AP: bedrijven moeten vooraf risico's biometrische gegevens onderzoeken

De nieuwe regel komt voort uit een lijst van de AP, waarop staat voor welke verwerkingen van persoonsgegevens een data protection impact assessment (DPIA) nodig is. Een DPIA helpt bedrijven om privacyrisico's van gegevensverwerking in kaart te brengen en om vervolgens maatregelen te nemen om de risico's te verkleinen. 

De AP stelt een DPIA verplicht als een gegevensverwerking waarschijnlijk met een hoog privacyrisico komt. Nu heeft de toezichthouder dus besloten dat dit ook bij biometrische gegevens het geval is. Daarom heeft het de lijst een update gegeven, om deze vorm van gegevens toe te voegen. 

Onder biometrische gegevens vallen alle lichaamskenmerken die uniek zijn voor een persoon. Het gaat bijvoorbeeld om vingerafdrukken, de iris en de stem. 

Vingerdafdrukscan mag niet zomaar

Het verwerken van biometrische gegevens is sinds de invoering van de Algemene verordening gegevensbescherming (AVG) aan strenge regels gebonden. Volgens de AVG is de verwerking van biometrische gegevens met als doel om iemand te identificeren in beginsel verboden. Dit mag alleen als het strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Willen bedrijven biometrische gegevens gebruiken voor authenticatie, dan moeten ze voortaan vooraf dus een DPIA doen. Dat moet ook bij bijvoorbeeld persoonsgegevens die worden gegenereerd door Internet of Things-apparaten, de verwerking van locatiegegevens en cameratoezicht.