Laten we starten bij het begin: de betekenis van biometrie. Letterlijk: het meten van persoonlijke kenmerken van een individu.

Biometrische autenticatie waar we het in dit artikel gaan hebben, is diegene die uiterlijk meet: aan de hand van een gezichtscan of vingerafdruklezer geïdentificeerd worden.

Bedrijven kunnen biometrie inzetten voor verschillende zaken: als registratie van tijd of toegangscontrole, als manier om in te loggen op een computer of om zich te identificeren. Denk bijvoorbeeld aan de dubbele verificatie met je bankapp.

Op het eerste zicht lijkt het best handig, want dat gezicht en die handen heb je normaal altijd bij, en kan je niet thuis of in je auto vergeten. En, als kers op de taart, zijn iemands vingers uniek en dus niet doorgeefbaar.

Maar sinds dat de GDPR wetgeving van kracht is, zijn biometrische gegevens gevoelige informatie geworden.

Maar wat houdt het in? Waar moet je als bedrijf rekening mee houden? En waarom zou je het uberhaupt in jouw bedrijf willen toepassen? Allemaal vragen die in deze blog besproken worden.

De verwerking van vingerafdrukken: absoluut veilig

Laten we beginnen te stellen dat vingerafdrukken in hun geheel niet worden bewaard. De vingerafdruk wordt immers omgezet naar een eenvoudige reeks puntjes (ook wel template genoemd), wat dan weer resulteert in een reeks nullen en eentjes. Het is die reeks puntjes die geanalyseert wordt en je identificeert.

Op basis van een template is het absoluut niet mogelijk om een vingerafdruk te reconstrueren. Elke leestechnologie slaat zijn fingertemplates anders op en dus zijn deze niet onderling uitwisselbaar. En dat zorgt dus eigenlijk voor de veiligheid van de data! Wanneer data alsnog uitgewisseld wordt (bijvoorbeeld voor loonverwerking), gebeurt dat steeds via een beveiligde lijn (https), of via een lokaal netwerk.  

Transparantie en uitdrukkelijke toestemming staan centraal

De werkgever (die tevens ook de verwerkingsverantwoordelijke is) is verplicht om actief en transparant te informeren en uitdrukkelijk toestemming moet vragen aan zijn werknemers om de biometrische gegevens te verwerken.

Als bedrijf mag je er dus niet van uit gaan dat je geen badges of codes moet voorzien. Integendeel, niks is minder waar.

De GDPR als ruggesteun

De privacy van werknemers wordt ook beschermd door de GDPR wetgeving. Die veronderstelt dat de verwerkingsverantwoordelijke een gegronde reden heeft om persoonsgegevens te verwerken.  Met andere woorden: de werkgever moet kunnen rechtvaardigen waarom hij biometrische toegangscontrole heeft tot lokalen en/of computers. Het is dus een beslissing die niet lichtzinnig genomen kan worden. 

Is biometrie nu de absolute musthave?

Biometrie brengt toch heel wat voordelen met zich mee.

  • Het is minder omslachtig: de kans is zeer klein dat je je hoofd of handen vergeten bent
  • Het is veiliger: want zo goed als onmogelijk te vervalsen en je kan ze niet kwijtgeraken waarop je het risico loopt dat iemand met jouw badge ergens binnengaat.
  • Het is handig: wachtwoorden moet je vaak opnieuw instellen, maar jij bent jij, en dus moet je niet telkens een nieuw wachtwoord onthouden.

Toch raden we ten zeerste aan om biometrie veeleer te gebruiken bij (dubbele) verificatie. Double dutch: identificeren via biometrie en dan verifiëren met een badge of pincode. Dat kan natuurlijk ook perfect in de omgekeerde volgorde. Het is een extra veiligheidsmechanisme en komt dus ook de correctheid van gegevensverwerking ten goede.

Lijkt biometrische T&A iets voor jou?
Neem dan contact op.
Written by: Isabelle Fassin
International Field Marketeer