Biometrische gegevens verwijzen naar meetbare fysieke of gedragskenmerken waarmee een persoon uniek kan worden geïdentificeerd, zoals vingerafdrukken, irispatronen, gezichtsgeometrie, stemafdrukken of looppatroonanalyse. In tegenstelling tot wachtwoorden of tokens zijn biometrische kenmerken onlosmakelijk verbonden met de persoon en kunnen ze niet eenvoudig worden gewijzigd bij een datalek.
Onder de AVG worden biometrische gegevens die worden verwerkt voor identificatiedoeleinden geclassificeerd als een bijzondere categorie persoonsgegevens, waarvoor uitdrukkelijke toestemming of een andere wettelijke grondslag op basis van artikel 9 vereist is. De EU AI Act legt aanvullende beperkingen op aan realtime biometrische identificatiesystemen in openbare ruimtes. Organisaties die biometrische authenticatie gebruiken, moeten strenge beveiligingsmaatregelen implementeren voor opslag en verwerking, waaronder versleuteling en toegangscontrole.