Er is steeds meer interesse in toepassingen met biometrie om gebouwen en goederen te beveiligen. Maar hoe zit het met de wettelijke aspecten? Ergens wordt wel aangevoeld dat biometrische gegevens gevoelige gegevens zijn. En wie nog recent een update over wetgeving heeft gevolgd of gelezen, weet dat privacywetgeving (de alom bekende GDPR en consoorten) daarin een grote rol speelt.
Maar hoe zit het nu juist met biometrische gegevens?
De Belgische Gegevensbeschermingsautoriteit (hierna de ‘GBA’) brengt licht in de duisternis. Recent publiceerde de GBA een ontwerptekst van advies over deze materie. De GBA verduidelijkt haar standpunten over de toepassing van GDPR op biometrie, en verzoekt tegelijkertijd aan alle geïnteresseerden – al dan niet privacyprofessionals - feedback te geven via een openbare raadpleging. De tekst is dus nog niet 100% definitief.
Hieronder haal ik een aantal principes aan uit de ontwerptekst, er van uitgaande dat de lezer vertrouwd is met de basisprincipes van de privacywetgeving. Noteer ook dat onderstaande een vereenvoudigde voorstelling is en de realiteit altijd nog tot aangepast advies kan leiden:
- Biometrische gegevens, zoals gezichtsafbeeldingen, vingerafdruk, irisscan enz… zijn persoonsgegevens.
- Zij zijn zelfs een bijzondere categorie van persoonsgegevens, waarvan de verwerking in principe verboden is, tenzij in een aantal uitzonderingsgevallen.
- De regels rond biometrische gegevens die in de ontwerptekst worden besproken, hebben betrekking op GDPR – principes en zijn niet van toepassing bij verwerkingen door bepaalde autoriteiten zoals politie en justitie.
- Zij zijn ook niet van toepassing bij volledig lokaal gebruik door de gebruiker van authenticatie aan de hand van biometrische systemen. Denk in dit kader bijvoorbeeld aan de persoonlijke authenticatie via smartphones of andere elektronische toestellen waar gezichtsherkenningssoftware en vingerafdruksensors optreden als alternatief voor de traditionele pincode. ‘Lokaal’ wil hierbij zeggen dat de biometrische gegevens op het toestel zelf worden opgeslagen en niet elders. Dergelijke verwerkingen van biometrische gegevens vallen onder het begrip ‘persoonlijk en huishoudelijk gebruik’ waarbij GDPR in principe niet van toepassing is. De GBA specifieert wel nog 5 bijzondere voorwaarden in haar ontwerpnota om van ‘persoonlijk en huishoudelijk gebruik’ te kunnen spreken. Belangrijk hierbij voor aanbieders van deze toepassingen zullen zeker de technische beveiligingsmaatregelen zijn om datalekken te voorkomen.
- De verwerkingsverantwoordelijke zal doorgaans de klant van de installateur zijn, gezien de klant degene is die beslist de biometrische gegevens te verwerken met een bepaald doel (in casu: beveiliging of authenticatie), aan de hand van bepaalde middelen (in casu: elektronische beveiligingstechnologieën).De installateur levert de techniciteit aan. Maar let op: wanneer de installateur zelf doeleinden zou nastreven, bijvoorbeeld lering trekken uit de toegepaste technologie door de verkregen data zelf ook te gebruiken, zou het kunnen zijn dat deze zelf ook verwerkingsverantwoordelijke is.
- Principes van GDPR die moeten getoetst worden door de verwerkingsverantwoordelijke, enkel highlights:
o Proportionaliteit: is biometrie echt nodig, kan het doel niet via een andere, minder privacy-invasieve weg bereikt worden? Worden er niet teveel persoonsgegevens verwerkt, kan de bewaartermijn niet korter? Kan het type van biometrische gegevens niet vervangen worden door een andere type van biometrie dat minder privacy-invasief is enzovoort? Een concrete toepassing kan bijvoorbeeld zijn dat op een site met toegangscontrole enkel bepaalde ruimten waar enkel bepaalde personen kunnen worden toegelaten, worden beveiligd via toegangscontrole met biometrie, terwijl de andere ruimten, die een lager beveiligingsrisico kennen, worden beveiligd met een klassiek systeem van toegangscontrole zonder biometrie.
o Er zal toestemming moeten verkregen worden van de betrokkene. De ontwerpnota van de GBA gaat dieper in op wat nu juist een geldige (en uitdrukkelijke) toestemming van de betrokkene inhoudt. Een belangrijk punt alvast hierbij is dat er met moeite sprake is van een geldige toestemming indien er een machtsverhouding bestaat tussen de verwerkingsverantwoordelijke en de betrokkene – zoals bijvoorbeeld in het geval van een arbeidsrelatie. Ook bijvoorbeeld het verlenen van toestemming in ruil voor het uitvoeren van een overeenkomst geldt niet als een geldige toestemming.
