Vingerafdrukken, stem- of gelaatsherkenning: biometrische gegevens vallen onder steeds strengere regelgeving rond de bescherming van privégegevens. In België zitten ze al verwerkt in identiteitsdocumenten, maar mogen bedrijven ze ook gebruiken voor tijdsregistratie of toegangscontrole? De realiteit is genuanceerd, en voorzichtigheid blijft aangewezen. Kelio-experten geven je een helder overzicht.
- Data en toepassingen
- Enkele juridische aandachtspunten
- De wettelijke verplichtingen voor bedrijven
- Factoren die het gebruik van biometrie beïnvloeden
- Onze aanbevelingen voor goede praktijken
Biometrie: welke gegevens en waarvoor dienen ze?
Van wetenschap naar technologie
Biometrie is de studie van levende organismen in brede zin. Ze laat toe om groei, evolutie of erfelijkheid van soorten te analyseren. In onze digitale maatschappij, waar veiligheid en technologische vooruitgang centraal staan, krijgt biometrie een nieuwe toepassing: biometrische authenticatie.
Daarbij wordt iemand geïdentificeerd op basis van fysieke, biologische of gedragskenmerken. Het bekendste voorbeeld is de vingerafdruk, maar ook stemherkenning, gezichtsherkenning en DNA-analyse behoren tot de mogelijkheden.
Welke toepassingen bestaan er in België?
In België wordt biometrische authenticatie vooral gebruikt voor e-ID's en paspoorten. De overheid identificeert burgers via hun foto en vingerafdrukken, binnen een strikt wettelijk kader op nationaal en Europees niveau.
Ook bedrijven kunnen biometrie inzetten, bijvoorbeeld via biometrische badgelezers om werktijd te registreren of toegang tot bepaalde zones te controleren. Dat gebruik is toegelaten, maar staat onder strikte voorwaarden. De regelgeving evolueert bovendien voortdurend, waardoor werkgevers alert moeten blijven.
Registreer de werktijden
Registreer de prestaties via een fysieke of virtuele badgelezer en vermijd fouten bij handmatige herinvoer. Bespaar tijd dankzij automatisering en de betrouwbaarheid van gegevens.
Welke juridische evoluties spelen een rol?
- De GDPR/AVG: De Algemene Verordening Gegevensbescherming beschouwt biometrische data als gevoelige gegevens. De verwerking ervan is in principe verboden, tenzij onder duidelijk omschreven uitzonderingen.
- De GBA: De Gegevensbeschermingsautoriteit ziet toe op de correcte naleving van de GDPR in België, zowel in de publieke als private sector.
- De Europese AI Act (2024): Deze wetgeving reguleert het gebruik van artificiële intelligentie in de EU. Ze richt zich vooral op biometrische systemen die AI gebruiken. Traditionele badgelezers waarbij vingerafdrukken enkel lokaal of op een badge worden opgeslagen, vallen niet rechtstreeks onder deze regels.
Biometrie in bedrijven: welke wettelijke verplichtingen gelden?
Maak je gebruik van biometrie of overweeg je dit? Kelio begeleid je als partner in tijdsregistratie, zodat je processen wettelijk conform blijven. Voor vingerafdruk- of gezichtsherkenning bij toegangscontrole of prestatieopvolging moet je rekening houden met duidelijke juridische voorwaarden.
Wat zegt de Belgische wet?
Vandaag is het vooral de GDPR die het gebruik van biometrische data regelt. Zowel vingerafdrukken als gezichtsherkenning worden geclassificeerd als gevoelige gegevens waarvan de verwerking in principe verboden is.
Een bedrijf dat toch biometrie wil inzetten, moet kunnen aantonen dat: de toepassing strikt noodzakelijk is, er een wettelijke basis bestaat (GDPR artikel 6), én er een uitzondering geldt die het gebruik van gevoelige gegevens toelaat (GDPR artikel 9). In de praktijk is het bijzonder moeilijk om aan alle voorwaarden te voldoen. Het is dus absoluut noodzakelijk om te controleren of je toepassing in lijn ligt met de GDPR-regels.
Verwerking van gevoelige gegevens: belangrijke begrippen
De wettelijke basis
Artikel 6 van de GDPR bepaalt wanneer gewone persoonsgegevens verwerkt mogen worden, bijvoorbeeld op basis van toestemming, een wettelijke verplichting, vitaal belang of een contract. De werkgever moet dus een geldige basis hebben om gegevens te verwerken.
