Biometrie onder voorwaarden toegestaan bij evenementen

In oktober vroeg SP-Kamerlid Renske Leijten wat demissionair minister Sander Dekker van Rechtsbescherming vindt van de toepassing van gezichtsherkenning bij evenementen. Zij wil een verbod op de door private partijen aangeboden technologie als er ‘minder ingrijpende alternatieven’ voorhanden zijn. Maandag gaf Dekker antwoord.

De minister erkent dat aan het toepassen van gezichtsherkenning risico’s kleven. Daarom zijn er zowel in Europees als nationaal verband strikte regels, die ertoe moeten leiden dat er terughoudend wordt omgegaan met de inzet van een technologie als gezichtsherkenning. Een van die regels is dat betrokkenen niet verplicht mogen worden er gebruik van te maken en dat er een alternatief moet zijn, zoals een conventioneel toegangsticket. Daarnaast mogen niet meer gegevens worden verzameld dan strikt noodzakelijk. Bij evenementen waar tot nu toe met gezichtsherkenning werd gewerkt, is volgens Dekker aan die voorwaarden voldaan.

Wettelijk kader
Leijten wilde ook weten of en wat voor richtlijnen er zijn voor veiligheidsregio’s als zij een verzoek krijgen voor een evenement met gezichtsherkenning. Dergelijke richtlijnen zijn er volgens Dekker niet. Het Kamerlid vroeg zich verder af of er geen sprake is van dwang als er van de negen toegangspoorten acht alleen met gezichtsherkenning toegankelijk zijn. Een wettelijk kader zou dat moeten verbieden. Dekker antwoordde dat er een dergelijk wettelijk kader is, maar dat hoe de wet in de praktijk uitpakt altijd afhankelijk is van specifieke omstandigheden. Zo stelt de AVG dat iemand geen nadeel mag ondervinden van de keuze voor een alternatief voor biometrische identificatie. Zo’n nadeel zou een relatief lange wachtrij kunnen zijn.

Data Protection Impact Assessment
Een andere vereiste is dat de organisator van het evenement een Data Protection Impact Assessment (DPIA) uitvoert. In zo’n beoordeling zal de vraag over het rechtmatig geven van toestemming en de consequenties daarvan voor de manier waarop de toegang tot het evenement wordt ingericht een centrale rol moeten vervullen. Vervolgens is het aan de organisatie om maatregelen te nemen zodat toestemming wél vrijelijk kan worden gegeven, bijvoorbeeld door de indeling van de toegangspoortjes aan te passen en er zorg voor te dragen dat aan alle bepalingen en beginselen van de AVG wordt voldaan.

Functionaris Gegevensbescherming
Leijten was benieuwd welke instanties toezicht houden bij evenementen en controleren of aan de voorwaarden van de AVG wordt voldaan. De Autoriteit Persoonsgegevens (AP) heeft daarvoor niet de capaciteit, aldus het Kamerlid. Volgens Dekker kent de AVG een getrapte en risico-gebaseerde toezichtstructuur. De AP is de toezichthouder op de verwerking van persoonsgegevens en daarmee de centrale figuur in het toezichtstelsel. Daarnaast moeten organisaties in bij wet bepaalde gevallen waar de risico’s van gegevensverwerkingen voor betrokkenen groter worden een Functionaris Gegevensbescherming (FG) aanstellen. Deze fungeert als interne controleur en als verlengstuk van de AP binnen organisaties. De positie en taken van de FG zijn ook in de wet vastgelegd. Daarnaast moeten organisaties een DPIA uitvoeren als de verwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, om vervolgens maatregelen te nemen om die risico’s te mitigeren. De FG toetst deze DPIA in diens onafhankelijke rol.

Consequenties van technologie
Het SP-Kamerlid wilde ook weten of duidelijk is wat de maatschappelijke gevolgen zijn van nieuwe technologieën. Dekker antwoordde dat meerdere onderzoeken zijn verricht naar de ethische en juridische consequenties van technologie. Hij zegt dat er in de wetenschap, maar ook in het politieke debat en het openbaar bestuur volop aandacht wordt besteed aan de gevolgen van technologische ontwikkeling. Dit baseert hij op de veelheid aan artikelen, rapporten en aanbevelingen over de maatschappelijke, economische en juridische consequenties van nieuwe technologie. Hij gaat er vanuit dat de aandacht voor dit belangrijke onderwerp de komende jaren alleen nog maar verder toe zal nemen.

Werknemers
Tot slot wilde Leijten weten of werknemers van bijvoorbeeld een voetbalstadion verplicht kunnen worden om gebruik te maken van gezichtsherkenning. Ook dat wordt volgens Dekker geregeld in de AVG. Verplichte biometrische identificatie voor toegang tot de werkomgeving zal doorgaans niet rechtmatig zijn, omdat toestemming in relaties tussen werkgevers en werknemers niet vrijelijk kan worden gegeven. Er geldt wel een uitzondering op de regel als het gebruik van biometrische gegevens noodzakelijk is om redenen van zwaarwegend algemeen belang. Dat is bijvoorbeeld het geval bij beveiligings- of authenticatiedoeleinden in een kerncentrale. Er is dan een dubbele en cumulatief werkende noodzakelijkheidstoets: noodzakelijk voor een zwaarwegend algemeen belang én noodzakelijk voor beveiligings- of authenticatiedoeleinden. Deze dubbele noodzakelijkheidstoets zal in de aanstaande wijziging van de UAVG worden vastgelegd.

Deel dit artikel via: