Het gebruik van biometrie: wanneer mag het wél?

24-12-2020

Céline van Waesberge

Vorige week werd bekend dat de Autoriteit Persoonsgegevens (AP) een formele waarschuwing heeft gegeven aan een supermarkt vanwege de inzet van gezichtsherkenning.(1) In de supermarkt hingen camera’s waarmee de gezichtskenmerken werden geregistreerd van iedere persoon die daar zijn boodschappen deed. Deze gezichtskenmerken werden vervolgens vergeleken met de eerder opgeslagen gezichtskenmerken van mensen die eerder waren betrapt op diefstal. Leverde die vergelijking een match op, dan ging er intern een alarm af. Volgens de supermarkt werd de gezichtsherkenning gebruikt om winkelbezoekers en personeel te beschermen en om winkeldiefstal tegen te gaan.

Het gebruik van gezichtsherkenning door de supermarkt is niet onopgemerkt gebleven en na de nodige media-aandacht en Kamervragen,(2) heeft de AP de betreffende supermarkt eind vorig jaar om opheldering gevraagd. De supermarkt in kwestie heeft het systeem vervolgens uitgeschakeld, maar gaf aan het systeem wel weer te willen gebruiken. Dat heeft naast een brief van de AP aan de gehele supermarktbranche afgelopen zomer,(3) kennelijk geleid tot de eerste formele waarschuwing van de AP. De inzet van gezichtsherkenning door de supermarkt is namelijk niet in lijn met de (zeer) strenge regels omtrent de verwerking van biometrische gegevens.

Daarover kort het volgende: bij gezichtsherkenning worden de biometrische gegevens in iemands gezicht (zoals de positie van de mond en de afstand tussen ogen en neus) gebruikt om iemand te identificeren. Een vingerafdruk, irisscan en stem zijn andere voorbeelden van biometrische gegevens. Biometrische gegevens zijn ‘bijzondere persoonsgegevens’ waarvoor in beginsel een verwerkingsverbod geldt. De Nederlandse wetgever heeft echter gebruik gemaakt van de ruimte die de AVG geeft om een specifieke uitzondering op dat verbod te maken voor het gebruik van biometrische gegevens (in artikel 9 lid 4). Deze uitzondering heeft de Nederlandse wetgever opgehangen aan het ‘haakje’ dat artikel 9, lid 2 onder g. van de AVG biedt. Daaruit volgt dat door een lidstaat via nationale wetgeving een basis kan worden gecreëerd voor gebruik van bijzondere categorieën van persoonsgegevens, waaronder biometrische gegevens, om redenen van zwaarwegend algemeen belang.

Die basis is gecreëerd in de UAVG: biometrische gegevens mogen worden verwerkt wanneer dat noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Daarmee wordt feitelijk een ‘extra’ basis geboden om biometrische gegevens te verwerken om ontwikkelingen in het gebruik van biometrie als identificatiemiddel niet te hinderen, aldus de wetgever.(4)

Maar er moet dus wel kunnen worden onderbouwd waarom bijvoorbeeld de toegang tot een gebouw of informatiesysteem zodanig beveiligd moet zijn dat dit met biometrische gegevens moet gebeuren. Die vereiste noodzaak tot het gebruik van biometrie lijkt in de praktijk vaak moeilijk te onderbouwen. Dat het gebruik van biometrie nodig is om redenen van zwaarwegend algemeen belang, is dat al helemaal. Een situatie waarin het gebruik van biometrie noodzakelijk wordt geacht om redenen van zwaarwegend algemeen belang, is volgens de wetgever de beveiliging van de toegang tot een kerncentrale.

In de praktijk zien we vooral situaties die deze (zware) toets niet doorstaan. Want hoewel de AP niet de nodige mankracht heeft om al het onjuist gebruik van biometrische gegevens aan te pakken,(5) was de gewaarschuwde Jumbo-supermarkt niet de eerste die hiervoor een tik op de vingers kreeg.

