Is toestemming altijd nodig voor biometrische verwerking?
Stel je voor: je loopt ’s ochtends het kantoor binnen. In plaats van je pasje te pakken, leg je je vinger op een scanner en de deur gaat open.
Of je kijkt even in een camera en je bent binnen. Handig, snel, efficiënt. Maar wat gebeurt er eigenlijk met die data?
Is dat wel veilig? En mag dit zomaar? De wetgeving rondom biometrie is streng, en terecht. Je vingerafdruk of gezicht is superpersoonlijk.
Je kunt het niet zomaar veranderen als het uitlekt. Daarom mag je het niet zomaar gebruiken.
In dit artikel leg ik je uit wat de regels zijn, wanneer het wel mag en wat je absoluut moet weten voordat je zo’n systeem introduceert.
Regels voor gebruik biometrie
Biometrische gegevens zijn de heilige graal van je identiteit. Ze zijn uniek, onmogelijk te kopiëren naar een ander en daardoor supergeschikt voor beveiliging.
Tegelijkertijd zijn ze extreem gevoelig. De Autoriteit Persoonsgegevens (AP) waarschuwt er dan ook regelmatig voor: als deze data op straat komt, is de schade enorm. Je kunt je vingerafdruk niet zomaar vervangen zoals een wachtwoord.
Onder de Algemene Verordening Gegevensbescherming (AVG) worden biometrische gegevens voor de unieke identificatie van een persoon gezien als bijzondere persoonsgegevens. Dit betekent dat er een specifiek verbod geldt voor de verwerking ervan, tenzij er een duidelijke uitzondering van toepassing is. De basisregel is dus: het mag niet, tenzij het echt noodzakelijk is en er een juridische grondslag is.
Wanneer is iets een biometrisch gegeven?
Niet alles wat met je lichaam te maken maken is direct biometrie. De wet maakt een onderscheid.
Een simpel pasje met je naam erop is het niet. Een foto op een ID-kaart is het soms ook niet, tenzij die gebruikt wordt voor automatische gezichtsherkenning. Het draait allemaal om het doel.
- Een vingerafdrukscanner die jouw unieke patroon vergelijkt.
- Een gezichtsscan via een camera om de deur te openen.
- Een irisscan die het patroon in je oog leest.
- Een stemherkenningssysteem dat je aan je stem herkent.
Wordt er een fysieke of gedragsmatige eigenschap gemeten om jouw identiteit op een unieke manier vast te stellen?
Dan is het biometrie. Denk aan: Het gaat dus om de techniek die jouw lichaam als sleutel gebruikt. Als die data wordt opgeslagen om jou later te herkennen, is het een biometrisch gegeven in de zin van de AVG.
Privacyrisico’s biometrische gegevens
Waarom is dit zo’n big deal? Omdat het risico veel groter is dan bij andere persoonsgegevens.
Stel je voor dat je wachtwoord voor een website lekt. Vervelend, maar je kunt het veranderen.
Als je vingerafdruk of gezichtsmodel lekt, kun je dat niet. Je draagt je unieke sleutel altijd bij je. Criminelen kunnen die data misbruiken voor identiteitsfraude, toegang tot beveiligde ruimtes of zelfs diefstal van biometrische data uit systemen van derden.
De impact is permanent en wijdverspreid. Daarom eist de wet dat deze gegevens met de allerhoogste zorg worden behandeld. De risico’s zijn zo groot dat de wetgever heeft besloten: dit soort data verwerken is in beginsel verboden.
Bijzondere persoonsgegevens
De AVG deelt persoonsgegevens in in twee hoofdcategorieën: normaal en bijzonder. Biometrische gegevens vallen onder de bijzondere categorie, net als je gezondheidsgegevens of je religieuze overtuiging. Waarom?
Omdat ze je identiteit op een onomkeerbare manier definiëren. Art. 9, eerste lid, AVG stelt dan ook: “Het is verboden bijzondere persoonsgegevens te verwerken.” Punt uit. Klaar. Dit verbod is de start van alles.
Voordat je ook maar één vingerafdruk opslaat, moet je een manier vinden om dit verbod te omzeilen.
En die manieren zijn strikt limitatief opgesomd in de wet. Je kunt niet zomaar een eigen regel bedenken.
