Hoe stel je een privacyverklaring op voor je biometrische beveiligingssysteem?

R
Redactie Biometrie Forum
Redactie
Privacy, AVG en Juridische Aspecten · 2026-02-15 · 7 min leestijd

Stel je voor: je hebt een prachtig nieuw beveiligingssysteem aangeschaft. Iemand loopt naar de deur, de camera scant het gezicht, en de deur gaat open.

Of de persoon legt een vinger op de scanner en het slot klapt open. Supersnel, superveilig.

Maar dan vraagt die ene collega of klant: "Wat doet mijn gezicht in dat systeem? Waar blijven die data?" En opeens voelt die gave techniek een stuk minder comfortabel. Je wilt niet dat je beveiliging een juridisch nachtmerrie wordt.

Een goede privacyverklaring is dan je beste vriend. Het is het document dat jou beschermt en je klanten en medewerkers geruststelt. Laten we samen een waterdichte verklaring opstellen, stap voor stap.

Stap 1: De basis – Wat heb je nodig?

Voordat je ook maar één regel typt, moet je je materiaal en je mindset op orde hebben. Je bent geen jurist, maar je bent wel verantwoordelijk.

Denk aan de hoofdpunten: wie ben je, wat verzamel je en waarom?

Je hebt een laptop nodig, een tekstverwerker en een kop koffie. De tijd die je hiervoor uittrekt? Reken op een uur of twee voor de eerste versie.

De belangrijkste voorwaarde is een interne notitie waarin je precies beschrijft hoe je systeem werkt. Wat voor scanner is het?

Is het een vingerafdrukscanner van fabrikant X of een gezichtsherkenningssysteem van bedrijf Y? Welke software draait erop? Een veelgemaakte fout is om dit direct te schrijven zonder de techniek te doorgronden. Je kunt niet uitleggen wat je met data doet als je niet weet dat de scanner van fabrikant Z de vingerafdruk omzet in een template en het originele beeld direct vernietigt.

Of dat jouw gezichtsherkenningssysteem van merk A de data lokaal opslaat en niet in de cloud.

Zonder die kennis schrijf je een verklaring die niet klopt. En dat is gevaarlijk.

Stap 2: Vertel wie je bent en wie verantwoordelijk is

Iedere privacyverklaring begint met een simpele vraag: wie ben jij? Je bedrijfsnaam, je adres, je contactgegevens.

Dit is je 'identiteitskaart' voor de lezer. Maar er is meer.

Omdat je biometrische gegevens verwerkt – wat volgens de AVG een 'bijzondere persoonsgegevens' is – moet je ook aangeven of je een 'Functionaris voor de Gegevensbescherming' (FG) hebt. Voor de meeste bedrijven is dat niet verplicht, maar je moet wel een contactpersoon noemen voor privacyvragen. Iemand waar medewerkers of bezoekers terechtkunnen.

Maar het allerbelangrijkste in deze stap is het antwoord op de vraag: wie is de 'verwerkingsverantwoordelijke'? In 99% van de gevallen ben jij dat, de eigenaar van het systeem. Maar stel je koopt een totaaloplossing van Securitas of G4S. Dan moet je in je verklaring duidelijk maken dat zij soms als 'verwerker' optreden. Jij blijft eindverantwoordelijk.

Zorg dat je dit glashelder hebt. Veelgemaakte fout: een standaard sjabloon van een softwareleverancier kopiëren zonder te checken of jij zelf de eindverantwoordelijke bent.

Stap 3: Leg uit wat je doet – concreet en eerlijk

Dit is het hart van je verklaring. Je moet uitleggen wat je verzamelt, waarom je het verzamelt en hoe lang je het bewaart. Wees extreem specifiek.

Geen "we verwerken persoonsgegevens", maar "we verwerken een digitaal template van uw vingerafdruk of een geometrisch profiel van uw gezicht". Leg uit dat dit niet hetzelfde is als een foto.

Je bewaart een wiskundige code, niet het beeld zelf. Dat is belangrijk voor het vertrouwen. Waarom doe je het? Omdat het nodig is voor toegangscontrole.

Dit is je 'gerechtvaardigd belang'. Je moet dit zorgvuldig wegen.

Is er geen minder ingrijpend middel? Is het echt nodig? Voor een datacenter is het antwoord ja.

Voor een kantoor met 5 medewerkers? Misschien is een pasje nog voldoende.

Wat betreft bewaartermijn: bewaar de biometrische data alleen zo lang als het systeem actief is, zeker gezien de toekomst van privacywetgeving in een wereld vol biometrische sensoren.

