Toegangscontrole

Toegangscontrole en privacy: wat legt u vast?

RH Beveiligingstechniek B.V. RH Beveiligingstechniek B.V.
· · 7 min leestijd

Een toegangscontrolesysteem registreert wie waar binnenkomt en op welk tijdstip. Dat is handig voor de beveiliging, maar het betekent ook dat u persoonsgegevens vastlegt.

Inhoudsopgave
  1. Wat legt een toegangscontrolesysteem vast?
  2. Privacy en de AVG: wat mag u vastleggen?
  3. Praktische inrichting: logboek, beheer en rapportage
  4. Afstemming met bevoegd gezag en verzekeraar
  5. Veelgestelde vragen

En daar komt de AVG om de hoek kijken. Niet omdat het ingewikkeld moet zijn, maar omdat u moet kunnen uitleggen waarom u die gegevens verzamelt en hoe lang u ze bewaart. In de praktijk zien we dat veel organisaties daar pas over nadenken als de installatie al draait. Terwijl het juist bij de inrichting begint.

Wat legt een toegangscontrolesysteem vast?

De basis is eenvoudig: een pas of tag wordt uitgelezen, de deur gaat open, en de centrale noteert het tijdstip, de pasnummer en vaak ook de deur of poort. Bij een geïntegreerd systeem kan daar ook een koppeling met camera’s bij zitten, zodat u bij een incident terug kunt kijken wie er passeerde.

Dat is geen probleem, zolang u maar weet wat u opslaat en waarom.

Wat ons opvalt is dat veel gebruikers denken dat alleen de pasgegevens worden vastgelegd. Maar als u een pas koppelt aan een naam, afdeling of functie, dan wordt het een persoonsgegeven. En zodra u meerdere systemen aan elkaar koppelt – bijvoorbeeld toegangscontrole met een personeelsregistratiesysteem – dan wordt de data nog rijker. Dat is niet verboden, maar het vraagt wel om een duidelijke grondslag en een beperkt bewaartermijn.

Privacy en de AVG: wat mag u vastleggen?

De AVG verplicht u om een autorisatiematrix op te stellen. Dat klinkt formeler dan het is: u legt per functie vast wie toegang heeft tot welke ruimtes en systemen. Die matrix moet actueel blijven.

Verder geldt dat u niet meer gegevens mag vastleggen dan nodig is voor het doel.

Voor toegangscontrole is dat meestal: pasnummer, tijdstip, deur en eventueel een log van pogingen. Namen en afdelingen mogen, maar alleen als ze functioneel zijn voor het beheer bij een audit van toegangsrechten.

Een punt dat vaak over het hoofd wordt gezien: de bewaartermijn. De AVG zegt dat u gegevens niet langer mag bewaren dan nodig. Voor toegangslogs is een termijn van enkele maanden tot een jaar gebruikelijk, afhankelijk van de beveiligingsbehoefte en eventuele verzekeringseisen.

Biometrie: extra strenge regels

Langer bewaren kan alleen als u een zwaarwegend belang heeft, zoals een lopend onderzoek.

Leg dat vast in een protocol. Vingerafdrukken, gezichtsherkenning of irisscans vallen onder bijzondere persoonsgegevens. Die mag u alleen gebruiken als er een uitzondering in de wet is, bijvoorbeeld voor zeer hoge beveiliging of in de zorg. In de praktijk zien we dat biometrie vaak wordt overwogen, maar zelden echt nodig is.

Een pas of pincode volgt meestal. Als u toch biometrie wilt toepassen, laat u dan goed adviseren over de juridische grondslag en de technische beveiliging.

Praktische inrichting: logboek, beheer en rapportage

Een goed werkend toegangscontrolesysteem is meer dan hardware. Het gaat om het beheer van rechten, het bijhouden van mutaties en het kunnen terugkijken bij incidenten.

Wij adviseren om een logboek bij te houden van wie welke rechten heeft gekregen en wanneer die zijn ingetrokken. Dat is niet alleen handig voor de bedrijfsvoering, maar ook voor een eventuele audit door de Autoriteit Persoonsgegevens. Digitale rapportage maakt dat eenvoudig. U kunt periodiek een overzicht draaien van actieve passen, inactieve gebruikers en ongebruikte toegangspunten.

Zo voorkomt u dat oud-medewerkers nog toegang hebben of dat een pas jarenlang actief blijft. Dat is geen angstverhaal, gewoon goed beheer.

