Achtergrond
image

Zijn werklaptops met vingerafdrukvergrendeling in strijd met de AVG?

woensdag 13 mei 2026, 11:15 door Arnoud Engelfriet, 21 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Vanwege zorgen over wachtwoord-delen heb ik mijn werknemers nieuwe laptops gegeven, waarbij ze met hun vingerafdruk de laptop kunnen unlocken en alleen toegang krijgen tot die delen van ons systeem die voor hen relevant zijn. Ik krijg nu klachten dat ik hiermee de AVG schend omdat ik met deze nieuwe aanpak ongeoorloofd biometrische gegevens van hen op zou slaan. Hebben ze daar een punt?

Antwoord: Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Hier is precies sprake van dat geval. Met de vingerafdruk wordt de gebruiker geauthenticeerd. De vingerafdruk gaat nergens naar toe, maar blijft in de laptop. Dat is dus een keurige implementatie die aan de beveiligingseisen van de AVG voldoet.

Het probleem is dan of het 'noodzakelijk' is in de zin van artikel 29. Hierover staat een passage in de memorie van toelichting bij de invoering van dit wetsartikel, die regelmatig discussie oproept:

Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Aan de andere kant kan biometrie soms juist een belangrijke vorm van beveiliging zijn voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten, waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.

Uit dat "zoals bij een kerncentrale" wordt vaak afgeleid dat de lat dus heel hoog ligt, want wie is er nou vergelijkbaar met een kerncentrale. De Autoriteit Persoonsgegevens zegt dat het "moet gaan om een zwaarwegend algemeen belang", een uitzonderlijke situatie. De gemiddelde mkb-organisatie komt daar niet aan.

In 2019 vond winkelbedrijf Manfield dat vingerafdruksensoren nodig waren voor authenticatie bij de kassasystemen, omdat je daarmee toegang kreeg tot klantgegevens en personeelsgegevens. Dit sluit mooi aan bij die laatste zin: informatiesystemen met veel persoonsgegevens vergen extra beveiliging, ook als het geen kerncentrales zijn.

De rechter oordeelde anders maar vooral omdat Manfield niet had onderbouwd dat alternatieven zoals pasjes niet goed genoeg zouden zijn. Had men een afweging met voors en tegens van de diverse technologieën overlegd en was daaruit de vingerafdruksensor als meest geëigend gekomen, dan had dit wel eens anders uit kunnen vallen.

Dit probleem zien we vaker bij de AVG: er is weinig jurisprudentie, en de oorspronkelijke kaders (2016-2018) zijn sterk verouderd. De technologie is snel gegroeid maar de "waarom" vraag blijft daar fors bij achter. Dus dan is de vingerafdruksensor nu het meest voor de hand liggend (haha), maar waarom het echt béter is dan de alternatieven, blijft onduidelijk.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (21)
Reageer met quote
13-05-2026, 12:22 door Anoniem
"alleen toegang krijgen tot die delen van ons systeem die voor hen relevant zijn"
Die zin zegt mij dat op basis van de vingerafdruk een account wordt gebruikt. Dat zelfde resultaat krijg je bij gebruik van een username/password of pasje. Lijkt mij dus inderdaad een terecht vraag van de werknemers.
Wat ik niet uit de vraag haal is of alle medewerkers op alle laptops kunnen inloggen op basis van een eenmalig opgenomen vingerafdruk. Indien dat het geval is wordt de vingerafdruk (of vector nav de vingerafdruk) ook nog eens ergens centraal opgeslagen. Dan heb je volgens mij een groter probleem.
Reageer met quote
13-05-2026, 13:01 door Anoniem
FIDO2 keys slaan toch geen vingerafdrukken op, alleen maar een hash?
Of ben ik nou verkeerd geïnformeerd?
Reageer met quote
13-05-2026, 13:05 door Anoniem
Dit is de probleemdefinitie:
"Vanwege zorgen over wachtwoord-delen "

Dan is het direct evident dat verwerking van vingerafdruk een veel en veel te zware maatregel is. Er zijn legio oplossingen die veel minder ingrijpend zijn. Te beginnen met educatie.

