Regels voor gebruik biometrie

Wanneer is iets een biometrisch gegeven?

Het begrip 'biometrisch gegeven' heeft in de wetenschap vaak een andere betekenis dan in de Algemene verordening gegevensbescherming (AVG). Of iets een biometrisch persoonsgegeven is zoals bedoeld in de AVG, ligt aan 3 dingen. Zijn alle 3 de punten van toepassing? Dan moet u voldoen aan de regels voor het verwerken van biometrische gegevens als u gezichtsherkenning gebruikt.

1. De aard van de gegevens. Bij biometrische gegevens gaat het om fysieke kenmerken, fysiologische kenmerken of gedragskenmerken die bij 1 persoon horen, meestal voor altijd. Een voorbeeld van een fysiek kenmerk is de afstand tussen iemands ogen. Een fysiologisch kenmerk is bijvoorbeeld spierkracht of hersenactiviteit. Een gedragskenmerk kan zijn hoe iemand loopt. 
2. De middelen voor en de wijze van verwerken. Het gaat bij biometrische gegevens om persoonsgegevens die het resultaat zijn van ‘een specifieke technische verwerking’. Dat betekent dat gegevens met technische middelen worden geanalyseerd en vervolgens worden vergeleken met een bepaalde referentie. Of gegevens volgens de AVG biometrisch zijn, ligt er dus aan hoe deze worden gebruikt. Het plaatsen van een foto van iemand in een krant is bijvoorbeeld géén specifieke technische verwerking. Er vindt daarbij immers geen analyse en vergelijking plaats. Er is wél sprake van een specifieke technische verwerking wanneer de kenmerken van het vastgelegde gezicht naar een template worden omgezet. Zo’n template is uniek en specifiek voor 1 persoon. De gezichtsherkenning gebeurt door de template te vergelijken met andere templates. Lees ook: De techniek achter gezichtsherkenning. 
3. Het doel van de verwerking. De verwerking maakt het mogelijk om iemands identiteit vast te stellen of te bevestigen. 

Zijn niet alle 3 de punten van toepassing? Dan gaat het niet om een biometrisch persoonsgegeven. Als u wel andere persoonsgegevens verwerkt, dan moet u wel voldoen aan de algemene regels van de AVG. 

Privacyrisico’s biometrische gegevens

Een privacyrisico van biometrische gegevens speelt bijvoorbeeld bij diefstal van de gegevens. Het is niet mogelijk om een gezichtsafbeelding of vingerafdruk aan te passen, zoals dat wel makkelijk kan met een pincode of wachtwoord.

Verder bevatten biometrische gegevens vaak ook meer informatie dan strikt noodzakelijk is voor het doel van de gegevensverwerking, zoals identificatie. Zo is uit bepaalde lichaamskenmerken ook af te leiden wat iemands gezondheidstoestand of etniciteit is.

Bijzondere persoonsgegevens

De AVG bepaalt dat de verwerking van biometrische persoonsgegevens om iemand uniek te identificeren een verwerking van bijzondere persoonsgegevens is.

Dit betekent dat er strenge regels gelden voor het gebruik van biometrische gegevens, omdat het in principe verboden is om bijzondere persoonsgegevens te verwerken. 

Exceptie: persoonlijk of huishoudelijk doel

Heeft de verwerking alleen een persoonlijk of huishoudelijk doel? Bijvoorbeeld wanneer mensen hun eigen mobiele telefoon ontgrendelen met een vingerafdruk of gezichtsscan? Dan is de AVG niet van toepassing. 

Wilt u zich beroepen op deze exceptie? Dan moet u voldoen aan een aantal eisen:

1. Het door de gebruiker van de mobiele elektronica gebruikmaken van het apparaat of de dienst om toegang te verkrijgen tot (gedownloade applicaties op) het apparaat is aan te merken als privégebruik;
2. De gebruiker krijgt het gebruik van biometrische gegevens niet opgelegd door een werkgever of een andere derde (partij). De gebruiker heeft er dus zelf voor gekozen om gebruik te maken van de optie om door middel van de verwerking van biometrische gegevens toegang te krijgen. De gebruiker kan ook voor een alternatief kiezen, zoals inloggen met een wachtwoord;
3. De biometrische gegevens die van een gebruiker zijn opgeslagen, zijn niet toegankelijk voor derden. De gegevens kunnen bijvoorbeeld niet naar een externe database worden gestuurd en derden kunnen niet bij deze gegevens. Bovendien is de opslag van de gegevens goed beveiligd;
4. De biometrische gegevens worden op het apparaat opgeslagen met behulp van versleuteling volgens de stand van de techniek;
5. Bij een toegangscontrole geeft de techniek alleen door of de herkenning is gelukt of niet.

