Hoe verwerkersovereenkomsten werken voor biometrische clouddiensten

R
Redactie Biometrie Forum
Redactie
Privacy, AVG en Juridische Aspecten · 2026-02-15 · 7 min leestijd

Stel je voor: je hebt een gloednieuw systeem voor gezichtsherkenning aangeschaft van een bedrijf als Clearview AI of een Europees alternatief als Hikvision. Je bent superblij, want het werkt supersnel in de cloud.

Maar dan komt er een vraag van je juridisch adviseur: "Heb je al een verwerkersovereenkomst (VVO) geregeld?" Opeens voelt het als een technisch feestje dat omslaat in een juridisch doolhof. Geen paniek. We gaan dit stap voor stap uitzoeken, alsof we samen aan de keukentafel zitten met een bak koffie. Dit is jouw handleiding om orde te scheppen in de chaos van clouddiensten en biometrische data.

Stap 1: De basis op orde – wat je moet weten en regelen

Voordat je ook maar één document ondertekent, moet je weten wat je in huis hebt.

Biometrische data, zoals vingerafdrukken of gezichts scans, is extra gevoelig onder de AVG. Het is een 'bijzonder persoonsgegevens'.

Dit betekent dat de regels strenger zijn dan voor een e-mailadres. Je kunt niet zomaar een standaardcontractje van de cloudleverancier overnemen. Je moet het actief controleren en aanpassen. Wat heb je nodig?

Allereerst een kopie van het privacybeleid en de technische specificaties van de clouddienst.

Vraag bij de leverancier na of zij werken met sub-verwerkers, zoals Amazon AWS of Microsoft Azure voor de opslag. Je hebt een lijst nodig van alle partijen die mogelijk bij jouw data kunnen. Zonder deze documenten start je blind.

Reken op een weekje heen en weer mailen om alles compleet te krijgen. Veelgemaakte fout: Denken dat een e-mailtje met "akkoord" voldoet.

Dit is juridisch waardeloos. Je hebt een echte, ondertekende overeenkomst nodig die specifiek over biometrie gaat.

Doe dit voor de eerste data de cloud in gaat, anders ben je direct in overtreding.

Stap 2: De juiste partijen identificeren – Wie is wie?

Je moet glasheldere definities op papier zetten. Jij bent de 'Verantwoordelijke'.

Je bepaalt waarom en hoe de data verwerkt wordt. De clouddienst (bijvoorbeeld de aanbieder van een vingerafdrukscanner software) is de 'Verwerker'.

Zij mogen de data alleen uitvoeren wat jij ze opdraagt. Zorg dat deze rollen zwart op wit staan in de overeenkomst. Geen wollige taal, gewoon: 'Wij zijn de baas, jullie voeren uit'.

Check of de leverancier een gecertificeerde dienst levert. Voor gezichtsherkenning wil je weten of ze ISO 27001 gecertificeerd zijn, of dat ze voldoen aan de NEN-EN-ISO/IEC 19795-normen voor biometrische prestaties.

Vraag naar het 'Data Processing Addendum' (DPA). Dit is meestal een PDF van 2 tot 5 pagina's. Lees elk regeltje. Als er staat dat ze data mogen gebruiken voor 'productverbetering', moet je dat schrappen of zeer specifiek begrenzen. Veelgemaakte fout: Vergeten dat er sub-verwerkers zijn.

Jouw clouddienst draait misschien op servers van Google Cloud in Iowa. Dat betekent dat er data naar de VS stroomt.

Als je dat niet expliciet regelt in de overeenkomst (met passende waarborgen zoals Standard Contractual Clauses), zit je in de problemen bij een datalek of een controle.

Stap 3: De inhoud van de overeenkomst – De harde eisen

Hier wordt het concreet. De verwerkersovereenkomst moet wettelijk minimaal 10 punten bevatten.

We pikken er de belangrijkste uit voor biometrie. Ten eerste: doelbinding. De clouddienst mag de vingerafdrukken of gezichtsdata alleen gebruiken voor het verlenen van de dienst die jij hebt afgenomen. Punt uit.

Niet voor reclame, niet voor training van hun algoritmen, tenzij jij daar expliciet toestemming voor geeft. Ten tweede: beveiliging. Vraag om een technische en organisatorische maatregelenlijst (TOM's).

Voor biometrie in de cloud betekent dit: end-to-end encryptie (minimaal AES-256 bit), twee-factor authenticatie op de management console, en logbestanden die bijhouden wie wanneer bij de data kan. Vraag ook naar de fysieke beveiliging van de servers. Staan die in een datacenter met 24/7 bewaking en biometrische toegang tot het pand zelf? Hoe controleer je waar je biometrische data fysiek wordt opgeslagen? Vraag erom. Ten derde: het melden van incidenten.

