Biometrie wordt door steeds meer overheden en organisaties ingezet. Denk maar aan de poortjes op Schiphol waar reizigers tegenwoordig gemakkelijk en snel doorheen kunnen lopen, zonder in de rij te staan voor de douane. Maar ook in de retail neemt het gebruik toe, betalen kan inmiddels al via een irisscan. Het aantal toepassingen neemt in rap tempo toe.
Zo is onlangs ook het Life Face Identification System op de markt gebracht. Middels camera’s en biometrie worden mensenmenigtes gescand en op basis van een database van de overheid of politie wordt vervolgens bepaald of zich mensen in het publiek bevinden die daar niet aanwezig zouden moeten zijn. Denk hierbij aan bijvoorbeeld hooligans of terroristen. In China wordt deze technologie al veel toegepast, maar dan op een manier die door de meeste regeringen wordt afgekeurd. Zo was recent in de documentaire van Ruben Terlou te zien dat de gegevens van Chinezen die meerdere keren een zebrapad oversteken als het stoplicht op rood staat, worden vastgelegd. Ze worden vervolgens op diverse manier gestraft, denk bijvoorbeeld aan het afnemen van de kredietwaardigheid.
Privacy is het issue
De eerste vraag die biometrie dan ook oproept is: Hoe wordt de privacy van de ‘onschuldige’ bezoekers van een stadion gewaarborgd? Het antwoord op deze vraag is onduidelijk en daarom roept het gebruik van biometrie weerstand op. Er zijn wereldwijd nog maar weinig wetten die de zorgen van consumenten wegnemen en zich richten op het gebruik van biometrische gegevens. In plaats daarvan richt de huidige wet zich op de bescherming van persoonsgegevens en de privacy van burgers.
Binnen de Wet bescherming persoonsgegevens wordt biometrie alleen impliciet behandeld. De komst van GDPR gaat hier echter verandering in brengen en het is belangrijk voor bedrijven om hiervan op de hoogte te zijn, zeker wanneer ze de inzet van biometrie overwegen om het gemak van klanten te verhogen.
Nieuwe regels
Binnen de Europese wetgeving GDPR is er speciale aandacht voor biometrie. De gegevens die via deze techniek verzameld worden, worden als volgt gedefinieerd: ‘persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukken’. Volgens GDPR valt biometrie onder speciale persoonlijke data en daarmee is het gebruik om iemand te identificeren verboden. Maar zelfs de overheid maakt gebruik van biometrie, denk maar aan paspoorten, dus er zijn een paar uitzonderingen:
– Het mag ingezet worden als daar expliciet toestemming voor is gegeven;
– Als het is vereist voor de uitvoering van een overeenkomst met de betrokken persoon ;
– Als er sprake is van een wettelijke verplichting;
– Als er sprake is van een levensbedreigende situatie;
– Als het van vitaal belang is voor eventuele juridische claims.
Biometrie moet gerechtvaardigd zijn
Deze regels zorgen ervoor dat het gebruik van biometrie gerechtvaardigd moet zijn. Privacy van consumenten en medewerkers vereist logischerwijs een goede verantwoording. En in lijn hiermee zien we de opkomst van een wereldwijde consensus rond het principe dat het verkeerd beheer van persoonlijke informatie niet wordt getolereerd. Organisaties die gegevens niet goed beschermen, kunnen worden geconfronteerd met grote boetes.
De ideale bescherming van zulke gevoelige gegevens is om ze anoniem op te slaan en encryptie toe te passen. Immers als bedrijf wil je voldoen aan de wet, maar zeker ook reputatieschade door gestolen gegevens voorkomen. Bij het gebruik van biometrie is dat nog belangrijker, wachtwoorden kun je wijzigen, vingerafdrukken of je gezicht niet.
