De meeste telefoons en laptops zijn tegenwoordig te ontgrendelen met een vingerafdruk of met gezichtsherkenning. Veel van onze klanten vragen ons dan ook of dit mogelijk is voor toegangscontrole en tijdsregistratie, en dat is het. Veel Atrea klanten hebben terminals die gebruik maken van een vingerafdrukscanner. Maar er bestaat nog veel onduidelijkheid over het verwerken van biometrische gegevens als het gaat om privacy. In dit artikel lopen we de meest gestelde vragen met betrekking tot privacy en biometrische oplossingen voor tijdregistratie en toegangscontrole door.

Wat zijn biometrische gegevens?

Biometrische gegevens zijn unieke biologische gegevens of lichaamskenmerken die herkenning en authenticatie mogelijk maken. In de AVG (Algemene Verordening Persoonsgegevens) is de volgende definitie gehanteerd voor biometrische gegevens:

“Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.”

Naast gezichtsscans en vingerafdrukken zijn ook iris- of netvliesscans en stemherkenning, veelvoorkomende toepassingen van biometrie.

Wat staat er in de AVG over biometrische persoonsgegevens?

De AVG is de eerste wettelijke regeling die expliciet rekening houdt met biometrische gegevens. De AVG stelt dat biometrische gegevens gebaseerd zijn op unieke lichaamskenmerken die herkenning en authenticatie mogelijk maken. Hierdoor vallen de biometrische persoonsgegevens onder de bijzondere persoonsgegevens en is het verwerken hiervan om iemand te identificeren in beginsel verboden.

Echter in de Uitvoeringswet AVG (UAVG) zijn voor Nederland een aantal bijzondere bepalingen opgenomen. Zo is het verbod niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Daarover hieronder meer.

Bron: Autoriteit Persoonsgegevens

Is het toegestaan om biometrische gegevens te gebruiken voor toegangscontrole?

Zoals hierboven al gesteld is het verwerken van biometrische gegevens, met het oog op de unieke identificatie van een persoon in beginsel verboden. Echter, in de UAVG zijn een aantal uitzonderingen opgenomen. Deze maken het mogelijk om biometrische gegevens in te zetten voor toegangscontrole.

Het verbod op de verwerking van biometrische gegevens is niet van toepassing wanneer de verwerking noodzakelijk is voor herkenning of beveiligingsdoeleinden (Bron: UAVG, artikel 29). Dit betekent dat organisaties deze gegevens wel mogen gebruiken, als dit nodig is voor de beveiliging van de toegang tot gebouwen en terreinen.

Is het toegestaan om biometrische gegevens te gebruiken voor tijdregistratie en aanwezigheidsregistratie?

Toegangscontrole is dus een uitzondering voor de verwerking van biometrische gegevens. Maar hoe zit het dan met tijdregistratie en aanwezigheidsregistratie?

Voor veel organisaties is het in verband met de veiligheid wettelijk verplicht om een aanwezigheidsregistratie bij te houden. Deze wettelijke grondslag zorgt ervoor dat ook hier artikel 29 uit de UAVG van toepassing is. Voor aanwezigheidsregistratie mag, mits daarvoor een wettelijke grondslag is, ook biometrische gegevens worden verwerkt.

Ook is het verbod niet van toepassing als de werknemer duidelijk toestemming geeft voor de verwerking van biometrische gegevens (Bron: UAVG, artikel 22). In dit geval geeft de werknemer aan het niet erg te vinden dat zijn biometrische gegevens worden verwerkt. Hij/zij heeft er namelijk ook zelf profijt van, een vingerafdruk kun je namelijk niet zo snel vergeten mee te nemen.

Toegangscontrole is een uitzondering voor de verwerking van biometrische gegevens.
Toegangscontrole is een uitzondering voor de verwerking van biometrische gegevens.

