Eerder lanceerden wij een newsflash over het ontwerp van aanbeveling van de GBA over de verwerking van biometrische gegevens, waarin de GBA een periode van gedoogbeleid van één jaar voorzag voor ondernemingen die biometrische gegevens verwerken.  Op 6 december 2021 heeft de Gegevensbeschermingsautoriteit (“GBA”) haar finale versie van de aanbeveling betreffende de verwerking van biometrische gegevens van 1 december 2021 gepubliceerd. Hierin legt de GBA niet alleen de regels van de Algemene Verordening Gegevensbescherming (“AVG”) inzake de verwerking van biometrische gegevens uiteen, maar bevestigt zij bovendien dat er geen sprake kan zijn van een “vrije” toestemming in arbeidsrelaties, gelet op de machtsverhouding die bestaat tussen werkgever en werknemer. Bijgevolg moet de werkgever op zoek naar een andere rechtsgrond, maar is die er op vandaag wel?

De aanbeveling van de GBA is behoorlijk omvangrijk en behandelt alle aspecten van de verwerking van biometrische gegevens in het licht van de AVG. Hierna gaan we kort in op de voornaamste punten:

• Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd.

  Met fysieke of fysiologische kenmerken worden de lichamelijke eigenschappen van personen bedoeld, bijvoorbeeld gezichtsinformatie, vingerafdrukken en irisscans. Gedragsgerelateerde kenmerken zijn gedragsmatige kenmerken die de unieke identificatie van de persoon toelaat, bijvoorbeeld het gebruik van toetsenbord, - touchscreen en muispatronen en surf-en werkgedrag aan een computer ter authenticatie van personen of identificatie aan de hand van het unieke stappatroon van personen.
   

• De GBA geeft aan dat de werking van een biometrisch systeem dient te worden opgesplitst in 2 inzamelingsfases en 2 vergelijkingsfases.

Inzameling van biometrisch materiaal

De eerste inzamelingsfase is het ogenblik waarop het biometrisch kenmerk van de betrokkene wordt ingezameld en geregistreerd op een individuele drager (bv. badge of token) of in een databank (inschrijving of registratie). Het betreft de referentie-informatie, met name ofwel de ruwe biometrische gegevens (bv. afbeelding van het gezicht, de hand, de iris of de digitale vingerafdruk) ofwel het geheel aan gecodeerde informatie verkregen uit de individuele en unieke kenmerken van het ruwe gegeven (een template). In beginsel moeten ruwe gegevens tijdens de inzamelingsfase omgezet worden naar templates waarna het ruwe gegeven onmiddellijk verwijderd wordt.

De tweede inzamelingsfase is het ogenblik waarop de betrokkene opnieuw zijn biometrische kenmerken toont aan het systeem dat hem moet authentiseren. Dit tweede biometrisch staal wordt dan vergeleken met de referentie-informatie om na te gaan of deze voldoende overeenstemmen.

Vergelijking van biometrisch materiaal

Er zijn twee manieren om de informatie verkregen tijdens de inzamelingsfasen te vergelijken, met name de identificatiefunctie en de verificatiefunctie.

De identificatiefunctie bestaat erin de informatie van de tweede inzamelingsfase te vergelijken met alle biometrische informaties die beschikbaar zijn in een biometrisch systeem en die per definitie opgeslagen is in een databank (‘one-to-many comparison’).

Bij de verificatiefunctie wordt de informatie van de tweede inzamelingsfase vergeleken met de vooraf geregistreerde informatie toebehorend aan één persoon (‘one-to-one comparison’)

De GBA geeft aan dat de verificatiefunctie de voorkeur geniet, gezien het referentie-materiaal niet noodzakelijkerwijze moet worden opgeslagen in een database. De identificatiefunctie zal enkel in uitzonderlijke en gemotiveerde gevallen mogen gebruikt worden.

• In haar aanbeveling onderscheidt de GBA drie wijzen voor de opslag van de biometrische templates.

1. Beheer van de template door de betrokkene zelf (‘feitelijke verificatie’);
2. Gedeeld beheer;
3. Exclusief beheer voor de verwerkingsverantwoordelijke.

Het gedeeld en exclusief beheer van biometrische templates zal slechts in uitzonderijke omstandigheden mogelijk zijn.

• De GBA erkent dat wanneer biometrische gegevens exclusief op het apparaat van de betrokkene worden bewaard en het biometrische authenticatieproces lokaal en autonoom kan plaatsvinden zonder externe toegang onder de huishoudelijke exceptie kunnen vallen, wanneer aan de voorwaarden zijn voldaan, en bijgevolg de regels van de AVG niet van toepassing zijn. Hierbij kan bijvoorbeeld worden gedacht aan persoonlijke authenticatie via smartphones en andere elektronische toestellen waar gezichtsherkenningssoftware en vingerafdruksensors optreden als alternatief voor een traditionele pincode.
• De GBA bevestigt dat biometrische gegevens een bijzondere categorie van persoonsgegevens zijn, waarvan de verwerking op grond van artikel 9.1 AVG verboden is, tenzij de verwerkingsverantwoordelijke zich cumulatief kan beroepen op een rechtsgrond overeenkomstig artikel 6 AVG en een van de in artikel 9.2 AVG limitatief opgesomde uitzonderingsgronden.

