Een korte blik op biometrische gegevens in gezichtsherkenningssoftware
Wat is ook alweer een biometrisch gegeven1 (AVG)?
Biometrische gegevens vallen onder bijzondere persoonsgegevens. Belangrijk dit niet te verwarren met wat er wetenschappelijk wordt verstaan onder een biometrisch gegeven.2 Hoe beoordeel je of een persoonsgegeven ook is aan te merken als een biometrisch gegeven3? Je beoordeelt dat aan de hand van drie belangrijke punten4:
Een belangrijk punt om te onthouden: biometrische gegevens zijn opgenomen in de lijst van verwerkingen waarvoor een Data Protection Impact Assesment (DPIA) verplicht is gesteld. Ben je benieuwd naar meer informatie over een DPIA? Wil je meer weten? Lees meer hier over wanneer je een DPIA moet uitvoeren.
Handreiking gezichtsherkenning
De AP heeft als uitgangspunt dat camera’s met gezichtsherkenning vrijwel altijd is verboden. Op de website van de AP wordt er informatie gegeven over wanneer het wel mag en welke regels er dan gelden. Begin mei heeft de AP een handreiking gepubliceerd waarin veel gestelde juridische vragen over het gebruik van gezichtsherkenning worden beantwoord. De vraag die nog steeds actueel is, is wanneer het verwerken van persoonsgegevens via de inzet van gezichtsherkenning een zuiver persoonlijke of huishoudelijke activiteit is. Zeker bij de deurbelcamera’s met gezichtsherkenning bedoeld en onbedoeld gericht op openbare wegen. Veel particulieren maken gebruik van deze camera’s en een groeiende groep ervaart hierdoor ongemak.5 Enkele gemeenten6 hebben daarom besloten hun inwoners te wijzen op de privacyregels over het gebruik van camera’s en deurbelcamera’s. Indien openbare ruimten worden gefilmd, bestaat er een grijs gebied. In principe is er dan geen sprake meer van een zuiver persoonlijk gebruik en is de AVG van toepassing.
Texaanse wet CUBI en gebruik van biometrische identificatiegegevens
Terug naar de miljardenschikking en de onrechtmatige verwerking van biometrische identificatiegegevens. Het is belangrijk om te weten dat je voor deze zaak jouw AVG-bril moet afzetten. In de VS bestaat er niet één algemene privacywetgeving, maar kan het per staat al flink verschillen. De juridische definities voor persoonsgegevens of persoonlijke informatie die in de Amerikaanse statuten zijn opgenomen, omvatten verschillende afzonderlijke elementen. Deze zijn elk potentieel van invloed op de reikwijdte of wat wordt verstaan onder persoonsgegevens.7 Dit geldt ook voor hoe de wetten in de verschillende staten “de betrokkenen” definiëren, wat wordt verstaan onder gegevensverwerking en welke entiteiten verplicht zijn om de rechten van de betrokkenen te respecteren.
In de Texaanse wet “ Capture Or Use Of Biometric Identifier” (CUBI) is het verboden om biometrische identificatiegegevens van een individu (retina- of irisscan, vingerafdruk, stemafdruk of registratie van hand- of gezichtsgeometrie) vast te leggen voor commerciële doeleinden. Op bepaalde uitzonderingen na beperkt CUBI ook de verkoop, lease of openbaarmaking van biometrische identificatiegegevens en vereist dat een vastgelegde biometrische identificatiegegeven binnen een redelijk tijdsbestek wordt vernietigd.
In Texas is één van de uitzonderingen dat het wel is toegestaan om biometrische identificatiegegevens vast te leggen indien je het individu informeert en toestemming verkrijgt van het individu voorafgaand aan de vastlegging. Volgens de procureur generaal van Texas heeft Meta een nieuwe functie “Tag Suggestions” ingezet om de gebruikerservaring te verbeteren door het voor gebruikers gemakkelijker te maken om foto's te 'taggen' met de namen van mensen op de foto. Meta draaide meer dan een decennium lang gezichtsherkenningssoftware op vrijwel elk gezicht op de foto's die naar Facebook werden geüpload. Meta zette deze functie automatisch aan zonder uit te leggen hoe de functie werkte. En zonder hiervoor toestemming te vragen aan de inwoners van Texas. Volgens de wet CUBI is dit in de staat Texas onrechtmatig en de procureur-generaal van Texas is daarom een rechtszaak gestart tegen Meta, waarna Meta heeft geschikt.
