Vingerafdrukken zijn biometrische persoonsgegevens volgens de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat het gebruik ervan aan strikte voorwaarden is gebonden. In Nederland is in de Uitvoeringswet AVG een uitzondering opgenomen die het gebruik van biometrische gegevens toestaat wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Het gebruik van vingerafdrukvergrendeling op werklaptops valt onder deze uitzondering, mits de biometrische gegevens lokaal op het apparaat blijven en niet worden gedeeld. Dit betekent dat de vingerafdruk alleen wordt gebruikt om de gebruiker te authenticeren en toegang te verlenen tot relevante delen van het systeem. De verwerking moet echter proportioneel zijn en alleen worden toegepast als er een zwaarwegend belang is, zoals de bescherming van informatiesystemen met veel persoonsgegevens.

De Autoriteit Persoonsgegevens benadrukt dat het gebruik van biometrie voor toegangscontrole een uitzonderlijke situatie moet betreffen, waarbij alternatieven zoals pasjes onvoldoende zijn. Dit werd ook duidelijk in een uitspraak van de rechter in een zaak tegen winkelbedrijf Manfield, waar het gebruik van vingerafdrukken voor kassasystemen werd betwist. De rechter oordeelde dat Manfield niet had aangetoond dat andere methoden minder geschikt waren, waardoor het gebruik van biometrie niet gerechtvaardigd was. Dit onderstreept het belang van een zorgvuldige afweging en documentatie van de gekozen beveiligingsmaatregelen.

Hoewel de technologie zich snel ontwikkelt, blijft de juridische onderbouwing van het gebruik van biometrische authenticatie onder de AVG een aandachtspunt. Organisaties moeten kunnen aantonen dat biometrische gegevens noodzakelijk en proportioneel worden ingezet voor beveiliging, en dat alternatieven zijn overwogen. Alleen dan voldoet het gebruik van vingerafdrukvergrendeling aan de eisen van de AVG.