Minister: festivals mogen gezichtsherkenning onder voorwaarden inzetten


Festivals mogen gezichtsherkenning onder voorwaarden inzetten, zo las ik bij Security.nl. Dat blijkt uit recente antwoorden van de minister op Kamercommissievragen: gezichtsherkenning mag echter niet lichtzinnig worden ingezet en moet streng worden gereguleerd, aldus de minister. Mooie woorden, maar het levert in de praktijk geen noemenswaardige verbetering op van de situatie.

In december stuurde de minister een brief over dit onderwerp, met daarin uitleg over gezichtsherkenning door de politie. Dat riep vragen op:

In de voor dit debat geagendeerde Kamerbrief1 over de inzet van gezichtsherkenningstechnologie in de openbare ruimte en door de politie staat «dat gezichtsherkenningstechnologie ingezet zou kunnen worden in een «gecontroleerde omgeving», welke weliswaar behoort tot de openbare ruimte, maar waarbinnen alle betrokken onomwonden en geïnformeerd toestemming hebben gegeven.» Deze zin vormde voor het lid Bouchallikh (GroenLinks) aanleiding om mij te vragen wat er wordt bedoeld met een «gecontroleerde omgeving».

De betreffende zin ging echter niet over de politie, maar juist over private partijen die in zo’n “gecontroleerde omgeving” gezichtsherkenning zouden willen inzetten. Daarover legde de minister toen uit:

Een voorbeeld van een gecontroleerde omgeving kan zich voordoen bij een festival, als de organisator de toegang regelt door middel van gezichtsherkenning. Daarbij is het echter wel noodzakelijk dat een waardig analoog alternatief worden geboden, zodat mensen geen nadelige consequenties ondervinden van het niet verlenen van toestemming.

De huidige antwoorden geven aan dat het toch niet helemaal duidelijk was: de vervolgvragen spraken over “impliciete toestemming aan de politie voor gezichtsherkenning”. Maar het gaat dus nogmaals om private partijen. Wanneer mogen die nou bij de toegang tot zo’n festival of andere “gecontroleerde omgeving” gezichtsherkenning toepassen? Momenteel zegt de wet (artikel 29 UAVG) daarover niet meer dan dat het “noodzakelijk is voor authenticatie of beveiligingsdoeleinden”. Dat wordt anders als de geplande wijziging doorgevoerd is:

In het wijzigingsvoorstel van de UAVG wordt expliciet opgenomen dat de uitzonderingsgrond van artikel 29 alleen kan worden toegepast wanneer dat nodig is voor een zwaarwegend algemeen belang (toetsing van proportionaliteit en subsidiariteit). Met deze dubbele noodzakelijkheidstoets (noodzakelijk voor de authenticatie of beveiligingsdoeleinden én noodzakelijk omwille van een zwaarwegend algemeen belang) geeft de UAVG beter invulling aan de eis van artikel 9, tweede lid, onderdeel g, van de AVG. 

Dit is zo’n zin die voor juristen een heerlijke kluif is maar waar anderen met de nodige moeite tegenaan kijken. Het komt erop neer dat deze tekst erbij gezet wordt:

omwille van beveiligingsdoeleinden en slechts voor zover dit noodzakelijk is vanwege een zwaarwegend algemeen belang van rechtmatige toegang tot bepaalde plaatsen, gebouwen, diensten, producten, informatiesystemen of werkprocessystemen

Daarmee is gebruik voor bijvoorbeeld prikklokken (wie begint/eindigt wanneer met werken) niet meer mogelijk, omdat dat niet een van de genoemde belangen is. Biometrie voor toegang tot een zwaar beveiligd computersysteem mag nog wel, net als toegang tot een “gecontroleerde omgeving”. Alleen moet dat dus noodzakelijk zijn vanuit een zwaarwegend algemeen belang, niet alleen maar “ze doen dat in Frankrijk ook” of “dit was goedkoper dan een extra beveiliger”.

Prima verhaal, dat dan alleen weer helemaal onderuit gaat omdat iemand het nodig vond zijn of haar kennis van de AVG te etaleren door te beginnen over uitdrukkelijke toestemming als uitzonderingsgrond. Ik zou het héél fijn vinden als iedereen ophield toestemming als grondslag aan te dragen (behalve bij nieuwsbrieven): die grondslag werkt niet en je kunt er niet op bouwen. De simpele reden: toestemming is altijd intrekbaar, dus ook 1 seconde na het verlenen. En je mag daar geen negatieve consequenties aan verbieden, zoals het weg moeten gaan van het festival. Uit de brief:

Dat betekent dat de bezoeker van het festival niet onder druk mag worden gezet om toestemming te verlenen en geen nadeel mag ondervinden van het niet verlenen van toestemming. In dit voorbeeld betekent dit dat de bezoeker van het festival ook een analoge toegangsmogelijkheid moet worden geboden.

Helaas gaat de brief niet in op het intrekken, wat dus het grote pijnpunt is. Als je de gezichtsherkenning alleen bij de toegang inzet (hier is mijn kaartje, bliep dat is mijn gezicht, die horen bij elkaar) dan is intrekken inderdaad niet heel zinnig. Maar als je dan ook een niet-biometrie toegangspoort moet regelen én moet zorgen dat die net zo efficiënt is, dan zie ik de meerwaarde niet echt van de biometrie. En als er geen meerwaarde van is, dan is er dus geen duidelijke noodzaak. Dus waarom zou je dan nog biometrie gebruiken?

Arnoud

 



https://blog.iusmentis.com/2023/04/11/minister-festivals-mogen-gezichtsherkenning-onder-voorwaarden-inzetten/