Stel er is een lek. Wanneer mag de leverancier dit melden?

De wet zegt 'onverwijld', maar liever heb je een concrete termijn. Spreek af: binnen 24 uur na ontdekking.

Dit geeft jou de tijd om je klanten te informeren voordat het op straat ligt. Veelgemaakte fout: De clouddienst geeft aan dat zij 'geen inzage hebben in de data' omdat het versleuteld is. Dat klinkt veilig, maar voor een betere bescherming van je biometrische gegevens is het essentieel om te begrijpen waarom lokale opslag (Edge Computing) beter is voor je privacy, zeker als je zelf de sleutel beheert.

Beheert de leverancier de sleutels? Dan kunnen ze theoretisch alsnog.

Idealiter beheer je ze zelf (Customer Managed Keys).

Stap 4: Rechten van betrokkenen en gegevenslokatie

Je klanten (de 'betrokkenen') hebben rechten. Ze mogen hun data inzien, rectificeren of laten verwijderen.

Jij moet dit kunnen doorgeven aan je clouddienst. In de overeenkomst moet staan dat de leverancier jou helpt als een klant zijn gezichtsdata wil verwijderen. Hoe lang doen ze daar over?

Een termijn van 30 dagen is redelijk, maar sneller is beter. Waar staan de data?

Dit is cruciaal voor de privacy. Als je met een bedrijf werkt dat de data opslaat in China of de VS, terwijl je klanten in Europa zijn, moet je dit juridisch dichttimmeren. Voor biometrische data van EU-burgers is de voorkeur voor opslag binnen de EU.

Gebruikt de leverancier servers buiten de EU? Vraag dan om 'Standard Contractual Clauses' (SCC's) die de EU-commissie heeft goedgekeurd.

Deze zijn sinds de Schrems II-uitspraak onmisbaar. Veelgemaakte fout: Aannemen dat de leverancier 'anonieme data' gebruikt voor statistieken.

Biometrische data is per definitie uniek. Zelfs als je de naam weglaat, blijft het een uniek profiel. Zorg dat in de overeenkomst staat dat er geen enkele vorm van profiling of dataverrijking mag plaatsvinden zonder jouw uitdrukkelijke schriftelijke toestemming.

Stap 5: Controle en audit-rechten

Je mag niet zomaar de servers van je leverancier binnenstormen, maar je hebt wel het recht om te controleren of ze zich aan de afspraken houden.

In de overeenkomst moet staan dat je audits mag uitvoeren of dat je een onafhankelijke derde mag inschakelen om dit te doen. Dit hoeft niet elk jaar te gebeuren, maar het is je stok achter de deur. Vraag om transparantieverslagen.

Leveranciers van biometrische clouddiensten mogen best een 'SOC 2 Type II' rapport overleggen. Dit is een keurmerk dat aantoont dat ze veilig omgaan met data.

Vraag dit rapport op en kijk of het minder dan 12 maanden oud is. Is het ouder?

Dan weet je dat ze niet up-to-date zijn. Spreek een boeteclausule af. Klinkt hard, maar het werkt. Als de leverancier een datalek veroorzaakt door nalatigheid, moeten ze een contractuele boete betalen.

Zet hier geen slap bedrag op, maar een percentage van de jaarlicentie. Bijvoorbeeld 10% van de jaaromzet met die leverancier.

Dit maakt het voor hen pijnlijk genoeg om wakker te liggen van jouw veiligheid. Veelgemaakte fout: Vergeten te regelen wat er gebeurt bij beëindiging van het contract. Als je stopt, wil je dat alle biometrische data binnen 14 dagen volledig van hun servers gewist is.

Vraag om een 'certificate of destruction'. Zonder dit bewijs loop je het risico dat je data blijft rondslingeren.

Verificatie-checklist: Ben je klaar?

Voordat je de pen ter hand neemt, loop je deze lijst na. Als je ergens 'Nee' moet antwoorden, stop dan met ondertekenen en los het op.

Als je deze checklist kunt afvinken, zit je juridisch redelijk veilig. Biometrie is prachtige technologie, maar alleen als je het vertrouwen van je klanten wint door het sluitend te regelen. Succes!

Volgende stap
Lees het complete overzicht
Privacywetgeving voor slimme deurbellen in Nederland: De complete gids 2026 →
R
Over Redactie Biometrie Forum

Expert content over biometrie vingerafdruk gezichtsherkenning privacy