Vingerafdrukken zijn biometrische persoonsgegevens volgens de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat het gebruik ervan aan strikte voorwaarden is gebonden. In Nederland is in de Uitvoeringswet AVG een uitzondering opgenomen die het verwerken van biometrische gegevens toestaat wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Deze uitzondering is van toepassing wanneer biometrie wordt ingezet om gebruikers te authenticeren, bijvoorbeeld bij het ontgrendelen van laptops. Cruciaal is dat de biometrische gegevens niet extern worden opgeslagen, maar lokaal op het apparaat blijven. Dit voldoet aan de beveiligingseisen van de AVG. De vraag blijft echter of het gebruik van vingerafdrukvergrendeling 'noodzakelijk' is in de zin van de wet.

De memorie van toelichting bij de Uitvoeringswet AVG geeft aan dat het gebruik van biometrie proportioneel moet zijn en alleen is toegestaan in situaties met een zwaarwegend algemeen belang, zoals bij toegang tot een kerncentrale. Voor minder kritieke omgevingen, zoals een garage, is biometrische toegang vaak niet gerechtvaardigd. Aan de andere kant kan biometrie een belangrijke beveiligingslaag vormen voor informatiesystemen met veel persoonsgegevens, waar onrechtmatige toegang, ook door werknemers, moet worden voorkomen.

Een relevante uitspraak van de rechter betrof het winkelbedrijf Manfield, dat vingerafdruksensoren gebruikte voor authenticatie bij kassasystemen met toegang tot klant- en personeelsgegevens. De rechter oordeelde tegen Manfield, omdat het bedrijf niet had aangetoond dat alternatieven zoals pasjes onvoldoende waren. Had men een afweging gemaakt en onderbouwd dat biometrie de meest geschikte methode was, dan had de uitspraak mogelijk anders kunnen zijn.

De Autoriteit Persoonsgegevens benadrukt dat het gebruik van biometrie moet gaan om een uitzonderlijke situatie met een zwaarwegend belang. Organisaties dienen daarom zorgvuldig te beoordelen of biometrische authenticatie noodzakelijk en proportioneel is binnen hun beveiligingsbeleid. De huidige jurisprudentie is beperkt en de technologische ontwikkelingen vragen om een actuele afweging van de noodzaak van biometrische beveiliging.