De mogelijke afschaffing van de biometrische gids van de AEPD heropent het digitale identificatieproces

De Supreme Administrative Court heeft mogelijk het beroep van de Spaanse Vereniging van Veiligheidsbedrijven (AES) tegen de richtlijn van het Spaanse Agentschap voor Gegevensbescherming (AEPD) over biometrische aanwezigheidssystemen gehonoreerd. De door El Confidential op 15/07/2026 gelekte informatie suggereert dat de rechtbank de goedkeuring en publicatie ervan heeft ingetrokken, omdat deze in de praktijk functioneert als een algemene instructie zonder de juiste procedures te volgen die voor circulaires gelden.

De kernpunten van biometrisch inchecken in 20 seconden

  • De uitspraak betwijfelt de gebruikte vorm door de AEPD, niet de bescherming van biometrische gegevens.
  • Vingers en gezichten blijven onderworpen aan de Algemene Verordening Gegevensbescherming (AVG).
  • De uitspraak verleent geen automatische toestemming voor biometrische inchecksystemen.
  • Leveranciers en bedrijven moeten wachten op de volledige tekst voordat ze hun projecten aanpassen.

De volledige uitspraak was nog niet beschikbaar via officiële juridische bronnen tijdens het schrijven van dit artikel, dus voorzichtigheid wordt aanbevolen. De richtlijn van november 2023 blijft wel beschikbaar op de website van de AEPD, maar alle pagina’s zijn nu gemarkeerd met de vermelding “IN HERZIENING”.

Deze zaak is relevant voor de technologische sector omdat het niet alleen gaat over of een bedrijf kan inchecken met een vingerafdruk. Het stelt ook de vraag tot welk punt een toezichthouder richtlijnen kan uitvaardigen die, hoewel formeel geen normen zijn, uiteindelijk de aankoopbeslissingen, softwareontwikkeling, contracten en juridische beoordelingen beïnvloeden.

Geen toestemming om terug te keren naar vingerafdrukcontrole

De belangrijkste interpretatie die vermeden moet worden, is dat de Supreme Court de biometrische tijdregistratie heeft gelegaliseerd. Volgens de beschikbare informatie heeft de rechtbank het instrument van de AEPD beoordeeld, zonder algemeen te beslissen of een bedrijf zijn werknemers mag identificeren via gezicht, vingerafdruk, iris of handgeometrie.

De richtlijn van 2023 stelde zeer strikte criteria. Ze beschouwde zowel biometrische identificatie, waarbij een voorbeeld wordt vergeleken met meerdere identiteiten, als authenticatie, waarbij één-op-één verificatie wordt gedaan, als behandelingen van categorieën van gegevens die, wanneer ze uniciteit mogelijk maken, als speciale gegevens worden beschouwd. Tevens kwalificeerde ze dergelijke projecten als hoog-risico behandelingen en eiste vooraf een Gegevensbescherming Impact Assessment (GPIA).

Deze criteria hadden onmiddellijk effecten op de markt. HR-afdelingen, beveiligingsintegrators, fabrikanten van terminals en SaaS-leveranciers herkenden projecten die voorheen beschouwd werden als handige manieren om kaarten, codes of handmatige registraties te vermijden.

Het mogelijk intrekken van de richtlijn zou dat document als administratieve referentie kunnen verminderen of elimineren, maar niet het Algemene Verordening Gegevensbescherming (AVG). Organisaties die biometrische gegevens willen verwerken, blijven een juridische basis nodig volgens artikel 6 van de AVG en een voorwaarde om de verbodsbepaling van artikel 9 te doorbreken wanneer het gaat om speciale categorieën gegevens.

Daarnaast moeten zij aantonen dat het systeem noodzakelijk is voor het beoogde doel. Wettelijke verplichtingen om werktijden vast te leggen, verplichten niet het gebruik van biometrie; dit kan ook via een app, kaart, code, digitale certificaat of organisatorische maatregel. Het bedrijf moet rechtvaardigen waarom deze alternatieven niet geschikt zijn in hun situatie.

Toestemming is niet altijd de oplossing. In arbeidsrelaties kan het moeilijk zijn aan te tonen dat de beslissing van de werknemer echt vrij is, vooral wanneer weigering van biometrisch systeem nadelen met zich meebrengt, extra procedures vereist of de toegang tot de werkplek beïnvloedt.

Technologie elimineert niet het juridische risico

Voor leveranciers is het verleidelijk om bepaalde architecturen voor te stellen als systemen die geen biometrische gegevens meer behandelen. Het is gebruikelijk te horen dat een mathematisch patroon geen vingerafdruk is, dat het systeem geen foto’s opslaat of dat het patroon het originele gezicht niet kan reconstrueren.

De AEPD stelde in haar richtlijn dat een biometrisch patroon nog steeds een persoonlijke gegevens is wanneer het toelaat om een persoon binnen een systeem te identificeren. Het feit dat een mens het bestand niet direct kan interpreteren, ontneemt niet dat het systeem kan worden gebruikt om gegevens te linken, toegang te authenticeren of geautomatiseerde beslissingen te activeren.

