Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Scholen lijden gezichtsverlies: gebruik biometrische gegevens niet altijd geslaagd

4 september 2019 Door

Het schooljaar is begonnen en de lerarentekorten blijven maar oplopen. Je kunt je voorstellen dat er daardoor mogelijk meer acute problemen zijn dan te voldoen aan privacywetgeving. Zo bezien was het afgelopen voorjaar goed nieuws dat scholen toch goed op weg zeggen te zijn met informatiebeveiliging en privacy (IBP). Toch lijkt er bij scholen soms de neiging te zijn om zaken extra ingewikkeld te maken. Twee recente Europese voorbeelden van biometrische toepassingen binnen schoolgebouwen laten zien dat, hoewel deze technologie nuttig kan zijn, deze niet zomaar kan worden ingezet. In dit artikel bespreek ik deze voorbeelden en de lessen die Nederlandse scholen hieruit kunnen trekken.

Aanwezigheidscontrole door gezichtsherkenning

Een gemeente in Zweden heeft onlangs een boete gekregen voor het overtreden van de AVG op een gemeentelijke school. Om de aanwezigheid van leerlingen bij te houden werden camera’s met gezichtsherkenning ingezet. Ondanks dat het een pilot met 22 leerlingen betrof die daarvoor toestemming hadden gegeven, beoordeelde de Zweedse toezichthouder dit als een zware privacyschending. Biometrische gegevens zijn aangemerkt als bijzondere persoonsgegevens onder de AVG. Daarom worden er strengere eisen gesteld aan het verwerken ervan.

De toelichting van de Zweedse toezichthouder bevestigt twee dingen die we eigenlijk al wisten.

  1. Allereerst: biometrie is een paardenmiddel dat alleen mag worden gebruikt als andere oplossingen niet voldoende zijn om het doel te bereiken. In dit geval was het doel, het automatisch bijhouden van de aanwezigheid van leerlingen met behulp van camera’s. Deze methode is voor een school misschien wel handig, maar zeker niet noodzakelijk om het doel te bereiken.
  2. Ten tweede staat toestemming die is gegeven door leerlingen, net als toestemming door werknemers richting hun werkgever, niet sterk als grondslag onder de AVG. Omdat een leerling (of in het geval van een minderjarige leerling; de ouder) in een afhankelijke positie zit tegenover de school, kan de toestemmingsverklaring eigenlijk per definitie niet als ‘in vrijheid gegeven’ worden beschouwd.

Lunch op school betalen met je handpalm

In het kader van biometrische toepassingen op school kwam recent nog een ander voorbeeld in het nieuws. Het AD meldde dat leerlingen op een school in Gent binnenkort met hun handpalm gaan betalen voor de schoollunch. Volgens de school is het “haar taak om leerlingen vertrouwd te maken met de technologieën van morgen”. Daarnaast brengt betalen met geld, pasjes of bonnetjes kennelijk erg veel praktische problemen met zich mee.

Het goede nieuws: volgens de school is het “niet de bedoeling om te evolueren naar een systeem zoals in China”. Het slechte nieuws: daarmee is het niet ineens prima onder de AVG. Het vertrouwd maken met nieuwe technologieën is natuurlijk niet opgenomen in de AVG als grondslag om biometrische persoonsgegevens van alle leerlingen te verwerken. Ook toestemming, mocht daarom gevraagd zijn, gaat in dit geval niet op; zie het oordeel van de Zweedse toezichthouder hierboven. Het ontbreken van de noodzaak van het gebruik van biometrie is hier ook van toepassing. Overtuig de toezichthouder immers maar eens dat het écht onwerkbaar is om op een andere manier voor boterhammen te betalen dan met een lichaamsdeel.

Ongeoorloofde gezichts- of handpalmherkenning: facepalm!

De les naar aanleiding van deze voorbeelden is dat scholen (en andere organisaties) voorzichtig moeten zijn met het verwerken van biometrische gegevens. Wil je dergelijke toepassingen gebruiken, dan is het allereerst verplicht om een DPIA uit te voeren. Daaruit kun je afleiden of de risico’s voldoende zijn beperkt om met de verwerking te starten. De verwerking wordt daarin ook aan de eisen van noodzakelijkheid en proportionaliteit getoetst. Pas wanneer uit de DPIA een positief eindoordeel komt, mogen gezichten, handpalmen, irissen of vingerafdrukken met een gerust hart worden verzameld.

Dimmen Smolders

Juridisch adviseur

Dimmen Smolders werkt als juridisch adviseur bij ICTRecht. Dimmen is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht maakt hij onderdeel uit van het privacyteam, en hij adviseert opdrachtgevers graag over alle aspecten van privacy.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie