Gegevensbescherming

Omdat het Parket recent haar bekommernis uitte dat het door de privacyregels moeilijk is om drugscriminelen op te sporen, waarbij ook de Antwerpse haven erkende dat het geen sinecure is geweest om de toegangscontrole in de haven te optimaliseren via een havenpas met biometrische gegevens, zetten wij voor u graag nogmaals de basisprincipes betreffende verwerking van biometrische gegevens uiteen. 

Iedereen wordt vandaag steeds meer geconfronteerd met de verwerking van biometrische gegevens op smartphones, tablets en computers maar ook door de overheid en door private ondernemingen.  

Enkele voorbeelden: de scan van een vingerafdruk, van het gezicht of van de iris van het oog; het gebruik van toetsenbord-, touchscreen en muispatronen en surf- en werkgedrag aan een computer ter authenticatie van personen. Identificatie aan de hand van het unieke stappatroon van personen (in het Engels gait recognition) edm. 

Biometrische gegevens zijn bijzondere categorieën van gegevens die zeer gevoelig zijn omdat de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden van personen.  

Overeenkomstig artikel 9.1 AVG/GDPR is de verwerking van biometrische gegevens daarom verboden, TENZIJ de verwerkingsverantwoordelijke zich kan beroepen op een van de in artikel 9.2 AVG/GDPR limitatief opgesomde rechtsgronden, m.n.: 

a) Uitdrukkelijke, geldige, geïnformeerde en ondubbelzinnige toestemming voor een of meer specifieke doeleinden 

b) De noodzakelijkheid voor het uitoefenen van wettelijke verplichtingen op het gebied van het arbeidsrecht, socialezekerheidsrechten, socialebeschermingsrecht voor zover specifieke Europese of nationale reglementering dit toestaat, of een collectieve overeenkomst op grond van nationaal recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt  

c) De noodzakelijkheid ter bescherming van de vitale belangen  

d) De verwerking door een stichting, vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen mits de verwerking uitsluitend betrekking heeft op de leden of voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt. 

e) De verwerking van persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt. 

f) De noodzakelijkheid voor de instelling, uitoefening of verdediging van een rechtsvordering of voor de behandeling door gerechten in het kader van hun rechtsprekende taken 

g) De noodzakelijkheid om redenen van zwaarwegend, algemeen en wettelijk erkend belang  

h) De noodzakelijkheid voor wettelijk erkende doeleinden van preventieve of arbeidsgeneeskunde, voor beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, gezondheidszorg of sociale diensten of behandelingen dan wel beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten 

i) Om reden van algemeen en wettelijk erkend belang op het gebied van volksgezondheid. 

Vooraleer de verwerking wordt aangevat is het essentieel dat uitdrukkelijk wordt aangegeven op welke rechtsgrond men zich beroept. Wanneer de verwerking wordt aangevat kan de keuze van rechtsgrond immers niet meer worden gewijzigd. Op dat ogenblik zal ook moeten worden nagegaan of een Gegevensbeschermingseffectbeoordeling moeten worden uitgevoerd. 

De verwerking van de biometrische gegevens moet proportioneel zijn, behoorlijk, minimaal, evenredig en transparant. 

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, moeten passende technische en organisatorische maatregelen worden genomen om een afgestemd beveiligingsniveau te waarborgen. 

De biometrische gegevens moeten worden opgeslagen in een vorm die het mogelijk maakt de personen niet langer te identificeren dan voor de doeleinden waarvoor de gegevens worden verwerkt noodzakelijk is.  

Wanneer de rechtsgrond is vervuld, moeten de gegevens worden verwijderd, tenzij ze op wettelijke basis of in het kader van een rechtsvordering langer bewaard mogen worden.