‘het verbod op het verwerken van biometrische gegevens niet van toepassing is wanneer deze verwerking plaatsvindt voor het doel van de identificatie (en verificatie) van de betrokkene.’ Hierbij is het wel noodzakelijk dat de verwerking van de biometrische gegevens, die de identificatie mogelijk maakt, proportioneel is om aan ‘gerechtvaardigde belangen’ te kunnen voldoen.

Dit kunnen belangen zijn van de verwerkingsverantwoordelijke (diegene die bepaalt voor welk doel gegevens verzameld moeten worden en de manier waarop dit gebeurt) of van een derde voor de specifieke verwerking van deze gegevens.

Sluiten de toegangspoorten voor het gebruik van biometrische data?

De mogelijkheden tot het gebruikmaken van bijvoorbeeld verificatieprocessen om een beveiligd kantoorgebouw binnen te komen lijken dus te blijven bestaan wanneer er een écht belang bij is. Hierbij kan gedacht worden aan een bedrijf met een enorm aantal medewerkers, waarbij anonimiteit op de loer ligt en gezichtsherkenning uitkomst kan bieden bij het beveiligen van het bedrijfsgebouw, de gevoelige informatie waarmee gewerkt wordt en het personeel dat er aan de slag is.

Gelet op de praktijk is dit een logische stap. Het gebruik van biometrische gegevens neemt alleen maar toe en de technologie verbetert constant. Echter, het gebruik moet wel gerechtvaardigd kunnen worden om ook aan deze uitzondering te kunnen voldoen.

Ook moeten geïnteresseerden in deze technologie er rekening mee houden dat de AVG andere nieuwigheden bevat die extra aandacht voor ze vereisen wanneer ze biometrische technologie daadwerkelijk (willen) implementeren. Hierbij kan gedacht worden aan een data protection impact assessment en het implementeren van privacy by design maatregelen.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Terug naar overzicht