Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

DPIA voor biometrische toepassingen

De Europese Algemene verordening gegevensbescherming (Avg) bepaalt dat de verwerking van biometrische persoonsgegevens een verwerking van bijzondere persoonsgegevens is.Volgens de Avg is het verwerken van biometrische gegevens om iemand te identificeren in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in de Uitvoeringswet Avg (UAVG). De verwerking van biometrische gegevens is alleen toegestaan als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

In het Besluit van de Autoriteit Persoonsgegevens is het verplicht een Data Protection Impact Assessment (DPIA) uit te voeren bij de grootschalige en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.

Wat zijn biometrische persoonsgegevens?

Biometrische persoonsgegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon. Op grond hiervan is eenduidige identificatie van die persoon mogelijk. Of wordt zijn/haar identiteit bevestigd. Voorbeelden van biometrische persoonsgegevens zijn vingerafdrukken, de iris- of netvliesscan, stemherkenning en de gezichtsscan. Deze lichaamskenmerken zijn uniek. Daarom kunnen organisaties ze gebruiken om mensen te identificeren. En ook om te controleren of iemand is wie hij/zij zegt te zijn (authenticatie). Biometrische gegevens bevatten vaak ook meer informatie dan strikt noodzakelijk is voor bijvoorbeeld identificatie. Zo kan er uit bepaalde lichaamskenmerken ook afgeleid worden wat iemands gezondheidstoestand of ras is.

In de UAVG is een uitzondering opgenomen voor de verwerking van biometrische gegevens; als deze “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde”. Ofwel indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

In de verplicht uit te voeren DPIA dient dus een belangenafweging te worden gemaakt en deze moet onderbouwd en vastgesteld worden. Het is ook goed om dit vast te leggen in het verwerkingsregister.

Meer informatie

Interesse? Neem contact met ons op of bekijk deze pagina over het uitvoeren van een DPIA.