Wetgeving biometrische gegevens
In Nederland zijn de regels voor toegangscontrole met biometrische gegevens, zoals vingerafdrukken, gezichtsherkenning, of irisscans, strikt gereguleerd om de privacy van individuen te beschermen.
Behandeling wetsvoorstel 15 april 2025: biometrische gegevens zijn toegestaan op bouwplaatsen
De Kamer heeft dinsdag 15 april 2025 met staatssecretaris Struycken (Rechtsbescherming) gedebatteerd over het stroomlijnen van de wetgeving over persoonsgegevens. De bedoeling van het wetsvoorstel is om de regeldruk te verlagen door de privacywetgeving te verbeteren en te verduidelijken. U kunt hier het hele debat terugkijken.
Conclusie: biometrische identificatie is toegestaan op bouwplaatsen mits voldaan wordt aan aantal kernregels en vereisten. SaverIT biedt hardware en software die voldoet aan de wetgeving.
Toestemming medewerker noodzakelijk bij ontbreken zwaarwegend algemeen belang
De Memorie van Toelichting (MvT) van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) benadrukt de strenge eisen en voorwaarden waaronder biometrische gegevens mogen worden gebruikt voor toegangscontrole in Nederland. Artikel 29 van de UAVG geldt alleen voor het verwerken van biometrische gegevens die noodzakelijk zijn vanwege redenen van zwaarwegend algemeen belang.
Wanneer van een zwaarwegend algemeen belang geen sprake is, zoals voor medewerkers op een bouwplaats, dan blijft de toestemming van een medewerker vereist. De toestemming moet duidelijk actief en in vrijheid worden gegeven en op elk moment weer kunnen worden ingetrokken. Actief gegeven toestemming houdt bij SaverIT in dat een medewerker zijn of haar handtekening digitaal in het Portaal zet. SaverIT logt vervolgens datum en tijd van de toestemming. Er moet ook een niet-biometrisch alternatief worden geboden, zoals de RFID chip. Alle hardware van SaverIT heeft een dubbele mogelijkheid om te klokken, naast een biometrische optie als vingerafdrukken, gezichtsherkenning, of irisscans, is er ook een mogelijkheid om te klokken met een RFID chip. Medewerkers hebben dus een vrijwillige keuze hoe ze in- of uit willen klokken.
Voor ondertekening
Na ondertekening
Kernregels en vereisten voor gebruik van biometrische gegevens
- Toestemming: Als de grondslag voor het gebruik van biometrie toestemming is, moet deze toestemming vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn. Dit betekent dat werknemers of bezoekers vrij moeten kunnen kiezen om hun biometrische gegevens wel of niet te verstrekken zonder negatieve consequenties. SaverIT voldoet aan deze voorwaarden en logt de toestemming met handtekening en tijdstip in het Portaal.
- Beveiligingsmaatregelen: De verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen nemen om de veiligheid van de biometrische gegevens te waarborgen. Dit kan onder meer inhouden: encryptie, pseudonimisering, en het beperken van de toegang tot deze gegevens. SaverIT voldoet aan deze voorwaarden door encryptie van gegevens en autorisatie van beheerders.
- Impactanalyse gegevensbescherming: Voor het verwerken van biometrische gegevens moet vaak een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Dit is een risicobeoordeling om vast te stellen of de rechten van betrokkenen op een zorgvuldige manier worden gewaarborgd.
- Meldplicht datalekken: In geval van een datalek waarbij biometrische gegevens betrokken zijn, moet dit onverwijld gemeld worden aan de Autoriteit Persoonsgegevens (AP) en, indien er een hoog risico voor de rechten en vrijheden van de betrokkenen bestaat, ook aan de betrokkenen zelf. SaverIT heeft een protocol voor datalekken.
- Rechten van betrokkenen: Personen waarvan biometrische gegevens worden verwerkt, hebben rechten zoals inzage, correctie, en verwijdering van hun gegevens. Daarnaast kunnen zij bezwaar maken tegen de verwerking van hun gegevens. SaverIT voldoet aan deze voorwaarden; de eerder gegeven toestemming met handtekening en tijdstip in het Portaal kan te allen tijde worden ingetrokken. SaverIT biedt altijd een alternatief om te klokken met RFID chip.
Toezicht en Handhaving
De Nederlandse Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze regels en kan boetes opleggen bij overtredingen van de AVG.
Gegevensbescherming effectbeoordeling (DPIA)
De Memorie van Toelichting (MvT) herhaalt het belang van een Data Protection Impact Assessment (DPIA) wanneer biometrische gegevens worden gebruikt. Dit onderzoek moet de potentiële privacyrisico’s in kaart brengen en passende maatregelen voorstellen om die risico’s te mitigeren. De verplichting tot het uitvoeren van een DPIA is vooral relevant wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.
Wie doet wat bij DPIA
SaverIT levert technische input (zoals beveiligingsmaatregelen, dataflows, etc.) voor de DPIA. Het bouwbedrijf dat onze software gebruikt beslist of er een DPIA nodig is en voert deze uit.
Handhaving en sancties voor gebruik van biometrische gegevens
De MvT licht toe dat de Autoriteit Persoonsgegevens (AP) verantwoordelijk is voor toezicht en handhaving met betrekking tot de verwerking van biometrische gegevens. Bij schendingen van de regels kan de AP sancties opleggen, zoals boetes, afhankelijk van de ernst van de overtreding.
