21 aug
2019

Gegevenslek van 2000 vingerafdrukken : De Gegevensbeschermingsautoriteit volgt de zaak Adecco van nabij

De Gegevensbeschermingsautoriteit is door Adecco op de hoogte gebracht van een lek van biometrische gegevens bij het bedrijf Suprema, waarbij de vingerafdrukken van ongeveer 2000 werknemers van Adecco Belgium betrokken zijn. De GBA herinnert eraan dat dit soort persoonsgegevens bijzonder gevoelig is en kondigt aan dat zij de zaak nauwlettend volgt. “Als Autoriteit die verantwoordelijk is voor de bescherming van de persoonsgegevens van de burgers, hebben wij de plicht om dit op te helderen.”


Gegevenslek: toegang tot de vingerafdrukken van 2000 werknemers in België

Vorige week, openbaarde de pers dat onderzoekers toegang hadden verkregen tot miljoenen biometrische gegevens van Suprema zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelieten, met inbegrip van 2000 vingerafdrukken van de werknemers van Adecco in België.

Adecco België heeft het gegevenslek gemeld bij de GBA, zoals vereist door de AVG (Algemene Verordening Gegevensbescherming). De GBA heeft contact opgenomen met het bedrijf om de ernst van de overtreding te beoordelen en de belangen van de betrokkene personen te waarborgen.

David Stevens, Voorzitter van de Gegevensbeschermingsautoriteit: "Dit gaat over het controleverlies van bijzonder gevoelige gegevens van maar liefst 2000 personen. Als Autoriteit die verantwoordelijk is voor de bescherming van de persoonsgegevens van de burgers, hebben wij de plicht om dit op te helderen.”

Biometrische gegevens: een groot risico voor de rechten en vrijheden van de burgers

Biometrische gegevens zijn gegevens die een unieke identificatie van een individu mogelijk maken. Dit soort persoonsgegevens wordt door de AVG als bijzonder gevoelig beschouwd omdat de verwerking ervan een groot risico inhoudt voor de rechten en vrijheden van de burgers.

 “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen. Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen", legt David Stevens uit. “De Autoriteit besteedt daarom bijzondere aandacht aan de verwerking van gegevens die de unieke identificatie van burgers mogelijk maken en roept de personen die verantwoordelijk zijn voor de verwerking van biometrische gegevens op tot de grootst mogelijke waakzaamheid.”

Het gebruik van biometrische persoonsgegevens is overigens per definitie verboden door de AVG, behalve in een beperkt aantal gevallen. Ook al valt de verwerking van gegevens zoals bijvoorbeeld vingerafdrukken onder een van deze uitzonderingen, mag dit geen automatisme worden: “Alvorens biometrische gegevens te verwerken, moet de verwerkingsverantwoordelijke zich steeds afvragen of dit absoluut noodzakelijk is. Er zijn vaak minder ingrijpende manieren om de identiteit va   n een persoon doeltreffend te controleren“, verduidelijkt David Stevens.

In januari 2019 werd de verwerking van biometrische gegevens door de GBA gekwalificeerd als een verwerking van persoonsgegevens die een gegevensbeschermingseffectbeoordeling vereist om de risico's ervan in te schatten (beslissing 01/2019 van het Algemeen Secretariaat).

Herinnering: de verwerking van biometrische gegevens

Om gelijkaardige situaties te voorkomen, wil de GBA de verwerkingsverantwoordelijken herinneren aan een aantal beginselen die van toepassing zijn op de verwerking van biometrische gegevens:

  • de verwerking van biometrische gegevens in de zin van de AVG is in beginsel verboden (tenzij de verwerking overeenstemt met een van de uitzonderingen in de beperkte lijst waarin de AVG voorziet);
  • de verwerking van biometrische gegevens met het oog op de unieke identificatie van betrokkenen vereist een voorafgaande gegevensbeschermingseffectbeoordeling, omdat deze mogelijk grote risico's voor de burger met zich meebrengt. Als deze beoordeling concludeert dat de geplande verwerking te riskant is, kan deze niet plaatsvinden;
  • de verantwoordelijke voor de verwerking van biometrische gegevens moet alle mogelijke organisatorische en technische maatregelen nemen om de veiligheid van de gegevens in zijn bezit te waarborgen. Indien de verwerkingsverantwoordelijke samenwerkt met een verwerker die toegang heeft tot deze gegevens, moet hij ervoor zorgen dat de verwerker hetzelfde beschermingsniveau kan garanderen.