Steeds vaker zetten bedrijven gezichtsherkenning in voor de identificatie en verificatie van werknemers bij de toegangscontrole. De Algemene verordening gegevensbescherming (AVG) bevat regels voor de verwerking van deze zogenoemde biometrische persoonsgegevens.
De Uitvoeringswet (UAVG) bevat nadere bepalingen hierover. Het is de vraag in hoeverre werkgevers, met het oog op deze privacy-bepalingen, gebruik kunnen maken van deze biometrische persoonsgegevens van werknemers.
Wat zijn biometrische gegevens?
De gegevens uit gezichtsherkenning worden door de AVG geschaard onder biometrische persoonsgegevens. Biometrische gegevens zijn gegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedrag gerelateerde kenmerken van een persoon (artikel 4 lid 14 AVG). In het kort zijn dit gegevens waarmee de identificatie van een persoon mogelijk is of een identiteit kan worden bevestigd.
Verbod in de AVG
Volgens de wetgever brengt het verwerken van gezichtsherkenning met het oog op unieke identificatie een groot risico voor de fundamentele rechten en vrijheden van de betrokken personen met zich mee. Behalve de identiteit kan namelijk uit bepaalde lichaamskenmerken ook worden afgeleid wat bijvoorbeeld iemands gezondheidstoestand is. Voor deze biometrische persoonsgegevens gelden dan ook strenge regels. De hoofdregel ten aanzien van bijzondere persoonsgegevens is dat het verwerken hiervan verboden is, tenzij aan ten minste één van de uitdrukkelijk in AVG genoemde uitzonderingen is voldaan (artikel 9 AVG).
Onder de AVG verboden, tenzij …
De AVG geeft een aantal uitzonderingen waarvan er twee van belang zijn in relatie tot gezichtsherkenning. Een voorbeeld van zo’n uitzondering is de situatie waarin de betrokkene toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens. Maar die toestemming moet volgens de wetgever wel ‘in vrijheid’ zijn gegeven en eenvoudig weer kunnen worden ingetrokken. Dit vereiste van ‘in vrijheid gegeven’ toestemming zal in een werkgever/werknemer relatie echter vrijwel nooit het geval zijn. De wetgever heeft daarover namelijk aangegeven: “Juist in de relatie tussen werknemer en werkgever zal de werknemer in de praktijk in redelijkheid echter nauwelijks toestemming kunnen weigeren, zeker wanneer de toegang tot bepaalde plaatsen noodzakelijk is voor de uitoefening van de werkzaamheden, in het bijzonder de toegang tot specifieke plaatsen, gebouwen, apparatuur en informatiesystemen.”
Een andere uitzondering heeft betrekking op gezichtsherkenning die noodzakelijk is om redenen van zwaarwegend algemeen belang. Het verbod om biometrische gegevens te verwerken is bijvoorbeeld niet van toepassing als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Hiervoor geldt echter wel een strenge toets. Volgens de wetgever moet daarbij worden gedacht aan situaties waarin gebouwen of informatiesystemen een zodanig hoog niveau van beveiliging vereisen dat dit met biometrie moet plaatsvinden.
Verder geeft de wetgever aan dat biometrie kan worden toegepast bij het beveiligen van informatiesystemen die zelf veel persoonsgegevens bevatten, en waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen. Daarbij wordt uitdrukkelijk gewezen op de verplichting van organisaties om technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen (artikel 32 AVG).
Beleidsregels AP voor specifieke toepassingen
Daarnaast heeft de Autoriteit Persoonsgegevens (AP) inmiddels beleidsregels opgesteld voor specifieke toepassingen van gezichtsherkenningstechnologie, zoals het normenkader digitale billboards en het normenkader supermarkten. Hier geeft de AP voor bepaalde specifieke situaties aan onder welke omstandigheden het gebruik van gezichtsherkenningstechnologie eventueel legitiem zou kunnen zijn.
Gezichtsherkenning voor werkgevers
Wil je als werkgever gebruik maken van gezichtsherkenning wees dan voorzichtig. Het gebruik van biometrische gegevens is onder de AVG niet onmogelijk, maar er gelden wel strenge regels. Gebruik van deze gegevens is alleen mogelijk wanneer dit écht noodzakelijk is en er geen andere, minder verstrekkende mogelijkheden bestaan.
Vragen
Heeft u vragen over dit onderwerp, dan neem gerust contact op met onze Privacy Desk.