Vingerafdrukherkenning en de AVG: Wat zijn je rechten als gebruiker?
Je smartphone vraagt je vingerafdruk om te ontgrendelen, je laptop scant je vingertoppen om in te loggen, en sommige deursloten doen niets zonder je unieke afdruk.
Handig, snel en veilig, lijkt het. Maar wat gebeurt er eigenlijk met die biometrische data? Onder de Algemene Verordening Gegevensbescherming (AVG) ben je niet zomaar overgeleverd aan de fabrikant. Je hebt rechten. Hier leggen we uit hoe die vingerafdrukherkenning werkt, wat de wet zegt en wat je kunt doen om je privacy te beschermen.
Wat is vingerafdrukherkenning eigenlijk?
Vingerafdrukherkenning is een vorm van biometrie. Het systeem scant je vingertop, meet de unieke lijntjes, richels en putjes, en zet dat om naar een digitaal template.
Dat template is een wiskundige weergave van je afdruk, niet de afbeelding zelf. Veel moderne scanners, zoals die in de iPhone 15 of Samsung Galaxy S24, gebruiken capacitieve sensoren die kleine elektrische ladingen meten. Andere systemen, zoals die in bedrijfsdeuren, gebruiken optische scanners of ultrasone techniek. De reden dat vingerafdrukken zo populair zijn, is hun uniciteit.
Geen twee mensen hebben dezelfde afdruk, en de kans op een false match is extreem klein: bij goede scanners ligt die onder de 0,001%. Toch is er een verschil tussen “authenticatie” (jij bent het echt) en “identificatie” (wie ben je?).
De meeste consumentenapparaten doen authenticatie: ze vergelijken je vingerafdruk met een lokaal opgeslagen template.
Bij identificatie wordt je afdruk vergeleken met een grote database, wat privacygevoeliger is. Waarom is dit belangrijk? Omdat je vingerafdruk onveranderlijk is.
Wachtwoorden kun je resetten, maar je vingerafdruk niet. Als die ooit lekt, heb je een blijvend probleem.
Daarom zegt de AVG dat biometrische data “bijzondere persoonsgegevens” zijn. Ze vallen onder strengere bescherming dan je naam of e-mailadres.
De kern: hoe werkt een vingerafdrukscanner?
Een typische vingerafdrukscanner in een smartphone of laptop bestaat uit drie delen: de sensor, de verwerkingschip en de opslag. De sensor legt je vingertop vast, de chip berekent het template, en dat template wordt opgeslagen.
Bij moderne toestellen gebeurt dat in een beveiligde chip, zoals de Secure Enclave in Apple-apparaten of de Knox-chip in Samsung-toestellen.
Die chips zijn fysiek afgeschermd en versleuteld. Er zijn verschillende technieken. Capacitieve scanners zijn het meest voorkomend: ze meten elektrische ladingen en werken goed bij droge vingers.
Optische scanners gebruiken licht en zijn vaak te vinden in goedkopere deursloten, maar ze zijn gevoeliger voor vuil en vocht. Ultrasone scanners, zoals die in sommige high-end laptops, gebruiken geluidsgolven voor een gedetailleerder beeld. Elke techniek heeft zijn eigen privacy-impact: optische scanners slaan soms meer beeldmateriaal op, terwijl capacitieve scanners alleen een template maken. Een template is geen foto.
Het is een getallenreeks die de relatieve posities van lijnen en richels beschrijft.
Toch is het niet 100% anoniem. Als iemand toegang krijgt tot het template, kan hij of zij proberen het te reversen, al is dat bij moderne versleuteling erg moeilijk.
Daarom is het belangrijk dat het template lokaal blijft en niet naar een server wordt gestuurd. Fabrikanten zoals Apple en Samsung beweren dat je biometrische data nooit hun servers verlaat, maar het is goed om dat zelf te controleren.
Wat zegt de AVG over vingerafdrukherkenning?
De AVG behandelt biometrische gegevens als “bijzondere categorieën”. Dat betekent dat verwerking alleen mag als je uitdrukkelijke toestemming geeft of als er een wettelijke uitzondering is. Voor de meeste consumentenapparaten betekent dit: je moet actief instemmen voordat je vingerafdruk wordt opgeslagen.
Je kunt die toestemming altijd intrekken, en de verantwoordelijke (de fabrikant of de organisatie die het systeem gebruikt) moet je data verwijderen.
Een tweede belangrijk punt is dat biometrische data niet mag worden doorgegeven aan landen buiten de EU zonder passende waarborgen. Als een apparaat of dienst gegevens naar een server in de VS stuurt, moet er een zogenoemde “adequaatheidsbeslissing” zijn of moeten standaardcontractbepalingen worden toegepast.
