null

Biometrische beveiliging in de haven

Een vingerafdruk, irisscan of gezichtsherkenning biedt persoonskenmerken die herleidbaar zijn naar één specifiek individu. Een unieke methode dus om vast te stellen of de persoon, die claimt die hij is, ook echt degene is die voor de poort staat met het verzoek om binnen te komen. Met een vingerafdruk, irisscan of andere biometrische gegevens kan op betrouwbare wijze toegang en beveiliging worden georganiseerd. Qua techniek zijn er veel systemen beschikbaar die het gebruik van biometrische gegevens mogelijk maken. Zeker als het toegangscontrole en beveiliging van lokalen en terreinen betreft, lijken de vingerafdruk of andere biometrische gegevens dan ook ideaal. Maar is deze verwerking van persoonsgegevens wel toegestaan volgens de Algemene Verordening Gegevensbescherming (AVG)?

Verwerken van biometrische gegevens

In de praktijk is voor het verwerken van deze biometrische gegevens de privacywetgeving vaak een showstopper. Juist omdat de vingerafdruk of de irisscan zo onlosmakelijk gekoppeld is aan een specifiek individu, leidt dit tot terughoudendheid in het gebruik. Bij verlies van deze data kan dit niet zo makkelijk worden hersteld als bij het verlies van een wachtwoord. Identiteitsfraude en ander misbruik ligt dan ook op de loer.

Recent nog, in december 2019, heeft de AP een boete opgelegd van € 725.000,- aan een vooralsnog anonieme organisatie, omdat deze in strijd met de privacywetgeving vingerafdrukken gebruikte voor de toegang tot bepaalde administratieve systemen. Een stevige boete, mede gezien het feit dat het hier bijzondere persoonsgegevens betrof.

Beveiliging in de haven

Wat kan er in het kader van beveiliging en toegangscontrole dan nog wel met biometrie? Dat is een interessante vraag, kijkend naar de dynamische, maar evenzo kwetsbare regio als de haven. Daar is beveiliging van bedrijfsterreinen om diverse redenen zeer belangrijk. Zo zijn BRZO bedrijven (Besluit risico’s zware ongevallen) gehouden te voldoen aan strenge beveiligingsprotocollen, gezien het hoge risico op zware ongevallen met de grondstoffen en (eind)producten die deze bedrijven verwerken. Verder berichten media regelmatig over drugstransporten die in de haven aan wal worden gebracht en die vervolgens worden beoogd te worden doorgevoerd naar het achterland. Voor deze criminelen speelt de haven dus een cruciale rol in het logistieke proces en zullen zij er alles aan doen om toegang te verkrijgen tot de terreinen van havenbedrijven. Niet alleen de opsporing en het tegengaan van strafbare feiten is dus gebaat bij een adequate beveiliging en toegangscontrole van het havenbedrijf, ook de veiligheid van het havenbedrijf zelf en diens medewerkers is van groot belang. Al geruime tijd gelden voor de beveiliging van havenfaciliteiten strenge regels voortvloeiend uit de ISPS code (International Ship & Port facility Security Code). Regels die gaan over de fysieke beveiliging van de locaties en ook over de toegangscontrole voor medewerkers en bezoekers.

Biometrische gegevens zijn bijzondere persoonsgegevens

Deze strenge regels dwingen bedrijven in de haven er toe verregaande beveiligingsmaatregelen te treffen. Het gebruik van biometrische gegevens zou hiervoor dan ook een doeltreffende oplossing kunnen bieden. Echter, een bedrijf moet tegelijkertijd rekening houden met de privacy van de personen van wie de vingerafdruk of irisscan wordt gevraagd om toegang te krijgen. De AVG dwingt bedrijven dan ook om kritisch te kijken welke persoonsgegevens zij verwerken.

Biometrische gegevens omvatten persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd. Zo staat het in de AVG en hieronder vallen vingerafdrukken en een irisscan.  
Biometrische gegevens zijn op grond van de AVG bijzondere persoonsgegevens en de verwerking hiervan is in beginsel verboden. Het verbod is niet van toepassing als aan één van de uitzonderingsgronden is voldaan. Met betrekking tot het gebruik van biometrische gegevens voor beveiligingsdoeleinden zijn twee uitzonderingen van belang.

