Bedrijven moeten zijn verplicht om van te voren de risico’s van biometrische data zoals vingerscans, gezichts -en irisscans te onderzoeken. Dat stelt de Autoriteit Persoonsgegevens (AP) woensdag.
De AP heeft een definitieve lijst opgesteld waarin staat voor welke verwerking van persoonsgegevens een Data Protection Impact Assessment (DPIA) nodig is. Bij een DPIA wordt vooraf in kaart gebracht welke privacyrisico’s komen kijken bij de verwerking van de gegevens.
Biometrische gegevens zijn een nieuwe toevoeging op de lijst. Biometrische gegevens zijn lichaamskenmerken die uniek zijn voor een persoon, zoals een vingerafdruk of stemherkenning. Voor genetische persoonsgegevens zoals bijvoorbeeld een DNA-onderzoek om persoonlijke kenmerken in beeld te brengen was een DPIA al verplicht.
De Autoriteit Persoonsgegevens stelt een DPIA verplicht als de verwerking van persoonsgegevens een groot privacyrisico oplevert voor de mensen van wie het bedrijf de gegevens willen verwerken. Op de lijst van de AP staan verder onder meer gezondheidsgegevens, contactgegevens en cameratoezicht.
Inloggen met een vingerafdruk
In de zomer van dit jaar oordeelde de rechtbank van Amsterdam nog dat een werkgever personeel niet mag dwingen om een vingerafdruk af te staan. Dit zou in strijd zijn met de Nederlandse privacywet.
Een medewerker van schoenenketen Manfield had samen met het bedrijf de rechter om duidelijkheid gevraagd. Manfield heeft in zijn winkels kassa’s die op basis van een vingerafdrukscan werken.
Medewerkers van de schoenenzaak kunnen de kassa alleen openen als zij kunnen inloggen door een scan van hun vinger te maken, die vervolgens herkend wordt in het systeem. Vingerafdrukken gelden als bijzondere persoonsgegevens en mogen daarom niet zomaar verwerkt worden.
