Het inzetten van biometrie houdt de privacy-gemoederen goed bezig. De Autoriteit Persoonsgegevens heeft bijvoorbeeld een bedrijf een boete opgelegd voor een onrechtmatige verwerking van vingerafdrukken voor aanwezigheids- en tijdsregistratie van medewerkers. Ook zijn diverse universitaire sportscholen voor het gebruik van biometrie om toegang te krijgen op hun vingers getikt voor het ontbreken van alternatieve oplossingen. En het gebruik van gezichtsherkenning door een Jumbo filiaal in Alphen aan de Rijn om winkeldieven te herkennen heeft veel stof doen opwaaien.
De combinatie biometrie en privacy is dus zeker geen appeltje-eitje. Ik ga hier in een videopresentatie voor het CIP nader op in. In deze blog wil ik echter focussen op het inzetten van biometrie voor authenticatiedoeleinden en hoe zich dit verhoudt tot de Algemene Verordening Gegevensbescherming.
In principe is het verwerken van biometrische gegevens in beginsel verboden. Echter, het verbod is niet van toepassing als de verwerking 'noodzakelijk wordt geacht voor authenticatie of beveiligingsdoeleinden'. Dat biedt soelaas, maar weet dan dat de Autoriteit Persoonsgegevens heel goed zal kijken of het belang van het gebruik van biometrie in verhouding staat tot de inbreuk op de privacy en of er geen alternatieven zijn.
Kijkende naar authenticatie, dan valt te beargumenteren dat het gebruik van biometrie hierbij als authenticatiefactor niet noodzakelijk is omdat er alternatieve factoren zoals een wachtwoord of token voorhanden zijn. Dat is deels waar. Er zijn situaties waar biometrische authenticatie een valide oplossing is vanuit bijvoorbeeld beveiliging of economisch oogpunt. De logistieke toegang van vrachtwagens tot de Rotterdamse haven is gebaseerd op biometrische gegevens van de chauffeurs. Dit is om te voorkomen dat chauffeurs toegangstokens onderling uitwisselen en om de doorvoersnelheid te vergroten. Daarnaast maken diverse datacenters gebruik van biometrische authenticatie. Er wordt daar immers veel en vaak gevoelige informatie verwerkt.
Er zijn situaties waar biometrische authenticatie een valide oplossing is.
De situatie bepaalt dus of biometrie voor authenticatie ingezet moet worden en of de verwerking van biometrische gegevens vanuit privacy oogpunt te verantwoorden is. Dit laatste kan middels de, voor biometrie verplichte, uitvoering van een data protection impact assessment (DPIA). Veelal zal je de gebruiker om toestemming moeten vragen voor de verwerking van biometrische gegevens. Let er dan wel op dat deze toestemming in alle vrijheid moet kunnen worden gegeven, ondubbelzinnig moet zijn en ook weer moet kunnen worden ingetrokken. Duidelijk is wel dat een dergelijke grondslag voor verwerking van gegevens met allerlei uitdagingen gepaard gaat waardoor het eigenlijk een laatste redmiddel is.
Wie meer wil weten over het inzetten van biometrie voor authenticatiedoeleinden verwijs ik graag naar ons rapport dat InnoValor in opdracht van het ministerie van Binnenlandse Zaken heeft uitgevoerd. Hier gaan we nader in op het inzetten van biometrie voor authenticatie.