Als iemand weggaat, moet het template direct worden gewist. Een veelgemaakte fout is een bewaartermijn van '7 jaar' omdat dat voor facturen is. Biometrie werkt zo niet. Zodra de persoon het pand verlaat, is de reden voor verwerking weg.

Stap 4: Rechten van de betrokkene – Geef ze de touwtjes in handen

Mensen hebben rechten. Dat klinkt zwaar, maar het is simpel.

Iemand die bij jou werkt of langskomt, heeft het recht om te weten wat jij met zijn of haar vingerafdruk doet.

Ze hebben het recht op inzage (mag ik mijn eigen template zien?), het recht op rectificatie (klopt het template nog?), en het recht op wissing (verwijder mijn data als ik wegga). Je moet in je verklaring precies uitleggen hoe ze dit kunnen doen. Geef een e-mailadres of telefoonnummer.

De allergrootste fout die je kunt maken is deze rechten niet serieus nemen. Stel, iemand vraagt om verwijdering. Dan moet je dat binnen een maand doen. Als je systeem het niet toestaat om één template te verwijderen (soms kan dit technisch lastig zijn), dan moet je dat uitleggen.

Maar je mag nooit zeggen "het kan niet". Dan moet je het hele systeem resetten. Wees hierover eerlijk.

Een andere valkuil is het vragen van geld voor een inzageverzoek. Dat mag niet. Jouw tijd kost je niets, de wet is helder.

Stap 5: De juridische bodem – Grondslagen en doorgifte

Hier wordt het serieus. Je moet aangeven op basis van welke 'grondslag' je de biometrische data verwerkt.

In de meeste bedrijfssituaties is dat 'gerechtvaardigd belang'. Je moet dan een 'belangenafweging' maken. Schrijf in je verklaring: "Wij verwerken uw biometrische gegevens omdat dit noodzakelijk is voor de beveiliging van ons pand en onze bedrijfsgeheimen.

Wij wegen dit zwaarder dan uw privacybelang, omdat we geen minder ingrijpend alternatief hebben (zoals een pasje dat gestolen kan worden)." Dit klinkt juridisch, maar het is essentieel. Een andere valkuil is de doorgifte van data naar het buitenland.

Gebruik je een systeem van een Amerikaanse partij? Dan worden je data mogelijk in de VS opgeslagen.

Je moet in je verklaring vermelden of je dit doet en welke waarborgen je treft (zoals 'Standard Contractual Clauses'). Als je het niet weet, bel je de leverancier. Veel bedrijven denken "we gebruiken een Nederlandse server", maar de software-updates komen vanuit de VS. Controleer dit. Een fout hierin kan je een boete van tienduizenden euros opleveren.

Stap 6: De puntjes op de i – Checklisten en testen

Nadat je alles hebt geschreven, moet je het testen. Laat je verklaring lezen door iemand die niets van biometrie weet. Begrijpen ze het?

Vraag je af: is dit eerlijk? Is dit duidelijk? Pas je woorden aan tot een gemiddelde medewerker het snapt. Gebruik geen termen als 'hashing' of 'AES-256 encryptie' tenzij je het uitlegt.

Jouw doel is vertrouwen, niet indruk maken met technische termen. Deze stap kost ongeveer 30 minuten.

De veelgemaakte fout is dat de verklaring in een klein lettertje-tekstbox op een website verdwijnt.

Zet hem op een plek waar iedereen hem kan vinden, bijvoorbeeld bij de ingang van het pand of op het personeelsportaal. Zorg dat nieuwe medewerkers de verklaring moeten accepteren voordat ze hun vingerafdruk registreren. Je kunt niet zeggen "je had het kunnen weten". Je moet het actief communiceren.

Verificatie-checklist

Voordat je de verklaring publiceert, loop deze punten na. Als je ergens 'nee' moet antwoorden, weet je wat je te doen staat.

Als je deze checklist kunt afvinken, ben je een heel eind. Je bent nu niet alleen een trotse eigenaar van een biometrisch systeem, maar ook iemand die ontdekt hoe biometrische systemen kunnen voldoen aan de 'Privacy-First' standaard.

En dat voelt een stuk beter.

Volgende stap
Lees het complete overzicht
Privacywetgeving voor slimme deurbellen in Nederland: De complete gids 2026 →
R
Over Redactie Biometrie Forum

Expert content over biometrie vingerafdruk gezichtsherkenning privacy