028 / Recht op informatie bij rekeningafschriften?

Het recht op inzage is misschien wel het belangrijkste recht in de Algemene Verordening Gegevensbescherming (AVG). Maar zelfs dit recht heeft grenzen. Dit kan heel mooi worden weergegeven aan de hand van het voorbeeld van bankafschriften.

Het recht op informatie is erg belangrijk

Zoals bekend heeft een betrokkene recht op informatie over alle gegevens die hem betreffen. Het is ook duidelijk hoe belangrijk dit recht is. Pas als iemand weet of een bedrijf gegevens over hem verwerkt, kan hij controleren of alles in orde is.

Dit alles is geregeld in artikel 15 van de AVG. Ook is daar bepaald dat een betrokkene “een kopie van de persoonsgegevens” kan opvragen. Deze formulering leidde tot een geschil tussen een bank en een van haar klanten.

Het eerste exemplaar is gratis

De klant had zijn rekeningafschriften uiteraard correct ontvangen. Hij heeft echter de afschriften kwijtgemaakt. Dit bracht hem op het idee om zijn bank nogmaals om een ​​kopie van deze bankafschriften te vragen. In zijn gedachten zou het voor hem gratis moeten zijn. Artikel 15 van de AVG stelt immers ook dat de eerste kopie van gegevens gratis is. Alleen verdere kopieën mogen iets kosten.

De bank deed niet mee, maar…

De bank stond dit idee echter niet aan. Het ging haar waarschijnlijk minder om die ene specifieke klant. Ze was eerder bang om in de toekomst met dergelijke verzoeken te worden geconfronteerd. Al met al zou dat best duur voor haar zijn. Daarom wees ze het verzoek van de klant af.

De klant wilde het niet loslaten en legde het voor advies voor bij de desbetreffende onafhankelijke toezichthouder die de bescherming van persoonsgegevens bevordert en bewaakt. Uit dit resulteerde een interessant oordeel: “ja, maar…”

Het “ja” betekent dat de grote klant zijn bank daadwerkelijk kan vragen om een ​​gratis overzicht van de geldtransacties op zijn rekening. Dit vloeit voort uit de volgende overwegingen:

  • De rekeningbewegingen zijn persoonsgegevens. Omdat ze betrekking hebben op de persoon van de klant.
  • Dit betekent dat de bankcliënt recht heeft op informatie over deze rekeningbewegingen.

De bank moet deze gegevens gratis verstrekken. Iets anders zou alleen van toepassing zijn als de klant meerdere keren om één en dezelfde aanbieding vraagt ​​zonder dat daar een begrijpelijke reden voor is.

Er is echter geen recht op kopieën van “oude” rekeningafschriften

Het “maar” volgt echter direct: de bankcliënt kan niet eisen dat de bank een overzicht van rekeningtransacties in de vorm van rekeningafschriften aanlevert. In plaats daarvan kan ze een tabel met rekeningverplaatsingen voor hem achterlaten.

De motivatie:

  • Rekeningafschriften zijn een speciaal voorbereide vorm van rekeningverplaatsingen.
  • Het recht op informatie geeft een bankcliënt niet het recht om op deze manier opgestelde rekeninggegevens te ontvangen.
  • De bank heeft aan haar verplichting voldaan als zij de gegevens in een geordende vorm, zoals een spreadsheet, aan hem ter beschikking stelt.
  • Alles wat verder gaat is een dienst die niets te maken heeft met het recht op informatie onder de AVG.
  • Of de bank een dergelijke dienst überhaupt aanbiedt, is voor hen evenzeer een zaak als de vraag of zij er een speciale vergoeding voor vragen.

Geen trucs!