Wel geldt hier dat de werkgever ook alternatieven moet bieden. Naast een biometrische oplossing moet er dus ook een alternatief zijn, zoals een pasje, druppel of een wachtwoord. Bij Atrea bieden wij bijvoorbeeld alleen gecombineerde systemen aan. Deze systemen werken met biometrische gegevens, maar ook met een pasje of druppel. De keuze is aan de werknemer. Als werkgever mag je de werknemer niet verplichten om biometrische gegevens te delen.

Wat zijn de voorwaarden die zijn gesteld aan het gebruik van biometrische gegevens?

Vanuit de wetgeving zijn er voorwaarden gesteld aan het gebruik van biometrische gegevens voor toegangscontrole, registratie van aanwezigheid en tijdregistratie. Zo moet iedere organisatie de afweging maken of biometrische systemen noodzakelijk zijn voor beveiligingsdoeleinden, en in kaart brengen of er passende alternatieven zijn. Het verwerken van biometrische gegevens moet daarbij in verhouding zijn binnen de dienstverlening binnen het bedrijf. Voorbeelden hiervan zijn organisaties met toegang tot opslagruimtes met waardevolle spullen, of organisaties die moeten voldoen aan strenge hygiëne-eisen, waardoor niet iedereen zomaar een ruimte mag betreden.

Bron: Autoriteit Persoonsgegevens

Welke biometrische gegevens worden verwerkt ten behoeve van toegangscontrole of tijdregistratie?

Voor het verwerken van biometrische gegevens worden de biometrische eigenschappen vertaald naar unieke codes, die vervolgens worden opgeslagen. De toegangscontrole- en tijdsregistratieterminals zijn uitgerust met intelligente technologie die de biometrische gegevens direct vertalen naar een code en die matchen met de code die is opgeslagen in het systeem. Het is hierdoor niet mogelijk om de biometrische gegevens (of delen daarvan) te reproduceren.

Waar moet ‘toestemming’ van medewerkers aan voldoen om biometrische gegevens te mogen verwerken?

Maakt de organisatie gebruik van de uitdrukkelijke toestemming van medewerkers, dan moet deze toestemming duidelijk en niet afgedwongen zijn. De werknemer moet goed snappen waar hij/zij toestemming voor geeft en er mogen geen negatieve consequenties aan verbonden zijn.

De toestemming moet aan een aantal voorwaarden voldoen:

• Specifiek: de werknemer geeft alleen toestemming voor het verwerken van biometrische gegevens voor een vastgesteld doel. Dat betekent dat de toestemming ook niet verstopt mag zitten in bijvoorbeeld de arbeidsovereenkomst.

• Vrij: de werknemer moet een vrije keuze hebben en mag niet worden gedwongen om toestemming te geven. Bijvoorbeeld door zijn/haar uren niet uit te betalen als de werknemer geen biometrische gegevens laat verwerken voor tijdregistratie.

• Op informatie berustend: de werknemer moet in begrijpelijke taal op de hoogte gesteld zijn over het doel van de toestemming en zijn/haar rechten.

• Ondubbelzinnig: de werknemer moet expliciet toestemming geven. De organisatie mag geen gebruik maken van vooraf aangevinkte checkboxes of aannemen dat de medewerker door indiensttreding de verwerking van biometrische gegevens accepteert.

Bron: Nederland ICT

De biometrische oplossingen van Atrea

Atrea is leverancier van (biometrische) systemen voor tijdregistratie, aanwezigheidsregistratie, activiteitenregistratie en toegangscontrole. Onze oplossingen voldoen aan alle gestelde voorwaarden om biometrische gegevens te verwerken. Onze specialisten vertellen u graag meer over de voordelen en mogelijkheden van biometrie voor tijdregistratie en toegangscontrole.

Let op! Aan de inhoud van dit artikel kunnen geen rechten worden ontleend. Wij hebben dit artikel zorgvuldig samengesteld op basis van betrouwbare en actuele informatie. Het is echter geen juridisch advies. Laat u goed adviseren als u met biometrische oplossingen aan de slag gaat.