Vorige week heeft de Autoriteit Persoonsgegevens (AP) een officiële waarschuwing aan een supermarkt gegeven. De supermarkt maakte namelijk gebruik van gezichtsherkenning om winkeldiefstal tegen te gaan. De AP constateerde echter dat dit niet in lijn is met de Algemene verordening gegevensbescherming (AVG). Hoe zit dat precies?
Het verwerken van bijzondere persoonsgegevens is verboden. Deze gegevens zijn dusdanig gevoelig, dat de AVG slechts een beperkt aantal situaties noemt waarin ze toch mogen worden verwerkt. Onder de noemer bijzondere persoonsgegevens vallen onder andere gegevens over de gezondheid, politieke opvattingen, genetische gegevens, maar ook biometrische gegevens. Camerabeelden of foto’s die bedoeld zijn om iemand uniek te identificeren (lees: gezichtsherkenning), worden ook aangemerkt als biometrische gegevens.
Een organisatie mag dus alleen gezichtsherkenning gebruiken als de AVG zegt dat het mag, en dat is in twee gevallen zo. Gezichtsherkenning mag worden gebruikt als iemand daar uitdrukkelijke toestemming voor geeft, of als dit noodzakelijk is voor authenticatie of beveiliging. Uitdrukkelijke toestemming moet aan de vereisten van de AVG voldoen: deze moet vrij, ondubbelzinnig en geïnformeerd gegeven worden. Wat ‘noodzakelijk is voor authenticatie of beveiliging’ moet zwaar worden opgevat: bij de wet wordt de beveiliging van een kerncentrale genoemd. Denk ook aan de douanecontrole op Schiphol.
De betreffende supermarkt gebruikte een gezichtsherkenningssysteem om te controleren of mensen een winkelverbod hadden. Beelden van personen die geen verbod bleken te hebben, werden na enkele seconden verwijderd. Zo konden bezoekers en personeel beschermd worden, en kon winkeldiefstal voorkomen worden, aldus de supermarkt.
De AP constateerde dat dit niet in lijn met de AVG is. Allereerst werd er geen toestemming gevraagd. Bezoekers werden wel geïnformeerd, maar net als dat ‘doorsurfen is toestemmen’ niet geldt voor het gebruik van cookies, is ‘winkelen is toestemmen’ geen toestemming voor gezichtsherkenning. Aan die andere eis voldeed de supermarkt ook niet: bescherming tegen winkeldiefstal staat niet gelijk aan het voorkomen van een kernramp. Een gezichtsherkenningssysteem is een te zwaar middel om winkeldiefstal tegen te gaan.
Om Chinese praktijken te voorkomen, hecht de toezichthouder er kennelijk zwaar aan om het gebruik van biometrische gegevens te beperken tot het absoluut noodzakelijke. Mensen dienen geen wandelende streepjescodes te worden die organisaties zomaar kunnen scannen om advertentie- of opsporingsredenen. Dit is namelijk niet de eerste keer waarin werd geoordeeld dat het gebruik van biometrische gegevens niet door de beugel kan: eerder werd Manfield op de vingers getikt voor het gebruik van vingerafdrukken voor toegang tot het kassasysteem. Een onbekend bedrijf kreeg zelfs een boete van € 725.000 voor het moeten scannen van vingerafdrukken voor aanwezigheids- en tijdsregistratie.
Het gebruik van systemen die biometrische gegevens verwerken is dus iets wat een groot risico met zich meebrengt. Dit is dus zeker iets om een Data Protection Impact Assessment (DPIA) op los te laten, en wellicht zelfs een voorafgaande raadpleging bij de AP. Hulp nodig bij het uitvoeren van zo’n DPIA? Neem dan contact met ons op!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.