Biometrische gegevens
Biometrische gegevens gebruiken?
In Nederland zijn de regels voor toegangscontrole met biometrische gegevens, zoals vingerafdrukken, gezichtsherkenning, of irisscans, strikt gereguleerd om de privacy van individuen te beschermen.
Toegangscontrole op het werk
Als werkgever kunt u gebruikmaken van één van de uitzonderingen op het verbod op het verwerken van biometrische gegevens.
Uitzondering 1: beveiliging of authenticatie
Als u biometrische gegevens wilt gebruiken voor toegangscontrole, dan mag dat alleen als dat noodzakelijk is. Om te bepalen of u een noodzaak heeft, moet u een afweging maken of uw gebouw, gebied of systeem zó goed beveiligd moeten zijn dat dit niet anders kan dan door (alleen) biometrie te gebruiken.
Uitzondering 2: (uitdrukkelijke) toestemming
De uitzondering van uitdrukkelijke toestemming in de relatie tussen werkgever en werknemer zal zelden uitkomst bieden. Omdat uw werknemers afhankelijk zijn van u, zijn zij niet in een positie om te weigeren. Dat betekent dat u niet kunt voldoen aan de eis dat toestemming in vrijheid moet zijn gegeven.
Toestemming medewerker noodzakelijk
De Memorie van Toelichting (MvT) van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) benadrukt de strenge eisen en voorwaarden waaronder biometrische gegevens mogen worden gebruikt voor toegangscontrole in Nederland. Artikel 29 van de UAVG geldt alleen voor het verwerken van biometrische gegevens die noodzakelijk zijn vanwege redenen van zwaarwegend algemeen belang. De toestemming moet duidelijk actief en in vrijheid worden gegeven en op elk moment weer kunnen worden ingetrokken. Actief gegeven toestemming houdt bij SaverIT in dat een medewerker zijn of haar handtekening digitaal in het Portaal zet. SaverIT logt vervolgens datum en tijd van de toestemming. Er moet ook een niet-biometrisch alternatief worden geboden, zoals de RFID chip. Alle hardware van SaverIT heeft een dubbele mogelijkheid om te klokken, naast een biometrische optie als vingerafdrukken, gezichtsherkenning, of irisscans, is er ook een mogelijkheid om te klokken met een RFID chip. Medewerkers hebben dus een vrijwillige keuze hoe ze in- of uit willen klokken.
Voor ondertekening
Na ondertekening
Toezicht en Handhaving
De Nederlandse Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze regels en kan boetes opleggen bij overtredingen van de AVG.
Gegevensbescherming effectbeoordeling (DPIA)
Voordat u mag starten met het gebruik van biometrische gegevens te gebruiken voor toegangscontrole, moet u eerst een data protection impact assessment (DPIA) uitvoeren. Dit onderzoek moet de potentiële privacyrisico’s in kaart brengen en passende maatregelen voorstellen om die risico’s te beperken. De verplichting tot het uitvoeren van een DPIA is vooral relevant wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.
Wie doet wat bij DPIA
SaverIT levert technische input (zoals beveiligingsmaatregelen, dataflows, etc.) voor de DPIA. Het bouwbedrijf dat onze software gebruikt voert de DPIA uit.
Handhaving en sancties voor gebruik van biometrische gegevens
De MvT licht toe dat de Autoriteit Persoonsgegevens (AP) verantwoordelijk is voor toezicht en handhaving met betrekking tot de verwerking van biometrische gegevens. Bij schendingen van de regels kan de AP sancties opleggen, zoals boetes, afhankelijk van de ernst van de overtreding.