Alles moet echter eerlijk en zonder trucs zijn. De bank kan dus ook aan het informatierecht van de cliënt voldoen door hem kopieën van zijn “oude” rekeningafschriften te verstrekken. Zij mag dan echter geen kosten van hem verlangen. Het is daarom noodzakelijk om onderscheid te maken:

  • Als de bank uit eigen beweging informatie verstrekt door kopieën van “oude” rekeningafschriften aan de klant ter beschikking te stellen, kan zij daar niets voor terugvragen.
  • Als zij de gegevens echter daadwerkelijk in een andere vorm wil aanleveren, bijvoorbeeld als tabel, en vervolgens op uitdrukkelijk verzoek van de klant kopieën van de eerdere opgaven verstrekt, kan zij dit laten vergoeden.

De klant kan geen verwerking van gegevens vragen

Het is alleen belangrijk dat hij volledige informatie krijgt. Indien dit het geval is, kan hij geen bijzondere verwerking van die gegevens verlangen. De klant heeft dus geen recht op een door hem zelf bepaalde vorm/verwerking van informatie, als deze afwijkt van de verstrekte “basisvorm” van de te verstrekken informatie.


Wilt u hier meer over weten? Voor verdere informatie over dit item kunt u met mij gerust contact opnemen: stel uw vraag(en) en ik neem spoedig met u contact op.

027 / Smartphone-apps & gegevensbescherming

Tijdens de pandemie is het belang van mobiele apparaten en applicaties nog verder toegenomen. Het aantal geïnstalleerde apps op smartphones en tablets groeit en groeit. Maar hoe zit het met gegevensbescherming in mobiele toepassingen? Het antwoord is niet altijd gemakkelijk.

Er is een app voor…

Mobiele games, leerprogramma’s, kantoorapplicaties: Nederlanders gaven in 2021 meer geld uit aan mobiele apps dan ooit tevoren. Volgens de Duitse digitale vereniging “Bitkom” werd bijvoorbeeld alleen al in Duitsland in 2021 in totaal 2,9 miljard euro aan omzet gegenereerd met smartphoneprogramma’s.
Het aanbod aan apps neemt toe – ze vervangen de digitale camera, de boekenplank, de gameconsole“, zegt Dr. Sebastian Klöß, hoofd consumententechnologie bij de digitale vereniging “Bitkom”. “Vooral tijdens de Corona-crisis brachten mensen meer tijd door met hun smartphone. Ze probeerden nieuwe apps uit en gaven daarbij meer geld uit, bijvoorbeeld om fit te blijven met betaalde onlinecursussen, de tijd te doden met games of om nieuwe talen te leren.

Apps zijn beschikbaar voor geld of data

Iedereen die nu denkt dat apps gratis zijn en misschien daarom zo populair zijn, heeft deels gelijk. In feite zijn de meeste mobiele applicaties beschikbaar zonder ervoor te betalen. Maar of de aanbieder zijn app ook werkelijk onbezorgd ter beschikking stelt, is een tweede.

Veel apps worden gefinancierd door reclame. Om de advertenties zo relevant en dus succesvoller mogelijk te maken, verzamelen veel van deze apps gegevens over hun gebruikers. Daar zou niets mis mee zijn als de gebruikers hiervan op de hoogte waren en ermee instemden.

In feite verzamelen en evalueren de apps vaak gebruikersgegevens zonder dat de gebruikers hiervan op de hoogte worden gesteld of hun toestemming hebben gegeven. Dit is niet alleen het geval bij gratis apps. Betaalde apps kunnen ook gegevens verzamelen om extra omzet te genereren.

Waar is het privacy beleid?

Of een app gegevens verzamelt, welke gegevens hij verzamelt en met welk doel dit gebeurt, maar ook wie de gegevens van de gebruiker ontvangt, dit alles moet worden teruggevonden in een privacyverklaring, die zichtbaar moet zijn voordat de app wordt geïnstalleerd.

Maar ook na installatie van de app moet het mogelijk zijn om de privacyverklaring in te zien. Vooral met een update van de app kan er iets zijn gebeurd dat gevolgen heeft voor de gegevensbescherming.

Als u op zoek bent naar een privacyverklaring voor apps, vindt u helaas niet altijd wat u zoekt, integendeel!

