Gezichtsherkenning bij toegang tot evenementen is toegestaan, mits betrokkenen vrijelijk en uitdrukkelijk toestemming geven. Het onthouden van toestemming mag er niet toe leiden dat betrokkenen als gevolg daarvan nadelige gevolgen ondervinden, zoals extra wachttijd bij de entree.
Dat antwoordt demissionair minister Dekker (Rechtsbescherming) op vragen van de SP en FvD. Dekker is het er mee eens dat gezichtsherkenning risico’s kent, zoals een groot verlies aan privacy, het ongeoorloofd gebruik van persoonlijke data en buitensluiting. “Zowel in EU als nationaal verband zijn er strikte regels, die ertoe moeten leiden dat er terughoudend wordt omgegaan met de inzet van deze technologie. Er geldt in deze gevallen een ‘nee, tenzij’ regime en op grond daarvan is er weinig ruimte voor gezichtsherkenning. De verwerkingsverantwoordelijke moet burgers echt de keuze bieden of zij toestemming willen geven voor gezichtsherkenning, ook door minder ingrijpende alternatieven aan te bieden.”
Langer wachten
Als mensen geen toestemming verlenen voor gezichtsherkenning, mogen zij daardoor niet worden benadeeld. Dekker: “In het hypothetische geval dat de door een organisator van een evenement voorziene indeling van het aantal toegangspoortjes tussen ‘identificatie door gezichtsherkenning’ versus ‘analoge identificatie’ ertoe leidt dat betrokkenen die geen toestemming verlenen voor het verwerken van hun biometrische gegevens substantieel langer moeten wachten en een deel van het evenement missen waarvoor zij hebben betaald, kan worden aangenomen dat dit als nadelig gevolg kwalificeert. Het is aan de Autoriteit Persoonsgegevens (AP), of in voorkomend geval aan de rechter, om in het specifieke geval te beoordelen of deze toestemming daadwerkelijk vrijelijk is gegeven.”
Evenementen moeten er vanuit hun rol als verwerkingsverantwoordelijke van deze bijzondere persoonsgegevens zorg voor dragen dat aan de wet wordt voldaan en dat zij rechtmatig gegeven toestemming van betrokkenen verkrijgen voor de verwerking van biometrische gegevens. Een van die vereisten is dat het evenement – gelet op de risico’s die dergelijke grootschalige monitoring van biometrische gegevens meebrengt – een Data Protection Impact Assessment (DPIA) moet uitvoeren.
Werknemers
Dekker vindt dat er voldoende is geborgd dat werknemers in bijvoorbeeld voetbalstadions niet verplicht mogen worden om gebruik te maken van toegang tot hun werk op basis van gezichtsherkenning. “Verplichte biometrische identificatie voor toegang tot de werkomgeving zal doorgaans niet rechtmatig zijn, omdat toestemming in relaties tussen werkgevers en werknemers niet vrijelijk kan worden gegeven. Dit behoudens uitzonderingssituaties waar het gebruik van biometrische gegevens noodzakelijk is om redenen van zwaarwegende algemeen belang voor beveiligings- of authenticatiedoeleinden, zoals het identificeren van werknemers bij een energiecentrale. Deze laatste eis bevat een dubbele noodzakelijkheidstoets: noodzakelijk voor een zwaarwegend algemeen belang en noodzakelijk voor beveiligings- of authenticatiedoeleinden. Deze dubbele noodzakelijkheidstoets zal in de aanstaande wijziging van de UAVG worden vastgelegd.”