Gezichtsherkenning en Privacy

Leestijd: 4 minuten

Belangrijke inzichten uit onderzoek van de Autoriteit Persoonsgegevens

Biometrie

Gezichtsherkenning is de technologie die wordt ingezet om automatisch gezichten en gezichtskenmerken te herkennen. Bij deze toepassing worden vaak biometrische gegevens verwerkt, zoals bedoeld in de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Het gebruik van gezichtsherkenning neemt de laatste jaren sterk toe, wat leidt tot meer vragen en signalen aan de Autoriteit Persoonsgegevens (AP) over de inzet van deze techniek. Dit artikel biedt inzicht in de recente bevindingen van de AP naar aanleiding van een onderzoek naar vakantieparken die gezichtsherkenning toepassen en schetst tevens een juridisch kader voor organisaties die overwegen deze technologie in te zetten.

Onderzoek gebruik gezichtsherkenning op vakantieparken

De AP heeft recentelijk acht vakantieparken onderzocht op hun gebruik van gezichtsherkenning bij toegang tot zwembaden en speeltuinen. Het bleek dat alle onderzochte parken de privacywetgeving overtraden. Onder druk van de AP hebben zeven parken hun beleid aangepast, terwijl één park de regels nog niet heeft veranderd. Dit heeft geleid tot zorgen over de bescherming van persoonlijke gegevens van gasten, vooral omdat biometrische informatie uniek en onveranderlijk is—een inbreuk kan ernstige gevolgen hebben.

Voorheen kregen gasten toegang tot het zwembad met een pasje of polsbandje, maar nu moesten zij hun gezicht laten scannen. Dit wekte veel vragen op bij de gasten en de AP.
Monique Verdier, vicevoorzitter van de AP

Strenge voorwaarden voor gezichtsherkenning

De AVG stelt strenge voorwaarden aan de inzet van gezichtsherkenning, die in principe verboden is met enkele uitzonderingen:

  • Persoonlijk of huishoudelijk gebruik: Gezichtsherkenning is alleen toegestaan voor een specifiek persoonlijk of huishoudelijk doel, zoals het ontgrendelen van een smartphone. In dat geval geldt de AVG niet, mits aan bepaalde voorwaarden wordt voldaan.
  • Noodzakelijkheid voor beveiliging of authenticatie: Als uw organisatie gezichtsherkenning wil gebruiken voor authenticatie of beveiliging, moet u eerst bekijken welke voorwaarden daarvoor gelden. Het gebruik van deze technologie moet noodzakelijk zijn voor een zwaarwegend algemeen belang, zoals de beveiliging van essentiële infrastructuren.
  • Uitdrukkelijke toestemming: Voor de toepassing in recreatieve omgevingen zoals zwembaden is alleen uitdrukkelijke toestemming van gasten toegestaan. Dit houdt in dat gasten goed geïnformeerd moeten worden over waarvoor ze toestemming geven, en er moet een haalbaar alternatief zijn voor het gebruik van gezichtsherkenning.

De techniek achter gezichtsherkenning

Gezichtsherkenning bestaat uit een proces van twee fasen, zoals beschreven in de Guidelines on the use of facial recognition technology in the area of law enforcement van de European Data Protection Board (EDPB):

  • Verzameling van gezichtsafbeeldingen: Dit is de eerste stap waarin gezichten worden vastgelegd en in een sjabloon (template) worden omgevormd.
  • Herkenning: Het sjabloon wordt vergeleken met andere sjablonen om de identiteit vast te stellen.

De techniek omvat verschillende stappen, van gezichtsdetectie tot normalisatie en het creëren van een unieke getalsmatige representatie van een gezicht. Deze stap maakt het mogelijk om individuele gezichten te vergelijken en te identificeren.

