De AVG (Algemene Verordening Gegevensbescherming) beperkt wat u mag registreren met toegangscontrole. Biometrie, logbestanden, cameraopnames — alles met persoonsgegevens valt onder AVG. Hoe blijft u compliant?
Snel antwoord: AVG vereist proportionaliteit, rechtmatige grondslag, bewaartermijnen en rechten voor betrokkenen. Biometrie alleen met expliciete toestemming. Cameraopnames max 4 weken. Access logs max 3 maanden. DPIA bij hoge impact.
AVG-principes voor toegangscontrole
- Rechtmatigheid — Duidelijke grondslag: toestemming, contract, gerechtvaardigd belang.
- Doelbinding — Alleen voor toegang. Niet gebruiken voor medewerker-tracking.
- Dataminimalisatie — Zo min mogelijk gegevens verwerken.
- Juistheid — Gegevens actueel houden. Ex-medewerkers direct verwijderen.
- Opslagbeperking — Bewaartermijnen vastleggen en naleven.
- Integriteit — Technische en organisatorische beveiliging.
Bewaartermijnen per type data
| Data | Maximum bewaartermijn | Uitzondering |
|---|---|---|
| Toegangslogs | 3 maanden | Na incident: 1 jaar |
| Cameraopnames | 4 weken | Politie-onderzoek |
| Biometrische data | Tijdens dienstverband | Niet langer |
| Pas-gegevens | Tijdens dienstverband + 2 jaar | Fraudezaken |
| Bezoekerslijsten | 1 maand | Privacy-gevoelige gebieden: korter |
DPIA: wanneer verplicht?
Verplicht bij:
Biometrie, camera openbare ruimte, grote datasets, kwetsbare groepen (kinderen).
Proces:
Necessity check, risicoanalyse, maatregelen, residual risk beoordelen.
Tijdsinvestering:
8-40 uur bij grote projecten. Externe DPO inhuurbaar (€3.000-€15.000).
Gemiddelde boete AVG-overtreding bij toegangscontrole-systemen in NL 2024. Zelfs kleine bedrijven kregen boetes van €50.000-€150.000.
Praktische checklist AVG
- Verwerkersregister opgesteld (art. 30 AVG)
- Rechtmatige grondslag vastgelegd per verwerking
- Privacy-verklaring beschikbaar voor medewerkers
- DPIA uitgevoerd waar nodig
- Technische beveiliging (encryptie, toegangscontrole)
- Bewaartermijnen contractueel vastgelegd
- Procedure voor inzageverzoek en correctie
- DPO aangewezen bij grote organisatie
- Incident-melding procedure (72-uurs AP)
- Verwerkersovereenkomst met leverancier
Belangrijk: Bij gebruik van cloud-gebaseerde toegangscontrole moet u een verwerkersovereenkomst hebben met de leverancier. Data mag niet buiten EU/EER worden opgeslagen zonder Standard Contractual Clauses.
Veelgestelde vragen
Ja, mits expliciete toestemming, proportioneel doel en technische waarborgen. Voor kritieke infrastructuur vaak aanvaardbaar. Voor normaal kantoor diskwalificerend.
Formeel nee, verwerking kan op grond van arbeidsovereenkomst. Wel transparant informeren. Biometrie vereist wel expliciete toestemming.
De werkgever/gebouweigenaar. Leverancier is verwerker. Verwerkersovereenkomst verplicht.
Binnen 72 uur melden bij Autoriteit Persoonsgegevens als leidt tot “schadeberokkening”. Mogelijk ook betrokkenen informeren.
Bij organisaties > 250 medewerkers of grote gegevensverwerking. Voor standaard toegangscontrole vaak niet verplicht, wel aanbevolen.
AVG-compliance hulp?
ToDoors levert AVG-compliant toegangscontrole met verwerkersovereenkomst en DPIA-support.