Toegang tot de bouwplaats met je vingerafdruk?
Een goede beveiliging van de bouwplaats is nog altijd zeer belangrijk. Diefstal, vandalisme en andere calamiteiten liggen op de loer bij een eenvoudige toegang. Los daarvan is ook de veiligheid van medewerkers en bezoekers van een bouwplaats beter gewaarborgd als de bouwplaats niet zomaar voor iedereen toegankelijk is. Voor een goede controle van wie er nu wel en niet op de bouwplaats aanwezig moeten zijn, zijn er veel aanbieders van elektronische toegangssystemen. Systemen die gebruik maken van pasjes, sleutels, maar ook het gebruik van de vingerafdruk wordt veelvuldig aangeboden. Maar hoe zit het nu precies met het gebruik van vingerafdrukken en de verwerking van persoonsgegevens op basis van de AVG?
Vingerafdrukken zijn persoonsgegevens
Een vingerafdruk, irisscan of gezichtsherkenning biedt persoonskenmerken die herleidbaar zijn naar één specifiek individu. Een unieke methode dus om vast te stellen of de persoon, die claimt die hij is, ook echt degene is die toegang wil tot de bouwplaats. Met een vingerafdruk, irisscan of andere biometrische gegevens kan dus op betrouwbare wijze toegang en beveiliging worden georganiseerd. Achteraf kan ook eenvoudig worden nagegaan wie er op de bouwplaats is geweest en wie dus mogelijk schuldig is geweest aan een gepleegde diefstal. Daar waar het met een pasje nog mogelijk is, dat van iemand te lenen, zodat het erop lijkt dat er iemand anders op de bouwplaats is geweest, is verwisseling van personen bij de vingerafdruk in feite onmogelijk. Als het dus om toegangscontrole en beveiliging van lokalen en terreinen betreft, lijken de vingerafdruk of andere biometrische gegevens dan ook ideaal.
In de praktijk kan de privacywetgeving echter een showstopper zijn. Juist omdat de vingerafdruk of de irisscan zo onlosmakelijk gekoppeld is aan een specifiek individu, leidt dit tot terughoudendheid in het gebruik. Bij verlies van deze data kan dit niet zo makkelijk worden hersteld als bij het verlies van een wachtwoord. Identiteitsfraude en ander misbruik ligt dan ook op de loer.
In december 2019, heeft de AP nog een boete opgelegd van € 725.000,- aan een vooralsnog anonieme organisatie, omdat deze in strijd met de privacywetgeving vingerafdrukken gebruikte voor de toegang tot bepaalde administratieve systemen. Een stevige boete, mede gezien het feit dat het hier bijzondere persoonsgegevens betrof.
Wat kan er in het kader van beveiliging en toegangscontrole in de bouw dan nog wel met biometrie? En waar liggen dan de grenzen op basis van de privacy regelgeving? Ik licht het graag toe.
Biometrische gegevens zijn bijzondere persoonsgegevens
De Algemene Verordening Gegevensbescherming (‘AVG’) dwingt alle organisaties en instellingen (dus ook in de bouw) dan ook om kritisch te kijken welke persoonsgegevens zij verwerken.
Biometrische gegevens omvatten persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd. Deze ingewikkelde definitie staat in de AVG en hieronder vallen vingerafdrukken en een irisscan.
Biometrische gegevens zijn op grond van de AVG bijzondere persoonsgegevens en de verwerking hiervan is in beginsel verboden. Het verbod is niet van toepassing als aan één van de uitzonderingsgronden is voldaan. Met betrekking tot het gebruik van biometrische gegevens voor beveiligingsdoeleinden zijn twee uitzonderingen van belang.
Uitzondering 1: Toestemming
De eerste uitzondering is de verwerking van biometrische gegevens op basis van de uitdrukkelijke toestemming van de betrokkene. Helaas geldt deze uitzondering niet in de relatie werkgever-werknemer, waardoor deze uitzondering voor een grote doelgroep van personen die toegang moeten hebben tot de bouwplaats, niet zal gelden. Ook al zou een werknemer uitdrukkelijk instemmen met de verwerking van zijn vingerafdruk, dan wordt er in de arbeidsrelatie vanuit gegaan dat deze toch niet ‘vrijelijk’ is gegeven vanwege de gezagsverhouding.