Ik lees ook nergens dat er maatregelen zijn genomen om te voorkomen dat de vingerafdruk of de binaire representatie daarvan zodanig afgeschermd zijn dat een bad actor en dat kan een andere werknemer zijn, er mee vandoor gaat.
Biometrische kenmerken zijn permanent en kunnen dus nooit gewijzigd worden. Ik moet er niet aan denken dat een collega foute dingen gaat doen met mijn vingerafdruk !!
Reageer met quote
13-05-2026, 15:35 door Anoniem
https://autoriteitpersoonsgegevens.nl/themas/identificatie/biometrie/gezichtsherkenning

Exceptie: persoonlijk of huishoudelijk doel

Heeft de verwerking alleen een persoonlijk of huishoudelijk doel? Bijvoorbeeld wanneer mensen hun eigen mobiele telefoon ontgrendelen met een vingerafdruk of gezichtsscan? Dan is de AVG niet van toepassing.

Wilt u zich beroepen op deze exceptie? Dan moet u voldoen aan een aantal eisen:

Het door de gebruiker van de mobiele elektronica gebruikmaken van het apparaat of de dienst om toegang te verkrijgen tot (gedownloade applicaties op) het apparaat is aan te merken als privégebruik;

De gebruiker krijgt het gebruik van biometrische gegevens niet opgelegd door een werkgever of een andere derde (partij). De gebruiker heeft er dus zelf voor gekozen om gebruik te maken van de optie om door middel van de verwerking van biometrische gegevens toegang te krijgen. De gebruiker kan ook voor een alternatief kiezen, zoals inloggen met een wachtwoord;

De biometrische gegevens die van een gebruiker zijn opgeslagen, zijn niet toegankelijk voor derden.

De gegevens kunnen bijvoorbeeld niet naar een externe database worden gestuurd en derden kunnen niet bij deze gegevens. Bovendien is de opslag van de gegevens goed beveiligd;

De biometrische gegevens worden op het apparaat opgeslagen met behulp van versleuteling volgens de stand van de techniek;

Bij een toegangscontrole geeft de techniek alleen door of de herkenning is gelukt of niet.
Reageer met quote
13-05-2026, 16:16 door Anoniem
Hetvolgende is niet als jurist, maar als technoloog bedacht:
Bij mij zou de eerste vraag zijn of het wel (de organisatie van) de vraagsteller is die de vingerafdruk verwerkt. Mijn vermoeden is dat die er ook niet bij kan en dat het enkel over toegang tot een persoonlijk apparaat gaat.

Ik vraag me verder af of (de organisatie van) de vraagsteller ook bedrijfstelefoons uitreikt aan de werknemers en zo ja hoe daar dan op ingelogd moet/kan worden. Veel recente modellen, zowel iPhone als Apple gebruiken een vorm van biometrie voor het ontgrendelen van de telefoon. Beide voorbeelden lijken me niet te vergelijken met de manier waarop toegang op basis van vingerafdruk bij Manfield geïmplementeerd was.

Ik denk niet dat bedrijven die bijvoorbeeld iPhones als bedrijfstelefoon uitreiken aan hun medewerkers zich zorgen dienen te maken over het gebruik van biometrische gegevens.
Reageer met quote
13-05-2026, 16:49 door Reinder
Door Anoniem: FIDO2 keys slaan toch geen vingerafdrukken op, alleen maar een hash?
Of ben ik nou verkeerd geïnformeerd?

Dat maakt voor de wet niet uit, het is een uniek gegeven van een persoon. Alleen de vingerafdruk van die persoon zal die specifieke hash genereren, dat is de basis van het systeem. Dat je op basis van alleen en uitsluitend de hash niet de originele vingerafdruk kan herleiden maakt niet uit, als je de hash hebt en 1000 mensen dan kan je de hash uniek koppelen aan een individu.
Reageer met quote
13-05-2026, 16:55 door burne101
Door Anoniem: "[..]Indien dat het geval is wordt de vingerafdruk (of vector nav de vingerafdruk) ook nog eens ergens centraal opgeslagen. Dan heb je volgens mij een groter probleem.

Iets zegt me dat bij jou SSO (Azure, Google, Proton Pass) een onmogelijkheid is.
Reageer met quote
13-05-2026, 18:32 door Anoniem
Wat ik, nog los van de AVG, van een vingerafdruklezer zou willen weten is wat precies de hardware van de scanner verlaat en op de pc terechtkomt en door software daar verder verwerkt wordt. Die software is inclusief de driver voor de scanner. Alles wat in het geheigen van de pc terechtkomt is niet beter beschermd dan het besturingssysteem zelf, en dit is wel een biometrisch gegeven. Dus:

• Als de vingerafdruk zelf de scanner verlaat: foute boel.
• Als een hash of een andere afgeleide van de vingerafdruk de scanner verlaat die ook door een andere scanner (al dan niet van hetzelfde type) geproduceerd kan worden bij dezelfde vingerafdruk: foute boel.
• Als er een waarde de scanner verlaat die het besturingssysteem kan gebruiken om jou te identificeren, maar die niet door een andere scanner, zelfs niet van hetzelfde type, geproduceerd kan worden uit jouw vingerafdruk: prima.