Vraag gegevensbescherming: in de app store en in de app zelf

Of een app een privacy beleid heeft of niet, moet beslissen of u de app überhaupt installeert en gebruikt. De app-stores zoals Google Play voor Android-apps hebben meestal een link in de app-beschrijving die leidt naar de verklaring inzake gegevensbescherming. Helaas is deze link niet zo makkelijk te vinden, bijvoorbeeld in de contactgegevens van de app-ontwikkelaar.

Het is nog moeilijker als je de app al hebt geïnstalleerd. Hier lijkt het meer een uitzondering als een app ook een sectie privacy beleid heeft. Zelfs bij bekende apps kan niet worden aangenomen dat ze echt uitgebreide informatie over gegevensbescherming bieden.

Dus als u niet wilt betalen voor een app met uw gegevens zonder precies te weten wie wat te weten komt en met welk doel, moet u apps zonder gegevensbeschermingsverklaringen vermijden. Veel apps willen zelfs meer leren dan nodig is.

Het klassieke voorbeeld zijn apps met een zaklampfunctie die toegang willen tot locatiegegevens en foto’s. Het moet voor u toch wel duidelijk zijn dat een app mogelijk probeert gebruikersgegevens te verzamelen.


Hoe zit dat met de privacy en de AVG? Mocht u meer willen weten over de AVG, dan kunt u via deze link direct de Algemene Verordening Gegevensbescherming nalezen.

026 / privétoestellen als noodstrategie: homecomputer vs zaken laptop

Als de bedrijfscomputer opeens niet meer werkt: privétoestellen als noodstrategie?

De door de werkgever ter beschikking gestelde computer start niet op. Maar dringend projectwerk laat op zich wachten. De gedachte om het privé notebook te gebruiken komt al snel op. Het is een noodgeval. Maar is het AVG correct qua gegevensbescherming?

Wanneer er haast is

Hoe kan het anders zijn? Het concept zou om elf uur bij het afdelingshoofd moeten zijn, maar de pc die de werkgever voor het thuiswerken heeft voorzien start niet op. Nog maar twee uur tot de levering…

Het gebruik van privé-IT-apparaten bij het thuiswerken is eigenlijk niet toegestaan. De werkgever heeft daarom extra speciale pc’s aangeschaft en bij de werknemers thuis laten bezorgen. Maar nu is er een soort noodsituatie ontstaan: de bedrijfscomputer wil niet, dus je zou het privé apparaat kunnen gebruiken. Dat is tenminste het idee dat bij me opkomt. “Het privé notebook was tenslotte duur, het is zeer professioneel, moet ik zeggen…”

De pc-aanval en de gevolgen

Als je gewoon je eigen notebook gebruikt om het concept te voltooien, haal je misschien de deadline voor indiening, maar je overtreedt de richtlijnen die de werkgever heeft gesteld voor thuiswerken.

Ga er niet vanuit dat een “deadline” alle middelen rechtvaardigt. Het concept kan op tijd bij het afdelingshoofd zijn. Maar het vertrouwelijke concept met de klantgegevens kwam op een privéapparaat terecht. Ze hebben het daar bewerkt en vanaf daar gemaild.

De werkgever verbood het gebruik van het privétoestel niet zomaar. Daar zijn goede redenen voor. De werkgever heeft geen overzicht van:

  • of de privé notebook is voorzien van alle updates,
  • of de beveiligingssoftware voldoet aan de eisen,
  • of de e-mail beveiligd is verzonden,
  • of bijvoorbeeld de privé notebook zo is ingesteld dat alle bestanden erop automatisch worden overgebracht naar een cloud voor gegevensback-up, die niet voldoet aan de vereisten voor gegevensbescherming.

Vraag eerst en zorg voor bescherming

Iedereen die zonder overleg afwijkt van de veiligheidsrichtlijnen van de werkgever moet op problemen rekenen, ook als het een urgent begrip is en als je een uitzondering wilt maken voor een calamiteit.