Ook aan de toestemming die is gegeven door andere personen dan werknemers kleven bezwaren. Eén daarvan is dat eenmaal gegeven toestemming te allen tijde kan worden ingetrokken, waardoor de mogelijkheid om de persoonsgegevens te verwerken vervalt.
Uitzondering 2: Noodzakelijk voor authenticatie en beveiliging
Blijft over de uitzondering dat sprake moet zijn van een zwaarwegend algemeen belang. De uitvoeringswet AVG (UAVG) bepaalt dat het verbod om biometrische gegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Uit de wetsgeschiedenis volgt, dat voorafgaand aan het verwerken van biometrische gegevens een afweging moet worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiliging. Het bouwbedrijf zal dus moeten afwegen of de gebouwen, terreinen en informatiesystemen zodanig beveiligd moeten worden dat dit met biometrie dient plaats te vinden. De wetgever geeft aan dat dit bijvoorbeeld het geval kan zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn en het veiligheidsrisico zeer groot is. Als voorbeeld wordt vaak de beveiliging en toegang tot een kerncentrale genoemd.
Daarnaast dient het verwerken van biometrische gegevens proportioneel te zijn en dient altijd onderzocht te worden of de beveiliging ook op minder ingrijpende manieren kan worden bewerkstelligd, bijvoorbeeld via toegangspassen, sleutels, tags, etc.
Van de theorie naar de praktijk
Het is voor een bouwbedrijf uiteraard zeer belangrijk om de beveiliging goed op orde te hebben. Diefstal van bouwplaatsen is aan de orde van de dag en de goederen zijn zeker niet alleen van de bouwonderneming zelf, maar ook van derden. Het liefst is de beveiliging dan ook zo waterdicht mogelijk. Tegelijkertijd stelt de AVG strenge regels aan het verwerken van persoonsgegevens en nog strengere regels aan het verwerken van biometrische gegevens. Ik acht het echter niet volledig uitgesloten om biometrische gegevens te gebruiken voor beveiligingsdoeleinden, alhoewel niet moet worden verwacht dat beveiliging van de bouwplaats door middel van een vingerafdruk de norm zal worden. Je zult eerder moeten denken aan speciale bouwprojecten van bijvoorbeeld een bijzondere of kwetsbare opdrachtgever, of waar eventuele diefstal, vernieling, etc zeer grote en/of kostbare gevolgen zal kunnen hebben voor opdrachtgever, eventuele derden of het bouwbedrijf zelf. Om een eventuele toepassing van biometrie te overwegen, kunnen om te beginnen de volgende vragen worden beantwoord:
- Hoe groot is de noodzaak tot optimale beveiliging en waarom?
- Zijn er incidenten of voorvallen die de noodzaak hiertoe bevestigen, dan wel versterken?
- Hoe groot is de inbreuk op de persoonlijke levenssfeer van de betrokken personen ten aanzien de voorgestelde verwerking van biometrische gegevens? Gaat het om een vingerafdruk of gezichtsherkenning? Op welke schaal vindt de verwerking plaats?
- Zijn er passende alternatieven voor het verwerken van biometrische gegevens die daardoor minder inbreuk maken op de persoonlijke levenssfeer van de betrokkenen? Soms is een combinatie mogelijk/wenselijk.
Op basis hiervan kan verder worden onderzocht op welke wijze de beveiliging via biometrische gegevens kan worden ingezet. Welke techniek wordt hiertoe aangewend? Hoe vindt de opslag van de gegevens plaats? Hoe is de beveiliging daarvan georganiseerd? Hoe lang worden de data bewaard? Om uiteindelijk te besluiten tot het gebruik van een systeem gebaseerd op biometrische persoonsgegevens, zal een Data Protection Impact Assessment (DPIA) moeten worden uitgevoerd. Dat is een onderzoek, dat de AVG voorschrijft, naar de hiervoor genoemde aandachtspunten om te kunnen vaststellen dat je als organisatie alle risico’s en mogelijkheden in kaart hebt gebracht en weloverwogen hebt gekozen voor deze verwerking van persoonsgegevens.
Meer informatie
Wilt u meer informatie over de toepassing en verwerking van biometrische persoonsgegevens? Neem contact op met specialist privacyrecht, Emiel de Joode.