De GBA is van oordeel dat de verwerking van biometrische gegevens gebaseerd kan worden op twee mogelijke uitzonderingsgronden: “expliciete toestemming” of “zwaarwegend belang”.

Expliciete toestemming

Opdat biometrische gegevens een basis kunnen vormen voor de verwerking van biometrische gegevens, moet de toestemming geldig zijn, waarmee wordt bedoeld dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. De GBA herhaalt haar standpunt dat er geen sprake kan zijn van een vrije toestemming in het kader van een arbeidsrelatie, aangezien er in dit geval sprake is van een machtsverhouding tussen de verwerkingsverantwoordelijke en de betrokkene. De GBA verwijst naar een boete van 725.000 EUR opgelegd door de Nederlandse Autoriteit Persoonsgegevens aan een onderneming die op onrechtmatige wijze vingerafdrukken van haar werknemers verwerkte.

Zwaarwegend algemeen belang

De verwerkingsverantwoordelijke kan zich volgens de GBA ook beroepen op ‘zwaarwegend algemeen belang’ als rechtsgrond voor de verwerking van biometrische gegevens, wanneer er niet kan voldaan worden aan de voorwaarden voor expliciete toestemming omwille van een bestaande machtsverhouding tussen de verwerkingsverantwoordelijke en de betrokkene.

Deze rechtsgrond kan echter slechts worden ingeroepen wanneer het Unierecht of het lidstatelijk recht deze belangen uitdrukkelijk erkent en de verwerking toestaat. Op vandaag is er slechts één Belgische wet die uitdrukkelijk de verwerking van biometrische gegevens toestaat, met name de wet betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten. Verder is er ook nog de Europese verordening betreffende de normen voor de veiligheidskenmerken van en biometrische gegeven in door de lidstaten afgegeven paspoorten en reisdocumenten.

In tegenstelling tot een aantal van onze buurlanden, heeft de Belgische wetgever er niet voor gekozen om te voorzien in een algemene wettelijk grondslag die de verwerking van biometrische gegevens in het raam van de unieke identificatie of authenticatie van een persoon voor beveiligingsdoeleinden toelaat.

Met uitzondering van de verwerking van biometrische gegevens in het kader van de eID (elektronische identiteitskaart) en het paspoort, onderstreept de GBA dat er een lacune bestaat in het Belgische recht waardoor elke andere verwerking van biometrische gegevens in het kader van de authenticatie van personen zonder rechtsgrond is. 

Bovendien is de GBA van oordeel dat een algemeen geformuleerde wettelijke verplichting in hoofde van de verwerkingsverantwoordelijke om afdoende veiligheidsmaatregelen te treffen het gebruik van biometrische gegevens niet kan verantwoorden. Er zal steeds moeten voorzien worden in een wettelijke bepaling (algemeen of sectoraal), die de verwerking uitdrukkelijk toestaat.

De GBA benadrukt daarbij dat het bestaan van een wettelijke bepaling geen vrijgeleide zal vormen voor elke verwerking van biometrische gegevens en dat zij de verwerkingsverantwoordelijke niet ontslaat van de verplichting om de noodzaak en de evenredigheid van de verwerking te onderbouwen. De verwerkingsverantwoordelijk zal moeten nagaan of de door hem nagestreefde doeleinden zodanig zijn dat het gebruik van biometrie onvermijdelijk is.

De GBA nodigt de Belgische wetgever uit om te voorzien in een wettelijke basis voor de verwerking van biometrische gegevens in zover zij het gebruik van biometrische gegevens in bepaalde context wil (blijven) toestaan. Daartoe staat het vrij aan de betrokken sectoren, organisaties of beroepsinstanties om de wetgever op de hoogte te stellen van hun intenties.

In deze finale aanbeveling herneemt de GBA echter niet meer dat zij een gedoogperiode zal respecteren.

Voor het overige voorziet de aanbeveling ook dat bij gebruik van de biometrische gegevens, ook alle andere gegevensbeschermingsprincipes moeten worden nageleefd, met name: doelbinding, proportionaliteit, beveiliging en transparantie.

Aandachtspunt

Ondernemingen kunnen zich aldus overeenkomstig de nieuwe aanbeveling van de GBA enkel beroepen op de rechtsgrond “toestemming” voor de verwerking van biometrische gegevens. De GBA wijst er echter op dat de toestemming vrij moet zijn wat meestal niet het geval zal zijn in een werkcontext of in een school.  Gelet op het feit dat op vandaag enig wetgevend initiatief die de verwerking van biometrische gegevens uitdrukkelijk toestaat is uitgebleven, blijft de werkgever die dergelijke gegevens zou verwerken in de kou staan. De Belgische wetgever wordt aangespoord snel werk te maken van het wettelijke kader gezien het voor zich spreekt dat voor sommige veiligheidsmaatregelen het gebruik van biometrie noodzakelijk is. Eerder had de GBA uitdrukkelijk een gedoogperiode van een jaar aangekondigd – sinds juli 2021. Deze periode wordt niet langer vermeld in de finale versie van de aanbeveling.