Andere rechtsgronden om biometrische gegevens te verwerken om zich op te baseren om met biometrie te kunnen/mogen werken, zijn moeilijk te vinden. Een mogelijke rechtsgrond is die van het ‘algemeen zwaarwegend belang’, maar hiervoor is een wettekst vereist die dit verder definieert. Op dit ogenblik hebben we in België enkel de wetgeving ter beschikking rond eID en paspoort. Een verwerkingsverantwoordelijk kan zich momenteel dus niet op een ‘algemeen veiligheidsbelang’ beroepen bijvoorbeeld. Het is aan de wetgever om de wetteksten te voorzien waarop verwerkingsverantwoordelijken zich zullen kunnen beroepen in de toekomst. De GBA zal een gedoogbeleid van 1 jaar hanteren, waardoor verwerkingen van biometrische gegevens gedurende die periode nog mild zullen worden behandeld, voorzover deze verwerking voldoet aan de vroegere privacywetgeving (van vóór GDPR), en zodat de wetgever de tijd krijgt de nodige initiatieven te nemen.
o Transparante informatieverschaffing aan de betrokkene over wat er met diens gegevens gebeurt, aan de hand van een duidelijke privacyverklaring.
o Steeds verplichting tot het bijhouden van een dataregister zodra er sprake is van biometrie.
o Doeleinde van de verwerking moet duidelijk gespecifieerd zijn en deze moet gerespecteerd worden door de verwerkingsverantwoordelijke. Doeleinden die met biometrische gegevens worden nagestreefd zijn bijvoorbeeld: authenticatie van personen voor beveiligingsdoeleinden of toegang tot bepaalde apparaten of verrichtingen, authenticatie van personen voor betalingen, tijdsregistratie op het werk enzovoort.
o Bijzondere aandacht voor de technische en organisatorische beveiligingsmaatregelen van de biometrische gegevens: dit heeft bijvoorbeeld te maken met technologieën ter beveiliging zoals encryptie, of slechts bepaalde personen toegang geven tot de biometrische gegevens. De aanbieders van de biometrische systemen en de verwerkingsverantwoordelijken worden aangespoord om reeds in het ontwerp van de toepassingen of de processen en in de standaardinstellingen (‘privacy by design’, ‘privacy by default’) privacybeschermende maatregelen te nemen.
o Het uitvoeren van een gegevensbeschermingseffectbeoordeling, zijnde een risicoanalyse op het vlak van privacybescherming. De GBA neemt hier het duidelijke standpunt in dat dit voor nagenoeg alle verwerkingen van biometrische gegevens zal gelden.
- Er wordt een onderscheid gemaakt tussen de eerste inzamelingsfase en de tweede inzamelingsfase.
o De eerste inzamelingsfase is de fase waarop de referentie – informatie wordt opgeslagen: een biometrisch kenmerk van de betrokkene wordt ingezameld en geregistreerd op een drager voor informatieopslag (hetzij een individuele drager zoals een badge of token, hetzij in een databank, waarbij er altijd voorkeur moet gegeven worden aan de individuele drager, onder beheer van de betrokkene zelf). In deze fase moeten de gegevens al worden gecodeerd, er zullen geen ruwe gegevens (zoals werkelijke gezichtsafbeelding, werkelijke duimafdruk enz…) mogen bijgehouden worden.
o De tweede inzamelingsfase is de fase waarin het individu opnieuw zijn biometrische kenmerken aan het systeem toont dat hem moet authentiseren. Op dat ogenblik wordt een tweede biometrisch staal genomen (een persoon houdt bijvoorbeeld zijn vinger voor de sensor) en deze informatie wordt dan vergeleken met de referentie-informatie om na te gaan of deze overeenstemmen. Als de informatie die ingezameld wordt tijdens de tweede inzameling overeenstemt met de referentie-informatie (positieve koppeling) beschouwt het systeem de persoon die zich aanbiedt als diegene die vooraf werd geregistreerd bij de eerste inzamelingsfase.
De manier waarop dit technisch wordt georganiseerd is verder aan strikte regels onderworpen, ik verwijs hiervoor naar de tekst van het ontwerpadvies.
- In de vergelijkingsfase wordt de informatie van de gebruiker vergeleken met ofwel alle gegevens in de database, ofwel met enkel zijn gegevens. Het spreekt voor zich dat deze laatste optie de voorkeur geniet.
Het is duidelijk dat over biometrie het laatste woord nog niet gezegd is. Ik hoop met deze samenvatting alvast een eerste inkijk te hebben kunnen geven in deze boeiende materie. Wordt ongetwijfeld vervolgd…
Update: 11/08/2021
