Op grond van de AVG zijn biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van een persoon ‘bijzondere persoonsgegevens’. Dit betekent dat er ten aanzien van het verwerken van deze persoonsgegevens nieuwe regels van toepassing zijn ten opzichte van de huidige situatie.
Op dit moment is de Wbp wel van toepassing op het verwerken van biometrische persoonsgegevens en onder omstandigheden kan het ook op dit moment al als een gevoelig of bijzonder persoonsgegevens worden aangemerkt. Maar de AVG bepaalt dus dat biometrische gegevens die worden verwerkt ter identificatie van een persoon bijzondere persoonsgegevens zijn.
Biometrische gegevens worden in AVG gedefinieerd als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukken.”
Naast gezichtsafbeeldingen en vingerafdrukken kunnen ook irisscans of het stemgeluid als biometrische gegevens worden aangemerkt.
In de praktijk worden biometrische gegevens al veel gebruikt als manier om iemand te identificeren. Denk bijvoorbeeld aan werknemers die door middel van gezichtsherkenning hun computer kunnen ontgrendelen of een sportschool die toegang verschaft door middel van de vingerafdruk van hun leden. Maar ook de gezichtsherkenningssoftware die verschillende bedrijven gebruiken, bijvoorbeeld om andere personen in foto’s te kunnen taggen valt onder de definitie in de AVG.
Opvallend is dat de definitie in de AVG stelt dat het gaat om persoonsgegevens die het resultaat zijn van een specifieke technische verwerking. Dit zou inhouden dat niet alleen de vingerafdruk zelf het biometrische gegeven is, maar ook de nummering of code die hieraan verbonden wordt.
In principe rust er een algemeen verbod op de verwerking van bijzondere persoonsgegevens, dus ook op de verwerking van biometrische gegevens met als doel de identificatie van een persoon. Dit is gedaan, omdat het in veel gevallen gaat om zeer gevoelige informatie en er grote risico’s gepaard gaan met een eventuele lek of hack.
Er zijn echter uitzonderingen op het algemene verbod waarmee het onder bepaalde omstandigheden toch mogelijk is om biometrische gegevens te verwerken met als doel de unieke identificatie van een persoon. Zo is het bijvoorbeeld toegestaan deze persoonsgegevens te verwerken wanneer daarvoor de uitdrukkelijke toestemming is gegeven door de betrokkene of wanneer het noodzakelijk is om iemands vitaal belang te dienen.
De Uitvoeringswet AVG voegt hieraan toe dat het verbod op het verwerken van biometrische gegevens niet van toepassing is wanneer dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde”.
Er dient dus altijd een belangenafweging te worden gemaakt en deze moet onderbouwd en vastgesteld worden in het verwerkingsregister.
Wilt u meer informatie over de mogelijke gevolgen voor uw organisatie? Neem dan contact met ons op.