Organisaties die gebruik willen maken van biometrische gegevens, zoals vingerafdrukken of gezichtsscans, zijn vanaf nu verplicht om eerst de privacyrisico’s te onderzoeken.
Hoog privacyrisico
De Autoriteit Persoonsgegevens publiceerde deze week een definitieve lijst van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) verplicht is.
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De Autoriteit Persoonsgegevens verplicht organisaties een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor degene van wie de gegevens worden verwerkt.
Biometrische gegevens zijn nu als extra categorie van verwerkingen toegevoegd aan deze lijst. Daarnaast staan zaken als cameratoezicht en het verwerken van gezondheidsgegevens op de lijst.
Vingerafdrukscan mag niet zomaar
Biometrische gegevens zijn unieke lichaamskenmerken, bijvoorbeeld een vingerafdruk, gezichtsscan, irisscan of stemherkenning. Volgens de AVG is de verwerking van biometrische gegevens met als doel om iemand te identificeren in beginsel verboden. Deze gegevens mogen alleen worden verwerkt wanneer dit strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Bij de inzet van biometrie is het erg belangrijk om de privacy van de betrokken persoon te waarborgen. Daarom is het uitvoeren van een data protection impact assessment nu ook verplicht voordat er gebruik kan worden gemaakt van biometrische gegevens.
Meer weten over een DPIA?
Wil je meer weten over een data protection impact assessment (DPIA) en ben je benieuwd of dit voor jouw organisatie ook verplicht is om uit te voeren? Lees dan dit artikel in onze kennisbank.