Toegangscontroles in de haven

In de praktijk horen wij steeds vaker de wens van havenbedrijven om de toegang aan de poort tot hun sites/terminals beter te regelen. Door middel van toegangscontroles willen deze bedrijven de site en de medewerkers beveiligen tegen ongewenste personen. Het gaat dan onder meer om de registratie van bezoekers, leveranciers en contractors. Dit is een praktische manier voor bedrijven in de haven om te bepalen wie er op hun terrein welkom is. Bedrijven willen ook weten wie er op welk moment op het terrein aanwezig is of is geweest. Dat is bijvoorbeeld van belang wanneer zich een incident voordoet. Bij deze registraties en andere vormen van (geautomatiseerde) toegangscontroles worden er in de regel persoonsgegevens verwerkt. Kan dat zomaar? We leggen hieronder uit welke regels gelden en aan welke vereisten u moet voldoen om compliant te zijn met de toepasselijke privacywet- en regelgeving. Mocht u geïnteresseerd zijn in het beveiligen van de site door het (laten) afnemen van alcohol- en drugstesten of het instellen van cameratoezicht, lees dan ook zeker deze twee artikelen.

Enkel (laten) legitimeren?

Als u aan de poort alleen legitimaties uitvoert, dan is dat geen probleem. Op het enkel (laten) legitimeren van bezoekers is de Algemene Verordening Gegevensbescherming (“AVG”) niet van toepassing. U kunt een vrachtwagenchauffeur bij de poort van de site of terminal dus gerust vragen om zijn legitimatiebewijs te laten zien. Let op: dit gaat dus om het enkel tonen van het legitimatiebewijs. Als u gegevens hiervan vast wilt leggen, wordt het een ander verhaal en gelden bepaalde regels.

Kopie legitimatiebewijs voor toegangscontrole is niet toegestaan

Op basis van de huidige privacywet- en regelgeving is het niet toegestaan om in het kader van toegangscontrole een kopie te maken van het identiteitsbewijs (paspoort/rijbewijs/ID-kaart), ook niet als bijvoorbeeld de pasfoto en het BSN wordt afgeschermd. Wat mag je dan wel registreren?

Bezoekersregistratie en gerechtvaardigd belang

Wanneer er bij de toegangscontrole persoonsgegevens worden vastgelegd – en dit is veelal het geval – is de privacywet- en regelgeving wel van toepassing. Veel bedrijven willen na het tonen van het legitimatiebewijs noteren aan de hand van welk legitimatiebewijs (paspoort/rijbewijs/ID-kaart) de bezoeker is geïdentificeerd en eventueel ook het documentnummer noteren. Let op: het moet dan dus gaan om het nummer van het document en niet om het BSN. Voor het verwerken van het documentnummer dient het bedrijf een beroep te kunnen doen op de grondslag ‘gerechtvaardigd belang’. Een beroep op de grondslag ‘gerechtvaardigd belang’ is mogelijk wanneer een partij (i) daadwerkelijk een gerechtvaardigd belang heeft; (ii) de verwerking aantoonbaar noodzakelijk is om de bedrijfsactiviteiten te verrichten en er (iii) een belangenafweging heeft plaatsgevonden tussen de belangen van de organisatie en de belangen van de personen van wie persoonsgegevens worden verwerkt. Hieronder gaan wij hier nog wat dieper op in.

Ad i. Gerechtvaardigd belang

De verwerking van het documentnummer moet aantoonbaar noodzakelijk zijn om de bedrijfsactiviteiten van de verwerkingsverantwoordelijke (= de organisatie die de toegangscontrole instelt) te verrichten. Hierbij kan bijvoorbeeld gedacht worden aan het belang van het bedrijf om haar werknemers en eigendommen te beschermen, maar dit zou ook het belang van de omwonenden of het milieu kunnen zijn indien het bijvoorbeeld om een BRZO-bedrijf gaat waar met gevaarlijke grondstoffen wordt gewerkt.

Ad ii. Noodzakelijk

De toepassing van de toegangscontrole moet ‘noodzakelijk’ zijn voor de behartiging van het gerechtvaardigde belang en het vooraf bepaalde doel van de toegangscontrole. Dit houdt in dat (i) het doel van de verwerking in verhouding moet staan tot de inbreuk op de persoonlijke levenssfeer van betrokkenen (proportionaliteit) en (ii) het doel niet op een voor betrokkenen personen minder nadelige manier kan worden bereikt (subsidiariteit). Gaat het enkel om het noteren van het documenttype en -nummer, menen wij dat snel aan deze noodzakelijkheidstoets zal zijn voldaan.

Ad iii. Belangenafweging

Ten slotte dient er een belangenafweging gemaakt te worden tussen het gerechtvaardigd belang van het bedrijf dat de toegangscontrole instelt en de fundamentele rechten van de betrokkenen. In juni 2017 is er in dit kader een onderzoeksrapport uitgebracht door de Autoriteit Persoonsgegevens (“AP”) over een logistiek dienstverlener die een ID scanner gebruikte om met zekerheid de juiste lading aan de juiste chauffeur mee te geven. Met betrekking tot de belangenafweging overwoog de AP dat het belang van de dienstverlener was om te voorkomen dat de lading aan een verkeerde partij werd meegegeven, met alle negatieve (financiële) consequenties van dien en het belang van de chauffeur was dat er zo min mogelijk inbreuk op zijn persoonlijke levenssfeer werd gemaakt – een ID scanner levert immers het risico voor identiteitsfraude op. De organisatie kan dit beperken door bijvoorbeeld het aantal verwerkte persoonsgegevens te beperken en door maatregelen te nemen die de kans verkleinen dat betrokkene slachtoffer wordt van identiteitsfraude. Indien het bedrijf – met inachtneming van het voorgaande - kan onderbouwen dat het noteren van documenttype en -nummer noodzakelijk is, zal ook de belangenafweging weinig problemen opleveren.

