Gezichtsherkenningstechnologie en toestemming in de zin van de AVG

In een eerder blog werd al aandacht besteed aan biometrische technologie, waaronder het gebruik van vingerafdrukken als identificatiemiddel. Nu ook gezichtsherkenning een veelvuldig gebruikt middel is om bepaalde personen te herkennen, verdient deze vorm van identificatie aandacht.

Verschillende organisaties maken al gebruik van zogeheten facial recognition technologieën. Zo kan er een foto of gezichtsopname worden gemaakt en opgeslagen om in een later stadium voor identificatie- of authenticatiedoeleinden te worden ‘gematcht’ aan een persoon. Denk bijvoorbeeld aan een sportschool, die aan de hand van scans van de gezichten van hun leden toegang verleent tot de sportschool. Ook kan je denken aan de toepassing dat een bezoeker, bijvoorbeeld van een kroeg of een winkel, op een ‘zwarte lijst’ van een organisatie staat en deze organisatie de persoon eruit kan ‘vissen’, zodat de toegang ontzegd kan worden.

Deze vorm van technologie is erg vooruitstrevend, maar omdat het kan gaan om zeer privacygevoelige informatie dient hier secuur mee omgegaan te worden.

Gezichtsherkenning en toestemming in de zin van de AVG

In het kader van het vragen van toestemming van de betrokkene onderscheidt gezichtsherkenning zich van andere biometrische gegevens en verdient daarom aandacht.

Biometrische gegevens die worden verwerkt met het oog op de identificatie van een persoon, worden expliciet genoemd als bijzonder persoonsgegeven in de AVG. De reden hiervoor ligt in de gevoeligheid van deze gegevens. In beginsel mogen dergelijke gegevens niet worden verwerkt, tenzij er een uitzondering van toepassing is. Een mogelijke uitzondering op het verwerkingsverbod is de uitdrukkelijke toestemming van de betrokkene.

Het is dus mogelijk dat de gezichtsherkenning wordt toegepast met de uitdrukkelijke toestemming van de betrokkene. Toestemming is echter alleen geldig als aan de vereisten in de AVG is voldaan. Zo moet de organisatie die de gegevens verzameld onder andere kunnen aantonen dat de toestemming is gegeven en moet deze vrij, specifiek en geïnformeerd zijn.

Waar andere biometrische gegevens, zoals vingerafdrukken, praktisch gezien vrijwel alleen maar kunnen worden verzameld door een actieve handeling van de betrokkene, ligt dit bij foto’s en gezichtscans anders. Foto’s van personen kunnen immers gemaakt worden zonder dat daarvoor toestemming is gevraagd. Ook kunnen er foto’s van personen van het internet gehaald worden zonder dat er toestemming is gegeven om deze te gebruiken voor identificatie. Dit is echter niet zonder meer toegestaan zonder dat er om toestemming is gevraagd.

Het gebruik van biometrische gegevens zoals gezichtsherkenning is niet per definitie verboden op grond van de AVG, maar dit moet wel in overeenstemming met de AVG gebeuren. Wanneer de betrokkene toestemming geeft voor het gebruik van zijn persoonsgegevens voor biometrische identificatie, is het van belang dat deze toestemming hiervoor uitdrukkelijk gegeven is en dat de verantwoordelijke kan aantonen dat er sprake is van een toestemming.

Indien u gebruik wilt maken van gezichtsherkenning met als doel de identificatie van een persoon, wordt daarom aanbevolen om een gegevensbeschermingseffectbeoordeling, oftewel een Data Protection Impact Assessment (DPIA) uit te voeren, om de risico’s in kaart te brengen en maatregelen te identificeren.

Voor meer informatie over het gebruik van gezichtsherkenning, andere biometrische gegevens, het uitvoeren van een DPIA of ondersteuning bij de voorbereidingen op de AVG, neem gerust contact op met Considerati.