Biometrische gegevens (zoals vingerprints, gezichtsherkenning) genieten vanwege hun gevoelige aard een bijzondere bescherming onder de Algemene Verordening Persoonsgegevens (“AVG” of “GDPR”). De Gegevensbeschermingsautoriteit (GBA) publiceerde onlangs een ontwerp van aanbeveling die de verwerkingsverantwoordelijke kunnen gebruiken als leidraad bij het verwerken van dergelijke gegevens.

Overeenkomstig artikel 9.1 AVG zijn biometrische gegevens, en dit in tegenstelling tot de situatie vóór de inwerkingtreding van de AVG, een bijzondere categorie van persoonsgegevens. De verwerking van biometrische gegevens is dus verboden, tenzij de verwerkingsverantwoordelijke zich rechtmatig kan beroepen op een van de in artikel 9.2 AVG limitatief opgesomde uitzonderingsgronden.

De GBA bespreekt in haar aanbeveling twee rechtsgronden, namelijk ‘expliciete toestemming’ en ‘zwaarwegend algemeen belang’.

Hoewel de GBA voorheen toestemming als rechtsgrond aanvaardde om biometrische gegevens te verwerken in bepaalde situaties en oplegde om een alternatief te voorzien in geval er geen toestemming is (bijvoorbeeld : badge) (zie onze vorige newsflash over dit onderwerp), lijkt de GBA deze rechtsgrond nu in twijfel te trekken door te benadrukken dat de toestemming geldig moet zijn (dit wil zeggen vrij, specifiek, geïnformeerd en ondubbelzinnig). Volgens de GBA vormt het ‘vrije’ karakter een probleem in het kader van een arbeidsrelatie omwille van de band van ondergeschiktheid tussen de werkgever en de werknemer. Om die reden is de GBA van mening dat het voor werkgevers problematisch is om (biometrische) persoonsgegevens van werknemers te verwerken op basis van toestemming, aangezien het onwaarschijnlijk is dat deze vrijelijk wordt verleend. De GBA had dit ook al benadrukt voor andere types van persoonsgegevens. We herinneren er ook aan dat de werknemer op ieder moment zijn toestemming kan intrekken met als gevolg dat ‘toestemming’ niet kan worden beschouwd als een “solide” rechtsgrond.

Vervolgens bespreekt de GBA de rechtsgrond ‘zwaarwegend algemeen belang’.

Het in twijfel trekken van de rechtsgrond ‘toestemming’, minstens in arbeidsrelaties, impliceert inderdaad dat men zich moet beroepen op ‘zwaarwegend algemeen belang’ als rechtsgrond voor de verwerking van biometrische gegevens. Deze kan echter slechts in  bij wet bepaalde gevallen  worden ingeroepen. Echter, de enige wet die op heden uitdrukkelijk voorziet in de verwerking van biometrische gegevens is de wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten.

In tegenstelling tot een aantal van onze buurlanden, zoals Nederland, heeft de Belgische wetgever er niet voor gekozen om te voorzien in een algemene wettelijk grondslag die de verwerking van biometrische gegevens in het raam van de unieke identificatie of authenticatie van een persoon voor beveiligingsdoeleinden toelaat.

Met uitzondering van de verwerking van biometrische gegevens in het kader van de eID (elektronische identiteitskaart) en het paspoort, onderstreept de GBA dat er een lacune bestaat in het Belgische recht waardoor elke andere verwerking van biometrische gegevens in het raam van de authenticatie van personen zonder rechtsgrond is. 

De GBA besluit dat, ook al kan de verwerking van biometrische gegevens in het raam van de identificatie of authenticatie van personen in bepaalde gevallen worden gelegitimeerd (authenticatie van personen voor veiligheid, …), een verwerking steunen op redenen van  zwaarwegend algemeen belang, zonder enige wettelijke bepaling die daarin voorziet, onverenigbaar lijkt met artikel 9.2.g) van de AVG.

De GBA erkent echter dat deze nieuwe vereisten een breuk betekenen met het regime van voor de inwerkingtreding van de AVG.

Daarom voorziet de GBA, rekening houdend met de beginselen van behoorlijk bestuur, met ingang van de publicatie van haar aanbeveling, in een overgangsperiode van één jaar gedurende dewelke de verwerking van biometrische gegevens overeenkomstig de oude norm gedoogd zal worden en er door de GBA niet proactief zal worden opgetreden. Deze periode van één jaar moet de verwerkingsverantwoordelijken en de wetgever in staat stellen om te voorzien in een wettelijke basis teneinde de geviseerde verwerkingen in overeenstemming te brengen met de bepalingen van de AVG.

De GBA herinnert er verder aan dat, bij het gebruik van biometrische gegevens, ook alle andere gegevensbeschermingsprincipes moeten worden nageleefd, onder meer:

• Doelbinding: de GBA wijst erop dat, zelfs met uitdrukkelijke toestemming, biometrische gegevens niet zomaar voor elk doeleinde kunnen worden gebruikt, bijvoorbeeld louter omdat dit makkelijk is voor de verantwoordelijke. De verwerking moet noodzakelijk zijn voor het te bereiken doel en het voordeel voor de verantwoordelijke moet opwegen tegen de nadelen en risico’s voor de betrokkene. Wanneer biometrische gegevens kunnen worden verwerkt in het kader van een welbepaald doeleinde (bv. toegangsbeveiliging), mogen deze bovendien niet zomaar voor andere doelen verwerkt worden (bv. tijdsregistratie);
• Proportionaliteit: zelfs wanneer de verantwoordelijke beschikt over een rechtsgrond om persoonsgegevens te verwerken, dan nog moeten die gegevens toereikend, terzake dienend en beperkt worden tot wat strikt noodzakelijk is voor de te bereiken doeleinden. Zo moet de verwerking van biometrische gegevens met het oog op een veilige toegangsregistratie beperkt worden tot de ruimtes waarvoor dit noodzakelijk is;
• Beveiliging: de verantwoordelijke moet de noodzakelijke technische (bv. encryptie, integriteitscode, …) en organisatorische (beperkte toegang, opleiding, …) maatregelen nemen om de biometrische gegevens te beveiligen en de opslag ervan te beperken. De GBA herinnert er ook aan dat een gegevensbeschermingseffectbeoordeling (GEB) nodig is bij de verwerking van biometrische gegevens;
• Transparantie: de betrokkenen (werknemers)  moeten uiteraard goed geïnformeerd worden over het wat, hoe en waarom van de verwerking van hun biometrische gegevens.

Tenslotte bevestigt de GBA dat het huishoudelijk gebruik van biometrische gegevens (bv. op smartphones of apps) buiten het toepassingsgebied van de AVG valt.

Actiepunt

Op heden beroepen vele werkgevers zich op de rechtsgrond ‘toestemming’ voor het verwerken van biometrische gegevens van werknemers, hetgeen lijkt te worden gedoogd door de GBA. De GBA trekt in haar aanbeveling het ‘vrije’ karakter van deze toestemming echter in twijfel in het kader van een arbeidsrelatie omwille van de band van ondergeschiktheid tussen de werkgever en de werknemer. In afwachting van een gepaste geldige wettelijke uitzondering, blijft de vrije toestemming de enige verdedigbare rechtsgrond voor de verwerking van biometrische gegevens (voor zover alle voorwaarden voor een ‘geldige’ toestemming vervuld zijn). Verder moeten de andere principes van de AVG worden nageleefd en een GEB worden opgesteld.

Er is echter nog onzekerheid over wat er zal gebeuren na deze overgangsperiode. To be continued….