Independent. Dynamic. Involved.
nlen

Biometrie in de dagelijkse praktijk (2)

Door Brian de Vries, consultant bij Traxion.

In mijn eerste blog over biometrie ging het om de snelle opkomst van dit authenticatiemiddel. In films zag het er lang uit als science fiction, maar inmiddels is je telefoon ontgrendelen met je vingerafdruk of gezicht even normaal als een pincode intoetsen. En op veel plekken in de wereld moet je op vliegvelden je vingerafdruk afgeven, waarna deze gematcht wordt met die in je paspoort.

Biometrie biedt een gebruiker veel voordelen, want je hoeft niet langer allerlei verschillende wachtwoorden te onthouden en kunt je bijvoorbeeld met een vingerafdruk heel snel authentiseren. Maar er is ook een keerzijde. Want biometrische data zoals een vingerafdruk, irisscan of gezicht zijn volgens de Algemene verordening gegevensbescherming (AVG) bijzondere persoonsgegevens. En daar gelden strengere regels voor als het gaat om verwerking. Zo is volgens de AVG het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden. Maar volgens de Uitvoeringswet AVG (UAVG) geldt dat verbod niet als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. En dat is meteen de kern. Zomaar biometrische gegevens opslaan en gebruiken mag dus niet. Verschillende bedrijven kwamen daarachter toen ze vormen van biometrie wilden invoeren.

Kassabeveiliging

Een voorbeeld is schoenenketen Manfield, die een ‘vingerscan-autorisatiesysteem’ voor toegang tot de kassa’s wilde invoeren bij alle filialen. Een werknemer protesteerde omdat het inbreuk op de privacy zou maken. Manfield beriep zich op de UAVG en vond dat deze aanpak noodzakelijk was. Volgens het bedrijf was het nodig om kassa’s met vingerafdruk te beveiligen, omdat het gevoelige informatie bevat, waaronder financiële data en gegevens van werk- nemers en klanten. Maar de kantonrechter ging daar niet in mee en vond dat alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas of werknemerspas en/of cijfercodes, onvoldoende waren onderzocht.

Alternatief vereist

Een vergelijkbare situatie deed zich voor bij de universitaire sportscholen USC Amsterdam (Universiteit van Amsterdam en Hogeschool van Amsterdam) en USC Leiden (Universiteit Leiden). Hier moesten sporters gebruikmaken van een vingerscansysteem om te kunnen sporten. Er werd hen geen alternatief geboden. En dat is volgens de Autoriteit Persoonsgegevens (AP) in strijd met de wet.

Belang van DPIA

Uit deze twee voorbeelden blijkt dat een organisatie biometrie alleen kan inzetten als er goed over nagedacht is. Dat begint met het op een rij zetten van alle authenticatiemogelijkheden en te bepalen wat de voors en tegens zijn. Dat kan aan de hand van een Data Privacy Impact Analyse (DPIA). De Autoriteit Persoonsgegevens noemt als onderdelen voor een deugdelijke DPIA:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroep je je op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om je doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie je gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
  • Een beoordeling van de privacyrisico’s voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat je aan de AVG voldoet.

Met een goed doordacht DPIA en goede communicatie naar klanten, bezoekers of consumenten is te voorkomen dat je als bedrijf biometrie gaat inzetten om erachter te komen dat er geen draagvlak is, dat je de wet overtreedt of dat medewerkers formeel bezwaar gaan maken. Dat was ook een van de elementen in de uitspraak tegen Manfield. De rechter miste in die zaak een onderbouwing van Manfield – bijvoorbeeld in de vorm van een DPIA – dat biometrische beveiliging van kassa’s nodig was. Zorg dus voor een goede analyse en een goed plan, zowel op organisatorisch als technisch vlak. Dan kan biometrie nog interessante voordelen opleveren. In de volgende blog gaan we in op biometrie en het internet of things.

Meer achtergrond over de AVG is te vinden in een factsheet op de website van Traxion.

Confidental Infomation