12/11/18

Vingerscan en gezichtsherkenning, hoe zit dat nu met de GDPR?

De lancering van de iPhoneX die de vingerafdruk als verificatiesysteem vervangt door gezichtsherkenning, heeft het privacydebat in de pers aangewakkerd. Daarbij werd angstvallig verwezen naar het grote gevaar van de gezichtsherkenningstechnologie daar deze profiling mogelijk maakt door onze gelaatsuitdrukking te analyseren. Zo kan de technologie ’s morgens zien of we met het verkeerde been uit bed gestapt zijn en kan het daar op inspelen. Of zoals een recent onderzoek uitwees, is een algoritme op basis van fotogegevens in staat de geaardheid van een persoon te achterhalen.


TOCH NIET ZO VEILIG?

Het debat omtrent de voor- en nadelen tussen een vingerscan en gezichtsherkenning is mijns inziens echter een debat naast de kwestie. Te veel worden biometrische toepassingen afgeschilderd als veel veiliger dan wachtwoorden maar dat is niet correct. Integendeel, het gebruik van dergelijke technieken stelt de gebruiker bloot aan een veel groter privacyrisico. Het enige voordeel ten opzichte van een ‘veilig’ wachtwoord is het gebruiksgemak. Telkens een wachtwoord invullen is natuurlijk omslachtig en een wachtwoord maakt best gebruik van zowel hoofdletters, cijfers als speciale tekens om echt veilig te zijn, wat zijn gebruik niet ten goede komt. Biometrische gegevens als een oogscan en vingerafdruk zijn in die zin veel handiger en sneller in gebruik.

Het gevaar echter schuilt voornamelijk in het feit dat een scanner onze biometrische gegevens inleest en digitaal opslaat, al dan niet op een database. Indien deze bestanden worden gehackt, is de schade veel groter dan bij het hacken van een wachtwoord. Een wachtwoord kan eenvoudig en op regelmatige basis gewijzigd worden. Een gezichtsscan of vingerafdruk niet. Een diefstal van deze gegevens kan gevolgen hebben voor de rest van je leven.

Zo werden in 2015 bij het OPM (Office of Personnel Management ofwel het federaal bureau dat alle gegevens van de ambtenaren bijhoudt in de VS) een database met 5,4 miljoen vingerafdrukken gestolen. Het gevaar dat deze gegevens ooit zullen misbruikt worden zal blijven bestaan voor al deze personen.


BIOMETRISCHE GEGEVENS EN DE GDPR

De GDPR heeft het gevaar ingezien van het gebruik van biometrische gegevens en heeft dan ook bijzondere aandacht besteed aan de verwerking van deze gegevens.

Biometrische gegevens worden gedefinieerd als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14 GDPR).


VERIFICATIE VS IDENTIFICATIE

Bij biometrische authenticatie dient een onderscheid gemaakt te worden tussen verificatie en identificatie. Bij verificatie wordt gekeken of de persoon die zich aanmeldt wel degelijk de geregistreerde persoon is. Dit kan aan de hand van lokale opslag. Om via een vingerafdruk of gezichtsscan toegang te krijgen tot een telefoon, dienen de gegevens overeen te komen met deze die lokaal opgeslagen zijn.

Bij identificatie wordt een onbekend persoon geïdentificeerd. Dit kan gebeuren door te kijken of zijn vingerafdruk een match oplevert met een vingerafdruk uit een centrale database. Op die manier kan de identiteit van die persoon vastgesteld worden. Uiteraard heeft identificatie een veel grotere privacy-impact dan verificatie.


BIJZONDERE PERSOONSGEGEVENS

Biometrische gegevens worden gekwalificeerd als bijzondere persoonsgegevens in de GDPR, zodra ze verwerkt worden met het oog op de unieke identificatie van een persoon.  De letterlijke tekst van artikel 9 GDPR, evenals de definitie van biometrische gegevens, opgenomen in artikel 4, 14 GDPR, lijkt aan te geven dat een onderscheid dient gemaakt te worden tussen biometrische gegevens die uitsluitend verwerkt worden voor verificatie-doeleinden en biometrische gegevens die (ook) verwerkt worden voor identificatie-doeleinden.

Overweging 51 echter stelt dat biometrische gegevens onder de definitie vallen indien zij verwerkt worden met  behulp van technische middelen die de unieke identificatie of authentificatie van een natuurlijk persoon mogelijk maken. Het is aldus de vraag of er bij de verwerking nog wel een onderscheid moet gemaakt worden tussen biometrische persoonsgegevens die enkel ter verificatie dienen en deze die tevens ter identificatie dienen.

De kwestie is niet onbelangrijk. Bijzondere persoonsgegevens zijn aan veel strengere regels onderworpen in de GDPR. Hun verwerking is met name in principe verboden. Artikel 9, 2 GDPR voorziet enkele uitzonderingen op de regel:

Mits uitdrukkelijke, specifieke en vrije toestemming van de betrokkene mogen bijzondere persoonsgegevens toch worden verwerkt, tenzij anders wettelijk bepaald. Deze toestemming kan op ieder moment worden ingetrokken.

Daarnaast somt de Verordening nog enkel andere verwerkingsgronden op, zoals ter behartiging van een zwaarwegend algemeen belang, de vitale belangen van de betrokkene, in het kader van de volksgezondheid en in het kader van het arbeidsrecht en sociale zekerheid. Het gerechtvaardigd belang is hierbij niet opgenomen als verwerkingsgrond.


BIOMETRISCHE GEGEVENS OP DE WERKVLOER

Het verwerken van biometrische gegevens in het kader van beveiliging en identificatie van een bedrijfsgebouw kan aldus enkel mits uitdrukkelijke en vrije toestemming. Het probleem hierbij is dat toestemming niet mag gebruikt worden als verwerkingsgrond voor werknemers. Thans bestaat er aldus geen rechtsgrond voor ondernemingen om biometrische gegevens te verwerken van werknemers, alleszins niet voor identificatie-doeleinden.

De lidstaten kunnen echter nog bijkomende verwerkingsgronden formuleren voor biometrische gegevens. Zo heeft de Nederlandse wetgever in de uitvoeringswet artikel 26 het gerechtvaardigd belang als bijkomende verwerkingsgrond toegevoegd:

‘Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde’.

In Nederland mag je met andere woorden biometrische identificatie inzetten mits je een duidelijk belang daarvoor hebt én eigenlijk geen andere optie hebt ter identificatie dan biometrie. Je moet dit verantwoorden in het verwerkingsregister en het eventuele privacy impact assessment.

Vooralsnog laat de Belgische wetgever op zich wachten met een uitvoeringswet, zodat in België overeenkomstig de GDPR thans geen biometrische persoonsgegevens van werknemers verwerkt mogen worden ter identificatie.

Auteur: Olivier Sustronck - Advocaat

dotted_texture