Gezichtsherkenning en cameratoezicht
Wilt u als organisatie camera's met gezichtsherkenning gebruiken? Dat is vrijwel altijd verboden. Een gezichtsafbeelding is namelijk een biometrisch persoonsgegeven. Wanneer een biometrisch persoonsgegeven wordt gebruikt om iemand uniek te identificeren, valt het onder de categorie bijzondere persoonsgegevens. Met camera’s die gezichtsherkenning toepassen, verwerkt u dus bijzondere persoonsgegevens. Maar wat zijn nu de regels omtrent gezichtsherkenning?
Het verwerken van bijzondere persoonsgegevens is verboden, tenzij er een wettelijke uitzondering van toepassing is. Dit betekent dat u alleen gezichtsherkenning mag gebruiken als in uw situatie een van die wettelijke uitzonderingen geldt.
De twee meest voor de hand liggende uitzonderingen zijn:
- Uitdrukkelijke toestemming van de betrokkenen: Dit is een van de uitzonderingen uit de AVG op het verbod om bijzondere persoonsgegevens te verwerken.
- Noodzaak voor authenticatie of beveiliging: Deze uitzondering staat in de Uitvoeringswet AVG (UAVG). Deze noodzaak is echter zelden aanwezig en moet gaan om een zwaarwegend algemeen belang, zoals de beveiliging van een kerncentrale of van staatsgeheime informatie.
Voordat u gezichtsherkenning mag inzetten, moet u eerst een Data Protection Impact Assessment (DPIA) uitvoeren. In uw DPIA dient u de privacyrisico’s van gezichtsherkenning op te nemen en de maatregelen om deze risico’s te verkleinen. Deze risico’s zijn onder andere:
- Bias (vooringenomenheid) en fouten in gezichtsherkenning: De uitkomsten van gezichtsherkenning kunnen discriminerend zijn en minder goed werken bij bepaalde groepen mensen.
- Ondoorzichtige informatieverzameling: Gezichtsherkenning werkt momenteel vaak op basis van algoritmes die getraind zijn met beelden van mensen die daarvoor geen toestemming hebben gegeven.
- Ontbreken van een keuze- of reflectiemoment voor de gefilmde personen: Mensen hebben geen mogelijkheid om te beslissen of ze gefilmd willen worden (‘wil ik dit wel echt?’).
- Secundair gebruik van gegevens: Bijvoorbeeld wanneer overheden bedrijven vragen om de informatie te verstrekken die zij met gezichtsherkenning hebben verzameld.
In een nieuw juridisch kader over gezichtsherkenning beantwoordt de Autoriteit Persoonsgegevens (AP) veelgestelde juridische vragen over het gebruik van gezichtsherkenning. Dit document is bedoeld voor privacyprofessionals en organisaties die gezichtsherkenning willen toepassen.
De Autoriteit Persoonsgegevens heeft supermarkten ook al langere tijd gewaarschuwd voor het gebruik van gezichtsherkenning. Volgens de AP is het beschermen van eigendommen geen voldoende uitzondering. Hoewel dit een zwaarwegend belang is, zijn er geen zwaarwegende algemene belangen aanwezig. "Het inzetten van gezichtsherkenning vormt bovendien een forse inbreuk op de privacy van alle bezoekers, en dit weegt zwaarder dan de zwaarwegende private belangen van de supermarkt," aldus de toezichthouder. Het is voorstelbaar dat er in andere sectoren van het bedrijfsleven vergelijkbare behoeften bestaan om eigendommen te beschermen. De waarschuwingen aan supermarkten kunnen als les dienen voor andere organisaties.
Daarnaast heeft de Europese toezichthouder voor gegevensbescherming, de EDPB, in april 2023 richtlijnen aangenomen voor instanties die gezichtsherkenningstechnologie gebruiken of van plan zijn te gebruiken binnen de rechtshandhaving. Deze richtlijnen zijn bedoeld om ervoor te zorgen dat het gebruik van dergelijke technologie de privacyrechten respecteert en voldoet aan de regelgeving inzake gegevensbescherming.
Verder kunnen we niet voorbijgaan aan de recent goedgekeurde AI-regelgeving, die over twee jaar van kracht wordt. Dit onderwerp zullen we echter een volgende keer verder bespreken.