Uitzonderingen verbod gebruik biometrie

Bij biometrische gegevens die worden gebruikt voor unieke identificatie, zijn dit de 2 meest voorkomende uitzonderingen op het verwerkingsverbod:

• De betrokkenen hebben hun uitdrukkelijke toestemming gegeven. Dit is een van de uitzonderingen uit de AVG op het verbod om bijzondere persoonsgegevens te verwerken.
• De verwerking is noodzakelijk voor authenticatie of beveiliging. Deze uitzondering staat in de Uitvoeringswet AVG (UAVG). Die noodzaak is er echter niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.

Tip: Bekijk ook de overige voorkomende uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens.

Afweging gebruik biometrie voor authenticatie of beveiliging

Wilt u als organisatie biometrische gegevens gebruiken voor authenticatie of beveiliging? Dan moet u voor een beroep op artikel 29 UAVG afwegen of bijvoorbeeld een gebouw of een informatiesysteem zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken. Artikel 29 van de UAVG geeft invulling aan artikel 9, tweede lid, onderdeel g, van de AVG. 

Noodzakelijk & proportioneel

De uitzondering in artikel 29 van de UAVG vereist dat u een afweging maakt of unieke identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Daarnaast moet de verwerking van biometrische gegevens proportioneel zijn.

U moet per geval bekijken of er sprake is van een noodzakelijke verwerking van biometrische gegevens om redenen van zwaarwegend algemeen belang via vormen van gezichtsherkenning voor authenticatie of beveiligingsdoeleinden. Deze toetsing van de noodzakelijkheid en proportionaliteit is essentieel. Als de impact van de verwerking van biometrische gegevens groot is en er alternatieven zijn, dan is het verwerken van biometrische gegevens niet noodzakelijk.

Voorbeeld: kerncentrale 
Bij de toegang tot een kerncentrale is het belang van beveiliging heel groot (zwaarwegend algemeen belang) en mogen maar bepaalde mensen toegang hebben. Hier is het gebruik van biometrie voor toegangscontrole toegestaan.

Voorbeeld: toegangscontrole
Bij de toegang tot een recreatiegebied of de garage van een reparatiebedrijf is de noodzaak van beveiliging waarschijnlijk niet zo groot dat biometrie voor toegangscontrole is toegestaan.

Voorbeeld: gevaarlijke stoffen
ISPS-bedrijven (havenbedrijven die internationaal scheepvaartverkeer afhandelen) kunnen stoffen verwerken die grote gevolgen kunnen hebben voor de gezondheid en veiligheid van werknemers en de omgeving. Daarnaast kunnen ISPS-bedrijven een doelwit zijn voor (drugs)criminelen of terroristen. Gezichtsherkenning kan dan noodzakelijk zijn om het risico op zware ongevallen te voorkomen of om personeel en goederen te beveiligen. De ISPS-bedrijven moeten een concrete afweging maken op basis van de ‘dubbele noodzakelijkheidstoets’ (artikel 29 UAVG).

Voorbeeld: supermarkt
Een supermarkt wil gezichtsherkenning inzetten om diefstal tegen te gaan en om eigendommen en medewerkers te beschermen. De supermarkt wil daarvoor uitdrukkelijke toestemming vragen aan betrokkenen. Klanten moeten hier op een begrijpelijke manier over worden geïnformeerd en de uitdrukkelijke toestemming in vrijheid kunnen geven door middel van een duidelijke actieve handeling waaruit de toestemming blijkt. In de praktijk is het voor een supermarkt waarschijnlijk onmogelijk om elke klant voldoende te informeren en dus van elke klant uitdrukkelijke toestemming te vragen. Deze uitzonderingsgrond is dan ook waarschijnlijk niet bruikbaar voor een supermarkt.

Ook artikel 29 UAVG (en de voorgestelde nieuwe tekst daarvoor) lijkt voor een supermarkt geen uitzondering te kunnen bieden, omdat de lat voor een succesvol beroep hierop hoog ligt. Wanneer het doel van een supermarkt voor de inzet van gezichtsherkenning is om eigendommen en medewerkers te beschermen, kan dit belang weliswaar zwaarwegend zijn, maar lijkt geen sprake van zwaarwegende algemene belangen. Het inzetten van gezichtsherkenning is bovendien een forse inbreuk op de privacy van alle bezoekers en dit weegt zwaarder dan de zwaarwegende private belangen van de supermarkt.

Let op: de voorbeelden hiervoor zijn bedoeld ter verduidelijking van de uitleg en termen op deze pagina. Deze voorbeelden zeggen niets over of dit toelaatbare toepassingen zijn volgens de AVG. 

