Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 4 min leestijd

Vingerafdrukscans voor Aanwezigheidsregistratie: Mag dat onder de GDPR?

Steeds meer bedrijven overwegen biometrische systemen voor tijdsregistratie. Maar vingerafdrukken zijn bijzondere persoonsgegevens onder de GDPR. Mag het, en zo ja, onder welke voorwaarden?

summarize Kernpunten
  • check_circle Vingerafdrukken zijn biometrische gegevens en vallen onder de strengste categorie van de GDPR
  • check_circle Het verwerken van biometrische gegevens is in principe verboden, tenzij een uitzondering van toepassing is
  • check_circle Toestemming van werknemers is in een arbeidsrelatie zelden 'vrij gegeven' en dus vaak ongeldig als rechtsgrondslag
  • check_circle Er zijn bijna altijd minder ingrijpende alternatieven beschikbaar, zoals badges of pincodes

Biometrische gegevens: de strengste categorie

Vingerafdrukken zijn biometrische gegevens. Onder de GDPR (ook wel AVG) vallen biometrische gegevens in de categorie “bijzondere persoonsgegevens”, samen met gezondheidsgegevens, religieuze overtuigingen en etnische afkomst. Voor deze categorie geldt een verbod op verwerking, tenzij een specifieke uitzondering van toepassing is.

Dat maakt de drempel voor het gebruik van vingerafdrukscans voor iets alledaags als aanwezigheidsregistratie bijzonder hoog.

Waarom toestemming meestal niet werkt

De meest voor de hand liggende uitzondering is “uitdrukkelijke toestemming”. Maar in een arbeidsrelatie is toestemming problematisch. De GDPR vereist dat toestemming vrij gegeven is, wat betekent dat de betrokkene zonder nadelige gevolgen moet kunnen weigeren.

In een werkgever-werknemerrelatie is die vrijheid er zelden. Een werknemer die weigert om zijn vingerafdruk af te staan, kan het gevoel hebben dat dit gevolgen heeft voor zijn positie. Toezichthouders in meerdere EU-landen hebben geoordeeld dat toestemming in een arbeidscontext daarom geen geldige grondslag is voor biometrische verwerking.

De Nederlandse rechtspraak

In Nederland heeft de rechtbank Amsterdam in 2019 geoordeeld dat een werkgever een vingerprintsysteem voor tijdsregistratie niet mocht verplichten. De rechter oordeelde dat er minder ingrijpende alternatieven beschikbaar waren (badges, pincodes) en dat het gebruik van biometrische gegevens niet proportioneel was.

Dit vonnis is richtinggevend: als er een alternatief is dat hetzelfde doel bereikt zonder biometrische gegevens, is de vingerafdrukscan niet toegestaan.

Wanneer het mogelijk wel mag

Er zijn situaties waarin biometrische toegangscontrole gerechtvaardigd kan zijn:

  • Hoge beveiligingsomgevingen - datacenters, laboratoria, militaire installaties
  • Wettelijke vereisten - als wetgeving biometrische identificatie voorschrijft
  • Essientiele beveiliging - als er geen alternatief is dat een vergelijkbaar beveiligingsniveau biedt

Maar ook in die gevallen is een Data Protection Impact Assessment (DPIA) verplicht, en moet je aantonen dat de verwerking noodzakelijk en proportioneel is.

Alternatieven die wel werken

Voor de overgrote meerderheid van bedrijven zijn er voldoende alternatieven:

  • Badges of pasjes - eenvoudig, goedkoop en privacyvriendelijk
  • Pincodes - geen biometrische gegevens
  • Digitale kloksystemen - inloggen via een app of computer
  • Combinaties - badge plus pincode voor extra zekerheid

Deze alternatieven bereiken hetzelfde doel zonder de juridische risico’s van biometrische verwerking.

Wat als je al een vingerprintsysteem gebruikt?

Als je al een biometrisch systeem voor tijdsregistratie gebruikt, beoordeel dan of je een geldige rechtsgrondslag hebt. Als die er niet is, stap over op een alternatief. Verwijder de opgeslagen biometrische gegevens en documenteer de wijziging.

auto_awesome Documenteer je verwerkingen correct

GDPRWise helpt je om alle verwerkingsactiviteiten te documenteren, inclusief de rechtsgrondslag en een beoordeling van de noodzakelijkheid.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.