Eerder dit jaar kreeg een bedrijf namelijk een fikse boete voor het verwerken van vingerafdrukken van werknemers.(6) Het bedrijf (dat succesvol procedeerde tegen openbaarmaking van zijn naam)(7) maakte gebruik van een tijdregistratiesysteem waarbij werknemers konden in- en uitklokken met hun vingerafdruk. Daarvóór, in augustus 2019, oordeelde de rechtbank Amsterdam dat een werkneemster van schoenenwinkel Manfield terecht had geweigerd om haar vingerafdruk af te staan voor het ingevoerde autorisatiesysteem voor toegang tot de kassa’s.(8) Dat was volgens de rechter namelijk in strijd met de regels uit de AVG en de UAVG. Deze uitspraak gaf winkelketen HEMA aanleiding om te stoppen met het gebruiken van eenzelfde vingerscansysteem voor kassa’s en prikklokken.(9)

Steeds werd het verwerken van biometrische gegevens niet noodzakelijk en disproportioneel geacht. Dit oordeel lag wat mij betreft in de gegeven situaties wel voor de hand. Maar het is de vraag of er situaties denkbaar zijn – ergens tussen de supermarkt en de kerncentrale in – waarin het gebruik wel noodzakelijk en proportioneel wordt geacht voor authenticatie of beveiligingsdoeleinden.

Wanneer daarvan geen sprake is, bestaat het alternatief om voor het verwerken van biometrische gegevens uitdrukkelijke toestemming te vragen. Dat is echter vaak ondoenlijk of niet rechtsgeldig. Zo kan een supermarkt moeilijk ieder winkelend persoon om uitdrukkelijke toestemming vragen. De toestemming van een werknemer is (over het algemeen) niet rechtsgeldig omdat het wordt geacht niet vrijelijk te zijn gegeven vanwege de bestaande gezagsverhouding.

Eigenlijk mag een persoon geen nadelige gevolgen ondervinden van het weigeren van toestemming. Dat betekent dat over het algemeen een alternatief moet worden geboden. Zo zal een sportschool dat voor toegang gebruik maakt van een vingerscansysteem aan haar leden ook een pasjessysteem moeten blijven bieden.(10)

Het voorgaande maakt het niet makkelijk en aantrekkelijk om van biometrie gebruik te maken. En dat terwijl de wetgever ontwikkelingen op dat gebied juist beoogde te bevorderen…


Voetnoten

(1) https://www.privacy-web.nl/nieuws/formele-waarschuwing-ap-aan-supermarkt-om-gezichtsherkenning
(2) https://www.privacy-web.nl/nieuws/antwoorden-kamervragen-over-het-bericht-over-tientallen-cameras-bij-jumbo
(3) https://www.privacy-web.nl/nieuws/ap-wijst-supermarkten-op-regels-gezichtsherkenning
(4) https://zoek.officielebekendmakingen.nl/kst-34851-3.html
(5) https://www.nissewaard.nl/nieuws-1/autoriteit-persoonsgegevens-ziet-af-van-nader-onderzoek-klacht-fnv-over-gemeente-nissewaard.htm
(6) https://www.privacy-web.nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers
(7) https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2020:1795&showbutton=true&keyword=ECLI%3aNL%3aRBLIM%3a2020%3a1795
(8) https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2019:6005&showbutton=true&keyword=ECLI%3aNL%3aRBAMS%3a2019%3a6005
(9) https://www.nu.nl/tech/6014149/hema-doet-vingerscan-voor-personeel-in-de-ban-vanwege-privacywet.html
(10) https://www.nu.nl/tech/6005067/studentensportscholen-leiden-en-amsterdam-eisen-onterecht-vingerafdruk.html


Meer artikelen van Loyens & Loeff

Van onze partners

Datalekken voor bedrijfsjuristen

→ Lees meer

Privacy-aspecten in fusies en overnames in vogelvlucht

→ Lees meer

Privacy in perspectief

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer