De verwerking van biometrische gegevens cover

11 sep 2023 | Column

De verwerking van biometrische gegevens

Recente vacatures

Advocaat
Burgerlijk recht
3 - 7 jaar
Antwerpen Oost-Vlaanderen Vlaams-Brabant
Advocaat
Fiscaal recht
5 - 10 jaar
Brussel Vlaams-Brabant
Uitgever
3 - 7 jaar
Antwerpen
Jurist
bestuursrecht internationaal recht Omgevingsrecht Publiek recht sociaal recht
Brussel

Aankomende events

Steeds vaker worden biometrische gegevens gebruikt voor allerhande doeleinden. Denk maar aan het scannen van een vingerafdruk van een werknemer om toegang te kunnen krijgen tot een kantoorgebouw[1] of, verregaander, het scannen van gezichten van klanten om op die manier hun aankoopgedrag te monitoren.[2]Uiteraard zijn dit verregaande verwerkingen die niet zomaar mogen worden gedaan onder de GDPR. Daarom lichten wij toe waaraan, volgens de Gegevensbeschermingsautoriteit, voldaan moet zijn om biometrische gegevens op een correcte manier te verwerken.

Wat zijn biometrische gegevens?

In eerste plaats moeten we vaststellen wat biometrische gegevens juist zijn. De GDPR definieert het begrip in art. 4.14 als volgt:

“Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kernmerken van een natuurlijk persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.”

Met het geven van de twee voorbeelden op het einde, geeft de GDPR meteen ook de meest gekende, en begrijpelijke vormen van biometrische gegevens weer, namelijk gezichtsafbeeldingen en vingerafdrukgegevens.

De GDPR deelt de biometrische gegevens in twee categorieën in:

  • Fysieke, of ook wel lichamelijke kenmerken. Deze zijn zeer eenvoudig. Dit zijn namelijk de fysische of fysiologische eigenschappen van een persoon, zoals gezichtsinformatie, irisscans, vingerafdrukken…
  • Gedragsgerelateerde kenmerken. Deze kenmerken zijn moeilijker te omschrijven. De technologie staat niet stil waardoor dit in de toekomst waarschijnlijk beter uitgewerkt en vaker van toepassing zal zijn.

Een reeds bestaand voorbeeld hiervan is de identificatie aan de hand van het unieke stappatroon van personen.

Verwerking van biometrische gegevens

Biometrische gegevens worden in twee verschillende fasen verwerkt, namelijk de inzamelingsfase en de vergelijkingsfase.

De inzamelingsfase

De inzamelingsfases bestaan uit twee delen:

  • De eerste inzamelingsfase: hierbij wordt de referentie-informatie (bijvoorbeeld een vingerafdruk) geregistreerd. Deze informatie wordt omgezet in een template. Dit template zorgt ervoor dat in de toekomst verwerkte gegevens geverifieerd kunnen worden ten opzichte van de referentie-informatie.
  • De tweede inzamelingsfase: de gegevens worden verwerkt en vergeleken met de template. Indien deze overeenstemmen oordeelt het systeem dat dit dezelfde persoon is als van wie de referentie-informatie verwerkt werd (bijvoorbeeld de vingerafdruk komt overeen met deze in het systeem).
biometrische gegevens
Biometrische gegevens worden in verschillende fases verzameld en verwerkt.

De vergelijkingsfase

De tweede fase is de vergelijkingsfase. Hierbij wordt de ingezamelde informatie vergeleken met alle biometrische informatie die beschikbaar is in het systeem. Op deze manier kan de gebruiker geïdentificeerd worden tussen alle geregistreerde personen.

Opslag van biometrische gegevens

Er zijn drie manieren om biometrische informatie op te slaan:

  1. Type 1: Beheer van het template door de betrokkene zelf. De betrokkene bewaart de template waarbij er geen koppeling mogelijk is met andere informaticasystemen. Dit kan bijvoorbeeld een badge zijn om toegang te krijgen tot een gebouw. Dit is de werkwijze die principieel aangewend moeten worden. Er kan slechts zeer uitzonderlijk van afgeweken worden.
  2. Type 2: Gedeeld beheer. Er is een centrale template databank die de verwerkingsverantwoordelijke beheert zonder dat deze er gebruik van kan maken zonder toestemming van de betrokkene.
  3. Type 3: exclusief beheer door de verwerkingsverantwoordelijke. Dit is de meest verregaande optie. Hiervoor moeten dan ook de meest strenge voorwaarden in acht genomen worden.

Rechtsgrond

Voor het verwerken van biometrische gegevens is het belangrijk dat er, net zoals bij iedere verwerking, een rechtsgrond is op basis waarvan de gegevens verwerkt worden.

In de praktijk zal de rechtsgrond meestal de uitdrukkelijk toestemming van de betrokkene zijn. Hierbij is het zeer belangrijk dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig wordt gegeven.

In uitzonderlijke gevallen zal de rechtsgrond het zwaarwegend algemeen belang zijn. Dit dient echter zeer restrictief toegepast te worden. Enkel wanneer het gebruik van biometrische gegevens onvermijdelijk is, zal er hiervan sprake kunnen zijn indien dit bij wet voorzien wordt.

Algemeen

Net zoals bij iedere verwerking zijn ook de volgende algemene zaken belangrijk:

  • Doelbinding.
  • Proportionaliteit.
  • Beveiliging.
  • Opslagbeperking.
  • Transparantieverplichting.
  • Gegevensbeschermingseffectbeoordeling.

Gegevensbeschermingseffectbeoordeling

In geval er sprake is van een verwerking van biometrische gegevens met oog op de unieke identificatie van personen in een privéruimte die toegankelijk is voor het publiek of in een openbare ruimte, zal er steeds een gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. Het is dan ook aangeraden, gelet op het inherente risico voor de rechten en vrijheden van de betrokkenen dat komt kijken bij het verwerken van biometrische gegevens om een gegevensbeschermingseffectbeoordeling uit te voeren omdat het uitlaten hiervan slechts in uitzonderlijke gevallen gerechtvaardigd zal zijn.[3]

Besluit

Voor het verwerken van biometrische gegevens zal men dus steeds de beschermingsregels van de GDPR in acht moeten houden.

Joost Peeters Studio Legale

Bronnen

Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens.

Beslissing nr. 01/2019 van 16 januari 2019 van de Gegevensbeschermingsautoriteit.

J., CARDINAELS, “Privacywaakhond dreigt met onderzoek naar Carrefour”, https://www.tijd.be/ondernemen/retail/privacywaakhond-dreigt-met-onderzoek-naar-carrefour/10198789.html.


Referenties

[1] Autoriteit Persoonsgegevens, “Boete voor bedrijf voor verwerken vingerafdrukken werknemers”, 30 april 2020.

[2] X., Face Recognition in retail.

[3] Punt 6 van Beslissing nr. 01/2019 van de gegevensbeschermingsautoriteit; Aanbeveling Gegevensbeschermingsautoriteit betreffende de verwerking van biometrische gegevens, 36-37.

Recente vacatures

Advocaat
Burgerlijk recht
3 - 7 jaar
Antwerpen Oost-Vlaanderen Vlaams-Brabant
Advocaat
Fiscaal recht
5 - 10 jaar
Brussel Vlaams-Brabant
Uitgever
3 - 7 jaar
Antwerpen
Jurist
bestuursrecht internationaal recht Omgevingsrecht Publiek recht sociaal recht
Brussel

Aankomende events

Blijf op de hoogte

Schrijf je in voor de nieuwsbrief

0 Reacties

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.