AVG en biometrie: Wat zijn de regels voor het opslaan van vingerafdrukken?

Stel je voor: je loopt je kantoor binnen en de deur gaat open zodra je gezicht wordt herkend. Of je tikt je vingerafdruk op een scanner om in te loggen op je laptop. Handig, snel en veilig, denk je.

Maar wat gebeurt er eigenlijk met die biometrische data? Wie mag die opslaan en onder welke voorwaarden?

In Nederland en Europa is de Algemene Verordening Gegevensbescherming (AVG) hier streng over. Je persoonsgegevens zijn van jou, en biometrische data – zoals een vingerafdruk of gezichtsscan – vallen onder de gevoeligste categorie.

Deze gids legt uit wat de AVG-regels betekenen voor het opslaan van vingerafdrukken en andere biometrische gegevens. Je leest hoe je als organisatie of particulier verantwoord omgaat met deze data, welke technologie er op de markt is en wat je kunt doen om privacy te beschermen.

Wat is biometrie en waarom is de AVG er streng op?

Biometrie zijn lichaamskenmerken die jou uniek maken. Denk aan je vingerafdruk, irispatroon, gezichtscontouren of stemgeluid.

Deze gegevens zijn heel persoonlijk. Ze veranderen niet of nauwelijks en zijn moeilijker te vervangen dan een wachtwoord. De AVG ziet biometrische gegevens als bijzondere persoonsgegevens. Dat betekent dat ze extra bescherming nodig hebben.

Je mag ze alleen verwerken als het echt nodig is en er geen alternatief is. Denk aan beveiliging van een lab of toegang tot een kluis.

“Een vingerafdruk is uniek en onveranderlijk. Daarom mag je die alleen opslaan met een duidelijk doel en strikte beveiliging.”

Waarom is dat belangrijk? Omdat biometrische data nooit ‘vergeten’ kunnen worden.

Als je wachtwoord lekt, verander je het. Als je vingerafdruk lekt, kun je die niet aanpassen. Daarom is de impact van een datalek veel groter.

De kern van de AVG-regels voor vingerafdrukken

De AVG stelt een aantal harde eisen aan het opslaan en gebruiken van biometrische data. Je moet een wettelijke grondslag hebben.

Dat kan toestemming zijn, een contract, een wettelijke verplichting of een vitaal belang. Bij biometrie is toestemming vaak de grondslag, maar die moet vrij, specifiek en geïnformeerd zijn. Je mag biometrische gegevens alleen opslaan als dat proportioneel is.

Vraag je af: is er geen minder ingrijpend alternatief? Bijvoorbeeld een pasje met pincode of een wachtwoord.

Als die even veilig zijn, kies dan daarvoor. Verder geldt: minimiseer de data. Sla alleen op wat nodig is.

Gebruik versleuteling, toegangscontroles en logboeken. Zorg dat medewerkers getraind zijn.

En bewaar de data niet langer dan nodig. Verwijder biometrische profielen zodra iemand uit dienst gaat of de toegang niet meer nodig is.

Organisaties die biometrie verwerken, moeten een Data Protection Impact Assessment (DPIA) doen. Dat is een risicoanalyse voor de privacy, waarbij de Data Protection Officer (DPO) een cruciale rol speelt. Bij hoge risico’s kan de toezichthouder (Autoriteit Persoonsgegevens) vooraf toestemming eisen.

Hoe werkt biometrische opslag in de praktijk?

Biometrische scanners slaan geen echte vingerafdruk op, maar een template: een wiskundige weergave van kenmerken. Dat template wordt versleuteld opgeslagen.

Bij een scan wordt een nieuw template vergeleken met het opgeslagen template. Bij een match krijg je toegang. Toch blijft het gevoelig.

Een template kan worden gereconstrueerd tot een beeld. Daarom moet het template streng worden beveiligd.