Afstemming met bevoegd gezag en verzekeraar

Bij brandveiligheid en beveiliging is duidelijke afstemming met eigenaar, gebruiker, verzekeraar en installateur vaak belangrijker dan losse techniek. Voor toegangscontrole geldt dat ook.

De verzekeraar kan eisen stellen aan logging en bewaartermijnen. Het bevoegd gezag (gemeente, brandweer) kijkt naar de combinatie met ontruimingsinstallaties: bij een alarm moeten deuren automatisch open kunnen.

Dat staat in het Bbl en in NEN 2575 voor ontruimingsalarm. Zorg dat uw toegangscontrole daarop is afgestemd. Wilt u toegang per ruimte instellen en heeft u vragen over de inrichting of de privacyaspecten?

Neem dan gerust contact op. We denken graag mee over een systeem dat past bij uw gebouw, gebruik en beheer.

Veelgestelde vragen

Wat registreert een toegangscontrolesysteem precies?

Bij RH Beveiligingstechniek registreren toegangscontrolesystemen in de basis de pas of tag die wordt gebruikt, het tijdstip van toegang en de deur of poort die wordt geopend. We integreren vaak ook camera’s, zodat we bij incidenten een gedetailleerde terugblik kunnen maken.

Wat houdt de AVG precies in voor toegangscontrolesystemen?

Het is cruciaal dat we weten wat we opslaan en waarom, om aan de AVG te voldoen. De Algemene Verordening Gegevensbescherming (AVG) vereist dat wij een autorisatiematrix opstellen, waarin per functie wordt vastgelegd wie toegang heeft tot welke ruimtes en systemen. Deze matrix moet actueel blijven en we mogen alleen de gegevens vastleggen die functioneel noodzakelijk zijn voor het beheer van het systeem.

Hoe lang mag een toegangscontrolesysteem logbestanden bewaren?

Denk bijvoorbeeld aan pasnummers, tijdstippen en de deur, maar vermijd het onnodige opslaan van namen en afdelingen, tenzij dat direct relevant is voor een audit.

Wat zijn de speciale regels voor biometrische gegevens in toegangscontrolesystemen?

De bewaartermijn voor toegangslogs is afhankelijk van de beveiligingsbehoefte en eventuele verzekeringseisen. Over het algemeen geldt een termijn van enkele maanden tot een jaar. Het is essentieel om te onthouden dat we gegevens alleen mogen bewaren zolang ze nodig zijn en dat een zwaarwegend belang, zoals een lopend onderzoek, uitzonderingen kan maken op deze termijn. We documenteren dit altijd in een protocol.

Wat zijn de belangrijkste doelstellingen van een goed toegangscontrolesysteem?

Biometrische gegevens, zoals vingerafdrukken of gezichtsherkenning, vallen onder bijzondere persoonsgegevens. Het gebruik hiervan is onderworpen aan strikte regels en vereist een uitzondering in de wet.

Wij adviseren altijd om een grondige beoordeling te maken of biometrie daadwerkelijk nodig is, en zorgen voor een goede juridische grondslag en technische beveiliging. Een effectief toegangscontrolesysteem dient primair de veiligheid te waarborgen en efficiënte protocollen te implementeren. Dit bereiken we door middel van duidelijke autorisatie, sterke authenticatie, gecontroleerde toegang, effectief beheer en regelmatige audits van de toegangsrechten. Bij RH Beveiligingstechniek zorgen wij ervoor dat deze fasen goed geïntegreerd zijn.

Lees ook
Welke toegangscontrole past bij uw bedrijf? Toegangscontrole met tags, pasjes of codes: wat kiest u? Hoe werkt toegangscontrole bij een kantoor? Toegangscontrole voor een magazijn: waar let u op? Waarom sleutels vervangen door pasjes rust geeft Toegangscontrole bij personeelswissel: zo houdt u grip
RH Beveiligingstechniek B.V.
RH Beveiligingstechniek B.V.
Specialist brandveiligheid en beveiligingstechniek

RH Beveiligingstechniek ondersteunt organisaties met brandmeld, ontruiming, CCTV, inbraakdetectie en toegangscontrole.

✓ Geverifieerd auteur ✓ brandveiligheid en beveiligingstechniek voor bedrijven
RH Beveiligingstechniek B.V.
RH Beveiligingstechniek B.V.
Specialist brandveiligheid en beveiligingstechniek

RH Beveiligingstechniek ondersteunt organisaties met brandmeld, ontruiming, CCTV, inbraakdetectie en toegangscontrole.

Meer over Toegangscontrole

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke toegangscontrole past bij uw bedrijf?
Lees verder →