Waarom beveiligen met biometrie bijna nooit mag

De actieheld rent door de gang. Ze heeft net duizend lasers ontweken en komt nu aan bij de kluisdeur. Helaas, die gaat alleen open met een vingerafdruk en irisscan. Wat nu? We hebben deze scène allemaal wel eens in een film gezien. Dit soort biometrische beveiliging dringt ook door in ons eigen leven. Zo voegde DigiD eind 2024 extra inlogmogelijkheden met gezichtsherkenning en vingerafdrukken toe.

Handig voor bedrijven

Niet alleen voor individuele gebruikers, maar ook voor bedrijven kan biometrische beveiliging handig zijn. Misschien ben je aannemer en lopen werknemers en onderaannemers op je bouwplaats in en uit. Of heb je als winkeleigenaar last van fraude met je kassasysteem. Dan kan gezichtsherkenning of vingerafdrukvergrendeling helpen. Je registreert dan wie op welk moment op de bouwplaats aanwezig is, of wie de kassa heeft geopend.

Strenge regels

Biometrie kan dus nuttig zijn voor de beveiliging van je bedrijf, maar je mag het in Nederland niet zomaar gebruiken. De Autoriteit Persoonsgegevens is heel streng en controleert of je je aan de privacyregels houdt. In 2024 kregen acht vakantieparken een waarschuwing. Ze gebruikten namelijk gezichtsherkenning bij de ingang van zwembaden en speeltuinen. De vakantieparken moesten die werkwijze snel veranderen, anders kregen ze een flinke boete.

Heel gevoelig

Waarom zijn de regels zo streng? Dat komt door de Europese privacywet Algemene Verordening Gegevensbescherming (AVG). Als je de vingerafdruk van je werknemer wilt herkennen, moet je die opslaan. En dat mag niet zomaar want je vingerafdruk valt in de categorie bijzondere persoonsgegevens. Voorbeelden van bijzondere persoonsgegevens zijn medische gegevens, biometrische gegevens, of gegevens die iets zeggen over je ras, geloof of seksuele geaardheid. Die gegevens zijn zó gevoelig, dat je je aan strenge regels moet houden als je ze wilt bewaren.

Toestemming

Toch is er wel mogelijkheid voor het mkb om biometrie te gebruiken. Als mensen jou uitdrukkelijk toestemming geven om hun lichaamskenmerken op te slaan, dan mag het. Denk aan je klanten of leveranciers. Je werknemers om toestemming vragen, ligt ingewikkelder. Werknemers voelen zich misschien onder druk gezet om akkoord te gaan, als daar bijvoorbeeld een goede beoordeling van afhangt. Dan is er geen sprake van een vrije toestemming.

Maar als je je medewerkers een passend alternatief geeft voor biometrie, kun je wél spreken van vrije toestemming. Als je medewerker het prettig vindt om in te loggen met biometrie, dan mag dat. Maar je moet als werkgever ook alternatieven aanbieden, zoals inloggen met een pasje of een pincode. In zo’n geval is je doel niet in de eerste plaats beveiliging, maar het gemak voor je werknemers.

Noodzakelijk

Als biometrische beveiliging écht noodzakelijk is voor de veiligheid van je bedrijf, je medewerkers of anderen, mag je het volgens de wet ook zonder toestemming gebruiken. Een kerncentrale verwerkt zulk gevaarlijk materiaal, dat je aannemelijk kunt maken dat gezichtsherkenning of een irisscan nodig is voor de beveiliging. Heb je een magazijn? Dan kun je dat niet. Er zijn namelijk niet-biometrische alternatieven waarmee je een magazijn voldoende beveiligt, zoals pasjes, pincodes of wachtwoorden.

Passende beveiliging

Hoe gevoeliger de gegevens zijn die je verwerkt, hoe beter je ze moet beveiligen. Denk daarom goed na voordat je als organisatie biometrische gegevens verwerkt, want daar komen ook hoge en kostbare beveiligingsmaatregelen bij kijken. De AVG schrijft niet concreet voor welke maatregelen dat zijn. Maar een simpel wachtwoord is niet voldoende. Bespreek die beveiliging dus altijd met een securityspecialist.

Vraag advies

Samengevat: biometrie gebruiken voor de beveiliging van je bedrijf is in Nederland niet zomaar toegestaan. Maar als je je aan strenge regels houdt, zijn er wel mogelijkheden voor het mkb. Vraag advies aan AVG-deskundigen en zorg dat je altijd je werknemers betrekt. Want zomaar een irisscanner voor de deur, zoals in de film, dat kun je dus beter niet doen.