Veel consumentenapparaten beweren dat ze alles lokaal verwerken, maar sommige zakelijke systemen sturen templates naar de cloud voor vergelijking. Controleer altijd het privacybeleid. Je hebt als gebruiker verschillende rechten onder de AVG.
Je mag de organisatie vragen welke gegevens ze van je hebben, hoe ze die gebruiken en met wie ze die delen.
Praktijkvoorbeeld: je smartphone
Je mag correctie of verwijdering aanvragen. En je mag bezwaar maken tegen verwerking. Als je bijvoorbeeld een bedrijfsdeur met vingerafdrukscanning gebruikt, kun je vragen om een alternatieve toegangsmethode, zoals een pasje of pincode. De organisatie moet dat aanbieden als het redelijk is.
Op een iPhone ga je naar Instellingen > Face ID & Passcode (of Touch ID & Passcode). Daar zie je dat je vingerafdruk lokaal wordt opgeslagen en niet wordt gedeeld met Apple of andere apps.
Je kunt de vingerafdruk op elk moment verwijderen. Op Android ga je naar Instellingen > Beveiliging > Vingerafdruk, waar je ook extra back-up vingers kunt registreren.
Samsung biedt extra opties via Samsung Pass, waarbij je kunt kiezen of biometrische data lokaal blijft of wordt gesynchroniseerd met je Samsung-account. Verdachte apparaten, zoals goedkope deursloten van onbekende merken, zijn een ander verhaal. Sommige sturen biometrische data naar servers in China of de VS zonder duidelijke toestemming. Controleer of het apparaat voldoet aan de AVG en of het een Europees privacylabel heeft, zoals het AVG-keurmerk van de Autoriteit Persoonsgegevens.
Prijzen en modellen: wat kun je verwachten?
Consumentenapparaten variëren sterk in prijs en kwaliteit. Een vingerafdrukscanner in een smartphone zit vaak al inbegrepen bij de aanschaf.
Losse scanners voor laptops zijn er vanaf €30, bijvoorbeeld de Kensington VeriMark, die zowel Windows Hello als FIDO2 ondersteunt. Deze scanners zijn compact, sluiten via USB aan en bieden redelijke beveiliging voor thuiskantoren.
Deursloten met vingerafdrukherkenning zijn er in verschillende klassen. Een basismodel zoals de August Smart Lock Pro kost rond de €150 en combineert vingerafdruk met een app. Een meer geavanceerd slot, zoals de Yale Real Living Assure Lock 2, met capacitieve scanner en pincode, kost tussen €200 en €300. Professionele systemen voor kantoren, zoals die van Suprema BioStation 3, kosten vanaf €500 tot €1.500, afhankelijk van de capaciteit en cloud-integratie.
Biometrische toegangssystemen voor bedrijven zijn vaak duurder. Een volledig systeem met meerdere deuren, centrale software en cloud-backup kan €2.000 tot €10.000 kosten, exclusief installatie.
Kies bij voorkeur voor systemen die lokaal opslaan en geen biometrische data naar de cloud sturen. Merken als HID Global en ZKTeco bieden dergelijke oplossingen, maar controleer altijd de privacyvoorwaarden.
Praktische tips om je privacy te beschermen
Controleer eerst of je apparaat je biometrische data lokaal opslaat. Lees het privacybeleid van de fabrikant en ontdek hoe je vingerafdrukken veilig kunt wissen als je overstapt op een ander systeem.
Als er staat dat gegevens worden “geanonimiseerd” of “versleuteld”, vraag dan door: wat betekent dat precies? Vraag ook of de data wordt gedeeld met derden. Gebruik vingerafdrukherkenning alleen als aanvulling op een sterke pincode of wachtwoord.
Nooit als enige beveiligingslaag. Als je een deurslot met vingerafdruk koopt, zorg dan dat het ook een mechanische sleutel of pincode heeft.
Zo voorkom je dat je buitengesloten raakt als de scanner faalt. Als je twijfelt over een apparaat, vraag dan bij de leverancier om een dataprotectie-impactbeoordeling (DPIA).
“Je vingerafdruk is uniek en onveranderlijk. Behandel die gegevens met dezelfde zorg als je paspoort.”
Dat is een document waarin staat hoe de organisatie omgaat met biometrische data. Als ze dat niet kunnen leveren, is dat een rode vlag. Tot slot: houd je software up-to-date. Fabrikanten brengen regelmatig beveiligingsupdates uit die kwetsbaarheden dichten.
Met deze kennis en stappen kun je de evolutie van vingerafdrukherkenning beter begrijpen en de techniek veilig gebruiken. De AVG geeft je de instrumenten; jij bepaalt hoe je ze inzet.