Grotere risico’s en DPIA vereisten

Bij het verwerken van biometrische gegevens zijn de risico’s aanzienlijk. Deze gegevens zijn uniek en kunnen niet worden gewijzigd, wat betekent dat bij verlies of diefstal van deze gegevens de schade niet kan worden hersteld.

Voordat u kunt starten met gezichtsherkenning, moet u een Data Protection Impact Assessment (DPIA) uitvoeren. In uw DPIA moet u de privacyrisico’s van gezichtsherkenning en de maatregelen om deze risico’s te verkleinen opnemen. Enkele risico’s om te overwegen zijn:

  • Bias en fouten: De resultaten van gezichtsherkenning kunnen discriminerend zijn en minder goed werken bij bepaalde groepen mensen.
  • Ondoorzichtige informatieverzameling: Gezichtsherkenning maakt vaak gebruik van algoritmen die met beelden van mensen zijn getraind zonder hun toestemming.
  • Ontbreken van keuze: Mensen die gefilmd worden, hebben vaak geen moment om na te denken over hun keuze of om te reflecteren op hun instemming.
  • Secundair gebruik van gegevens: Overheden kunnen bedrijven vragen om informatie die met gezichtsherkenning is verzameld.

Wij kunnen u helpen bij het uitvoeren van een DPIA die specifiek is afgestemd op uw situatie. Hierdoor kunt u de risico’s beter in kaart brengen en passende maatregelen treffen om de privacy van betrokkenen te waarborgen.

Beveiliging van biometrische gegevens

Als u camera’s met gezichtsherkenning gaat gebruiken, is het van cruciaal belang dat u voldoet aan de eisen voor de beveiliging van biometrische gegevens. U moet zorgen voor een goede beveiliging van deze gegevens om inbreuken te voorkomen en om de privacy van betrokkenen te waarborgen.

Regels voor producenten of leveranciers

Bent u de producent van camera’s met gezichtsherkenning? Dan is het noodzakelijk dat u al bij het ontwerp van deze camera’s rekening houdt met privacyaspecten, in overeenstemming met de beginselen van privacy by design en privacy by default. Dit helpt bij het waarborgen van een zorgvuldige omgang met persoonsgegevens.

Als u als producent de camera’s ook aan klanten levert en persoonsgegevens voor hen verwerkt, bent u een verwerker van deze gegevens. Dit houdt in dat u specifieke verplichtingen heeft als het gaat om de verwerking van persoonsgegevens, inclusief het naleven van de AVG en andere relevante wetgeving.

Wat nu?

De AP heeft het ene vakantiepark dat nog niet voldoet aan de wetgeving een laatste kans gegeven om hun beleid vóór begin december aan te passen. Indien het park dit nalaat, zijn verdere sancties, zoals boetes, een reële mogelijkheid. De AP verwacht dat bedrijven voldoende kansen krijgen om compliant te worden met de wet.

Conclusie

De kwestie rondom gezichtsherkenning in vakantieparken benadrukt het belang van privacy en de noodzaak voor transparantie en toestemming bij het gebruik van biometrische gegevens. Organisaties moeten zich goed bewust zijn van hun verantwoordelijkheden onder de AVG en het juridisch kader rond gezichtsherkenning. Dit helpt hen niet alleen om te voldoen aan de wetgeving, maar ook om de privacy van hun klanten te waarborgen.

Heeft u vragen over hoe u de AVG en biometrische gegevens in uw organisatie kunt implementeren? Neem contact op met onze gespecialiseerde IT-advocaat voor advies op maat. Wij helpen u graag bij het uitvoeren van een DPIA en het ontwikkelen van een beleid dat aan de geldende wetgeving voldoet.

Lees ook:

Afspraak/telefonisch overleg

Wilt u graag een afspraak maken of wilt u uw zaak nu voorleggen, Dohmen advocaten is iedere dag van 9:00 tot 17:00 telefonisch bereikbaar via 013-5821987.

Ook kunt u contact opnemen met ons via het onderstaande formulier: