Mijn waarneming is dat verantwoordelijken het 'waarom' en de noodzakelijkheid vooral vanuit hun eigen bedrijfsvoering bekijken -- 'dit is nu eenmaal het makkelijkste systeem'. Veel privacyadviseurs lijken vooral voor de werkgever recht te praten wat voor de privacy van Betrokkenen in de AVG _expliciet_ als een no-go staat. 'Niet doen' is een optie die dan wordt overgeslagen. _Juridische_ noodzakelijkheid gaat veel verder en komt dan ook op proportionaliteit en subsidiariteit. Er blijkt altijd wel een privacy vriendelijker alternatief zonder biometrie, en dingen worden doorgaans niet compleet onmogelijk zonder vingerafdruk -- dat kassa-systeem bestond ook al voor die vingerafdruksensor een goedkoop alternatief was. En zo omslachtig is het aanbieden van je bedrijfspas nou ook weer niet. Wat niet meewerkt is dat systemen worden aangeboden als 'GDPR-proof', maar dan uitgaan van toestemming ('Amerikaanse' benadering). Die is in een arbeidsrelatie niet mogelijk vanwege de machtsverhouding (zie EDPB 05/2020). Ook ...