Biometrische gegevens ook mogelijk voor toegangscontrole?

In beginsel bepaalt de AVG dat de verwerking van biometrische persoonsgegevens, denk aan een irisscan of vingerafdruk, een verwerking van bijzondere persoonsgegevens is. Het is dan ook in beginsel verboden om aan de hand hiervan iemand te identificeren. De Nederlandse overheid heeft in de Uitvoeringswet Algemene Verordening Gegevensbescherming op dit punt bijkomende voorwaarden vastgelegd. Er geldt in Nederland een uitzondering op het verbod op het verwerken van biometrische gegevens als de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Ook in dit geval zal telkens de hiervoor beschreven toets moeten worden gedaan. Let wel: hoe gevoeliger de gegevens, hoe beter het bedrijf organisatie de noodzaak van de verwerking zal moeten onderbouwen en hoe meer waarborgen getroffen zullen moeten worden. Zo is toegangscontrole door middel van een vingerscan gewoonlijk geen juiste methode voor de toegang tot bijvoorbeeld de garage van een reparatiebedrijf, maar zou dit mogelijk wel kunnen worden gebruikt bij toegang tot sites waar zeer giftige grondstoffen worden gebruikt.

Grondslag ‘uitvoering van de overeenkomst’ voor toegangscontrole is meestal niet mogelijk

Wij wijzen erop dat een beroep op de AVG-grondslag ‘uitvoering van de overeenkomst’ voor het verwerken van persoonsgegevens voor toegangscontrole in een groot aantal gevallen niet opgaat. Dit komt omdat de betrokkene, de bezoeker/de vrachtwagenchauffeur zelf, veelal geen overeenkomst heeft met het bedrijf die de toegangscontrole laat uitvoeren. Als er al een overeenkomst is, dan zal dat in de regel een overeenkomst zijn tussen het bedrijf en de werkgever van de bezoeker/de chauffeur.  

Passende technische en organisatorische maatregelen

Onder de AVG is de beveiliging van persoonsgegevens nog altijd een belangrijke verplichting. Naast het informeren van de betrokkene over de toegangscontrole en de verwerking van zijn persoonsgegevens (zoals bijvoorbeeld het vastleggen van het documentnummer) moet het bedrijf zorgen voor passende technische en organisatorische maatregelen. Denk onder andere aan de juiste serverconfiguraties en meerfactorauthenticatie, zodat alleen personen toegang hebben tot de verwerkte gegevens die die gegevens ook daadwerkelijk nodig hebben. Hoe gevoeliger de persoonsgegevens, hoe strenger de eisen zullen zijn aan de technische en organisatorische maatregelen die de organisatie zal moeten treffen, zeker als er biometrisch gegevens worden verwerkt.

Beveiligingsbedrijf: zelf verantwoordelijke of verwerker?

Als het bedrijf de toegangscontroles feitelijk door een ander laat uitvoeren, bijvoorbeeld een beveiligingsbedrijf, dan zal bekeken moeten worden wat de rol van dat beveiligingsbedrijf is en wat de rechten en verplichtingen van het beveiligingsbedrijf zijn. Als het beveiligingsbedrijf zelf het doel en de middelen van de verwerking vaststelt, dan is het beveiligingsbedrijf zelf verantwoordelijk (naast het bedrijf dat de site heeft). Maar als het beveiligingsbedrijf slechts instructies van het bedrijf dat de site onderhoudt uitvoert, dan is het beveiligingsbedrijf een verwerker in de zin van de AVG en moet er een verwerkersovereenkomst worden gesloten. Daarin moet onder meer worden vastgelegd welke technische en organisatorische maatregelen worden genomen om de gegevens te beveiligen en wat er gebeurt als er een datalek optreedt.

Conclusie

Indien een bedrijf persoonsgegevens verwerkt bij het (laten) uitvoeren van toegangscontroles dient er rekening te worden gehouden met de AVG en de daaruit voortvloeiende wet- en regelgeving. Over het algemeen kan ‘uitvoering van de overeenkomst’ niet worden gebruikt als grondslag, maar dient er te worden gekeken naar de grondslag ‘gerechtvaardigd belang’. Naast het belang van het bedrijf, dient te worden gekeken naar de noodzakelijkheid (proportionaliteit en subsidiariteit) van de toegangscontrole en dient het belang van de organisatie te worden afgewogen tegen het belang van de betrokkene. In sommige gevallen kan er ook gebruik worden gemaakt met biometrische gegevens. Hierbij is wel terughoudendheid geboden. Daarnaast is het belangrijk om de persoonsgegevens die worden verwerkt op een passende manier te beveiligen. Hoe gevoeliger de gegevens, hoe meer waarborgen het bedrijf zal moeten treffen. Meer weten? Neem contact op met het Ploum privacy-team.