Uitzonderingen

De eerste uitzondering is de verwerking van biometrische gegevens op basis van de uitdrukkelijke toestemming van de betrokkene. Helaas geldt deze uitzondering niet in de relatie werkgever-werknemer, waardoor deze uitzondering voor een grote doelgroep van personen die toegang moeten hebben tot het haventerrein, niet zal gelden. Ook al zou een werknemer uitdrukkelijk instemmen met de verwerking, dan wordt er in de arbeidsrelatie vanuit gegaan dat deze toch niet ‘vrijelijk’ is gegeven vanwege de gezagsverhouding. Toestemming van een werknemer vormt dan ook vrijwel nooit een geldige grondslag voor verwerking van diens persoonsgegevens. Ook aan de toestemming die is gegeven door andere personen dan werknemers kleven bezwaren. Eén daarvan is dat eenmaal gegeven toestemming te allen tijde kan worden ingetrokken, waardoor de mogelijkheid om de persoonsgegevens te verwerken vervalt.

Blijft over de uitzondering dat sprake moet zijn van een zwaarwegend algemeen belang. De uitvoeringswet AVG (UAVG) bepaalt dat het verbod om biometrische gegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Uit de wetsgeschiedenis volgt, dat voorafgaand aan het verwerken van biometrische gegevens een afweging moet worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiliging. Het havenbedrijf zal dan dus moeten afwegen of de gebouwen, terreinen en informatiesystemen zodanig beveiligd moeten worden dat dit met biometrie dient plaats te vinden. De wetgever geeft aan dat dit bijvoorbeeld het geval kan zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn en het veiligheidsrisico zeer groot is. Als voorbeeld wordt vaak de beveiliging en toegang tot een kerncentrale genoemd.

Daarnaast dient het verwerken van biometrische gegevens proportioneel te zijn en dient altijd onderzocht te worden of de beveiliging ook op minder ingrijpende manieren kan worden bewerkstelligd, bijvoorbeeld via toegangspassen, sleutels, tags, etc.

Van de theorie naar de praktijk

Het is voor een bedrijf in de haven cruciaal de beveiliging goed op orde te hebben. Het liefst zo waterdicht mogelijk. Tegelijkertijd stelt de AVG strenge regels aan het verwerken van persoonsgegevens en nog strengere regels aan het verwerken van biometrische gegevens. Het is echter niet uitgesloten biometrische gegevens te gebruiken voor beveiligingsdoeleinden. Om een eventuele toepassing daarvan te overwegen, kunnen om te beginnen de volgende vragen worden beantwoord:

1.    Hoe groot is de noodzaak tot optimale beveiliging en waarom?

2.    Zijn er incidenten of voorvallen die de noodzaak hiertoe bevestigen, dan wel versterken?

3.    Hoe groot is de inbreuk op de persoonlijke levenssfeer van de betrokken personen ten aanzien de voorgestelde verwerking van biometrische gegevens? Gaat het om een vingerafdruk of gezichtsherkenning? Op welke schaal vindt de verwerking plaats?

4.    Zijn er passende alternatieven voor het verwerken van biometrische gegevens die daardoor minder inbreuk maken op de persoonlijke levenssfeer van de betrokkenen? Soms is een combinatie mogelijk/wenselijk.

Op basis hiervan kan verder worden onderzocht op welke wijze de beveiliging via biometrische gegevens kan worden ingezet. Welke techniek wordt hiertoe aangewend? Hoe vindt de opslag van de gegevens plaats? Hoe is de beveiliging daarvan georganiseerd? Hoe lang worden de data bewaard? Om uiteindelijk te besluiten tot het gebruik van een systeem gebaseerd op biometrische persoonsgegevens, zal een Data Protection Impact Assessment (DPIA) moeten worden uitgevoerd. Dat is een onderzoek naar de hiervoor genoemde aandachtspunten, voorgeschreven door de AVG, om te kunnen vaststellen dat je als organisatie alle risico’s en mogelijkheden in kaart hebt gebracht en weloverwogen hebt gekozen voor deze verwerking van persoonsgegevens.