GDPR - De GBA herhaalt haar aanbevelingen voor de verwerking van biometrische gegevens

De Gegevensbeschermingsautoriteit (GBA) friste onlangs de principes nog eens op die gelden voor de verwerking van biometrische gegevens. Ze deed dat naar aanleiding van een lek van zulke gegevens. Bij dat datalek van een paar weken geleden in België, konden onderzoekers aan miljoenen biometrische gegevens van een onderneming. Het ging om de vingerafdrukken en foto's voor gezichtsherkenning van ruim 2.000 werknemers.

Nathalie Ragheno, COMPETENTIECENTRUM RECHT & ONDERNEMING
08 oktober 2019

Het bedrijf dat getroffen werd door het lek, heeft goed en snel gereageerd door meteen de GBA in te lichten, zoals de GDPR (de Algemene Verordening Gegevensbescherming) voorschrijft.  Vervolgens evalueerde het samen met de GBA de risico's voor de betrokken personen en nam het de gepaste beveiligingsmaatregelen.

Dit geval toont wat de risico’s zijn van de verwerking van biometrische persoonsgegevens. De GDPR definieert biometrische gegevens als gegevens met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens. Biometrie zit tegenwoordig ingebed in talloze dagelijkse handelingen voor persoonsauthenticatie. In een professionele context kan het bijvoorbeeld gaan om toegangscontrole voor kantoren, computers of toepassingen. Biometrie wordt in dat geval opgeworpen als een gebruiksvriendelijker en betrouwbaarder alternatief voor de klassieke badge. Die neemt plaats in en kan je ook vergeten. Met biometrische gegevens wordt het mogelijk personen automatisch te herkennen, op basis van een onveranderlijke biologische realiteit die onlosmakelijk verbonden is met de persoon in kwestie.

Het verschil met een badge of wachtwoord is dat het onmogelijk is om een biometrisch kenmerk te hacken of te wijzigen. Maar misbruik of diefstal van een dergelijk gegeven kan dus ingrijpende gevolgen hebben voor de rechten en vrijheden van mensen.

Omwille van dat risico bestempelt de GDPR biometrische data als 'gevoelig'. Standaard verbiedt de GDPR trouwens het gebruik van dergelijke gegevens, behalve in een beperkt aantal gevallen. Het is ook cruciaal om voor dit soort data de hoogst mogelijke beveiliging in te bouwen.

Ondernemingen die biometrische gegevens verwerken, worden dus geacht de verplichtingen uit de GDPR na te leven en moeten meer bepaald een DPO aanstellen, een impactanalyse instellen om de risico's van die data te beoordelen, en de gepaste veiligheidsmaatregelen nemen.

> Klik hier voor meer info


Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.

VBO-NIEUWSBRIEF IMPACT

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.