Blog van de voorzitter

Sleutels en wachtwoorden zijn verreweg de meest gebruikte middelen om toegang te krijgen tot respectievelijk gebouwen en computersystemen. Veilig zijn ze echter allerminst. Beide kunnen al of niet met opzet in verkeerde handen terechtkomen en onbevoegde toegang mogelijk maken. Voor hogere risico’s is dus een alternatief nodig en zo’n alternatief is biometrie. 

De proportionaliteit van biometrie

Sleutels en wachtwoorden zijn verreweg de meest gebruikte middelen om toegang te krijgen tot respectievelijk gebouwen en computersystemen. Veilig zijn ze echter allerminst. Beide kunnen al dan niet met opzet in verkeerde handen terechtkomen en onbevoegde toegang mogelijk maken. Voor hogere risico’s is dus een alternatief nodig en zo’n alternatief is biometrie. Met deze technologie wordt een lichaamseigen kenmerk gescand, zodat dus in principe alleen de geautoriseerde persoon toegang krijgt. 


Er zijn verschillende vormen van biometrie. Meestal wordt een vingertop gescand, maar er zijn ook systemen die de iris van het oog, de handgeometrie, het gezicht of zelfs de hartslag scannen. Toen deze technologie zo’n vijftig jaar geleden werd uitgevonden werd zij alleen toegepast voor de hoogste risico’s, zoals nucleaire installaties en gouddepots. Maar tegenwoordig heeft bijna elke smartphone een biometrische scanner. Niet zozeer voor de veiligheid, maar meer voor het gemak. Even je vinger langs een scanner vegen kost minder moeite dan het intoetsen van een pincode. Zo kan biometrie dus naast de veiligheid ook het gemak van de mens dienen. 


Leuk voor de mens en leuk voor bedrijven, maar de privacy-autoriteiten zijn er helaas minder enthousiast over. In de nieuwe privacywet, de Algemene Verordening Gegevensbescherming, staat in artikel 9, lid 1 dat het verboden is om biometrische informatie te gebruiken voor identificatie van personen. In lid 2 zijn gelukkig uitzonderingen opgenomen. Zo mag het wel als de betrokkene daar nadrukkelijk toestemming voor geeft. Verder mogen lidstaten in hun nationale wetgeving zelf ook uitzonderingen opnemen. In de Uitvoeringswet Algemene Verordening Gegevensbescherming staat in artikel 29 dat biometrische identificatie niet verboden is als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Dit houdt dus in dat er sprake dient te zijn van een zeker risico en dat bedrijven biometrie niet mogen toepassen om hun werknemers gemak te bieden of op de uitgifte van pasjes of sleutels te besparen. Dit laatste mag ook niet als werknemers geen bezwaar zeggen te hebben tegen de technologie, omdat er in de relatie tussen een werkgever en een werknemer sprake is van een zogenoemde gezagsverhouding. Wie niet akkoord zou gaan, zou zijn baan kunnen verliezen. Deze kwestie kwam onlangs naar voren nadat de SP-Kamerleden Jasper van Dijk en Mahir Alcaya hadden vernomen dat een uitzendorganisatie een biometrische prikklok had aangeschaft. Vingerafdrukken werden hier dus niet voor de veiligheid gescand, maar om werktijden te registreren. Dit werd door de twee niet als zwaarwegend belang beschouwd en Staatssecretaris Tamara van Ark van Sociale Zaken en Werkgelegenheid ging daarin mee. Dat maakt de vingerafdrukscanner of andere biometrische identificatiesystemen voor een dergelijke toepassing nog niet verboden, maar de werkgever wordt wel verplicht een alternatief te bieden aan werknemers die liever niet hebben dat hun werkgever over hun biometrische informatie beschikt. 


Zoals niet geheel ongebruikelijk, wordt in dit geval voorbijgegaan aan de achtergronden van de bediscussieerde technologie. Op de eerste plaats werken verreweg de meeste biometrische identificatiesystemen niet met volledige scans, maar met referentiepunten. De praktische reden hiervan is dat dan veel minder data nodig is om personen te identificeren. Daardoor is minder opslagruimte en netwerkcapaciteit nodig en kunnen de systemen sneller reageren. Een bijkomend voordeel is dat uit de zogenoemde metadata niet het originele biometrische kenmerk is te herleiden. Juist dat geeft een goede borging van de privacy van gebruikers. Ook is het niet nodig de biometrische informatie centraal op te slaan. Deze kan ook op een toegangspas worden bewaard. Bij het verlenen van toegang wordt dan alleen gecontroleerd of de aanbieder van de pas ook de legitieme gebruiker is. Dat verkleint het gebruikersgemak, maar biedt wel een hoge mate van privacy. Spijtig dus dat de opmars van biometrie nu door gebrek aan inhoudelijke kennis wordt belemmerd. Want een biometrische prikklok mag dan als niet-proportioneel worden beschouwd, een werkgever zal daar anders over denken. Zeker als hij vermoedens heeft dat zijn werknemers elkaar uit ‘collegialiteit’ met uitgeleende pasjes aan extra ‘werkuren’ helpen.

Boele Staal

Algemeen Voorzitter VEBON-NOVB


Mei 2018

Bezoekadres
Zilverstraat 69, 2718 RP Zoetermeer
Postadres
Postbus 840, 2700 AV Zoetermeer
Telefoon
079 - 203 50 15
E-mail
info@vebon-novb.nl
 
 
volg ons

wij bevorderen veiligheid