Toegang krijgen of prikklokken met je vinger. Mag dat?

 

Het is mogelijk om met een scan de aders in je vinger uit te lezen. Elk mens heeft een uniek aderpatroon. Finger vein recognition wordt daarom ingezet als middel om mensen wel of niet toe te laten tot bijvoorbeeld een haventerminal. Ook wordt het systeem gebruikt om werknemers te laten prikklokken. Maar mag dat wel ‘van de privacy’?

 

Een aderpatroon betreft een biometrisch persoonsgegeven:

  • een resultaat van een specifieke technische verwerking met betrekking tot iemands fysieke, fysiologische of gedragsgerelateerde kenmerken;
  • waarmee iemand kan worden geïdentificeerd of waarmee iemands identiteit kan worden bevestigd).

 

Het verwerken van biometrische gegevens met het oog op de unieke identificatie van een persoon is verboden tenzij er sprake is van een uitzonderingsgrond. De belangrijkste uitzonderingsgrond staat in de Nederlandse Uitvoeringswet AVG (UAVG).

 

Finger vein recognition is toch toegestaan:

  • als dat noodzakelijk is voor authenticatie (nagaan of degene is wie hij beweert te zijn) of
  • als dat noodzakelijk is voor beveiligingsdoeleinden (bijv. om geen onbevoegden toe te laten).

 

Uiteraard moet er, ook als het verbod niet geldt, nog steeds worden voldaan aan de andere eisen die de AVG stelt aan een verwerking van persoonsgegevens.

 

Toegangscontrole en prikklok

 

Een toegangscontrole vindt plaats om te weten wie er op het terrein is en om te voorkomen dat onbevoegden toegang krijgen. Wordt finger vein recognition ingezet dan is het doel daarvan dus authenticatie (is hij echt wie hij beweert te zijn) en beveiliging.

 

Een prikklok wordt gebruikt om na te gaan hoe lang iemand heeft gewerkt. Wordt daar finger vein recognition voor ingezet dan is authenticatie dus het doel.

 

De vraag is dus vooral of de noodzaak kan worden aangetoond. Dat is echter afhankelijk van de situatie. Staat het middel in verhouding tot de privacyinbreuk of kan het doel ook met een ander middel worden bereikt? Wordt het middel ingezet, wordt dit dan gedaan op de minst inbreuk makende manier? Is het ook te regelen met een ‘normale’ toegangspas of is er dan een te groot risico op misbruik doordat iemand anders de pas kan gebruiken.

 

De noodzaak om finger vein recognition in te zetten bij de toegangscontrole van een haventerrein is ‘makkelijk’ uit te leggen door te wijzen op het belang van de veiligheid en een efficiënt bedrijfsproces (geen criminelen op het terrein en geen files voor de poort).

 

De noodzaak om finger vein recognition in te zetten bij de prikklok is ‘lastiger’. Zeker nu de Minister hierover heeft gezegd dat een werknemer altijd van een ander systeem gebruik moet kunnen maken als hij zich tegen de finger vein verzet.

 

DPIA verplicht

 

Bent u van plan om finger vein recognition in te zetten dan is het verplicht om eerst de privacyrisico’s in kaart te brengen. Dit gebeurt met een data protection impact assessment (DPIA). Een DPIA geeft een overzicht van de verwerkingen, de risico’s daarvan, de maatregelen om die risico’s te beperken en de ‘restrisico’s’. Na de DPIA kan een weloverwogen besluit worden genomen om medewerkers wel of niet te laten prikklokken met hun vinger.

 

Vragen? Neem contact met ons op!