Vingerafdruk of gezichtsherkenning als toegangscontrole op het werk?

Wat zijn biometrische gegevens?

Biometrische gegevens zijn persoonsgegevens die worden verkregen door middel van technologieën die fysieke of gedragskenmerken van een persoon meten.  

Voorbeelden hiervan zijn vingerafdrukken, irisscans en gezichtsherkenning.  

Bijzondere persoonsgegevens

De AVG kwalificeert biometrische gegevens (bijv. vingerafdrukken) als een bijzondere categorie van persoonsgegevens. Dit betekent dat de verwerking van deze gegevens verboden is, tenzij er een specifieke uitzonderingsgrond van toepassing is.  

Deze gegevens zijn bijzonder gevoelig omdat ze unieke kenmerken van een individu vastleggen die niet kunnen worden gewijzigd, in tegenstelling tot wachtwoorden of pincodes. Een versterkte bescherming van deze gegevens is daarom vereist. 

Proportionaliteit

Voor ondernemingen die overwegen biometrische toegangscontrole in te voeren, is het cruciaal om te begrijpen dat zij de verwerking van biometrische gegevens moeten kunnen rechtvaardigen. Dit valt onder het proportionaliteitsprincipe, wat betekent dat de verwerking noodzakelijk en evenredig moet zijn met het doel dat wordt nagestreefd. 

De onderneming moet dus kunnen aantonen waarom hetzelfde doel niet kan worden bereikt op een andere, meer privacy vriendelijke manier. 

Enkele mogelijke doeleinden

Een aantal voorbeelden van potentiële doeleinden voor de verwerking van biometrische gegevens - op voorwaarde dat rekening wordt gehouden met het proportionaliteitsprincipe- zijn:  

• Fraude op de werkplek bestrijden 
• Veiligheid garanderen op een site waar gevaarlijke activiteiten worden uitgeoefend 
• Gevoelige gegevens van de onderneming beschermen 
• Tijdsregistratie in een werk gerelateerde context

Register van verwerkingsactiviteiten

Eens de doeleinden werden vastgesteld moeten ze gedetailleerd worden ingeschreven in het register van de verwerkingsactiviteiten, alsook in de documenten die gebruikt worden om de betrokkenen te informeren (transparantieverplichting).

Toestemming als rechtsgrond

In België is het verwerken van vingerafdrukken van personeel enkel mogelijk mits hun uitdrukkelijke en ‘vrij’ gegeven toestemming.   

Maar hoe ‘vrij’ is de toestemming van de medewerker, rekening houdend met de gezagsrelatie tussen werkgever en werknemer? Daarom is het aanbevolen om een alternatief te voorzien voor het gebruik van vingerafdrukken en de medewerkers de vrije keuze te laten tussen de verschillende authenticatiemogelijkheden (bijvoorbeeld het gebruik van een persoonlijke badge of het gebruik van hun vingerafdruk). 

De uitdrukkelijke toestemming van de medewerkers wordt best ook schriftelijk vastgelegd in een toestemmingsformulier, waarin volgende elementen moeten worden opgenomen: 

• Gegevens van de onderneming 
• Doeleinde van de verwerking 
• Een duidelijke vermelding dat medewerkers hun toestemming kunnen intrekken.

Systeem van toegangscontrole via vingerafdrukken

Voor de implementatie van een systeem van toegangscontrole via vingerafdrukken wordt bij voorkeur geopteerd voor een systeem waarbij de medewerker de controle houdt over zijn persoonsgegevens en niet voor een opslag in een centrale database. 

De implementatie van het systeem en de genomen maatregelen in het kader van de bescherming van de persoonsgegevens moeten worden gedocumenteerd. 

Zo moet onder meer de toegang tot het systeem worden beperkt. Bovendien moeten wanneer de medewerker de onderneming verlaat of zijn toestemming intrekt, de vingerafdrukken meteen en op onomkeerbare wijze worden gewist. 

Hou me op de hoogte van juridische updates, nieuws en events van SheEO

Ontvang het gratis GDPR-stappenplan bij inschrijving!