Een Nederlandse supermarkt is op de vingers getikt door de privacytoezichthouder Autoriteit Persoonsgegevens, vanwege het verboden gebruik van gezichtsherkenning in de supermarkt. Waarom mocht dat niet? Wanneer mag een supermarkt wel gezichtsherkenning toepassen? Als het aan de Autoriteit Persoonsgegevens ligt, mag gezichtsherkenning alleen worden gebruikt voor de beveiliging van bijvoorbeeld kerncentrales. Wordt de lat daarmee niet te hoog gelegd? IT-advocaat I Chu Chao werpt, in twee artikelen, een nadere blik op de zaak.
In dit deel 2: Juridische analyse van gezichtsherkenning.
De juridische kant van gezichtsherkenning
De toepassing van gezichtsherkenning is in principe niet toegestaan volgens de Algemene Verordening gegevensbescherming (AVG), want dit valt onder de definitie van ‘biometrische gegevens’ (artikel 4 sub 14 van de AVG):
“persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.”
Niet alle gezichten zijn ‘biometrische gegevens’
Niet alle afbeeldingen van gezichten vallen onder de definitie van ‘biometrische gegevens’. Het zijn alleen biometrische gegevens als de gezichtsafbeeldingen worden gebruikt om iemand op een technische (automatische) wijze te ‘identificeren’, of iemands identiteit te ‘bevestigen’. In een gezichtsherkenningssysteem wordt niet een volledige ‘gezichtsafbeelding’ opgeslagen, maar een technische bewerking van gezichtskenmerken. Dit kan eruit zien als een ‘code’ met de ‘coördinaten’ van gezichtspatronen’. Alleen deze ‘code’ wordt opgeslagen.
Van een ander gezicht wordt vervolgens opnieuw een ‘code’ gemaakt en deze nieuwe ‘code’ wordt vergeleken (‘gematcht’) met de eerder opgeslagen ‘code’. Deze ‘codes’ vallen nog onder de definitie van ‘biometrische persoonsgegevens’, want aan de hand van de ‘code’ kan de identiteit van een natuurlijke persoon worden vastgesteld of bevestigd.
Algemeen verbod en de uitzondering
Voor het gebruik van ‘biometrische gegevens’ geldt een algemeen verbod in de gehele Europese Unie, zoals vastgelegd in artikel 9 lid 1 van de AVG. In artikel 9 lid 2 AVG zijn de uitzonderingen op dit algemeen verbod opgesomd. Eén van de relevante uitzonderingen voor gezichtsherkenning is opgenomen in artikel 9 lid 2 sub g van de AVG:
“de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene”
Van de ruimte om op lidstatelijk niveau af te wijken of aan te vullen, is door de Nederlandse wetgever gebruik gemaakt in artikel 29 van de Uitvoeringswet AVG (UAVG):
“Gelet op artikel 9, tweede lid, onderdeel g, van de verordening [AVG], is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.”
Het lijkt erop dat de wetgever ruimte heeft willen bieden aan de ontwikkelingen in het gebruik van biometrie voor beveiligingsdoeleinden. Zo noemt de wetgever in de Memorie van Toelichting het voorbeeld van ‘informatiesystemen die beveiligd moeten worden’. Helaas worden er geen andere voorbeelden genoemd van toelaatbaar gebruik van biometrie (naast de beveiliging van kerncentrales). Dat hoeft op zichzelf niet problematisch te zijn, want volgens de wetgever dient er steeds een eigen afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
AP is strenger dan de wetgever
De AP kijkt hier anders tegenaan; de AP stelt dat er altijd een ‘noodzaak om redenen van een zwaarwegend algemeen belang’ aanwezig moet zijn, zoals de beveiliging van een kerncentrale. Dit standpunt van de AP berust op een letterlijke lezing van artikel 9 lid 2 sub g AVG, waarin inderdaad staat dat voor deze uitzondering een ‘zwaarwegend algemeen belang’ moet bestaan.
Deze uitleg van de AP is strikter dan die van de Nederlandse wetgever; in artikel 29 UAVG komt ‘de noodzaak om redenen van algemeen belang’ niet meer terug, maar alleen ‘authenticatie en beveiligingsdoeleinden’. Hier is dus sprake van een verschil tussen de AVG en de UAVG.
Andere uitzondering uit AVG biedt uitkomst?
Artikel 9 lid 2 sub f van de AVG bevat ook een uitzondering op het verbod van biometrische gegevens. Hierin staat dat het algemeen verbod niet van toepassing is “indien de verwerking noodzakelijk [is] voor de instelling, uitoefening of onderbouwing van een rechtsvordering”. Volgens overweging 52 van de AVG mag de ‘rechtsvordering’ ook een buitengerechtelijke rechtsvordering zijn. De handhaving van een winkelverbod kan dus onder deze noemer van een ‘buitengerechtelijke rechtsvordering’ vallen. Supermarkten kunnen dan direct een beroep doen op de AVG, in plaats van de UAVG.
De volgende stap is dan de inhoudelijke toetsing van de grondslag ‘gerechtvaardigd belang’.
‘Gerechtvaardigd belang’ is passende en logische grondslag
Op grond van de AVG moet elke verwerking van persoonsgegevens rechtmatig zijn. Ten minste één van de in artikel 6 AVG genoemde ‘grondslagen’ moet van toepassing zijn. ‘Toestemming’ is een van de grondslagen, maar ‘gerechtvaardigd belang’ is er ook een (artikel 6 lid 1 onder f AVG). De grondslag ‘gerechtvaardigd belang’ wordt vaak gebruikt voor de verwerkingen waarbij een andere grondslag niet goed mogelijk of onlogisch is. Denk hierbij aan cameratoezicht of fraudepreventie. De AP bevestigt dit in een normuitleg over ‘gerechtvaardigd belang’. ‘Gerechtvaardigd belang’ is dus de meest passende grondslag voor gezichtsherkenning.
