Is een vingerafdruk een persoonsgegeven volgens de AVG?
Een vingerafdruk voelt heel persoonlijk. Het is uniek, het zit op je vinger en niemand heeft precies dezelfde.
Maar is het ook een persoonsgegeven volgens de AVG? Het antwoord is ja, en het is belangrijk om te weten waarom. Stel je voor dat een bedrijf je vingerafdruk scant en opslaat zonder goede reden.
Dat voelt niet goed, en het mag ook niet zomaar. De Algemene Verordening Gegevensbescherming (AVG) beschermt je biometrische gegevens streng.
In dit stuk leg ik uit hoe dat zit, zonder ingewikkelde termen.
We kijken naar wat de wet zegt, hoe het werkt in de praktijk, en wat jij kunt doen om je privacy te beschermen.
Wat is een persoonsgegeven volgens de AVG?
Een persoonsgegeven is alle informatie die direct of indirect over jou gaat.
Denk aan je naam, je postcode, of een foto van je gezicht. Een vingerafdruk valt hier ook onder. Het is een biometrisch gegeven, omdat het je lichaam beschrijft en uniek is voor jou. De AVG ziet biometrische gegevens als bijzondere persoonsgegevens.
Dat betekent extra bescherming. Je kunt niet zomaar iemands vingerafdruk verzamelen en opslaan.
Er moet een goede reden zijn, en je moet toestemming geven. Zonder die toestemming is het verboden.
Waarom is dat zo? Omdat biometrische gegevens niet te veranderen zijn. Je kunt je wachtwoord wisselen, maar je vingerafdruk niet.
Als die uitlekt, is het risico groot. Denk aan identiteitsfraude of ongewenste tracking.
De AVG beschermt je dus tegen misbruik. Bedrijven moeten aantonen dat ze de gegevens veilig opslaan en alleen voor een specifiek doel gebruiken. Geen gegevens verzamelen voor de zekerheid, dat mag niet.
Waarom is een vingerafdruk zo gevoelig?
Een vingerafdruk is meer dan een patroon op je huid. Het is een uniek identificatiemiddel dat steeds hetzelfde blijft. In de biometrie wordt het gebruikt voor toegangscontrole, zoals bij smartphones of bedrijfsdeuren.
Maar dat maakt het ook kwetsbaar. Als iemand je vingerafdruk kopieert, kan die persoon zich voordoen als jij.
Bij gezichtsherkenning gebeurt iets vergelijkbaars; een scan van je gezicht is ook biometrisch en blijft bestaan. De AVG ziet beide als hoogrisicogegevens.
Bedrijven moeten een Data Protection Impact Assessment (DPIA) doen voordat ze zulke systemen inzetten. Dat is een risicoanalyse die laat zien hoe ze je gegevens beschermen. Stel je voor: je werkt op kantoor en gebruikt een vingerafdrukscanner voor de deur, waarbij de rol van de DPO bij biometrische projecten essentieel is voor de waarborging van je privacy.
Het bedrijf scant je vingerafdruk en slaat het op in een database.
Als die database niet goed beveiligd is, kan het misgaan. Hackers stelen de gegevens, en je vingerafdruk is voorgoed compromitterd. Je kunt hem niet resetten zoals een wachtwoord. Daarom eist de AVG dat bedrijven sterke encryptie gebruiken en de gegevens alleen bewaren zo lang als nodig. Geen eindeloze opslag, want dat verhoogt het risico.
Hoe werkt de AVG in de praktijk bij biometrie?
De AVG legt de nadruk op toestemming en doelbinding. Je moet duidelijk weten waarom een bedrijf je vingerafdruk vraagt en wat ermee gebeurt.
Bijvoorbeeld: een luchthaven gebruikt vingerafdrukken voor snelle veiligheidscontrole. Dat mag, als je expliciet toestemming geeft en de gegevens na de vlucht worden gewist. Bedrijven zoals Idemia of NEC leveren biometrische systemen voor vingerafdrukken en gezichtsherkenning.
Een basisscanner voor kantoordeuren kost zo'n €200-€500, terwijl een geavanceerd systeem met gezichtsherkenning oploopt tot €2.000-€5.000.
Maar de prijs is minder belangrijk dan de naleving van de wet. Er zijn verschillende modellen voor biometrische toegang. Een vingerafdrukscanner voor huisdierdeuren (ja, sommige zijn voor mensen) is simpel en kost €50-€100, maar die voldoet vaak niet aan AVG-normen voor professioneel gebruik.
Voor bedrijven zijn er scanners van merken als Suprema of ZKTeco, die gegevens lokaal opslaan en niet in de cloud. Dat vermindert risico's. De kern van de werking: de scanner leest je vingerafdruk, maakt een template (een versleutelde weergave), en slaat dat op.
Je echte vingerafdruk wordt niet bewaard, alleen het template. Toch telt dit nog steeds als biometrisch gegeven onder de AVG.
"Biometrische gegevens zijn onvervangbaar, dus de bescherming moet waterdicht zijn."
Elk gebruik vereist een wettelijke grondslag, zoals toestemming of een vitale belangen. Varianten zijn er ook. Sommige systemen combineren vingerafdruk met gezichtsherkenning, zoals in smartphones van Samsung of Apple. Die gebruiken Face ID of vingerafdruk voor ontgrendeling.
Onder de AVG mag dat, als de gebruiker weet hoe de gegevens worden verwerkt. Maar als een app zonder toestemming je biometrie verzamelt, is het overtreding.
Boetes kunnen oplopen tot 4% van de jaaromzet, tot €20 miljoen. Bedrijven zoals Clearview AI kregen al boetes voor gezichtsherkenning zonder toestemming. Dat laat zien hoe serieus de wet is.
Welke rechten heb jij als het om je vingerafdruk gaat?
Je hebt sterke rechten onder de AVG. Allereerst het recht op inzage: je kunt vragen welke biometrische gegevens een bedrijf van je heeft en waarvoor ze die gebruiken.
Bijvoorbeeld, als je werkgever een vingerafdrukscanner gebruikt, vraag dan om de privacyverklaring. Ze moeten binnen een maand antwoorden. Twee, het recht op vergetelheid: je kunt eisen dat je gegevens worden gewist als ze niet meer nodig zijn.
Drie, het recht op bezwaar: je kunt weigeren dat je biometrie wordt gebruikt voor marketing, tenzij er een dwingende reden is.
In de praktijk zie je dit bij gezichtsherkenning in winkels. Sommige ketens testen systemen van leveranciers als BriefCam voor diefstalpreventie. Als je bezwaar maakt, moeten ze stoppen met jouw gegevens verwerken.
Maar niet elk bedrijf doet dit goed. Klachten over vingerafdrukken bij fitnessclubs of hotels komen voor.
Daarom is het slim om altijd te vragen naar het privacybeleid voordat je je vinger scant.
Geen toestemming geven zonder duidelijkheid? Doe het niet.
Praktische tips om je privacy te beschermen
Wil je je vingerafdruk veilig houden? Begin met weigeren als het niet nodig is.
Vraag altijd waarom een bedrijf je biometrie vraagt en wat ermee gebeurt. Gebruik alleen betrouwbare systemen van bekende merken, zoals de YubiKey Bio voor persoonlijke beveiliging (kost €50-€80). Die slaat biometrische gegevens lokaal op en voldoet aan AVG-normen.
- Lees de privacyverklaring: zoek naar woorden als "biometrie" en "AVG".
- Vraag om wissing: na gebruik van een scanner, eis dat je template wordt vernietigd.
- Gebruik alternatieven: als mogelijk, kies voor een pasje of wachtwoord in plaats van vingerafdruk.
- Monitor je gegevens: vraag jaarlijks bij je werkgever welke biometrie ze hebben.
- Meld misbruik: bij de Autoriteit Persoonsgegevens (AP) als je vermoedt van niet.
Voor gezichtsherkenning thuis, kies voor een slimme deurbel van Ring of Nest, maar check of je gegevens in de cloud worden opgeslagen en hoe je ongewenste audio-opnames voorkomt.
Als je een vingerafdrukscanner koopt voor thuis, let op de prijs en functionaliteit. Een basismodel van ZKTeco kost €150, maar zorg dat het lokale opslag heeft. Voor grotere bedrijven, investeer in systemen met DPIA-ondersteuning, zoals die van Idemia (vanaf €1.000).
Tot slot, onthoud: je vingerafdruk is van jou. De AVG helpt je om het zo te houden. Door alert te zijn en de juiste vragen te stellen, blijf je beschermd in een wereld vol biometrische technologie.