De manier waarop het product wordt ontworpen, beïnvloedt inderdaad het risiconiveau. Een systeem dat het patroon op een kaart onder controle van de werknemer opslaat, brengt minder risico met zich mee dan een centrale database met biometrische patronen van het hele team. Evenzo zijn lokale één-op-één authenticatie en één-op-velen herkenning voor verificatie binnen duizenden identiteiten niet gelijk.

Maatregelen die de blootstelling kunnen beperken, omvatten lokaal opslaan, versleuteling, scheiding van het patroon en identificerende gegevens, regelmatige vervanging van biometrische referenties en automatische verwijdering na beëindiging van de arbeidsrelatie. Geen enkele maatregel creëert op zich een wettelijke toestemming, maar kan helpen om de beoordeling van noodzaak, proportionaliteit en beveiliging te doorstaan.

Voor technische verantwoordelijken is het daarnaast belangrijk te onderzoeken wat er gebeurt wanneer een referentie wordt gecompromitteerd. Een wachtwoord kan worden gewijzigd, maar vingerafdrukken of gezichtskenmerken blijven gedurende het hele leven bij de persoon. Mechanismen die herroepbare en niet-verbonden patronen genereren, verminderen dat risico, mits hun eigenschappen zijn bewezen en niet enkel handelsclaims.

De beoordeling moet verder gaan dan alleen de biometrische lezer. Het omvat het beheer van de toepassing, API’s, back-ups, toegangslogboeken, cloudprovider, ondersteuningsapparatuur en integratie met loonadministratie, tijdregistratie of fysieke beveiliging.

Wat betekent dit voor bedrijven en technologische leveranciers

Indien de uitspraak het genoemde bereik bevestigt, kan deze de wijze veranderen waarop de AEPD criteria met algemene werking publiceert. Volgens de Organieke Wetten 3/2018 mag het bestuur van het bureau circulaires uitvaardigen die de criteria bepalen die de toezichthouder hanteert. Deze verordeningen zijn verplicht na publicatie in het Staatsblad.

Het statuut van de AEPD vereist dat dergelijke circulaires worden goedgekeurd via een procedure die onder meer technische rapporten, noodzaak- en rechtmatigheidsbeoordelingen, participatieprocedures, advies van de Raad van State, goedkeuring door de Directie en publicatie in het Staatsblad omvat. De redenering van de rechtbank dat een richtlijn geen vervanging mag zijn voor dit proces, zou er op kunnen wijzen dat een richtlijn niet als een algemene norm mag functioneren die zonder formeel goedkeuringsproces wordt gebruikt.

Voor bedrijven brengt dit onzekerheid, maar geen volledige ontheffing. Organisaties die al biometrisch project hebben afgewezen, hoeven dat niet opnieuw te activeren op basis van een kop. Ondertussen kunnen zij hun naleving niet beschouwen als afgerond. Het is raadzaam om ten minste de concrete doeleinden, juridische basis, artikel 9-onderbouwing, minder ingrijpende alternatieven, technische architectuur, bewaartermijnen en mechanismen voor personen die het systeem niet kunnen of willen gebruiken te herzien.

Leveranciers moeten vermijden dat ze simpelweg beweren “volgens de AVG te handelen” of “geen biometrische gegevens opslaan” zonder een duidelijk uitleg over de werking van het product. Conformiteit hangt niet alleen af van het apparaat of algoritme, maar ook van wie het gebruikt, voor welk doel, met welke configuratie en welke besluiten worden genomen op basis van de resultaten.

De uitspraak zou kunnen leiden tot de publicatie van een nieuwe gids met meer adviserende inhoud, de uitvaardiging van een circulaire via de formele procedure of wachten op verduidelijkingen door specifieke procedures en rechtsspraak.

Totdat de volledige uitspraak bekend is, kan niet worden uitgesloten dat er een beroep wordt aangetekend. De precieze formulering van de uitspraak bepaalt of de hele gids wordt vernietigd, alleen het besluit dat de publicatie goedkeurde of de secties die, naar oordeel van de rechtbank, meer dan informatief waren.

Veelgestelde vragen

Is het nu legaal om met vingerafdrukken in te checken bij een bedrijf?

Er bestaat geen algemene goedkeuring. Elke organisatie moet de noodzaak, de juridische basis en de voorwaarden voor het gebruik van biometrische gegevens onderbouwen.

Hoe zit het met reeds geïnstalleerde biometrische systemen?

Ze blijven onderworpen aan de AVG. Het mogelijke intrekken van de richtlijn verwijdert niet de verplichte impactbeoordelingen, beveiligingsmaatregelen of proportionaliteitsanalyses.

Wordt een biometrisch patroon geen persoonlijk gegeven als het wordt versleuteld?

Niet noodzakelijk. Versleuteling beschermt het gegeven, maar verandert niet de aard ervan wanneer het nog steeds kan worden gebruikt om een persoon te identificeren of te authenticeren.

Kan de AEPD opnieuw criteria vaststellen voor biometrisch inchecken?

Ja. Ze kan richtlijnen uitvaardigen, besluiten over concrete gevallen nemen of een circulaire publiceren via de wettelijke procedures van haar statuut en de Organieke Wetten 3/2018.

Bron: Contratos Juristen

Scroll naar boven