Afweging gebruik biometrie met uitdrukkelijke toestemming

In sommige gevallen is het mogelijk om biometrie in te zetten als betrokkenen daarvoor uitdrukkelijke toestemming hebben gegeven. Uitdrukkelijke toestemming is een zwaardere vorm van toestemming. Hiervoor gelden enkele strenge voorwaarden:

• Betrokkenen moeten de toestemming in vrijheid geven. De toestemming is niet geldig als een betrokkene geen werkelijke keuze heeft, zich gedwongen voelt om toestemming te geven (bijvoorbeeld bij een arbeidsrelatie) of het negatieve gevolgen heeft als de betrokkene niet instemt.
• U moet betrokkenen op een begrijpelijke manier in ieder geval informeren over: 
  • uw identiteit als verwerkingsverantwoordelijke;
  • welke soort gegevens u verzamelt en gebruikt;
  • het doel van het gebruik van biometrie (zoals gezichtsherkenning) en de grondslag voor de verwerking van de persoonsgegevens; 
  • het recht van de betrokkenen om de toestemming weer in te trekken en daarna het recht op verwijdering van die gegevens; 
  • wie de ontvanger is van de gegevens;
  • de bewaartermijn van de gegevens; 
  • de mogelijkheden om gebruik te maken van een alternatief voor gezichtsherkenning (let op: u moet betrokkenen hier actief op wijzen);
  • het gebruik van de gegevens voor geautomatiseerde besluitvorming, indien van toepassing; en
  • de risico’s van doorgifte van gegevens naar landen buiten de EER als er geen adequaatheidsbesluit en passende waarborgen zijn.
• Betrokkenen moeten duidelijk en actief akkoord gaan met het gebruik van biometrie. U heeft voor ieder doel waarvoor u gezichtsherkenning gebruikt, apart toestemming nodig. Verandert een doel, dan moet u opnieuw om uitdrukkelijke toestemming vragen. Bovendien moet de toestemming ondubbelzinnig zijn. Dat betekent dat iemand met een actieve handeling of verklaring toestemming geeft. Het akkoord gaan met een (andere) overeenkomst of algemene voorwaarden telt niet als toestemming. 
• U moet kunnen bewijzen dat u toestemming heeft gekregen. Bijvoorbeeld met een lijst waarop u alle gegeven toestemmingen heeft geregistreerd. 
• Betrokkenen moeten hun toestemming kunnen intrekken. Dit moet even gemakkelijk zijn als toestemming geven.

Wilt u als organisatie biometrische gegevens gebruiken op basis van uitdrukkelijke toestemming (artikel 9, tweede lid, sub a AVG)? Daarvoor geldt een hogere drempel dan ‘gewone’ toestemming uit artikel 6 en 7 van de AVG. Zo moet uitdrukkelijke toestemming vrijelijk, ondubbelzinnig, geïnformeerd, specifiek en uitdrukkelijk zijn gegeven door middel van een verklaring of een ondubbelzinnige actieve handeling. Bekijk voor meer informatie het juridisch kader gezichtsherkenning en de algemene informatie over (uitdrukkelijke) toestemming. 

Voorbeeld: uitdrukkelijke toestemming
Een supermarkt wil gezichtsherkenning inzetten om diefstal tegen te gaan en om eigendommen en medewerkers te beschermen. De supermarkt wil daarvoor uitdrukkelijke toestemming vragen aan betrokkenen, in dit geval de klanten. In de praktijk is het waarschijnlijk voor een supermarkt onmogelijk om van elke klant uitdrukkelijke toestemming te vragen. Deze uitzonderingsgrond is dan ook waarschijnlijk niet bruikbaar voor een supermarkt.

Let op: het voorbeeld hiervoor is bedoeld ter verduidelijking van de uitleg en termen op deze pagina. Het voorbeeld zegt niets over of dit een toelaatbare toepassing is volgens de AVG. 

U moet een DPIA doen

Voordat u mag beginnen met het gebruik van biometrische gegevens voor identificatie, moet u eerst een data protection impact assessment (DPIA) uitvoeren. Het verwerken van biometrische gegevens staat namelijk op de lijst met verwerkingen waarvoor een DPIA verplicht is. Daarnaast gelden er ook andere criteria waarmee u rekening moet houden voor het (verplicht) uitvoeren van een DPIA. In het geval van verwerking van biometrische gegevens kan het bijvoorbeeld gaan om:

• Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
• Gevoelige gegevens of gegevens van zeer persoonlijke aard;
• Op grote schaal verwerkte gegevens;
• Gegevens met betrekking tot kwetsbare betrokkenen; of
• Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische toepassingen.

Blijkt uit uw DPIA dat u onvoldoende maatregelen kunt nemen om de privacyrisico’s van het gebruik van biometrie te verkleinen? Dan moet u een voorafgaande raadpleging aanvragen bij de Autoriteit Persoonsgegevens (AP).

Beveiligen biometrische gegevens

Gaat u als organisatie biometrische gegevens gebruiken voor identificatie of voor het bevestigen van iemands identiteit, zoals een vingerafdruk? Dat mag alleen als u maatregelen kunt nemen die zorgen voor een hoog beveiligingsniveau. Het gaat immers om bijzondere persoonsgegevens. Deze maatregelen kunt u bijvoorbeeld aantoonbaar maken in de DPIA. Een DPIA is voor dit soort verwerkingen doorgaans verplicht.