Toegangscontrole met biometrie
Wilt u als organisatie biometrie gebruiken, zoals een vingerafdruk, om mensen toegang te geven? Bijvoorbeeld tot een gebouw, gebied of systeem? Dat is vrijwel altijd verboden. U leest hier wanneer het wel mag en waar u dan op moet letten.
Op deze pagina
Uitzonderingen op verbod biometrie
Als organisatie mag u alleen biometrie gebruiken voor toegangscontrole als in uw situatie een wettelijke uitzondering geldt op het verbod om biometrische gegevens te gebruiken voor identificatie. Dit zijn de 2 meest voorkomende uitzonderingen die van toepassing kunnen zijn:
- De betrokkenen hebben hun uitdrukkelijke toestemming gegeven. Dit is een van de uitzonderingen uit de AVG op het verbod om bijzondere persoonsgegevens te verwerken.
- De verwerking is noodzakelijk voor authenticatie of beveiliging. Deze uitzondering staat in de Uitvoeringswet AVG (UAVG). Die noodzaak is er echter niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.
Tip: Bekijk ook de overige voorkomende uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens.
Toegangscontrole op het werk
Als werkgever kunt u gebruikmaken van een van de uitzonderingen op het verbod op het verwerken van biometrische gegevens.
Uitzondering: beveiliging of authenticatie
Als u biometrische gegevens wilt gebruiken voor toegangscontrole, dan mag dat alleen als dat noodzakelijk is. Om te bepalen of u een noodzaak heeft, moet u een afweging maken of uw gebouw, gebied of systeem zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken.
Uitzondering: (uitdrukkelijke) toestemming
De uitzondering van uitdrukkelijke toestemming in de relatie tussen werkgever en werknemer zal zelden uitkomst bieden. Omdat uw werknemers afhankelijk zijn van u, zijn zij niet in een positie om te weigeren. Dat betekent dat u niet kunt voldoen aan de eis dat toestemming in vrijheid moet zijn gegeven.
Toegangscontrole met toestemming
Wilt u als organisatie biometrische gegevens van uw klanten verwerken voor toegangscontrole? En is er geen sprake van een ongelijke relatie, zoals werkgever en werknemer? Dan kunt u uw klanten om uitdrukkelijke toestemming vragen voor het gebruik van bijvoorbeeld hun vingerafdruk.
Uw klanten zijn niet verplicht om toestemming te geven. U moet uw klanten daarom ook actief de mogelijkheid bieden om op een andere manier toegang te krijgen. Bijvoorbeeld door hun identiteitsbewijs te laten zien of een toegangspas te gebruiken.
DPIA bij toegangscontrole
Voordat u mag starten met het gebruik van biometrische gegevens te gebruiken voor toegangscontrole, moet u eerst een data protection impact assessment (DPIA) uitvoeren.
Beveiliging van biometrische gegevens
Gaat u biometrische gegevens verwerken voor toegangscontrole, let dan op dat u voldoet aan de eisen voor beveiliging van biometrische gegevens.
Bekijk ook
Privacyverhaal
Doris (22) staat op haar strepen nu zij alleen nog met een vingerscan toegang kan krijgen tot het magazijn. "Het gaat me niet alleen om de toegang, je kunt er nog veel meer uit afleiden."