Gebruik van biometrische persoonsgegevens steeds vaker onder vergrootglas

28/08/2019 - Op grond van de AVG zijn biometrische gegevens, die worden verwerkt met het oog op de unieke identificatie van een persoon, ‘bijzondere persoonsgegevens’. Op de verwerking van bijzondere persoonsgegevens zijn strengere regels van toepassing. Dit is bijvoorbeeld het geval wanneer gezichtsafbeeldingen of vingerafdrukken verwerkt worden. Afgelopen tijd is er meer aandacht geweest rondom de verwerking van biometrische gegevens. In deze blog vatten we kort een aantal ontwikkelingen op dit gebied samen. 

Wat zijn biometrische persoonsgegevens?

Biometrische gegevens worden in AVG gedefinieerd als persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd.

Eerder schreven we al dat er in beginsel een algemeen verbod rust op de verwerking van bijzondere persoonsgegevens, dus ook op de verwerking van biometrische gegevens met als doel de identificatie van een persoon. Mede omdat het in veel gevallen gaat om zeer gevoelige informatie en er grote risico’s gepaard kunnen gaan met een verkeerde toepassing van die gegevens of in het geval van een lek of hack. Het gebruik van biometrische persoonsgegevens is daarom alleen mogelijk in het geval van een specifieke uitzondering, zoals bijvoorbeeld na het verkrijgen van uitdrukkelijke toestemming van de betrokkene. 

Toenemende aandacht

Afgelopen tijd komt het gebruik van biometrische persoonsgegevens geregeld in het nieuws. Alsmaar groeiende technologische ontwikkelingen, zoals gezichtsherkenning, worden op verschillende manieren in onze samenleving toegepast. Deze ontwikkeling wekt vragen op rondom het gebruik van de daarbij verzamelde persoonsgegevens. Zo is het niet altijd even duidelijk wat er reeds gereguleerd is en hoe regulering een rol moet spelen bij technologieën waarbij biometrische persoonsgegevens verwerkt worden. Steeds meer toezichthouders starten daarom onderzoek naar het gebruik van dergelijke technologieën.

Zo werd onlangs bekend dat een projectontwikkelaar gebruik maakte van grootschalige gezichtsherkenning door camera’s te plaatsen in een druk gebied in het centrum van Londen. Volgens de projectontwikkelaar werden de camera’s en bijhorende technologie gebruikt om de openbare veiligheid te kunnen waarborgen. Toch bleek het gebruik door de projectontwikkelaar controversieel aangezien er geen grondslagen voor de verwerking van biometrische persoonsgegevens of specifieke beveiligingsmaatregelen aangetoond konden worden. Op basis daarvan heeft de Engelse toezichthouder, de ICO, aangekondigd een onderzoek te starten. De ICO meldde hierbij dat het gebruik van technologieën rondom gezichtsherkenning een prioriteit is voor de toezichthouder en dat er grote zorgen zijn over het gebruik ervan in de openbare ruimte door de particuliere sector. Eerder al kondigde de ICO aan onderzoek te zijn gestart rondom het gebruik van gezichtsherkenningstechnologie door Engelse politiediensten.

In Nederland heeft de Rechtbank Amsterdam deze maand uitspraak gedaan in een zaak waarin een schoenenwinkel gebruik maakte van een autorisatiesysteem voor de kassa’s dat werkte op basis van een vingerscan. Werknemers van de schoenenwinkel werden verplicht om hun vingerafdruk af te staan om de kassa’s te kunnen bedienen. De rechtbank oordeelde dat het gebruik van biometrische gegevens, zoals de vingerafdruk, voor dit doeleinde in strijd was met de AVG. De rechtbank vond deze verplichting een ongerechtvaardigde inbreuk op de privacy van de werknemers, mede omdat er alternatieve opties aanwezig waren voor het autorisatiesysteem. De uitspraak van de rechtbank toont aan dat de uitzonderingen op de verwerking van biometrische persoonsgegevens nauw toegepast dienen te worden en dat er een duidelijke afweging gemaakt moet worden om eventuele alternatieven te gebruiken die de privacy van betrokkenen in mindere mate schenden.