Het komt er simpelweg op neer dat het gegeven dat de scanner kan verlaten en dus eventueel kan lekken geen kwaad moet kunnen als het lekt. En natuurlijk moeten de gegevens die de scanner intern gebruikt niet alleen bij normaal gebruik in dat ding blijven maar onder alle omstandigheden volstrekt onbenaderbaar zijn door welke software op de pc dan ook. Verder moet de scanner natuurlijk goed in staat zijn om vingerafdrukken van elkaar te onderscheiden (en er zijn heel wat jaren geleden smartphones op de markt geweest die zowat elke vinger goedkeurden).

Ik heb me er nooit goed in verdiept (en gebruik zelf nergens een vingerafdruklezer, ik heb bijvoorbeeld geen smartphone), maar mij staat bij dat ik ooit ben tegengekomen dat er in ieder geval vingerafdruklezers bestaan waar dit goed zou moeten zitten, het kan zijn dat dat ging over wat tegenwoordig in smartphones wordt toegepast. Maar ik weet niet zeker of ik dat goed onthouden heb of geconcludeerd heb en ik heb geen idee hoe algemeen dat wordt toegepast als ik het wel goed begrepen had — ik heb me er nooit goed in verdiept tenslotte. Maar dat is wél wat ik zou willen weten als ik aan een vingerafdruklezer zou beginnen. En dan niet de marketingpraatjes die tegenwoordig maar al te vaak inhoudelijke beschrijvingen vervangen hebben maar juist een inhoudelijk verhaal waaruit je kan opmaken of dit goed zit of niet.

Als dit goed zit en ik zelf geen denkfouten maak hier dan zou in mijn ogen dat ook voor de AVG geen probleem moeten zijn. Als die op dat punt verouderd is is dat heel jammer.
Reageer met quote
14-05-2026, 10:34 door Anoniem
Mijn waarneming is dat verantwoordelijken het 'waarom' en de noodzakelijkheid vooral vanuit hun eigen bedrijfsvoering bekijken -- 'dit is nu eenmaal het makkelijkste systeem'. Veel privacyadviseurs lijken vooral voor de werkgever recht te praten wat voor de privacy van Betrokkenen in de AVG _expliciet_ als een no-go staat. 'Niet doen' is een optie die dan wordt overgeslagen.

_Juridische_ noodzakelijkheid gaat veel verder en komt dan ook op proportionaliteit en subsidiariteit. Er blijkt altijd wel een privacy vriendelijker alternatief zonder biometrie, en dingen worden doorgaans niet compleet onmogelijk zonder vingerafdruk -- dat kassa-systeem bestond ook al voor die vingerafdruksensor een goedkoop alternatief was. En zo omslachtig is het aanbieden van je bedrijfspas nou ook weer niet.

Wat niet meewerkt is dat systemen worden aangeboden als 'GDPR-proof', maar dan uitgaan van toestemming ('Amerikaanse' benadering). Die is in een arbeidsrelatie niet mogelijk vanwege de machtsverhouding (zie EDPB 05/2020). Ook verwarren Betrokkenen (hier: werknemers) de toepassing voor hun werk met o.a. het biometrische inloggen bij hun bank. Bij de bank is het altijd een optie naast traditioneel inloggen en kiest de Betrokkene zelf voor een contract met die bank. Er is misschien afhankelijkheid, maar geen machtsverhouding (alternatieve banken zat).
Reageer met quote
14-05-2026, 10:46 door Anoniem
Door Anoniem:
Dan is het direct evident dat verwerking van vingerafdruk een veel en veel te zware maatregel is. Er zijn legio oplossingen die veel minder ingrijpend zijn. Te beginnen met educatie.
Kom dat even vertellen bij Odido.
Reageer met quote
14-05-2026, 10:47 door Anoniem
Door Reinder:
Door Anoniem: FIDO2 keys slaan toch geen vingerafdrukken op, alleen maar een hash?
Of ben ik nou verkeerd geïnformeerd?