De uitzondering op de verwerking van gevoelige gegevens
Biometrische gegevens vallen onder de categorie gevoelige gegevens. Een wettelijke basis alleen volstaat dus niet: je hebt een uitzondering nodig, zoals: een wettelijke verplichting (die momenteel niet bestaat voor biometrie in bedrijven), expliciete toestemming, of verwerking in het kader van een aanzienlijk algemeen belang.
Expliciete toestemming
Binnen de relatie tussen werkgever en werknemer bestaat er een duidelijk machtsonevenwicht, waardoor echte vrije toestemming moeilijk te garanderen is. In september 2025 sanctioneerde de GPA een bedrijf zwaar omdat het vond dat de toestemming van de werknemers niet geldig was.
Daarom adviseren experts om: te focussen op noodzakelijkheid en proportionaliteit, een DPIA (Data Protection Impact Assessment) uit te voeren, en bij twijfel te kiezen voor minder ingrijpende alternatieven, zoals identificatie via badge.
Aanzienlijk algemeen belang
De GDPR stelt dat deze uitzondering enkel geldt wanneer een Belgische of Europese wet dit uitdrukkelijk bepaalt. Zo’n wet bestaat momenteel niet. Werkgevers zouden dus moeten aantonen dat biometrie absoluut noodzakelijk is en dat er geen minder ingrijpend alternatief bestaat—én bijkomende bescherming voor werknemers voorzien.
Verplichte risicoanalyse (DPIA)
Een DPIA beoordeelt de risico’s van een verwerking en stelt maatregelen voor om die risico’s te beperken. De APD beschouwt een DPIA meestal als verplicht bij de verwerking van gevoelige gegevens, waaronder biometrie. Daarbij moet ook het verwerkingsregister worden bijgewerkt.
Aanbeveling: als de DPIA aantoont dat het risico hoog blijft, is het verstandig om eerst de GBA te raadplegen.
Goede praktijken: blijf binnen de geest van de GDPR
Naast de wettelijke vereisten blijft het naleven van de basisprincipes van de GDPR essentieel voor een correcte bedrijfsvoering. Kelio ondersteunt bedrijven door gecertificeerde digitale oplossingen aan te bieden en duidelijke informatie te verstrekken, maar de eindverantwoordelijkheid voor de naleving ligt altijd bij de werkgever.
Om vlot aan de GDPR te voldoen, raden we aan om:
- De finaliteit te beperken: gebruik biometrische gegevens enkel voor het doel dat vooraf bepaald is (tijdregistratie of toegangscontrole).
- Proportionaliteit te garanderen: verwerk niet méér data dan noodzakelijk.
- Transparant te communiceren: informeer medewerkers duidelijk over het waarom, hoe en welke rechten ze hebben. Zorg voor een toegankelijke privacyverklaring.
- Het verwerkingsregister bij te werken bij nieuwe verwerkingen.
- Interne procedures regelmatig te evalueren op actualiteit en conformiteit met de GDPR.
- De GBA te raadplegen wanneer een hoog risico blijft bestaan omtrent de rechten en vrijheid van de personen.
- Biometrische sjablonen op de badge op te slaan in plaats van in een centrale databank om risico’s te beperken.
- Eventueel enkel badges te gebruiken (biometrie uitschakelen) wanneer je twijfelt of wanneer eenvoud en zekerheid primeren.
De rol van Kelio
Kelio ondersteunt bedrijven door:
- Gecertificeerde en beveiligde technische oplossingen te leveren,
- duidelijke handleidingen en procedures aan te bieden voor biometrische registratie op badge,
- advies te geven over goede praktijken en correcte instellingen.
Kelio kan echter geen DPIA uitvoeren in jouw plaats en bepaalt ook niet de wettelijke basis voor jouw verwerking. De uiteindelijke verantwoordelijkheid voor GDPR-conformiteit ligt altijd bij de werkgever.
Conclusie
Biometrie gebruiken in een bedrijfscontext kan, maar is sterk gereguleerd. Wie het wil toepassen, moet uiterst zorgvuldig te werk gaan om te voldoen aan de GDPR en de aanbevelingen van de GBA.
Wil je de tijdsregistratie toch vereenvoudigen zonder juridische kopzorgen? Dan vormen badges een veilig, eenvoudig en conform alternatief dat volledig werkt binnen de mogelijkheden van Kelio.
Benieuwd naar meer informatie over technieken voor tijdsregistratie?
