Vraag & Antwoord: AVG-compliant gebruik van biometrische gegevens binnen een organisatie
"Biometrische persoonsgegevens mogen niet verwerkt worden, tenzij de betrokkenen toestemming geeft. Ik werk als Data Protection Officer in opleiding in een distributiemagazijn. Een beperkt aantal medewerkers hebben op hun verzoek toestemming gekregen om met een vingerafdruk toegang te krijgen tot het magazijn. Zij hebben hier expliciet zelf om gevraagd omdat het gemakkelijker werkt dan een toegangsbadge. De gegevens staat op apparaat (de scanner) die een opslagmedium heeft waar de vingerafdruk niet uit geëxporteerd kan worden. Er is geen print of uitlezen mogelijk. Als we een toestemmingsverklaring laten schrijven waarin medewerker zelf aangeeft dit expliciet zo te wensen, is het dan AVG compliant?”
Antwoord
Op grond van de Algemene Verordening Gegevensbescherming (“AVG”) is het verboden om bijzondere persoonsgegevens zoals biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken tenzij aan een in de AVG opgenomen uitzonderingen is voldaan (artikel 9 AVG). Eén van deze uitzonderingen is inderdaad de uitdrukkelijke toestemming van de betrokkene (artikel 9 lid 2 onder a AVG). Er kan echter ook van het verbod op de verwerking van bijzondere persoonsgegevens worden afgeweken als de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene (artikel 9 lid 2 onder g AVG).
De Nederlandse wetgever heeft invulling gegeven aan de afwijkingsmogelijkheid die artikel 9 lid 2 onder g AVG biedt. In de Uitvoeringswet AVG is bepaald dat het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing is als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden (artikel 29 Uitvoeringswet AVG). In een dergelijk geval zal dus niet gekeken hoeven worden of een beroep op een uitzondering voor het verwerken van bijzondere persoonsgegevens – zoals uitdrukkelijke toestemming – mogelijk is.
Het doorbreken van het verwerkingsverbod voor biometrische gegevens met het oog op de unieke identificatie van een persoon neemt niet weg dat er een grondslag zal moeten zijn voor de verwerking. Onder omstandigheden is het bij biometrische gegevens mogelijk om de toestemming van de betrokkene als grondslag te gebruiken voor de verwerking. Wel zal daarbij moeten zijn voldaan aan de voorwaarden voor een geldige toestemming, met name dat de toestemming in vrijheid is gegeven (anders zal er geen sprake zijn van een verwerking die in overeenstemming is met de AVG). In een relatie tussen werkgever en werknemer is dit punt problematisch. Gezien de hiërarchische verhouding tussen partijen kan in de regel niet gesproken worden van toestemming van een werknemer die in vrijheid is gegeven. Alleen als gewaarborgd kan worden dat een werknemer geen nadelige gevolgen zal ondervinden als gevolg van het weigeren van toestemming, zou sprake kunnen zijn van een in vrijheid gegeven toestemming. Of in dit geval sprake zal zijn van in vrijheid gegeven toestemming hangt af van de vraag in hoeverre de verwerking inderdaad geschiedt op basis van volledige vrijwilligheid en medewerkers dan ook zonder negatieve gevolgen de keuze hebben om geen biometrische gegevens af te geven.
In plaats van toestemming zou ook het gerechtvaardigd belang van de verwerkingsverantwoordelijke als grondslag voor de verwerking kunnen dienen, zoals de wetgever ook heeft aangegeven in de toelichting bij artikel 29 Uitvoeringswet AVG (Kamerstukken II 2017/18, 34 851, nr. 3, p. 108-109). Daarbij heeft de wetgever overwogen dat wel een afweging gemaakt dient te worden of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Er zal afgewogen moeten worden of gebouwen en informatiesystemen op een zodanige beveiligd moeten worden dat daarvoor identificatie via biometrie nodig is. Daarvan zal sprake zijn als de toegang beperkt dient te zijn tot bepaalde, geautoriseerde personen (zoals bij een kerncentrale). Het verwerken van biometrische gegevens dient verder ook proportioneel te zijn. Bij de toegang tot een garage van een reparatiebedrijf zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen (en dat deze gegevens in dat kader worden vastgelegd om de toegangscontrole uit te oefenen). In bepaalde gevallen kan biometrie ook juist een belangrijk middel van beveiliging zijn voor systemen die zelf veel persoonsgegevens bevatten (zoals informatiesystemen) waarbij onrechtmatige toegang moet worden voorkomen (waaronder door werknemers). Het is dus van belang om de noodzakelijkheid van het gebruik van biometrie te kunnen onderbouwen ingeval van een beroep op gerechtvaardigd belang als grondslag voor de verwerking. In dit geval lijkt daarvan echter minder sprake te zijn, nu ook minder ingrijpende middelen (zoals toegangsbadges) gebruikt kunnen worden.
Naast een valide grondslag (toestemming dan wel gerechtvaardigd belang) zal uiteraard ook voldaan moeten worden aan de andere verplichtingen op grond van de AVG, zoals de verplichting om betrokkenen te informeren (bijv. via een verklaring) en de verplichting tot het treffen van passende technische en organisatorische maatregelen. Let er tot slot ook op dat ondernemingen met een ondernemingsraad instemming van deze ondernemingsraad zullen moeten vragen voor de invoering van een authenticatie of beveiligingssysteem via biometrie aangezien dergelijke systemen beschouwd kunnen worden als personeelsvolgsystemen (cf. artikel 27 lid 1 onder l Wet op de ondernemingsraden).
Deze bijdrage (link) is ook verschenen in de rubriek ‘vraag & antwoord’ op de website Privacyweb.