Kennis items

MediaMarkt stopt vingerafdrukscanners: ‘Geen goede zet.’

Hoe een DPIA zorgt voor een weloverwogen keuze

 

Alexander Snel
CISSP CIPP/E - Information security & Privacy
4 november 2021

MediaMarkt is na kritiek van vakbond FNV gestopt met het gebruik van vingerafdrukscanners voor het beveiligen van delen van winkels. Volgens de vakbond volstaan pasjes. Heeft FNV gelijk?

Biometrische gegevens vallen onder de categorie bijzondere persoonsgegevens. Er rust in principe een verwerkingsverbod op bijzondere persoonsgegevens, tenzij één van de wettelijke uitzonderingen gebruikt kan worden, bijvoorbeeld zoals die in artikel 29 van de Uitvoeringswet AVG. Daarin is vastgelegd dat het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Misbruik van fysieke toegangspassen

De analyse van FNV is als volgt: “Het moet toch niet gekker worden? We hebben het hier over de MediaMarkt, niet over een kerncentrale of het hoofdkwartier van de geheime dienst.” Echter, MediaMarkt wijst er terecht op dat andere beveiligingsmethodes, zoals het gebruik van fysieke toegangspassen, hogere risico’s op misbruik hebben. Zo kunnen toegangspassen en pincodes gemakkelijk doorgegeven worden.

Een DPIA geeft het antwoord

Om te bepalen of het verwerken van biometrische gegevens een verantwoorde keuze is, moeten bedrijven een Data Protection Impact Assessment (DPIA) uitvoeren. Daarbij wordt onder andere het privacybelang van de betrokkenen afgewogen tegen de noodzaak van (effectieve) beveiliging. Stel dat MediaMarkt magazijnen heeft waar voor miljoenen aan diefstalgevoelige voorraad ligt, waarbij het verleden heeft uitgewezen dat andere beveiligingsmethoden ontoereikend waren, dan is het zeker mogelijk dat de conclusie van de DPIA is dat het gebruik van biometrie wel degelijk verantwoord en toegestaan is. Uiteraard mits daarbij voldoende rekening wordt gehouden met zaken zoals beveiliging van de gegevens en privacy by design. Aspecten die in moderne oplossingen voor biometrische toegangscontrole ingebed behoren te zijn.

Alexander Snel, CIPP-E (Certified Information Privacy Professional/Europe) gecertificeerde Privacy Consultant bij Nsecure: “De beveiligingsrisico’s op de verschillende locaties van MediaMarkt moeten leidend zijn voor het vereiste niveau van beveiliging. Uiteraard op voorwaarde dat persoonsgegevens op de juiste manier worden verwerkt en dat mensen hier tijdig en volledig over worden geïnformeerd. Een goede DPIA kan helpen deze afweging te maken en waar nodig de toezichthouder inzicht te geven in de argumentatie om voor biometrie te kiezen”.

Gerelateerde

Onderwerpen

Alexander Snel CISSP CIPP/E - Information security & Privacy
Meer informatie

Vragen

Meer weten over privacy management of het uitvoeren van een DPIA? Neem dan contact op.