Exceptie: persoonlijk of huishoudelijk doel
Er is een kleine uitzondering die voor bedrijven eigenlijk nooit werkt. De wet zegt dat het verbod niet geldt als je de gegevens verwerkt in volledig persoonlijke of huishoudelijke context. Denk aan gezinsleden die elkaars vingerafdruk gebruiken om de tablet te ontgrendelen.
In een bedrijfssituatie, waar je met collega’s, klanten en bezoekers te maken hebt, is deze uitzondering volledig irrelevant.
Dus, als je als organisatie biometrie wilt gebruiken, hoef je hier niet naar te kijken. Je zult moeten zoeken naar de serieuze juridische grondslagen.
Uitzonderingen verbod gebruik biometrie
Hoe kom je dan wel aan een juridische grondslag? De AVG kent een paar openingen.
De meest bekende is de uitdrukkelijke toestemming. Dat is de 'vrijwillige, specifieke en geïnformeerde' instemming van een persoon. Daarnaast is er de grondslag 'zwaarwegend algemeen belang'. Dit is voor overheden of organisaties die een essentiële taak voor de samenleving uitvoeren.
Denk aan de politie die biometrie gebruikt voor opsporing. Voor bedrijven, die rekening moeten houden met de toekomst van privacywetgeving in een wereld vol biometrische sensoren, is dit vaak geen optie.
Ze zijn namelijk geen overheid. De meest relevante uitzondering voor bedrijven is te vinden in de Uitvoeringswet AVG (UAVG).
Daar staat in artikel 29 dat het verbod niet geldt voor biometrische gegevens die nodig zijn voor authenticatie of beveiligingsdoeleinden. Dit is de belangrijkste uitzondering voor bedrijven, mits je aan strikte voorwaarden voldoet.
Afweging gebruik biometrie voor authenticatie of beveiliging
Wil je biometrie gebruiken om de deur te openen of om in te loggen op je systemen? Dan moet je je aan een paar regels houden.
De wet zegt dat het mag als het noodzakelijk is voor de authenticatie of beveiliging. Dit klinkt logisch, maar de praktijk is weerbarstig. De Autoriteit Persoonsgegevens kijkt hier heel scherp naar.
Ze eist dat je als werkgever een zorgvuldige afweging maakt. Is het echt nodig?
Noodzakelijk & proportioneel
Is er geen andere, minder ingrijpende manier? Je kunt niet zomaar zeggen: "we willen graag snelle toegang". Je moet kunnen aantonen dat de veiligheidsbehoefte zo hoog is dat alleen biometrie volstaat. De toetssteen is de proportionaliteit.
Is het middel (vingerafdrukscans) in verhouding tot het doel (beveiliging van data)? Als je een kantoorpand beveiligt waar normale computers staan, is een vingerafdruk vaak te ver.
Een toegangspas met een pincode volstaat dan. Als je echter een ruimte met zeer gevoelige data beveiligt, of een plek waar gevaarlijke stoffen liggen, dan kan biometrie wel proportioneel zijn. Je moet altijd het minst ingrijpende middel kiezen. In een praktijkcase van Zilveradvocaten (2024) was dit doorslaggevend: er was een goed werkend alternatief (een pasje), waardoor de vingerafdrukscanner niet noodzakelijk was en dus onrechtmatig. Dit geldt ook voor situaties waarbij je je afvraagt: is een biometrisch slot op een huurwoning toegestaan?
Afweging gebruik biometrie met uitdrukkelijke toestemming
Veel bedrijven denken: "Ik vraag gewoon toestemming aan mijn werknemers, dan is het goed." Dit is een veelgemaakte en dure fout. De Autoriteit Persoonsgegevens en rechters kijken hier heel anders naar. In een gezagsrelatie, zoals die tussen een werkgever en een werknemer, is toestemming bijna nooit vrijwillig.
Een werknemer is bang voor zijn baan of voelt druk om ja te zeggen.
Daarom wordt deze toestemming door de rechter vaak vernietigd. De werkgever kan zich dus niet beroepen op toestemming van de werknemer.
Dit is een valkuil waar veel bedrijven intrappen. De boete die de AP oplegde in de genoemde case was dan ook fors, omdat de werkgever dacht dat toestemming voldoende was.
