Als u biometrie als middel voor toegangscontrole wilt gaan gebruiken, is dit bijna altijd verboden.

U mag alleen biometrie gebruiken als in uw situatie een wettelijke uitzondering geldt op het verbod om biometrische gegevens te gebruiken voor identificatie.

De twee meest voorkomende uitzonderingen zijn:

  • Het gebruik van biometrie is noodzakelijk voor authenticatie of beveiliging.
  • U heeft uitdrukkelijke toestemming gekregen van de mensen om wie het gaat. Deze uitzondering geldt niet in de relatie tussen werkgever en werknemer. Deze is niet gelijkwaardig.

Als werkgever mag u alleen biometrische gegevens gebruiken voor toegangscontrole als dit noodzakelijk is. Hiervoor moet u een afweging maken; moet uw gebouw of gebied echt zo goed beveiligd zijn dat dit niet anders kan dan door biometrie te gebruiken. Die noodzaak is er echter niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.

Voordat u mag starten met het gebruik van biometrische gegevens voor toegangscontrole dient u eerst een data protection impact assessment (DPIA) uit te voeren.

Als u de biometrische gegevens gaat verwerken voor toegangscontrole let er dan op dat u voldoet aan de eisen voor beveiliging van biometrische gegevens.

De Algemene verordening gegevensbescherming (AVG) bepaalt dat de verwerking van biometrische persoonsgegevens om iemand uniek te identificeren een verwerking van bijzondere persoonsgegevens is. Dit betekent dat er strenge regels gelden voor het gebruik van biometrische gegevens, omdat het in principe verboden is om bijzondere persoonsgegevens te verwerken. Tenzij er een wettelijke uitzondering geldt.

Biometrische gegevens leveren hoge privacy risico’s op omdat ze uniek zijn, daarom worden biometrische gegevens die worden gebruikt voor identificatie extra beschermd in de privacy wetgeving. Een privacy risico speelt bijvoorbeeld bij diefstal van de gegevens. Het is niet mogelijk om een gezichtsafbeelding of vingerafdruk aan te passen. Dit kan wel met een pincode of wachtwoord.

Verder bevatten biometrische gegevens vaak ook meer informatie dan strikt noodzakelijk is voor het doel van de gegevensverwerking, zoals identificatie. Zo is uit bepaalde lichaamskenmerken ook af te leiden wat iemands gezondheidstoestand of etniciteit is.

Bron:
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/toegangscontrole-met-biometrie
https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/regels-voor-gebruik-biometrie#beveiligen-biometrische-gegevens

Toegangscontrole en de wet persoonsgegevens