Recent heeft de Autoriteit Persoonsgegevens een supermarkt een officiële waarschuwing gegeven. Het deed dit nadat de supermarkt gezichtsherkenningssoftware had geplaatst. De Autoriteit Persoonsgegevens benadrukt dat beelden of foto’s van gezichten zogenaamde biometrische gegevens zijn. In een eerdere blog hadden we het al over de moeilijkheden van biometrische authenticatie op de werkvloer, maar deze waarschuwing bewijst dat dergelijke software ook elders gevoelig ligt.
Verwerking van biometrische persoonsgegevens
Het verwerken van biometrische gegevens is niet zomaar toegestaan. Meer nog: het is principieel verboden, tenzij de AVG in een uitzondering voorziet. Een eerste mogelijkheid is de toestemming van de betrokkenen vragen. Zo kan iemand vrij toestemming geven om zijn smartphone met een vingerafdruk te beveiligen, maar kunnen ze ook gewoon een pincode gebruiken. De toestemming is ook wat de werkgever in de eerdergenoemde zaak aan zijn werknemers vroeg, maar hij liep tegen problemen aan omdat de toestemming van werknemers zelden vrij is.
De supermarkt beriep zich echter niet op de toestemming van bezoekers, maar wel op een beveiligingsuitzondering. Dankzij de gezichtsherkenningssoftware kon de supermarkt eenvoudig controleren of er mensen met een winkelverbod, omdat ze bijvoorbeeld eerder goederen hebben gestolen of het winkelpersoneel hebben bedreigd, in de winkel te vinden waren. De beelden van personen die geen winkelverbod hadden, werden meteen weer verwijderd. Dankzij deze beveiliging kon de supermarkt winkeldiefstal voorkomen, maar ook bezoekers en personeelsleden beschermen. Bezoekers werden geïnformeerd over deze gegevensverwerking.
Autoriteit Persoonsgegevens deelt een waarschuwing uit
De Autoriteit Persoonsgegevens vindt nu dat het gebruik van gezichtsherkenningssystemen te verregaand is om winkeldiefstal te voorkomen. Er is dan wel een beveiligingsuitzondering voorzien, maar volgens de Autoriteit Persoonsgegevens moet dit een zwaarwegend belang dienen. Zo oordelen ze dat biometrische authenticatie wel kan worden gebruikt voor bijvoorbeeld de douanecontrole in een luchthaven of voor het beschermen van kerncentrales of militaire installaties, maar niet om winkeldiefstal te voorkomen.
Aangezien de supermarkt zich niet op deze beveiligingsuitzondering kon beroepen, diende de Autoriteit Persoonsgegevens na te gaan of bezoekers geldig hun toestemming hebben gegeven. Bezoekers werden wel op de hoogte gebracht, maar ze hoefden hun toestemming niet te geven. Het louter betreden van de supermarkt terwijl men op de hoogte is van de gegevensverwerking, geldt volgens de Autoriteit Persoonsgegevens niet als een geldige toestemming.
De supermarkt had met andere woorden geen geldige reden voor de verwerking van dergelijke biometrische gegevens en dan is een waarschuwing een logisch gevolg.
Opletten met biometrische gegevens
Zoals ook uit het eerder aangehaalde voorbeeld blijkt, tilt de Autoriteit Persoonsgegevens al langer zwaar aan het foutief verwerken van biometrische gegevens. Nochtans zijn er steeds meer tools op de markt die biometrische gegevens gebruiken. Denk bijvoorbeeld aan tijdregistratiesoftware op basis van gezichtsherkenning. Daarbij wordt gerekend op de toestemming van de gebruikers. Een zzp’er kan zoiets natuurlijk gebruiken en kan vrij zijn toestemming geven, maar ten opzichte van personeel blijft het altijd twijfelachtig of zo’n toestemming wel voldoende vrij is.
Wij raden iedereen die biometrische persoonsgegevens wil verwerken, ongeacht of dit nu met de toestemming van de gebruikers of voor beveiligingsdoeleinden is, aan om vooraf juridisch advies in te winnen. De Autoriteit Persoonsgegevens wil koste wat het kost Chinese toestanden voorkomen en dus heb je je privacyzaakjes maar beter op orde.
Plan een gratis intakegesprek in waar onze privacy-experts alvast het een en ander met je bespreken.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44