Biometrische toegangscontrole: Tips bij het gebruik van biometrie als beveiligingsmiddel

17/10/19 - Steeds meer bedrijven richten zich op betere en geavanceerdere beveiligingstechnieken. Beveiliging met biometrische persoonsgegevens is daarbij in opkomst omdat het veel voordelen heeft. Zo kan men niet makkelijk frauderen en je hoeft geen wachtwoord te onthouden. Waar moet u op letten bij het inzetten van biometrische gegevens voor beveiligingsdoeleinden? Naar aanleiding van een recente uitspraak geven wij drie praktische tips.

Manfield-zaak

Manfield werkte met vingerscanautorisatie om de toegang tot het kassasysteem te controleren. Daartoe verplichtte Manfield haar medewerkers een vingerscan te maken. Alleen met een controle van de vingerafdruk van de medewerker was het systeem toegankelijk. De reden voor deze vorm van toegangscontrole door Manfield was tweeledig:

  1. fraude voorkomen;
  2. gevoelige informatie beschermen, zoals persoonsgegevens van klanten en medewerkers, en financiële gegevens van Manfield. 

Vingerafdrukken zijn biometrische persoonsgegevens (Artikel 4 (14) AVG) die vallen onder de categorie bijzondere persoonsgegevens (Artikel 9 (1) AVG). Immers, door middel van een vingerafdruk kan een persoon uniek worden geïdentificeerd. Bijzondere persoonsgegevens mogen niet worden verwerkt, tenzij een uitzondering van toepassing is (Artikel 9 AVG). Manfield was in de veronderstelling dat zij zich op de uitzonderingsgrond van artikel 29 UAVG kon beroepen. In dit artikel is opgenomen dat verwerking van biometrische gegevens mogelijk is als dit voor de unieke identificatie van een persoon noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze bepaling is opgenomen voor omstandigheden waarin toestemming niet in vrijheid kan worden gegeven [1]. De verwerkingsverantwoordelijke dient de noodzakelijkheid aan te tonen op basis van objectieve en gedocumenteerde omstandigheden waaruit een aanzienlijk risico blijkt [2]. De inzet van biometrie als beveiliging dient ook altijd aan het evenredigheidsbeginsel te voldoen: indien alternatieve maatregelen net zo effectief zijn, maar minder ingrijpend voor de betrokkenen, dan dient voor het minst ingrijpende middel te worden gekozen.

De kantonrechter oordeelde in deze zaak dat het verwerken van vingerafdrukken ten behoeve van de toegangscontrole tot het kassassysteem onrechtmatig was. De kantonrechter kwam tot deze conclusie doordat Manfield andere – minder ingrijpende – maatregelen onvoldoende had onderzocht. Ook was in dit geval het doel van Manfield, namelijk haar eigen bedrijfsbelang, onvoldoende noodzakelijk om de verwerking van biometrische gegevens te kunnen rechtvaardigen.

Tips bij de onderbouwing van biometrische toegangscontrole

Uit de Manfield-zaak blijkt dat het belangrijk is om de noodzakelijkheid en evenredigheid van biometrische toegangscontrole te onderbouwen. Hieronder volgen drie tips voor het onderbouwen van de noodzaak van biometrische toegangscontrole.

1: Breng de risico’s van ongeoorloofde toegang in kaart

De kantonrechter verwijst in deze uitspraak naar het voorbeeld van toegangscontrole bij een kerncentrale [3]. Omdat het risico van ongeoorloofde toegang tot een kerncentrale aanzienlijk is, is het voor kencentrales mogelijk bij toegangscontrole biometrische persoonsgegevens te gebruiken. Ongeoorloofde toegang tot het kassasysteem van Manfield had, aldus de kantonrechter, geen aanzienlijk risico. Indien het aanzienlijke risico niet (voldoende) kan worden aangetoond, gaat de uitzonderingsgrond van artikel 29 UAVG niet op. Breng daarom goed in kaart wat het risico is van eventuele ongeoorloofde toegang.

2: Beoordeel of minder ingrijpende beveiligingsmiddelen kunnen worden ingezet

Manfield had andere beveiligingsmaatregelen onvoldoende onderzocht, waardoor onvoldoende kon worden onderbouwd waarom voor biometrische toegangscontrole was gekozen. Beoordeel dus voorafgaand of andere (beveiligings)maatregelen kunnen worden getroffen, en welk effect dit zou hebben. Als andere middelen tekortschieten, dan dient dit te worden onderbouwd.

3: Benoem de getroffen passende maatregelen

Voor de verwerking van biometrische gegevens dienen passende maatregelen te zijn getroffen. Deze maatregelen leiden ertoe dat het risico voor de betrokkene en de impact op de privacy van de betrokkene wordt beperkt. Dergelijke maatregelen kunnen helpen bij de onderbouwing van de uitzonderingsgrond van artikel 29 UAVG.

Considerati ontbijtsessie ‘biometrische gegevens’

Wilt u graag meer weten over de verwerking van biometrische gegevens en de ontwikkelingen hieromtrent? Kom dan naar onze ontbijtsessie op 13 november 2019! Meld je hier aan voor het event.

 

Bronnen

[1] Kamerstukken II 2017/18, 34851, 3, p. 108-109 (MvT).

[3] Working Party 29 WP/193, Opinion 3/2012 on developments in biometric technologies, 27-05-2012, p. 13.

[3] Kamerstukken II 2017/18, 34851, 3, p. 108-109 (MvT)

Romy ter Beek Juridisch Adviseur

Heeft u nog vragen?

Contact