Inleiding
Vorige week dinsdag heeft de Hoge Raad (Hoge Raad 9 februari 2021, ECLI:NL:HR:2021:202) geoordeeld dat de politie een in beslag genomen smartphone mag ontgrendelen met de vingerafdruk van de verdachte. De Hoge Raad spreekt ook wel van het ‘biometrisch’ ontgrendelen.
Biometrische gegevens zijn bijzondere persoonsgegevens in de zin van artikel 9 van de AVG. Dit betekent dat biometrische persoonsgegevens naar hun aard bijzonder gevoelig zijn en significante risico’s met zich meebrengen.
In principe geldt er op grond van artikel 9 AVG een algemeen verbod op de verwerking van biometrische persoonsgegevens om iemand te identificeren. Op grond van de Uitvoeringswet AVG geldt dit verbod in Nederland echter niet indien de verwerking noodzakelijk én proportioneel is voor authenticatie of beveiligingsdoeleinden. Er dient dus altijd een belangenafweging te worden gemaakt.
De meest gangbare en toegepaste vorm van biometrie zijn de vingerafdruk, de iris- of netvliesscan, stemherkenning en de gezichtsscan. Biometrische persoonsgegevens worden steeds vaker gebruikt ter identificatie en authenticatie. Het toegenomen gebruik van biometrische gegevens gaat echter gepaard met vele misverstanden.
In dit blog vindt u de vijf meest voorkomende misverstanden over biometrische persoonsgegevens.
De vijf meest voorkomende misverstanden
- “Het gebruik van biometrische gegevens is net zo indringend als het gebruik van een ander identificatiesysteem”
Dit is onjuist, het gebruik van biometrische gegevens is indringender. In tegenstelling tot een wachtwoord, onthullen biometrische gegevens vaak veel informatie over de persoon. Zo kunnen biometrische gegevens informatie geven over het ras, het geslacht, ziekten, genetische kenmerken en het gebruik van medicijnen en/of drugs. Aangezien deze informatie vaak automatisch voortvloeit uit de biometrische gegevens, kan niet worden voorkomen dat deze extra informatie wordt verzameld.
- “Biometrische gegevens zijn zeer nauwkeurig en in ieder geval nauwkeurig genoeg om onderscheid te maken tussen twee personen”
Deels onjuist. Biometrische identificatie/authenticatie is afhankelijk van een bepaalde ‘waarschijnlijkheid’ en daarom bijna nooit 100% nauwkeurig. Een vingerafdruk kan bijvoorbeeld voor ‘slechts’ 96% overeenstemmen met de vingerafdruk van persoon X. De nauwkeurigheid is onder meer afhankelijk van de leeftijd van een persoon.
Daarnaast geldt dat de biometrische gelijkenissen tussen familieleden nog wel eens tot verwarring kan zorgen. Hierdoor kan niet altijd even scherp onderscheid worden gemaakt tussen twee (verwante) personen.
- “Biometrische identificatie/authenticatie is geschikt voor iedereen”
Onjuist, bij sommige mensen kunnen bepaalde typen van biometrische persoonsgegevens niet dienen ter identificatie/authenticatie. Deze onmogelijkheid kan tijdelijk zijn in geval van bijvoorbeeld verwondingen of gezondheidsaandoeningen. De onmogelijkheid kan echter ook permanent zijn door bijvoorbeeld plastische chirurgie of blijvend letsel.
- “Biometrische identificatie/authenticatie kan niet worden misleid”
Onjuist, er zijn methodes en technieken waarmee biometrische gegevens kunnen worden omzeild zodat men uitgaat van een ander persoon. Hierbij kan worden gedacht aan het gebruiken van maskers of reproducties van voetafdrukken. Dergelijke technieken vereisen geen uitgebreide technische kennis of middelen!
Verder zijn er wel geavanceerde ‘vijandige systemen’ die specifiek zijn ontworpen om beeldherkenning te misleiden.
- “Biometrische gegevens zijn zeer geheim”
Raar maar waar, ook dit is onjuist. In tegenstelling tot een wachtwoord, kunnen de meeste biometrische kenmerken eenvoudig (op afstand) worden blootgelegd en vastgelegd. Immers, het gezicht, de manier van bewegen en voetafdrukken zijn meestal niet verborgen. Hierbij dient wel de kanttekening te worden geplaatst dat voor de personen die actief hun biometrische gegevens geheim willen houden, er voldoende beschikbare middelen zijn om dit te doen.
Conclusie
Er bestaan veel misverstanden over biometrische gegevens. In dit blog hebben wij de vijf meest voorkomende misverstanden uiteengezet. Uit de misverstanden kwam onder meer naar voren dat biometrische persoonsgegevens vaak meer informatie bevatten dan strikt noodzakelijk. Het waarborgen van de privacy, door het uitvoeren van een grondige belangenafweging en het treffen van voldoende beveiligingsmaatregelen, is aldus van groot belang bij de inzet van biometrie. Daarnaast is de verwerking van biometrische persoonsgegevens in beginsel ‘gewoon’ verboden op grond van artikel 9 AVG.
Wilt u weten of u rechtmatig biometrische persoonsgegevens kunt verwerken? Of heeft u vragen over de uitspraak van de Hoge Raad over biometrische ontgrendeling? Neemt u dan contact op met Hester Ellemers.