Het gebruik van gezichtsherkenning als middel voor identificatie is momenteel een hot topic. In China wordt het ingezet door de overheid om haar bevolking te monitoren. In Engeland is gezichtsherkenning ingezet tijdens de finale van de Champions League 2017 en daarna ook tijdens concerten, andere sportwedstrijden en protesten. Daarnaast wordt het tegenwoordig dagelijks ingezet rondom metrostations in Londen. Er bestaan veel misverstanden over het gebruik van gezichtsherkenning. Wanneer mag een organisatie gebruik maken van gezichtsherkenning? Hoe wordt gezichtsherkenning in Nederland gebruikt? De antwoorden op deze vragen kunt u vinden in dit blog.
Bij het gebruik van gezichtsherkenning worden door middel van software op een wiskundige manier gezichtskenmerken van een persoon in kaart gebracht. Deze gegevens worden opgeslagen als een digitale gezichtsafdruk. Vervolgens wordt de digitale gezichtsafdruk met gebruik van algoritmes vergeleken met bijvoorbeeld camerabeelden of foto’s om de betreffende persoon daarop te herkennen.
Gezichtsherkenning kan voor verschillende doeleinden worden gebruikt door zowel de overheid als door het bedrijfsleven. Het is een uniek persoonsgegeven waardoor het aantrekkelijk wordt gevonden voor bijvoorbeeld fraudebestrijding.
Door de voorganger van de European Data Protection Board (EDPB), WP29, is bepaald dat gezichtsherkenning een biometrisch gegeven is. In de Algemene verordening gegevensbescherming (AVG) zijn biometrische gegevens opgenomen in artikel 9 als een categorie van bijzondere persoonsgegevens, vanwege de verhoogde risico’s voor betrokkenen wanneer deze gegevens verwerkt worden.
Het inzetten van gezichtsherkenning betreft een verwerking van persoonsgegevens in de zin van de AVG aangezien er gegevens worden gebruikt die kunnen worden ingezet om een natuurlijk persoon te identificeren Voor elke dergelijke verwerking van persoonsgegevens zal er een grondslag aanwezig moeten zijn anders is de verwerking onrechtmatig. De mogelijke grondslagen zijn limitatief opgenomen in artikel 6 van de AVG namelijk, toestemming, overeenkomst, vitaal belang van betrokkene of anderen, wettelijke plicht, taak van algemeen belang of openbaar gezag, en gerechtvaardigd belang van de verantwoordelijke.
Het aanwezig zijn van een van de grondslagen uit artikel 6 is echter nog niet voldoende wanneer de verwerking bijzondere persoonsgegevens betreft. Artikel 9 van de AVG behelst immers en verbod op het verwerken van bijzondere persoonsgegevens en dus ook biometrische gegevens, tenzij een van de gegeven uitzonderingen van toepassing is.
Uitzonderingen op het verwerkingsverbod
Een van de uitzonderingen die het verwerken van biometrische gegevens met het oog op de identificatie van een persoon, en dus ook gezichtsherkenning, mogelijk zou kunnen maken is wanneer de betrokkene hiervoor uitdrukkelijk toestemming heeft gegeven. Dit is bijvoorbeeld het geval bij het gebruik van gezichtsherkenning op de eigen smartphone. Deze toestemming moet wel voldoen aan de vereisten uit de AVG: vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig.
Verder is het inzetten van gezichtsherkenning mogelijk voor bijvoorbeeld de bescherming van de vitale belangen van de betrokkene of wanneer het noodzakelijk is om redenen van zwaarwegend algemeen belang, denk hierbij aan terrorismebestrijding. In Nederland is in artikel 29 van de Uitvoeringswet AVG opgenomen dat biometrische gegevens met het oog op unieke identificatie mogen worden verwerkt indien dit noodzakelijk is voor authenticatie of beveiligingsdoelen.
