Nieuws

Hoe gaan we om met biometrische gegevens in datacenters?

Hoe gaan we om met biometrische gegevens in datacenters?

Het gebruikmaken van biometrische gegevens ligt gevoelig onder de AVG. Het verwerken van persoonsgegevens is al gauw noodzakelijk voor een hoop verschillende doeleinden. Een specifiek doeleinde, namelijk het herkennen van personen, is grotendeels gericht op twee hoofdactiviteiten in de vorm van identificatie en verificatie en wordt vaak gebruikt om de toegang tot datacenters te beveiligen.

Zowel identificatie als verificatie maken deel uit van de alledaagse praktijk in tal van sectoren. Een snelle en vaak precieze manier om in deze activiteiten te kunnen voorzien, is door gebruik te maken van biometrische technologie en biometrische gegevens.

Waar bij identificatie biometrische gegevens gebruikt worden om die te vergelijken met de gegevens van tal van anderen, wordt bij verificatie gekeken of specifieke fysieke, fysiologische (denk aan gezichtsuitdrukking) en/of gedragskenmerken gematcht kunnen worden aan de biometrische gegevens die zijn opgeslagen in een bepaalde database.

 

Biometrische gegevens in de praktijk

Naast dat verdachten in toenemende mate opgespoord en geïdentificeerd worden aan de hand van gezichtsherkenningstechnologie, heeft het gebruik van biometrische gegevens ook zijn weg gevonden naar het dagelijkse leven van burgers die niet in aanraking (wensen te) komen met justitie.

Zo worden biometrische gegevens voortkomend uit vingerafdrukken verwerkt in de chips van paspoorten om te dienen als eventueel extra verificatiemiddel. Ook worden datasets met daarin informatie over iemands gezichtsafmetingen vergeleken met het gezicht van iemand aan de deur bij een beveiligde toegangspoort. Op deze manier kan geverifieerd worden of iemand de bevoegdheid heeft om het pand te betreden.

 

Biometrische gegevens in de wet

Hoewel het gebruik dus al ingeburgerd lijkt in de dagelijkse praktijk en Europese adviesorganen zich al meerdere malen hebben uitgelaten over het gebruik ervan (bijvoorbeeld de Artikel 29-werkgroep), is de introductie van een specifieke regeling over deze gegevens en het gebruik van bijbehorende technologieën, binnen Europees recht, tot op heden uitgebleven.

Onder de AVG zijn biometrische gegevens voor het eerst expliciet opgenomen in een wettelijke regeling. Het verwerken van biometrische gegevens werd door haar Nederlandse voorganger, de ‘Wet bescherming persoonsgegevens’, alleen impliciet behandeld onder de noemer van de algemene regelingen over persoonsgegevens.

Zoals gezegd heeft de AVG hier verandering in gebracht. Allereerst wordt er specifiek aandacht besteed aan biometrische gegevens en worden ze in artikel 4 lid 14 AVG gedefinieerd als:

“persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” 

Naast dat hier bepaald wordt welke (biometrische) gegevens onder de AVG vallen, worden biometrische gegevens in AVG genoemd als een nieuwe categorie van ‘bijzondere persoonsgegevens’. De reden hiervoor zit ‘m in de gevoeligheid van de informatie die biometrische gegevens naar voren kunnen brengen. Hierbij kan gedacht worden aan een foto die gebruikt wordt om gezichtsherkenning mogelijk te maken, waarbij het dragen van bijvoorbeeld een keppel of hoofddoek – en dus de religieuze achtergrond van deze persoon – zichtbaar is.

Als we de letter van de wet volgen is iets dus alleen een biometrisch persoonsgegeven als het ook daadwerkelijk gericht is op de unieke identificatie van een persoon en wanneer hiervoor gebruik gemaakt wordt van specifieke technische middelen. Dit houdt in dat een foto van iemands gezicht enkel beschouwd kan worden als ‘biometrisch’ in de zin van de AVG, wanneer de foto gebruikt wordt om iemand te kunnen identificeren of verifiëren, via gezichtsherkenningstechnologie. Dit kan bijvoorbeeld gedaan worden aan de hand van het analyseren van de afstand tussen de neus en ogen. Een portretfoto ‘an sich’ voldoet dus niet aan deze eis.

 

Meer lezen over de AVG met betrekking tot datacenters? Download hier kosteloos de Datacenter & Recht publicatie.

Gerelateerd

Meest gelezen

Schrijf je in voor onze nieuwsbrief

En blijf op de hoogte over het laatste datacenter nieuws!

Schrijf je in voor onze nieuwsbrief

Blijf op de hoogte van het laatste datacenter nieuws