• YubiKey Bio (FIDO2 met vingerafdruk, ca. €70–€90)
• Apple Touch ID / Face ID (ingesloten op devices, geen aparte opslag)
• Windows Hello (ingesloten op moderne laptops)
• Enterprise scanners van HID Global of Suprema (ca. €150–€500 per stuk)

Gebruik end-to-end versleuteling, bewaar de data lokaal in plaats van in de cloud, en kies voor hardwarematige beveiliging (bijvoorbeeld een Trusted Platform Module). Populaire systemen voor vingerafdrukken en gezichtsherkenning zijn onder meer: Veel bedrijven kiezen voor een combinatie: biometrie als tweede factor naast een wachtwoord of pasje. Dat verlaagt risico’s en voldoet aan de AVG-eis van proportionaliteit.

Prijzen, modellen en varianten

Consumentenoplossingen zijn vaak goedkoper en makkelijker. Een YubiKey Bio kost rond de €70 tot €90.

Een smartphone met Touch ID of Face ID is al onderdeel van je toestel. Deze systemen slaan biometrische data lokaal op en delen die niet met servers. Bedrijfsoplossingen zijn uitgebreider en duurder.

Een vingerafdrukscanner van HID Global kost ongeveer €150 tot €300. Een gezichtsherkenningssysteem van Suprema of ZKTeco ligt rond €400 tot €600 per unit, exclusief installatie.

Voor grote kantoren of labomgevingen kun je rekenen op €1.000 tot €5.000 voor een compleet systeem met software, server en onderhoud.

Softwarematige biometrie (bijvoorbeeld voor mobiele apps) kan via SDK’s van partijen als Aware of Bio-ID kosten tussen €2.000 en €10.000 per jaar, afhankelijk van het aantal verificaties. Kies altijd voor een leverancier die voldoet aan de AVG en Europese normen (ISO/IEC 19795 voor biometrische prestaties, en ISO/IEC 27001 voor beveiliging). Let op: goedkope scanners uit buitenlandse webshops zijn soms minder betrouwbaar. Ze bieden weinig ondersteuning en beveiliging. Bij privacygevoelige data is het verstandig te investeren in kwaliteit en ondersteuning.

Praktische tips voor AVG-conforme biometrie

Voordat je biometrie invoert, doorloop je deze stappen: Wil je als particulier je privacy beschermen?

1. Bepaal het doel: waarom is biometrie nodig? Is er een minder ingrijpend alternatief?
2. Voer een DPIA uit: beschrijf risico’s en maatregelen.
3. Kies de juiste techniek: lokaal opslaan, versleuteld, hardwarematig beveiligd.
4. Vraag duidelijke toestemming: leg uit wat je opslaat, waarom en hoe lang.
5. Beperk toegang: alleen geautoriseerde mensen mogen de data inzien.
6. Log activiteiten: wie wanneer toegang kreeg, bijvoorbeeld via een auditlog.
7. Verwijder op tijd: bij einde dienstverband of wanneer het niet meer nodig is.

Gebruik biometrie alleen op je eigen devices, zoals je telefoon of laptop. Kies voor systemen die data lokaal opslaan en niet delen. Zet tweefactorauthenticatie aan en gebruik een wachtwoordmanager.

Wees terughoudend met biometrie in openbare ruimtes, zoals hotels of luchthavens, waar de invloed van biometrie op onze anonimiteit in de stad groot is en je geen controle hebt over de opslag.

Heb je te maken met een datalek van biometrische data? Lees hier wat te doen als je biometrische data gehackt zijn. Meld het direct bij de Autoriteit Persoonsgegevens. Informeer betrokkenen en bied ondersteuning aan, bijvoorbeeld door biometrische profielen te resetten en nieuwe templates aan te maken.

De kern is simpel: biometrie is krachtig, maar alleen met respect voor privacy. Kies bewust, beveilig streng en blijf transparant. Zo haal je het beste uit deze technologie zonder de grenzen van de AVG te overschrijden.