Verwerken bijzondere persoonsgegevens verboden
In artikel 9 AVG staat dat het verwerken van "bijzondere persoonsgegevens" is verboden, behoudens wanneer zich een specifieke wettelijke uitzondering voordoet.
Die systematiek is niet anders dan het huidige artikel 16 Wet bescherming persoonsgegevens (Wbp).
Nieuw is echter wel dat onder de bijzondere persoonsgegevens straks ook zogenaamde "biometrische gegevens" worden verstaan.
Definitie biometrische gegevens
In artikel 4 sub 14 AVG wordt het begrip "biometrische gegevens" als volgt gedefinieerd:
persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens
Output van scanner al bijzonder persoonsgegevens
Het gaat volgens de definitie om de gegevens die het resultaat zijn van een specifieke technische verwerking. Kennelijk is niet de vingerafdruk zelf (als zodanig) het biometrische gegeven, maar is de (technische) nummering of code die de vingerafdrukscanner als uitvoer geeft bij het plaatsen van de vinger als biometrisch gegeven te beschouwen.
Opmerkelijk is dat die technische code als zodanig de betrokkene nog niet zal identificeren, dat zal alleen kunnen als de betrokkene eerder op een soortgelijke scanner zijn vinger heeft gelegd. Dan kan immers worden getoetst of de scanner thans dezelfde code afgeeft als die eerder van betrokkene is opgeslagen.
Ingrijpen Nederlandse wetgever noodzakelijk
Het verwerken van biometrische gegevens voor beveiligingsdoeleinden wordt niet vermeld in een van de uitzonderingen in artikel 9 lid 2 AVG. Dit betekent dat er, kort gezegd, nog slechts twee rechtvaardigingen denkbaar zijn voor de verwerking:
- toestemming van de betrokkene;
- een uitzondering in de Nederlandse wet.
In een werkgever-werknemer relatie, of andere afhankelijkheidsrelatie, wordt het vragen van toestemming afgeraden. In de recente Abrona kwestie oordeelde de AP bijvoorbeeld dat een "werknemer in beginsel geen vrije toestemming" kan geven. Dat de AP werknemers daarmee in feite handelsonbekwaam verklaart voert voor nu te ver, maar is voer voor een andere blog of artikel.
De enige andere denkbare route is een uitzondering in de Nederlandse wet. En het lijkt er op dat die uitzondering er gaat komen.
Conceptversie Nederlandse wettelijke uitzondering
In de periode 9 december 2016 t/m 20 januari 2017 is een conceptversie van de uitvoeringswet AVG in internetconsultatie gegeven (UAVG).
In dat wetsvoorstel is in artikel 26 de volgende uitzondering opgenomen voor het verwerken van biometrische gegevens:
Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.
De regering licht deze keuze als volgt toe:
Het afzien van een nationale uitzondering voor biometrische gegevens zou betekenen dat de bestaande ontwikkelingen in het gebruik van biometrie als identificatiemiddel sterk gehinderd zou worden. Bestaande verwerkingen van biometrische gegevens, zoals bijvoorbeeld die in de relatie tussen werkgever en werknemer zouden hun rechtsgrondslag verliezen. Dit is niet wenselijk.
Nederland zou zichzelf hiermee in de vingers snijden als innovatieve economie, enerzijds doordat het bedrijfsleven in Nederland geen gebruik zou kunnen maken van beveiligingsmaatregelen die in toenemende mate noodzakelijk worden geacht, anderzijds doordat Nederland minder aantrekkelijk wordt voor bedrijven die zich bezig houden met het ontwikkelen van technologieën om biometrische identificatiemogelijkheden te vergroten en te verfijnen. Ook vanuit het oogpunt van gegevensbescherming is dit niet wenselijk: biometrie is soms juist een belangrijke vorm van beveiliging voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten.
Hierom is in het wetsvoorstel een bepaling opgenomen waaronder een uitzondering op het verbod voor verwerking van biometrische gegevens mogelijk is, indien dit noodzakelijk en proportioneel is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.
Opmerkelijk is dat Nederland er hiermee, in feite, voor kiest om van dit type bijzondere persoonsgegevens weer gewone persoonsgegevens te maken. Als het wetsvoorstel gehandhaafd blijft, volstaat het straks immers om een gerechtvaardigd belang te hebben voor de verwerking van deze gegevens.
Voldaan aan criteria uitzondering?
Nederland zegt aldus, vrij vertaald, dat het wel "handig" is om biometrie te kunnen blijven toepassen. De vraag is of Nederland hiermee niets iets te gemakkelijk de regels van de AVG probeert te omzeilen. In artikel 9 lid 2 sub g AVG staan immers strenge criteria voor een nationaalwettelijke uitzondering:
de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
Het is maar zeer de vraag of innovatiekracht van een land kwalificeert als een "zwaarwegend algemeen belang". Als dat zo zou zijn, dan zou immers de wetgever het hele privacyrecht buiten werking kunnen stellen omdat het in de weg staat aan innovatie. Om die reden vind ik het een weinig overtuigende argumentatie.
Slotopmerking
Uit het voorgaande volgt dat de AVG strenge regel bevat over het verwerken van biometrische informatie. De Nederlandse wetgever lijkt die strenge regels te willen afzwakken, maar het is de vraag of daarmee de AVG geen geweld wordt aangedaan.
Bedrijven die nu investeren in biometrie lopen dus het risico dat op termijn die investeringen waardeloos worden. Dat levert juridisch-technisch gezien fascinerende (aansprakelijkheids) vragen op, de gemiddelde ondernemer wil echter vooral helderheid.
Het is dan ook te hopen dat de Nederlandse wetgever in de definitieve versie van de UAVG met een overtuigender en helderder standpunt komt over biometrie en privacy.