Dat maakt voor de wet niet uit, het is een uniek gegeven van een persoon. Alleen de vingerafdruk van die persoon zal die specifieke hash genereren, dat is de basis van het systeem. Dat je op basis van alleen en uitsluitend de hash niet de originele vingerafdruk kan herleiden maakt niet uit, als je de hash hebt en 1000 mensen dan kan je de hash uniek koppelen aan een individu.
Dat kan ik ook met een gebruikersnaam en wachtwoord, toch?
Reageer met quote
14-05-2026, 15:47 door Anoniem
Door Anoniem:
Door Anoniem:
Dan is het direct evident dat verwerking van vingerafdruk een veel en veel te zware maatregel is. Er zijn legio oplossingen die veel minder ingrijpend zijn. Te beginnen met educatie.
Kom dat even vertellen bij Odido.

Hoewel beide casussen niets met elkaar uitstaande hebben, heb ik veel trainingen op beide gebieden gegeven. Dus ja als Odido daar voor openstaat kom ik het graag vertellen.
Reageer met quote
14-05-2026, 20:49 door Anoniem
Wettelijk toegestaan of niet: je houdt je laptop maar.
Reageer met quote
14-05-2026, 22:16 door Anoniem
Door Anoniem: Hetvolgende is niet als jurist, maar als technoloog bedacht:
Bij mij zou de eerste vraag zijn of het wel (de organisatie van) de vraagsteller is die de vingerafdruk verwerkt. Mijn vermoeden is dat die er ook niet bij kan en dat het enkel over toegang tot een persoonlijk apparaat gaat.

Volgens de AVG ben je verwerkingsverantwoordelijk als je “doel en middelen” bepaalt voor een verwerking. Als een werkgever bepaalt “jij als werknemer moet met je vingerafdruk inloggen op je telefoon” dan bepaalt die werkgever doel en middelen voor die verwerking. Of de werkgever zelf bij de data kan is irrelevant.
Reageer met quote
15-05-2026, 00:25 door Reinder
Door Anoniem:
Door Reinder:
Door Anoniem: FIDO2 keys slaan toch geen vingerafdrukken op, alleen maar een hash?
Of ben ik nou verkeerd geïnformeerd?

Dat maakt voor de wet niet uit, het is een uniek gegeven van een persoon. Alleen de vingerafdruk van die persoon zal die specifieke hash genereren, dat is de basis van het systeem. Dat je op basis van alleen en uitsluitend de hash niet de originele vingerafdruk kan herleiden maakt niet uit, als je de hash hebt en 1000 mensen dan kan je de hash uniek koppelen aan een individu.
Dat kan ik ook met een gebruikersnaam en wachtwoord, toch?

Dat klopt, maar dat was niet de vraag.
Reageer met quote
15-05-2026, 08:38 door Anoniem
Door Reinder:
Door Anoniem: FIDO2 keys slaan toch geen vingerafdrukken op, alleen maar een hash?
Of ben ik nou verkeerd geïnformeerd?

Dat maakt voor de wet niet uit, het is een uniek gegeven van een persoon. Alleen de vingerafdruk van die persoon zal die specifieke hash genereren, dat is de basis van het systeem. Dat je op basis van alleen en uitsluitend de hash niet de originele vingerafdruk kan herleiden maakt niet uit, als je de hash hebt en 1000 mensen dan kan je de hash uniek koppelen aan een individu.
Ik weet niet hoe dit bij die FIDO2-devices precies werkt, maar als het apparaatje intern de vingerafdruk scant en die zelf gebruikt om te bepalen of wel/niet een challenge ondertekend wordt met de unieke privésleutel van het apparaatje, als die vingerafdrukscan of -hash nooit het apparaatje verlaat verlaat, en als dat allemaal goed tamper-free is opgezet, dan zie ik niet in hoe een aanvaller er wat mee kan en hoe er een privacy-risico ontstaat. Dan kan niemand bij die hash. Het is dan eindeloos veel eenvoudiger om de vingerafdruk zelf van een glas of zo te oogsten en zelf de hash te berekenen. Maar je kan niet zoveel met die hash als al die vingerafdruklezers dat allemaal uitsluitend intern en tamper-free gebruiken.