De Zweedse toezichthouder beboette onlangs een middelbare school voor het onrechtmatige gebruik van gezichtsherkenningstechnologie. De technologie werd gebruikt voor het controleren van de aanwezigheid van leerlingen bij de lessen gedurende een periode van drie weken. De school had de verwerking van de biometrische persoonsgegevens voor dit doeleinde gebaseerd op de expliciete toestemming van de leerlingen, één van de uitzonderingen om dit soort persoonsgegevens te verwerken. Echter was de Zweedse toezichthouder van mening dat de toestemming van de leerlingen voor dit doeleinde niet vrijelijk gegeven kon worden. In combinatie met het feit dat de school geen gegevensbeschermingseffectbeoordeling (DPIA) had uitgevoerd en dat er sprake was van de verwerking van bijzondere persoonsgegevens, oordeelde de toezichthouder dat de verwerking een inbreuk vormde op de AVG. 

Ook in Tsjechië heeft de lokale toezichthouder, UOOU, zich uitgesproken over het gebruik van biometrische persoonsgegevens. In dit geval ging het om het gebruik van gezichtsherkenningstechnologie in een voetbalstadion. Het desbetreffende voetbalstadion wilde voorkomen dat toegang verleend werd aan personen die voorheen voor onrust hadden gezorgd in het stadion. Hierbij zou automatische identificatie van bezoekers via camera’s een rol spelen. Na onderzoek van relevante wet- en regelgeving, oordeelde het UOOU dat er geen toereikende grondslag kon worden aangetoond en dat de verwerking in dit soort gevallen vaak disproportioneel is in verhouding met de gestelde doelen. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft zich in het verleden op een vergelijkbare manier uitgelaten over gezichtsherkenning ten bate van bijvoorbeeld stadionverboden.

Toekomst

Naar verwachting zullen toezichthouders de verwerking van biometrische persoonsgegevens streng blijven volgen. De European Data Protection Board (EDPB) heeft in begin juli 2019 een nieuwe richtlijn opgesteld voor cameratoezicht waarin ook de verwerking van biometrische persoonsgegevens uitgebreid besproken wordt. Deze richtlijn staat momenteel open voor consultatie.

Ook de Europese Unie wil meer harmonisatie om technologische ontwikkelingen, zoals gezichtsherkenning, onderhevig te maken aan duidelijkere regulering. De Europese Commissie maakte onlangs bekend bezig te zijn met regulering die EU burgers, bovenop de regels van de AVG, meer rechten en duidelijkheid moet geven als het gaat om gezichtsherkenning. De beoogde regulering zou deel uitmaken van de algehele herziening van wetgeving op het gebied van kunstmatige intelligentie (AI) en de ethische overwegingen die daarbij in toenemende mate een rol spelen. 

Wat kunt u doen?

Gezien het toenemende toezicht is het des te meer van belang dat organisaties zich bewust zijn dat er op het verwerken van bijzondere persoonsgegevens, met inbegrip van biometrische persoonsgegevens, strengere regels van toepassing zijn. Organisaties die gebruik willen maken van technologie waarbij biometrische persoonsgegevens verwerkt worden, dienen op aantoonbare wijze een afweging te maken tussen de bescherming van privacy en de gestelde doelen waarvoor de technologie gewenst is. Hierbij dient gekeken te worden naar mogelijke grondslagen maar ook naar randvoorwaarden zoals goede beveiligingsmaatregelen of andere risico beperkende maatregelen. Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) biedt hiervoor een goede oplossing.

Considerati kan uw organisatie ondersteuning bieden op het gebied van het verwerken van biometrische persoonsgegevens of het uitvoeren van een DPIA. Neem hiervoor gerust vrijblijvend contact met ons op.

Jonathan Toornstra Juridisch Adviseur

Heeft u nog vragen?

Neem contact met me op