Bescherm uzelf altijd en vraag uw leidinggevenden of u in uitzonderlijke gevallen uw privétoestel mag gebruiken. Maar denk dan ook eens aan het beveiligen van de data.

Zo mag de werkgever het zakelijk gebruik van eigen (home) apparatuur, ook wel BYOD (Bring-Your-Own-Device) genoemd, alleen goedkeuren als de beveiligings- en gegevensbeschermingsmaatregelen voor het apparaat correct zijn. Hetzelfde hoge beveiligingsniveau moet gelden als bij het gebruik van de bedrijfs-pc.

Als de werkgever de uitzondering goedkeurt, moeten alle beschermende maatregelen worden genomen om de toegang tot het bedrijfsnetwerk te beveiligen en ervoor te zorgen dat er geen bedrijfsgegevens achterblijven op privé-apparaten.

Als de uitzondering niet de regel is

Als de werkgever je eenmaal toestemming heeft gegeven om je privé apparaat te gebruiken, mag dit echter geen regel worden omdat je liever met bijvoorbeeld je privé-notebook werkt.

025 / Wie heeft een FG nodig?

Veel bedrijven stellen zichzelf deze vraag. Helaas is het antwoord niet 100% duidelijk, zelfs niet wanneer de juridische teksten worden geraadpleegd, althans niet in het geval van kleinere bedrijven. Ik doel hier uitsluitend op de regelgeving vanaf 25.5.2018 en niet-overheidsinstanties.

In het algemeen is het aanstellen van een functionaris gegevensbescherming gangbaar voor bedrijven die doorgaans* meer dan 20 personen in dienst hebben (inclusief uitzendkrachten) die betrokken* zijn bij het verzamelen, verwerken of gebruiken van (bijzondere categorie) persoonsgegevens (Art 9 van de AVG) in een geautomatiseerde (computer)verwerking. Bedenk: in veel personeelsdossiers worden juist die bijzondere categorieën persoonsgegevens verwerkt.

Als de verantwoordelijke of de verwerker een verwerking van persoonsgegevens uitvoert die onderworpen is aan een GEB (*zie onder) of als u persoonsgegevens commercieel verwerkt met het oog op doorgifte, anonieme verzending of met het oog op markt- of opinieonderzoek, heeft u een (functionaris) gegevensbeschermingsverklaring nodig, ongeacht het aantal werknemers. (AVG art. 37). M.a.w. u zult een Fg moeten aanstellen.

Wat betekent dat concreet?

Aangezien persoonsgegevens bijna overal in bedrijven worden verwerkt en in de meeste bedrijven alle werknemers toegang hebben tot computers, zou elk bedrijf met meer verwerkingen van persoonsgegevens een functionaris gegevensbescherming moeten aanstellen. Bedenk: zelfs een klantenkaart bevat gegevens zoals naam, adres, telefoonnummer en gedetailleerde informatie over projecten, vertegenwoordigt persoonlijke gegevens.

Maar hoe zit het met bedrijven met 2, 3 of 4 medewerkers?

Het antwoord ligt in de vraag of er in het bedrijf voorbereidende werkzaamheden op de loonadministratie worden verricht. Dit betekent dat er bijzondere persoonsgegevens van de werknemers zijn, die meestal worden doorgegeven aan de belastingadviseur of de salarisadministratie. In ieder geval zou een gegevensbeschermingseffectbeoordeling vereist zijn en daarom de aanstelling van een functionaris gegevensbescherming noodzakelijk.

Veel kleinere bedrijven zullen waarschijnlijk wachten tot de eerste boetes worden uitgedeeld. Experts vermoeden dat juist het uitblijven van de aanstelling van de functionaris voor gegevensbescherming de belangrijkste reden voor boetes zal zijn.

Twijfel: doe de AVG check

Als u niet zeker weet of u een functionaris gegevensbescherming voor uw bedrijf moet aanstellen, gebruik de AVG-check.

Klik hieronder en neem de test:


Een GEB | gegevensbeschermingseffectbeoordeling is een hulpmiddel om gegevensbeschermingsrisico’s te identificeren voordat persoonsgegevens worden verwerkt. Naar aanleiding van deze GEB kunnen vervolgens (aanvullende) maatregelen worden genomen om de gegevensbeschermingsrisico’s te verkleinen. In het Engels wordt een GEB een “Data Protection Impact Assessment” (DPIA) genoemd.

* Doorgaans: het is al voldoende als een persoon regelmatig (“niet incidenteel”) verwerkingstaken uitvoert die zich af en toe voordoen volgens hun functiebeschrijving of het organisatieplan van de verantwoordelijke instantie en deze taak niet vanaf het begin uitvoert voor een korte periode, bijvoorbeeld als vervanging voor vakantie .

* Wat betekend “betrokken bij” : doorslaggevend voor tewerkstelling in die zin, is dat de persoon taken uitvoert die verband houden met de verwerking van persoonsgegevens. Het gaat dus niet alleen om vaste medewerkers als onderdeel van het personeelsbestand, maar ook om uitzendkrachten, stagiaires, stagiaires, stagiaires, vrijwilligers of zelfs de directeur zelf.

024 / Wat is de AVG?

Afkorting AVG dat staat voor…?

De AVG | Algemene verordening gegevensbescherming is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Oorspronkelijk gepubliceerd op 27 April 2016. Van toepassing vanaf 25 mei 2018! In deze AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. (Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp)).

In het kort: De Algemene Verordening Gegevensbescherming is vastgesteld om natuurlijke personen te beschermen bij het verwerken van persoonsgegevens en om het vrije verkeer van persoonsgegevens te waarborgen (AVG / artikel 1, 2 en 3).

Wat zijn nu persoonsgegevens?

Lees hier wat er precies wordt bedoeld met “persoonsgegevens

De verwerking zelf is geregeld in artikel 2, eerste lid: “Volledig en gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgeslagen in een bestandssysteem of bestemd zijn om in een bestandssysteem te worden opgeslagen”.

(Dit suggereert nu dat de klassieke dossiers (bedrukt papier) hiervan uitgesloten zijn. Helaas is dat niet het geval.)

Dit zou in wezen duidelijk maken wat er op het spel staat, maar op wie heeft dit precies betrekking? Misschien is het makkelijker om te omschrijven voor wie het niet geldt:

  • Activiteiten die niet binnen het kader van de Unie vallen
  • Activiteiten van natuurlijke personen om uitsluitend persoonlijke of familiale activiteiten te verrichten
  • Autoriteiten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of handhaving, met inbegrip van de bescherming tegen en het afwenden van bedreigingen voor de openbare veiligheid.

Concreet betekent dit dat strikte naleving van de AVG gevolgen heeft voor bedrijven, gemeenten, organisaties, commerciële personen, artsen en zelfs verenigingen.

Bijzondere categorieën “Persoonsgegevens”

Bijzonders streng zijn de voorschriften voor het hanteren van gegevens volgens AVG-artikel 9: het gaat daar specifiek om persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt, evenals de verwerking van genetische of biometrische gegevens, gezondheidsgegevens of gegevens over het seksleven of seksuele geaardheid).  Bedenk: als werkgever met werknemers, worden sommige van deze gegevenscategorieën in de verwerkingen toegepast.

Naar mijn mening zou elk bedrijf dat loongegevens en dergelijke beheert en verwerkt, gewoon moeten doen wat hen aan de “veilige kant” plaatst: een externe functionaris voor gegevensbescherming inschakelen om de vereisten (inclusief AVG-artikel 9) te controleren en uit te voeren. (Voor kleine bedrijven hoeft dit niet echt duur te zijn.)

Ik mijn volgende blog ga ik in op de vraag wie er nu een FG daadwerkelijk nodig heeft…


Verdere informatie kunt u vinden op de site van de Autoriteit Persoonsgegevens.

• Wat is het verschil tussen een wet en een verordening? Lees hier verder.

023 / Dropbox, Google Drive etc… daarom kan eigen initiatief gevaarlijk zijn!

Als u uw gegevens opslaat in cloudopslag zoals Google Drive, kunt u deze overal via het internet openen. Dit is ideaal voor flexibel werken in het thuiskantoor of onderweg. Voor gegevensbescherming ziet het er echter heel anders uit.

Het doel: gegevens opslaan, uitwisselen en beveiligen

Iedereen die in het thuiskantoor of onderweg werkt moet soms creatief zijn, zo lijkt het. Veel mogelijkheden die op kantoor bestaan zijn buiten het bedrijf niet beschikbaar. Als u bijvoorbeeld belangrijke gegevens wilt opslaan lijkt het opslaan op de notebook of tablet alleen niet voldoende. Wat gebeurt er bij verlies van het eindapparaat? Dan blijkt al het werk tevergeefs.

Op kantoor kunt u uw gegevens opslaan in een directory in het netwerk. Ook collega’s die met de data aan de slag moeten, kunnen daar gemakkelijk bij. Bent u echter onderweg of in het thuiskantoor, dan ontbreken deze opties soms voor opslag in het netwerk en voor gegevensuitwisseling. Regelmatige back-ups zijn ook niet zo eenvoudig centraal uit te voeren als u onderweg of in je thuiskantoor werkt.

Als het bedrijf niet de juiste ondersteuning biedt of als u de voorgestelde oplossingen voor gegevensopslag en gegevensoverdracht niet kent, wordt u snel inventief. Er zijn oplossingen zoals Google Drive of Dropbox die zich privé al hebben bewezen. Herkent u u weer? U staat hierin niet alleen – helaas vanuit het oogpunt van gegevensbescherming.

Het probleem: de zogenaamde schaduw-IT

Kiest u als gebruiker de oplossingen waarmee u data wilt opslaan en uitwisselen, dan zorgt u voor zogenaamde schaduw-IT. Dit betekent IT-oplossingen die de verantwoordelijke afdeling in het bedrijf niet heeft gecontroleerd en goedgekeurd.

Als u ongecontroleerde en operationeel niet goedgekeurde oplossingen gebruikt, kunnen risico’s voor de data, die niet bekend zijn bij de IT-afdeling, in het bedrijf worden aangesloten. En daarom kunnen deze risico’s niet worden afgewend met de benodigde IT-beveiligingsoplossingen. Dit is vooral het geval bij cloudopslag, waar iedereen snel, gemakkelijk en meestal gratis gebruik van kan maken.

De dringende aanbeveling: neem a.u.b. geen initiatief in gegevensopslag

Normaal gesproken is elk bedrijf blij met het initiatief van de medewerkers. Maar als het om databeveiliging en data protectiecompliance gaat, is het niet goed en ook niet wenselijk om zelf naar oplossingen te zoeken.

Operationele gegevens mogen alleen worden opgeslagen en uitgewisseld in oplossingen die zijn goedgekeurd door het bedrijf. Anders kunnen de gegevens in gevaar komen omdat de beveiliging van oplossingen voor privédoeleinden niet voldoet aan de hoge eisen van een bedrijf. Daarnaast kan het, zeker bij cloudopslag, voorkomen dat de persoonsgegevens worden doorgegeven aan een land dat niet simpelweg het noodzakelijke niveau van gegevensbescherming biedt.

Gebruik daarom alleen bedrijfsgoedgekeurde applicaties, ook in het thuiskantoor en onderweg! Als je de oplossing niet weet, vraag het dan.

022 / Gezichtsherkenning, vingerscan & co.: handig, maar niet zonder risico

U moet wachtwoorden onthouden, niet uw vingerafdrukken.

Biometrische methoden zijn navenant populair bij het registreren voor apparaten en applicaties. Maar Autoriteit Persoonsgegevens waarschuwt ervoor dat biometrie niet te snel wordt ingevoerd. Waarom eigenlijk?

Zijn wachtwoorden straks overbodig?

Uit een Cisco-enquête onder 500 gebruikers bleek dat vingerafdrukken een populair alternatief zijn voor wachtwoorden. Meer dan de helft (55 procent) voelt zich op zijn gemak bij het gebruik van de vingerafdruk om toegang te krijgen tot een online account.
40 procent heeft niets tegen gezichtsherkenning. Sterker nog, bedrijven vervangen wachtwoordbeveiliging steeds vaker door andere beveiligingsmethoden. Dit geldt met name voor het gebruik van biometrie in de vorm van vingerafdrukken en gezichtsherkenning.

Smartphones en andere mobiele apparaten hebben functies voor inloggen via vingerafdruk of gezichtsherkenning direct aan boord. De registratie vindt dan ook frequent plaats wanneer medewerkers in het thuiskantoor zijn of onderweg werken.

Volgens een onderzoek van de FIDO Alliance onder 1.000 ondervraagde Europeanen, worden biometrische methoden niet alleen als handig beschouwd, maar ook als het veiligste type identiteitsverificatie. Veel studies gaan er dan ook van uit dat wachtwoorden nauwelijks een toekomst hebben; biometrie zal ze vervangen.

Zou de Dataprotectie daar niet blij mee moeten zijn als er zulke grote problemen zijn met voldoende sterke wachtwoorden? Ja en nee is het antwoord.

Wachtwoorden kunnen worden uitgewisseld, vingerafdrukken niet

Als bedrijven biometrische oplossingen willen gebruiken, vereist gegevensbescherming dat de risico’s zorgvuldig worden gecontroleerd. Daar zijn goede redenen voor: biometrische gegevens en hun analyse zijn zeer geschikt als identiteitsbewijs. Als biometrische gegevens echter in verkeerde handen vallen, kunnen deze worden gebruikt voor identiteitsdiefstal.

Als aanvallers wachtwoorden hebben gestolen, kunnen en moeten deze worden vervangen. Bij biometrische kenmerken zoals vingerafdrukken of het gezicht is het echter niet mogelijk om een ​​nieuwe, unieke identifier te kiezen. Je hebt maar één gezicht en een beperkt aantal vingertoppen.

Biometrische gegevens kunnen worden misbruikt

In tegenstelling tot een wachtwoord, dat, zoals bekend, niet aan de betreffende persoon mag worden gekoppeld, d.w.z. de naam bijvoorbeeld niet mag bevatten, hebben biometrische gegevens met de persoon te maken. Een gezichtsuitdrukking kan niet alleen worden gebruikt om een ​​persoon te identificeren. Verdere analyses zijn ook mogelijk, zo waarschuwt een studie van het EU-parlement. Dit zou het bijvoorbeeld gemakkelijker kunnen maken om de menselijke conditie van de persoon, zoals angst, vermoeidheid of ziekte, te identificeren, aldus het onderzoek.

Biometrie vereist een hoog beveiligingsniveau

Wilt u dus gebruik maken van het gemak van inloggen via gezichtsherkenning of vingerafdruk, dan moet u het proces extra goed beveiligen. Dit is wat de Autoriteit Persoonsgegevens wil waarborgen om misbruik te voorkomen. Om deze reden vereist Autoriteit Persoonsgegevens een controle voordat biometrie wordt ingevoerd – niet om wachtwoordproblemen te voorkomen, maar om de gegevens van de betrokken personen te beschermen.

Denkt u er daarom aan om, zelfs bij privégebruik van vingerscan en gezichtsherkenning, niet zomaar elke procedure uit te voeren. Als aanvallers uw biometrische monsters stelen, lopen uw particuliere en professionele toegangspunten gevaar als ze worden beschermd door biometrische gegevens.