Het probleem met biometrie is dat je biometrische kenmerken niet geheim kan houden, die strooien mensen voortdurend overal rond. Ja, er kunnen allerlei geavanceerde metingen gedaan worden die met levend weefsel wel lukken en met iets dat niet leeft niet — tot de techniek zo ver gevorderd is dat dat toch nagebootst kan worden. Als je niet voortdurend in dat soort wapenwedlopen tussen aanvallers en verdedigers wilt zitten, bij toepassingen waar bij een controle de mens niet in levende lijve voor een controleur staat die kan zien dat het echt iemands vinger of gezicht is, heb je volgens mij nodig dat het biometrische deel van de verwerking volledig in een tamper-free apparaatje wordt afgehandeld en dat het systeem dat dat apparaatje gebruikt de digitale handtekening op een challenge met de privésleutel van dat apparaat als bewijs van iemands identiteit gebruikt.

Als het zo wordt opgezet vervallen in mijn ogen de bezwaren tegen vingerafdruklezers. Alleen: wordt het inderdaad zo opgezet? En als dat inderdaad het idee is, hoe groot is dan de kans dat een fabrikant het biometrische deel van de verwerking doodleuk in een driver onderbrengt omdat dan de hardware van de lezer goedkoper wordt? Veruit de meeste klanten kunnen het verschil toch niet beoordelen, die zien wel of geen vingerafdruklezer en dat is het voor hun.

Ik denk dat dit soort dingen in beginsel op een goede en privacyvriendelijke manier opgezet kunnen worden, het is me alleen niet duidelijk of dat ook werkelijk gebeurt — daarvoor zou ik me er veel en veel grondiger in moeten verdiepen dan ik tot nu toe gedaan heb.
Reageer met quote
15-05-2026, 11:05 door SecuMetal
Het valt me op dat de jurist in dit geval niet een volmondig Ja of Nee antwoordt op de vraag. Uit de context van het artikel zou je kunnen herleiden dat medewerkers hier inderdaad een punt hebben, ongeoorloofd opslaan van biometrische gegevens. In dat geval zou de werkgever dus moeten onderzoeken welke alternatieven nog meer mogelijk zijn, bijvoorbeeld een paslezer of ubikey of combinatie met een mobiele app. Die alternatieven zijn er, dus mag de medewerker opslag van biometrische gegevens weigeren. Er zullen echter weinig medewerkers zijn die hun werkgever voor de rechter slepen ...
Reageer met quote
15-05-2026, 16:10 door Anoniem
Och, veiligheid, als bedrijven data willen hebben word dat met of zonder geweld bij je gehaald... Dus maak je niet druk...

Uiteindelijk zal je toch moeten bukken voor Microsoft of Google ;-) Ook Unix developers merken dit al een vrij ruime tijd.
Reageer met quote
22-05-2026, 07:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Dan is het direct evident dat verwerking van vingerafdruk een veel en veel te zware maatregel is. Er zijn legio oplossingen die veel minder ingrijpend zijn. Te beginnen met educatie.
Kom dat even vertellen bij Odido.

Hoewel beide casussen niets met elkaar uitstaande hebben, heb ik veel trainingen op beide gebieden gegeven. Dus ja als Odido daar voor openstaat kom ik het graag vertellen.

Odido zou hardware MFA moeten hebben verplicht voor mensen met veel rechten, zoals IT personeel. Dat kan met een pasje met chip of een ander draagbaar middel.

Overigens zou je beheerders niet standaard met een administrator account moeten laten werken. Die hebben teveel rechten. Dus niet op afstand inloggen met administrator rechten. Dat is ook zo te regelen met OpenSSH2.
Reageer met quote
22-05-2026, 07:52 door Anoniem
Door SecuMetal: Het valt me op dat de jurist in dit geval niet een volmondig Ja of Nee antwoordt op de vraag. Uit de context van het artikel zou je kunnen herleiden dat medewerkers hier inderdaad een punt hebben, ongeoorloofd opslaan van biometrische gegevens.

Het is ook flauwekul dat een vingerafdruk de enige mogelijkheid zou kunnen zijn. Dat is het nooit, als de hardware het vereist heb je de verkeerde aangeschaft.
Reageer met quote
25-05-2026, 11:29 door Anoniem
De vraag is: hoe goed zijn jouw biometrische gegevens beveiligd en hoe graag wil jij het werk doen waarvoor je jouw biometrische gegevens moet afstaan.
Ik heb een tijdje geleden voor mijn werk een klus op Schiphol gedaan.
Ik moest om naar mijn werkplek te kunnen door een sluis die alleen met een scan van mijn iris te openen was.
Tja, je kan het ook weigeren en de AVG en de AP kan er ook van alles van vinden maar veiligheid stelt nu eenmaal eisen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Advertentie
Certified Secure GenAI Deep Dive Security Training