U moet een DPIA doen
Voordat je begint, moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een verplichte privacy-effectbeoordeling.
Je analyseert welke risico’s de verwerking met zich meebrengt en hoe je die gaat mitigeren.
Denk aan: wat gebeurt er als de database lekt? Hoe beveilig ik de server? Wat zijn de gevolgen voor de privacy van werknemers?
Een DPIA is niet vrijblijvend. Als de AP vraagt of je hem hebt gedaan en je kunt hem niet tonen, ben je direct in de fout.
Het is een essentieel onderdeel van je verantwoordingsplicht. Zie het als een veiligheidscheck voor je eigen beleid.
Beveiligen biometrische gegevens
Als je de gegevens eenmaal mag verwerken, ben je er nog niet.
Je moet ze extreem goed beveiligen. De AP verwacht maatregelen die vallen onder de 'stand van de techniek'. Sla de data nooit op als een ruwe afbeelding. Gebruik altijd versleuteling (encryptie).
De gegevens moeten ‘one-way’ worden bewaard: het systeem moet kunnen controleren of een vingerafdruk klopt, maar het mag niet mogelijk zijn om de oorspronkelijke vingerafdruk terug te halen uit de database. Daarnaast moet je toegang tot de data strikt regelen (need-to-know principle) en loggen wie er wanneer bij komt. Denk aan systemen van leveranciers als Suprema of Hikvision, maar controleer of hun opslagmethoden aan deze hoge eisen voldoen.
Authenticatie of beveiliging
Het onderscheid is belangrijk. Authenticatie gaat over het vaststellen van wie je bent (jij bent echt Jan). Beveiliging gaat over het beschermen van iets (een ruimte of systeem).
De uitzondering in de UAVG (art. 29) geldt expliciet voor beide.
Dus of je nu de deur van het serverruimte wilt beveiligen of wilt dat medewerkers inloggen op hun laptop met hun vinger: het kan onder deze grondslag vallen. Echter, de eis van noodzakelijkheid en proportionaliteit blijft gelden.
Is een sterke wachtwoordmanager met 2FA (twee-factor authenticatie) niet net zo goed? Dan mag je de vingerafdruk niet verplichten.
Vingerafdruk verplicht?
Mag je als werkgever verplichten dat iedereen zijn vingerafdruk afstaat? Het antwoord is een duidelijk 'nee', tenzij je aan alle strenge voorwaarden voldoet én er geen alternatief is.
De werkgever moet een zwaarwegend belang hebben. In de praktijk is het bijna onmogelijk om aan te tonen dat een toegangspas of een sleutel niet voldoet.
Gerelateerde artikelen
De rechter en de AP eisen dat je een alternatief aanbiedt. Als je dat niet doet, loop je het risico op een hoge boete en een rechtszaak van je werknemers. Zorg er dus altijd voor dat deelname niet verplicht is en dat er een andere manier is om binnen te komen of in te loggen. Wil je je verdiepen in de materie?
Zoek dan naar uitspraken van de Autoriteit Persoonsgegevens over boetes voor biometrie.
Of lees de specifieke teksten van de AVG (art. 9) en de Uitvoeringswet AVG (art. 29). Deze combinatie van Europese en Nederlandse wetgeving bepaalt wat wel en niet mag. Ook juridische blogs over 'gezagsrelatie' en 'dwang' bij toestemming zijn essentieel leesvoer voor HR-managers.
Verwerken van biometrische gegevens
Om het even samen te vatten: biometrie is krachtig, maar juridisch een mijnenveld. De kern van de zaak is dat je, mede door de gevaren van gecentraliseerde biometrische databases, het alleen mag gebruiken voor authenticatie of beveiliging als het écht niet anders kan.
Toestemming van werknemers is in de meeste gevallen een schietgebedje dat niet standhoudt.
Gebruik biometrie alleen als dit noodzakelijk en proportioneel is voor authenticatie of beveiliging.
De Autoriteit Persoonsgegevens kijkt streng toe en deelt fikse boetes uit. Voordat je iets installeert, voer je een DPIA uit. En onthoud: bied altijd een alternatief aan, zoals een toegangspas.
Zo voorkom je dat je medewerkers onder druk zet en houd je je organisatie compliant. Veiligheid mag nooit ten koste gaan van de privacy van je mensen.