Toepassing van ‘gerechtvaardigd belang’: de drie testvragen
Om ‘gerechtvaardigd belang’ als grondslag toe te passen, dienen drie testvragen te worden beantwoord:
- Is het belang gerechtvaardigd? (‘Purpose test’)
- Is de verwerking noodzakelijk? (‘Necessity test’)
- Heb ik alle belangen voldoende afgewogen? (‘Balancing test’)
Hieronder wordt op elk van de testvragen ingegaan:
Belang moet gerechtvaardigd zijn (‘Purpose test’).
De eerste testvraag is: is er een te rechtvaardigen belang?
Beveiliging van eigendommen kan een te rechtvaardigen belang zijn. Het handhaven van een winkelverbod kan ook hieronder vallen. In het persbericht over de waarschuwing aan de supermarkt zegt de AP helaas niets over een te rechtvaardigen belang van de supermarkt.
De verwerking moet nodig zijn (‘Necessity test’)
De tweede testvraag is of de verwerking van persoonsgegevens nodig is om het belang te behartigen. Deze vraag is lastiger te beantwoorden. Het zal voor supermarkten moeilijk zijn om deze noodzaak aan te tonen. Hoewel geautomatiseerde gezichtsherkenning kan bijdragen aan de handhaving van winkelverboden in supermarkten, kan dit doeleinde ook op andere, minder ingrijpende manieren worden bereikt, bijvoorbeeld door cameratoezicht zonder gezichtsherkenning. Uit een onderzoek van 2014 blijkt dat geautomatiseerde gezichtsherkenning nog niet beter presteert dan ‘menselijke herkenning’. De technologie ontwikkelt zich echter razendsnel en het is denkbaar dat het op een gegeven de menselijke capaciteiten zal overstijgen; maar zover is het nog niet. Aan de ‘necessity test’ zal in de praktijk dus niet snel zijn voldaan.
Alle belangen moeten worden afgewogen (‘Balancing test’).
De derde test is misschien wel de belangrijkste: de belangenafweging. In dit geval zijn er meerdere spelers die allemaal hun eigen belangen hebben:
- Winkeliers hebben belang bij een (kosten)efficiënt middel om winkeldiefstal in de winkel te voorkomen. Daarnaast hebben winkeliers er belang bij om opgelegde winkelverboden te handhaven en overtreders op te sporen.
- Werknemers van de supermarkt hebben een belang bij een veilige werkomgeving. Ze hebben belang bij een veilige, efficiënte controle of er mensen met een winkelverbod zich binnen de winkel bevinden. Ook hebben ze belang bij de bescherming van hun persoonlijke levenssfeer, ook op de werkvloer.
- Winkelbezoekers hebben belang bij de bescherming van hun persoonlijke levenssfeer. Ze hebben er belang bij dat hun gezichtsafbeelding niet zonder hun medeweten wordt opgeslagen en wordt toegepast voor gezichtsherkenning. De AP heeft vooral een principieel bezwaar tegen gezichtsherkenning:
“Gezichtsherkenning maakt van ons wandelende streepjescodes’ (…). Elke keer als jij een winkel, stadion of evenementenhal met gezichtsherkenning binnenstapt, scant dat systeem jouw gezicht. Zonder dat te vragen.”
De rechten van betrokkenen, waaronder het recht op informatie, het recht op inzage en het recht om bezwaar te maken tegen profilering conflicteren met de voorwaarde voor een ‘goed getraind’ algoritme, namelijk de input van zeer veel afbeeldingen, vaak uit onbekende of onduidelijke bronnen.
Winkelbezoekers hebben er belang bij dat ze niet ten onrechte worden aangezien als een persoon met een winkelverbod. Bij een ‘false positive match’, waarbij het systeem iemand ten onrechte ‘herkent’ als een persoon met een winkelverbod, kan een persoon ten onrechte de toegang tot een winkel worden geweigerd. Als winkelbezoeker is het moeilijk aan te tonen dat je niet een winkelverbod hebt. Dit staat op gespannen voet met het grondrecht op een eerlijk proces en het beginsel dat je onschuldig bent totdat het tegendeel is bewezen.
Een winkelverbod is niet een strafrechtelijk, maar een civielrechtelijk middel. Ook zonder aangifte of vervolging, kan een winkelverbod in stand blijven. Vanwege de ernstige gevolgen van een winkelverbod is het noodzakelijk dat er zeer zorgvuldig wordt omgegaan met winkelverboden. De toepassing van automatische gezichtsherkenning, waarbij er nog veel fouten worden gemaakt, is dan een te groot risico.
Conclusie: geen zicht op rechtmatig gebruik gezichtsherkenning
De technische ontwikkelingen op het gebied van gezichtsherkenning gaan razendsnel. Veel bedrijven willen er gebruik van maken. Door een verschil in de uitleg van de AVG en de UAVG door de Nederlandse privacy-toezichthouder en de wetgever, is het onduidelijk wanneer gezichtsherkenning is toegestaan. Hierdoor is het praktisch onmogelijk en te riskant om gezichtsherkenning toe te passen in supermarkten.
—-
Wil jij meer weten over de juridische aspecten van gezichtsherkenning? Stuur me dan een bericht via de contactpagina.