Het schooljaar is begonnen en de lerarentekorten blijven maar oplopen. Je kunt je voorstellen dat er daardoor mogelijk meer acute problemen zijn dan te voldoen aan privacywetgeving. Zo bezien was het afgelopen voorjaar goed nieuws dat scholen toch goed op weg zeggen te zijn met informatiebeveiliging en privacy (IBP). Toch lijkt er bij scholen soms de neiging te zijn om zaken extra ingewikkeld te maken. Twee recente Europese voorbeelden van biometrische toepassingen binnen schoolgebouwen laten zien dat, hoewel deze technologie nuttig kan zijn, deze niet zomaar kan worden ingezet. In dit artikel bespreek ik deze voorbeelden en de lessen die Nederlandse scholen hieruit kunnen trekken.
Een gemeente in Zweden heeft onlangs een boete gekregen voor het overtreden van de AVG op een gemeentelijke school. Om de aanwezigheid van leerlingen bij te houden werden camera’s met gezichtsherkenning ingezet. Ondanks dat het een pilot met 22 leerlingen betrof die daarvoor toestemming hadden gegeven, beoordeelde de Zweedse toezichthouder dit als een zware privacyschending. Biometrische gegevens zijn aangemerkt als bijzondere persoonsgegevens onder de AVG. Daarom worden er strengere eisen gesteld aan het verwerken ervan.
De toelichting van de Zweedse toezichthouder bevestigt twee dingen die we eigenlijk al wisten.
In het kader van biometrische toepassingen op school kwam recent nog een ander voorbeeld in het nieuws. Het AD meldde dat leerlingen op een school in Gent binnenkort met hun handpalm gaan betalen voor de schoollunch. Volgens de school is het “haar taak om leerlingen vertrouwd te maken met de technologieën van morgen”. Daarnaast brengt betalen met geld, pasjes of bonnetjes kennelijk erg veel praktische problemen met zich mee.
Het goede nieuws: volgens de school is het “niet de bedoeling om te evolueren naar een systeem zoals in China”. Het slechte nieuws: daarmee is het niet ineens prima onder de AVG. Het vertrouwd maken met nieuwe technologieën is natuurlijk niet opgenomen in de AVG als grondslag om biometrische persoonsgegevens van alle leerlingen te verwerken. Ook toestemming, mocht daarom gevraagd zijn, gaat in dit geval niet op; zie het oordeel van de Zweedse toezichthouder hierboven. Het ontbreken van de noodzaak van het gebruik van biometrie is hier ook van toepassing. Overtuig de toezichthouder immers maar eens dat het écht onwerkbaar is om op een andere manier voor boterhammen te betalen dan met een lichaamsdeel.
De les naar aanleiding van deze voorbeelden is dat scholen (en andere organisaties) voorzichtig moeten zijn met het verwerken van biometrische gegevens. Wil je dergelijke toepassingen gebruiken, dan is het allereerst verplicht om een DPIA uit te voeren. Daaruit kun je afleiden of de risico’s voldoende zijn beperkt om met de verwerking te starten. De verwerking wordt daarin ook aan de eisen van noodzakelijkheid en proportionaliteit getoetst. Pas wanneer uit de DPIA een positief eindoordeel komt, mogen gezichten, handpalmen, irissen of vingerafdrukken met een gerust hart worden verzameld.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.