Home / Nieuws & Blogs / Banken hebben biometrische gegevens op het oog

Banken hebben biometrische gegevens op het oog

| 22 juli 2020

Ruim 2 jaar geleden is de UAVG in werking getreden. Tijd voor een evaluatie. Onze Minister voor Rechtsbescherming heeft in een kamerbrief een voorstel gedaan om de UAVG op bepaalde punten te wijzigen. Zo moeten onder andere de voorwaarden om biometrische gegevens te gebruiken, verduidelijkt worden. Hoe zit het ook alweer met biometrische gegevens? En waarom wil de banksector deze gegevens gaan gebruiken?   

Verwerking van biometrische gegevens

In de AVG staat dat het verwerken van biometrische gegevens met het oog op identificatie van een persoon verboden is, tenzij er een uitzondering bestaat. Een voorbeeld van een biometrisch gegeven is de vingerafdruk. De AVG laat ruimte over voor lidstaten om iets anders te regelen over het verwerken van biometrische gegevens.

Momenteel staat in de UAVG dat organisaties wel biometrische gegevens mogen verwerken, zolang dat noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Denk aan de security check op Schiphol. Passagiers staan een voor een tussen schuifdeurtjes en moeten vervolgens in de camera kijken. Dit is toegestaan met het oog op beveiliging. Vanachter de desk houdt de marechaussee een oogje in het zeil, en zodra je door het poortje bent gelopen kun je alsnog je paspoort of identiteitskaart laten zien. Check, dubbelcheck.

Wijziging UAVG

De minister heeft aangegeven de UAVG op meerdere punten te willen wijzigen. Zo moeten autoleasemaatschappijen een grondslag krijgen om verkeersboetes te kunnen verhalen bij de bestuurder van de leaseauto. Ook moet er een explicietere grondslag komen “voor toepassing van biometrie voor de identificatie van personen, voor zover dat noodzakelijk is voor de rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten”. En zo zijn er nog een paar wijzigingen opgenomen in het wetsvoorstel.

Biometrische gegevens binnen de banksector

De Nederlandse Vereniging van Banken (NVB) heeft gereageerd op het voorstel om de UAVG te wijzigen. Zo wil de NVB dat expliciet wordt vastgelegd dat het ook voor financiële diensten mogelijk wordt om biometrische gegevens te gaan verwerken. Tegenwoordig regelt men de bankzaken veelal online. Op de een of andere manier moeten banken dan wel kunnen vaststellen wie een aanvraag indient of wie de rekeninghouder is. Als klanten binnenlopen bij een bank, dan kan de identiteit vastgesteld worden aan de hand van een paspoort. Maar online is dat wat lastiger. Dus zegt de NVB dat banken gebruik moeten kunnen maken van iriskenmerken, vingerafdrukken etc. Met behulp van sensoren (denk aan beeldanalysesoftware) kan met gezichtsherkenning de identiteit van een persoon ook op afstand worden gecontroleerd.

Naast het gebruiken van biometrische gegevens om een klant te kunnen identificeren, wil de banksector biometrische gegevens ook gaan gebruiken bij betalingsverkeer. De achterliggende reden hiervan is dat een wachtwoord of pincode vergeten kan worden door een bankrekeninghouder. Of door phishing komen deze gegevens in verkeerde handen terecht. Ter bescherming van de klant moeten banken daarom de mogelijkheid hebben om te bepalen dat een biometrisch gegeven de sterkste beveiligingsmaatregel is, ook voor betalingsverkeer.   

Moeten we nu vrezen voor onze privacy?

Het gemak dient de mens. Jaren geleden werd contactloos betalen geïntroduceerd. Hoe makkelijk is het om alleen je bankpas bij een pinapparaat te houden. Beveiligingsmaatregel: alleen tot een bedrag van € 25 is dat mogelijk. Bij een hoger bedrag moet je alsnog je pincode invoeren. Vervolgens kwam het betalen met je telefoon. Helemaal handig, want dan heb je geen pinpas meer nodig. Gezicht voor de camera en pinnen maar met je telefoon.

Het is aan organisaties om een goed verhaal te hebben waarom ze biometrie willen inzetten. Zijn er echt geen alternatieven om hetzelfde doel te bereiken? Worden er biometrische gegevens verwerkt, let dan goed op de beveiligingsmaatregelen. Tot slot, het is natuurlijk aan de Autoriteit Persoonsgegevens om vinger aan de pols te houden voor wat betreft deze ontwikkeling.