Hoe liep dit af in Europa? Interessant is dat in 2018 Meta (Facebook) communiceerde te voldoen aan de eisen van de AVG door het vragen van toestemming voor “Tag Suggestions” aan haar gebruikers. Vervolgens drie jaar later werd door Meta medegedeeld om het gebruik van gezichtsherkenning volledig (wereldwijd) te beëindigen.8 Hoewel de juridische privacykaders (AVG vs CUBI) zeker niet gelijkwaardig zijn, is het resultaat uiteindelijk hetzelfde. Namelijk dat gezichtsherkenningssoftware strikte kaders kent en niet zomaar door organisaties mag worden ingezet.
AVG: gezichtsherkenningssoftware en biometrische gegevens
Hopelijk ben je meer te weten gekomen, na het lezen van dit artikel. Mogelijk heb je nog wel de praktische vraag waar je als organisatie aan moet denken als je gezichtsherkenningssoftware zou willen gebruiken? Misschien kan je na het lezen van dit bericht het al raden. Het is in ieder geval aanbevolen om voorafgaand aan de start van het nieuwe proces of pilot een grondige DPIA uit te voeren. Niet alleen vanwege de mogelijke verwerking van biometrische gegevens en daarom een DPIA wordt verplicht. Het is vooral een belangrijk middel om die (hoge) privacyrisico’s boven water te krijgen. Bovendien kan de organisatie de benodigde maatregelen nemen om die risico’s te accepteren, te verminderen ofwel uit te schakelen.
Ben je opzoek naar ondersteuning bij het uitvoeren van een DPIA? Of heb je een andere vraag? Bij Privacy Company bieden we verschillende diensten aan om je privacyzaken op orde te krijgen.
[1] Artikel 4 Aanhef onder 14 Algemene Verordening Gegevensbescherming.
[2] Biometrische herkenning, of simpelweg biometrie, is de wetenschap van het vaststellen van de identiteit van een persoon op basis van fysieke- en of gedragskenmerken’. Er worden meerdere definities gebruikt. Hiervan is er een beschreven door o.a. Anil K. Jain. - Anil K. Jain et all, Introduction to biometrics, Springer New York 2011, p. 2, https://doi.org/10.1007/978-0-387-77326-1 .
[3] Identiteit kan ook door stemherkenning worden vastgesteld. Rb. Midden-Nederland 9 januari 2020, ECLI:NL:RBMNE:2020:24
[4] European Data Protection Board, ‘Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur’, 29 januari 2020, https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_nl.pdf
Autoriteit Persoonsgegevens, ‘Handreiking juridisch kader gezichtsherkenning’, 2 mei 2024, https://www.autoriteitpersoonsgegevens.nl/documenten/juridisch-kader-gezichtsherkenning,
[5] Onlangs is er in een civiele rechtzaak geoordeeld dat het recht op privacy zwaarder weegt. De camera’s moeten worden afgeplakt. Een privacymask was daarin niet voldoende. Zie Rb. Midden-Nederland 16 juli 2024, ECLI:NL:RBMNE:2024:4256.
[6] Security.nl, ‘Gemeente Harlingen wijst inwoners op privacyregels voor deurbelcamera’s’, 30 juli 2024, https://www.security.nl/posting/852109/Gemeente+Harlingen+wijst+inwoners+op+privacyregels+voor+deurbelcamera%27s .
Binnenlands Bestuur, ‘Amsterdam informeert inwoners over slimme deurbellen’, 24 juli 2024, https://www.binnenlandsbestuur.nl/digitaal/motie-over-informatiecampagne-deurbelcameras-aangenomen
[7] Bryce Clayton Newell, Nadezhda Purtova, Young Eun Moon and Hugh J. Paterson III, Regulating the Data Market: The Material Scope of American Consumer Data Privacy Law, 45 U. Pa. J. Int’l L. 1055 (2024), https://scholarship.law.upenn.edu/jil/vol45/iss4/4
[8] Facebook, An Update On Our Use of Face Recognition, 2 november 2021, https://about.fb.com/news/2021/11/update-on-use-of-face-recognition/
