De inzet van biometrische technologieën wordt alsmaar groter, maar het is de vraag of altijd even goed is nagedacht over de juridische consequenties ervan.
Met een interessant filmpje ging de NOS onlangs in op de steeds vaker ingezette technologie van gezichtsherkenning. Buiten de bekende voorbeelden voor directe beveiligingsdoeleinden, zoals de inzet bij onder meer de poortjes op luchthaven Schiphol, wordt gezichtsherkenning in toenemende mate ingezet door particuliere organisaties. Een interessante en haast ontembare ontwikkeling, maar onder de AVG in veel gevallen simpelweg hartstikke verboden.
Waar de verwerking van persoonsgegevens voor wethandhavingsdoeleinden in een speciaal daartoe opgestelde richtlijn wordt geregeld, valt het verwerken van gegevens door niet-wetshandhavers onder (jawel..) de onlangs van toepassing geworden Algemene Verordening Gegevensbescherming (AVG). Wie de AVG eens goed naslaat op het gebruik van dergelijke technologieën, zal merken dat er weinig overblijft van de ambitie om gezichtsherkenning in te zetten met het doel om personen te identificeren, dan wel te verifiëren (los van de uitzondering in de Nederlandse uitvoeringswet op de AVG, waarover verderop meer).
De AVG verbiedt namelijk de verwerking van bijzondere persoonsgegevens. Iets wat bijvoorbeeld gebeurt wanneer pasfoto’s van individuen verwerkt worden met als doel om te checken of iemand in het bezit is van het benodigde zwemabonnement om binnen te komen in het zwembad of de recreatieplas.
Bezwaren vanuit de AVG
Precies hierop zag het bovengenoemde filmpje van de NOS waarin nagenoeg volledig uitgelegd werd waarom dergelijk gebruik onder de AVG wel/niet is toegestaan. Hoewel de uitleg in het filmpje helder is en een goed beeld schept van een deel van de geldende voorwaarden, zoals bijvoorbeeld de noodzaak om expliciete toestemming te krijgen van het individu en de mogelijkheid om deze toestemming vrij te geven (je moet nee kunnen zeggen en dus gebruik kunnen blijven maken van een ‘regulier’ kaartje), ontbrak het in de video aan toelichting op een wel heel essentieel onderdeel uit de AVG.
Om überhaupt persoonsgegevens te mogen verwerken zal de verwerkingsactiviteit namelijk noodzakelijk moeten zijn om het doel van de verwerking te bereiken en moet de verwerking ten aanzien van dit doel proportioneel zijn. En dit is waar het naar mijn mening spaak loopt bij dergelijke toepassingen. Het is natuurlijk logisch dat je bijvoorbeeld een kerncentrale moet beveiligen op de meest strikte toelaatbare wijze, wegens het dreigende gevaar van ongenode gasten op zo’n potentieel gevaarlijke plek.
Echter, de inzet van dergelijke technologieën bij de toegangspoorten van ‘recreatieplas Henschotermeer’, waar iedereen zoals het woord het al zegt: recreëert; dat lijkt me met het oog op de concepten van noodzakelijkheid en proportionaliteit een brug te ver. Het argument dat het wel degelijk noodzakelijk is, omdat iedereen gaat zwemmen met zijn of haar abonnement in de zwemkleding, lijkt me hierin een zwaktebod en is tevens te ondervangen middels de inzet van minder ingrijpende maatregelen. Bijvoorbeeld door het wegstoppen van je abonnement in een (gratis) kluisje.
Groeiende inzet biometrische technologieën
En toch wordt de inzet van biometrische technologieën zoals gezichtsherkenning tegenwoordig alsmaar groter, en lijkt die ontwikkeling haast niet te stuiten. Enerzijds omdat de technologie gewoon bijster handig en interessant is, en anderzijds omdat partijen veelal niet doorhebben dat de AVG (en de bijbehorende Nederlandse uitvoeringswet van de AVG die hierover ook het één ander regelt) het gebruik ervan in veel gevallen verbiedt.
Met het oog op deze groeiende inzet en de onduidelijkheid over het onderwerp rijst dan ook de vraag of de AVG en voorlichters/toezichthouders (onder andere het onlangs opgerichte Europese orgaan de European Data Protection Board) op dit vlak wel duidelijk genoeg (kunnen) zijn. Logischerwijs worstelen ook deze partijen met de toenemende inzet en zien ook zij in dat er een wildgroei van dergelijke technologieën dreigt. Betere voorlichting aan particuliere organisaties over de do’s en don’ts is in de toekomst dus hoogstnodig om grip te kunnen houden op deze ontwikkeling.
Jorden Bailey is juridisch adviseur bij adviesbureau ICTRecht. ICTRecht levert deskundig en praktisch juridisch advies over ICT, privacy en recht.
Deze bijdrage is eerder geplaatst op de website van ICTRecht.