Aanvullende wettelijke eisen voor gebruik van gezichtsherkenning
Behalve de hiervoor genoemde benodigde grondslag voor de verwerking en het van toepassing zijn van een uitzondering op het verbod op het verwerken van bijzondere persoonsgegevens zal de verwerking van biometrische gegevens ook moeten voldoen aan de (overige) beginselen die vanuit de AVG gelden voor het verwerken van persoonsgegevens. Zo moet de verwerking onder andere proportioneel en subsidiair zijn. In het geval van gezichtsherkenning wil dit zeggen dat het belang of doel wat met gezichtsherkenning wordt beoogd te behalen in verhouding moet staan tot de inbreuk op het privéleven van de betrokkene (proportionaliteit) en dat het doel niet door gebruik van minder ingrijpende middelen haalbaar is.
Daarnaast zal aandacht moeten worden besteed aan de beveiligingseisen die zowel vanuit de AVG als vanuit andere normenkaders gelden. De AVG vereist immers dat er passende organisatorische en technische maatregelen worden genomen om persoonsgegevens en met name bijzondere persoonsgegevens passend te beschermen. In dit kader zijn ook de principes van data protection by design en by default uit artikel 25 van belang.
Tot slot zal naar nog naar overige Nederlandse wetgeving moeten worden gekeken voor eventuele aanvullende voorwaarden voor het verwerken van biometrische gegevens.Voor wat betreft het verwerken van biometrische gegevens door de politie is bijvoorbeeld de Wet politiegegevens van toepassing. In deze wet is in artikel 5 opgenomen dat het verwerken van bijzondere persoonsgegevens, zoals gezichtsherkenning, toegestaan is wanneer het onvermijdelijk is voor het doel van de verwerking.
Het inzetten van gezichtsherkenning om mensen te kunnen identificeren is dichterbij dan we denken. In Tilburg bestaat het voornemen om gezichtsherkenning te gebruiken bij het openbare zwembad om ‘relschoppers’ tegen te gaan. Tevens wordt er momenteel proefgedraaid met gezichtsherkenning in plaats van paspoortcontrole voor trans-Atlantische vluchten tussen Nederland en Canada.
De Nederlandse politie zet gezichtsherkenning in voor de opsporing van verdachten. Het Centrum voor Biometrie van de politie maakt gebruik van software met gezichtsherkenning die een vergelijking maakt tussen de opsporingsfoto en de gezichtendatabase van verdachten en veroordeelden. Vervolgens komt er een kandidatenlijst met gezichten naar voren die er technisch het meest op lijken, op basis waarvan experts van de politie vervolgens de kandidaten op de kandidatenlijst kunnen vergelijken.
Vanaf 2020 wordt er in het kader van de digitale overheid een verkennend onderzoek gestart naar automatische gezichtsherkenning. Zo wordt er bijvoorbeeld geëxperimenteerd met het gebruik van identiteitsgegevens op een smartphone. Dit zal betrekking hebben op de doelgroep die geregeld internationale vliegreizen maakt. Daarnaast worden er nieuwe digitale identiteitstoepassingen getest in samenwerking met de VNG.
Zoals bekend bestaat reeds de mogelijkheid om gebruik te maken van gezichtsherkenning voor het vergrendelen en ontgrendelen van smartphone of tablet. Hoewel dit vanuit het oogpunt van gemak handig is, moet hierbij wel rekening gehouden worden met het feit dat er enkele risico’s aan verbonden zijn. Zo kunnen sommige smartphones bijvoorbeeld ook worden ontgrendeld met enkel een foto van de eigenaar.
Gezichtsherkenning is geen ver-van-mijn-bed-show-toepassing. In Nederland wordt steeds vaker gezichtsherkenning ingezet en andere biometrische data gebruikt, zoals vingerafdrukken. Deze toepassingen, met al het gemak ervan, kunnen echter niet zomaar worden gebruikt. Zij moeten in overeenstemming zijn met de juridische eisen. In de praktijk wordt daar nog niet altijd rekening mee gehouden, zo is vaak de beveiliging niet adequaat of is er geen goede risicoanalyse gedaan en ontbreekt vastlegging van de beslissing tot het inzetten van dergelijke middelen.
Onze consultants privacy en informatiebeveiliging kunnen u bijstaan bij het nemen van de nodige maatregelen en voorzien van antwoorden op al uw vragen over dit onderwerp. Wilt u eens met ons sparren, neem dan contact op via info@cuccibu.nl of +31(0)85 303 2984.
Reduce Risk, Create Value!