Waarom beveiligen met biometrie bijna nooit mag

Wachtwoorden en pasjes vergeet je, maar je vinger heb je altijd bij de hand. Zou het niet handig zijn om lichamelijke kenmerken, oftewel biometrie, te gebruiken voor het beveiligen van je bedrijf? De regels voor biometrische beveiliging zijn in Nederland heel streng. Toch zijn er wel mogelijkheden voor het mkb.

De actieheld rent door de gang. Ze heeft net duizend lasers ontweken en komt nu aan bij de kluisdeur. Helaas, die gaat alleen open met een vingerafdruk en irisscan. Wat nu? We hebben deze scène allemaal wel eens in een film gezien. Dit soort biometrische beveiliging dringt ook door in ons eigen leven. Zo voegde Whatsapp in 2021 een extra beveiligingsoptie toe, met vingerafdruk of gezichtsherkenning. En het nieuwste besturingssysteem van Apple, iOS 16, maakt voor beveiliging meer gebruik van lichaamsgegevens dan eerdere versies.

Handig voor bedrijven

Niet alleen voor individuele gebruikers, maar ook voor bedrijven kan biometrische beveiliging handig zijn. Misschien ben je aannemer en lopen werknemers en onderaannemers op je bouwplaats in en uit. Of heb je als winkeleigenaar last van fraude met je kassasysteem. Dan kan gezichtsherkenning of vingerafdrukvergrendeling helpen. Je registreert dan wie op welk moment op de bouwplaats aanwezig is, of wie de kassa heeft geopend.

Strenge regels

Biometrie kan dus nuttig zijn voor de beveiliging van jouw bedrijf, maar je mag het in Nederland niet zomaar gebruiken. De Autoriteit Persoonsgegevens is heel streng. “Biometrische beveiliging is alleen interessant als je een kerncentrale bent”, zegt de woordvoerder. Of als je hoge boetes wilt betalen. Een bedrijf dat vingerafdrukken van werknemers registreerde om hun aanwezigheid bij te houden, kreeg in 2020 een boete van 725.000 euro. En een rechter oordeelde in 2019 dat schoenenzaak Manfield geen vingerafdrukslot op het kassasysteem mocht gebruiken.

Heel gevoelig

Waarom zijn de regels zo streng? Dat komt door de Europese privacywet Algemene Verordening Gegevensbescherming (AVG). Als je de vingerafdruk van je werknemer wilt herkennen, moet je die opslaan. En dat mag niet zomaar want je vingerafdruk valt in de categorie bijzondere persoonsgegevens. Voorbeelden van bijzondere persoonsgegevens zijn medische gegevens, biometrische gegevens, of gegevens die iets zeggen over je ras, geloof of seksuele geaardheid. Die gegevens zijn zó gevoelig, dat je om ze te bewaren aan strenge voorwaarden moet voldoen.

Toestemming

Toch is er wel mogelijkheid voor het mkb om biometrie te gebruiken. Als mensen jou uitdrukkelijk toestemming geven om hun lichaamskenmerken op te slaan, dan mag het. Denk aan je klanten of leveranciers. Je werknemers om toestemming vragen, ligt ingewikkelder. "De toestemming moet namelijk wel vrij zijn", legt Jules van Stralendorff uit. Hij werkt als senior privacyadviseur bij adviesbureau Considerati. "Werknemers voelen zich misschien onder druk gezet om akkoord te gaan, als daar bijvoorbeeld een goede beoordeling van afhangt."

Maar als je je medewerkers een passend alternatief geeft voor biometrie, kun je volgens Van Stralendorff wél spreken van vrije toestemming. “Als je medewerker het prettig vindt om in te loggen met biometrie, dan mag dat. Maar je moet als werkgever ook alternatieven aanbieden, zoals inloggen met een pasje of een pincode.” In zo’n geval is je doel niet in de eerste plaats beveiliging, maar het gemak voor je werknemers.

Noodzakelijk

Als biometrische beveiliging écht noodzakelijk is voor de veiligheid van je bedrijf, je medewerkers of derden, mag je het volgens de wet ook zonder toestemming gebruiken. Een kerncentrale verwerkt zulk gevaarlijk materiaal, dat je aannemelijk kunt maken dat gezichtsherkenning of een irisscan nodig is voor de beveiliging. Heb je een magazijn? Dan kun je dat niet. Er zijn namelijk niet-biometrische alternatieven waarmee je een magazijn voldoende beveiligt, zoals pasjes, pincodes of wachtwoorden.

“Een bedrijf dat wij hebben geadviseerd wilde vingerafdrukvergrendeling op een magazijn”, vertelt Van Stralendorff. Hun argument was: wat als er een calamiteit is? Dan willen we precies weten wie er in de loods aanwezig is. Maar dat argument is niet genoeg. Je kunt namelijk ook iemand bij de deur zetten die alle namen noteert. Een vingerafdruk is daarvoor niet noodzakelijk.” Een oplossing: een vingerafdrukslot voor werknemers die dat willen, maar ook ontgrendeling met een pasjessysteem.

Passende beveiliging

Hoe gevoeliger de gegevens zijn die je verwerkt, hoe beter je ze moet beveiligen. "Denk daarom goed na voordat je als organisatie biometrische gegevens verwerkt, want daar komen ook hoge en kostbare beveiligingsmaatregelen bij kijken. De AVG schrijft niet concreet voor welke maatregelen dat zijn. Maar een simpel wachtwoord is niet voldoende.” Bespreek die beveiliging dus altijd met een securityspecialist.

AVG: privacy en persoonsgegevens

Je gezicht vervangen

De regels rond biometrie zijn in de EU strenger dan in de Verenigde Staten of China. Privacytoezichthouders in bijvoorbeeld het Verenigd Koninkrijk en Griekenland delen zelfs miljardenboetes uit aan het Amerikaanse bedrijf Clearview, dat gezichtsherkenning aanbiedt op basis van social media-accounts. En de regels zullen niet snel versoepeld worden, denkt Van Stralendorff. “Dat is ook te verklaren. Als je creditcardgegevens uitlekken, dan kun je een andere creditcard nemen. Maar als je gezicht in verkeerde handen valt, kun je daar nooit meer iets aan doen. Want je kunt je gezicht niet vervangen.”

Vraag advies

Samengevat: biometrie gebruiken voor de beveiliging van je bedrijf is in Nederland niet zomaar toegestaan. Maar als je je aan strenge regels houdt, zijn er wel mogelijkheden voor het mkb. Vraag advies aan AVG-deskundigen en zorg dat je altijd je werknemers betrekt. Want zomaar een irisscanner voor de deur, zoals in de film, dat kun je dus beter niet doen.

Wil jij je bedrijf beveiligen met biometrie of doe je dit al? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.