Privacyverklaring opstellen voor je bedrijf bij gebruik van biometrie
Stel je voor: je wilt in je bedrijf starten met biometrie. Misschien een vingerafdrukscanner bij de voordeur of gezichtsherkenning voor je personeel. Handig, snel en veilig.
Maar dan komt er iets waar je misschien niet meteen aan denkt: de privacyverklaring. Die moet kloppen.
Want biometrische gegevens zijn supergevoelig. Je kunt je vingerafdruk niet zomaar veranderen als er iets misgaat. Daarom leg ik je precies uit hoe je een privacyverklaring opstelt die voldoet aan de wet en vertrouwen geeft.
Wat is biometrie en waarom is je privacyverklaring zo belangrijk?
Biometrie betekent dat je lichaam als sleutel wordt gebruikt. Denk aan een vingerafdrukscanner van een merk als ZKTeco of een gezichtsherkenningssysteem van Hikvision.
Je bedrijf slaat deze meetgegevens op. Dat zijn bijzondere persoonsgegevens volgens de AVG. Een privacyverklaring is niet zomaar een document dat op je site staat.
Het is een belofte. Je vertelt klanten en medewerkers wat je doet met hun vingerafdruk of gezichtsdata.
Zonder goede verklaring loop je risico op boetes tot €20.000 of meer.
En je verliest het vertrouwen van mensen. Biometrie is niet anoniem. Een vingerafdruk is uniek. Daarom is de eis voor je privacyverklaring streng.
Je moet uitleggen waarom je het doet, hoe lang je het bewaart en wie het mag zien. Heldere taal is essentieel.
De kern: wat moet er in je privacyverklaring staan?
Begin met de naam van je bedrijf en een contactpersoon. Zet erbij waarom je biometrie gebruikt.
Bijvoorbeeld: “Wij gebruiken een vingerafdrukscanner van ZKTeco om toegang te geven tot het magazijn.” Wees concreet.
Vervolgens leg je uit welke gegevens je verzamelt. Geef aan dat het gaat om een scan van een vingerafdruk of een gezichtsbeeld. Noem dat dit wordt omgezet naar een uniek template, niet naar een plaatje.
Dat maakt het veiliger. Je moet ook vertellen wat de rechtsgrond is.
Bij medewerkers is dat meestal een gerechtvaardigd belang of een contract. Bij bezoekers is het toestemming. Geef aan dat je geen toegang geeft zonder toestemming. Verder noem je:
- Wie toegang heeft tot de data (bijv. alleen de systeembeheerder).
- Hoe lang je de gegevens bewaart (bijv. 30 dagen na beëindiging contract).
- Of je data deelt met derden (bijv. een cloud-dienst van Amazon AWS).
- Hoe je beveiligt (versleuteling, fysieke beveiliging).
Sluit af met de rechten van mensen: inzage, correctie, wissing. En geef het recht om bezwaar te maken.
Zet een e-mailadres waar ze je kunnen bereiken, bijvoorbeeld privacy@jouwbedrijf.nl.
Praktische stappen: hoe schrijf je de verklaring?
Stap 1: inventariseer je biometrische systemen. Welke apparaten gebruik je en pas je daarbij privacy by design toe?
Bijvoorbeeld een vingerafdrukscanner voor de deur, een gezichtsherkenningcamera in de showroom, of een vingerprint- reader voor je time‑clock. Noteer merk, model en locatie. Stap 2: bepaal het doel per systeem. Is het toegangscontrole? Tijdregistratie? Beveiliging? Wees specifiek.
Gebruik geen vage termen. Schrijf: “We gebruiken gezichtsherkenning van Hikvision om onbevoegde toegang tot het kantoor te voorkomen.”
Stap 3: kies de rechtsgrond. Bij medewerkers: uitvoering van de arbeidsovereenkomst of gerechtvaardigd belang. Bij bezoekers: toestemming.
Zorg dat je een logisch verhaal hebt waarom biometrie noodzakelijk is. Een slot op de deur is soms minder veilig dan een vingerafdruk. Stap 4: schrijf de tekst in heldere taal. Geen juridisch jargon. Gebruik korte zinnen. Vraag een collega zonder juridische achtergrond om te lezen.
Als die het begrijpt, is het goed. Stap 5: voeg een cookieverklaring toe als je biometrische data verwerkt via een webportal, of verdiep je in de privacy-aspecten van biometrische betalingen in de horeca.
Veel systemen hebben een dashboard. Leg uit welke cookies er worden gebruikt en waarom. Stap 6: publiceer de verklaring op een zichtbare plek, bijvoorbeeld op je website en bij de ingang van het pand.
Geef mensen de kans om te lezen voordat ze instemmen. Bij een bezoekersregistratie met gezichtsherkenning vraag je expliciet om akkoord.
Prijzen en varianten: wat kost het om compliant te zijn?
Je kunt de verklaring zelf schrijven. Dat kost vooral tijd.
Reken op 2 tot 4 uur voor een eerste versie. Een simpele versie is gratis. Wil je zekerheid, dan kun je een privacytool kopen, zoals een AVG‑generator van ongeveer €50 tot €150. Laat je de verklaring controleren door een jurist?
Dan liggen de prijzen tussen €200 en €500, afhankelijk van de complexiteit. Een gespecialiseerde privacy-advocaat kost vaak €150 tot €250 per uur.
Voor een middelgroot bedrijf met drie biometrische systemen reken je op €500 tot €1.000 totaal.
Hardwarekosten voor biometrie tellen ook mee. Een ZKTeco vingerafdrukscanner koop je voor €80 tot €150. Een Hikvision gezichtsherkenningcamera kost €200 tot €400 per stuk.
Cloud-opslag voor gegevens (bijv. AWS) is ongeveer €10 tot €30 per maand, afhankelijk van opslagruimte en verkeer.
Er zijn varianten. Kies je voor lokaal opslaan op een server of in de cloud? Lokaal is vaak veiliger maar duurder in onderhoud.
Cloud is makkelijker maar vraagt extra afspraken in je verklaring over derde landen.
Geef aan welke optie je kiest en waarom. Denk ook aan verzekeringen.
Een cyberverzekering voor biometrische data kost ongeveer €500 tot €1.500 per jaar.
Die dekt schade bij een datalek. Een goede privacyverklaring verlaagt je premie.
Praktische tips voor een waterdichte verklaring
“Wees zo specifiek mogelijk. Geen vage bewoordingen, maar concrete voorbeelden.”
Gebruik voorbeeldzinnen uit je eigen systemen. Schrijf: “De vingerafdruk wordt omgezet naar een template en na 90 dagen na beëindiging van het contract verwijderd.” Dat is helder en meetbaar.
Test je proces. Vraag een nieuwe medewerker om toestemming te geven via een formulier. Leg uit dat ze kunnen intrekken.
Zorg dat je een procedure hebt voor wissing. Oefen dit eens per kwartaal.
Documenteer je beveiliging. Noem maatregelen als tweefactorauthenticatie, versleuteling en fysieke toegangscontrole. Controleer ook de privacy-certificeringen voor biometrische producten en zet deze details in je privacyverklaring. Dat bouwt vertrouwen op.
Update je verklaring bij wijzigingen. Als je overstapt van ZKTeco naar een ander merk, pas de tekst aan.
Als je een nieuwe cloudprovider gebruikt, vermeld dat. Plan een jaarlijkse controle in. Sluit af met een vriendelijke oproep.
Bijvoorbeeld: “Heb je vragen over je biometrische gegevens? Mail naar privacy@jouwbedrijf.nl.” Zo voelen mensen zich gehoord en veilig.