De Autoriteit Persoonsgegevens (AP) heeft acht vakantieparken onderzocht die gezichtsherkenning inzetten bij de toegang tot zwembaden en speeltuinen. Alle onderzochte vakantieparken bleken de privacywet te overtreden. Onder druk van de AP hebben zeven van de onderzochte parken hun werkwijze aangepast, maar één vakantiepark nog niet. Blijft dat zo, dan kan de AP andere maatregelen opleggen, zoals een boete of dwangsom.

De AP startte het onderzoek door tips van burgers. “Mensen waren verbaasd”, zegt AP-vicevoorzitter Monique Verdier. “Waar ze vroeger het zwembad in kwamen met een pasje of een polsbandje, werd nu opeens gezichtsherkenning ingezet. Voor volwassenen, maar ook voor kinderen. Enkel en alleen om het zwembad in te kunnen. Mag dat zomaar? Dat wilden ze weten.”

Gezichtsherkenning is meestal verboden
De Algemene verordening gegevensbescherming (AVG) stelt strenge voorwaarden aan de inzet van gezichtsherkenning. “De inzet is in principe verboden. En dat is niet voor niets”, zegt Verdier. “Als er eenmaal zo’n gezichtsscan van jou gemaakt is, ben je de controle kwijt. Je kunt dan overal geïdentificeerd en gevolgd worden. Je gezicht is uniek en kun je niet zomaar even ruilen voor een ander exemplaar.”
In principe is in slechts drie gevallen gezichtsherkenning wél toegestaan. Bijvoorbeeld als de gezichtsherkenning alleen een persoonlijk of huishoudelijk doel heeft, zoals het ontgrendelen van een telefoon. Ook mag het als de gezichtsherkenning noodzakelijk is voor authenticatie of beveiliging. Die noodzaak is er niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie. Verder mag het als degene van wie je het gezicht scant, daarvoor uitdrukkelijk toestemming geeft.

Uitdrukkelijke toestemming voor gezichtsherkenning
Bij toegangscontrole voor een zwembad is dus alleen optie 3 mogelijk: uitdrukkelijke toestemming. Er zitten flink wat voorwaarden aan de manier waarop een organisatie mensen toestemming moet vragen om gezichtsherkenning toe te passen. Zo moet de organisatie mensen goed informeren, zodat zij echt weten waar ze ‘ja’ tegen zeggen. Ook moeten ze vrij zijn – en zich vrij voelen – om ‘nee’ te zeggen. Dat betekent onder meer dat er ook een alternatief moet zijn. In dit geval: bijvoorbeeld dat je ook toegang kunt krijgen met een pasje of polsbandje.

Verschillende overtredingen door vakantieparken
Uit het onderzoek van de AP bleek dat alle vakantieparken zich niet aan de wet hielden. De AP kwam verschillende overtredingen tegen. Soms vroegen parken niet eens om toestemming. Of niet duidelijk genoeg. Gasten konden soms geen gebruikmaken van een alternatief voor gezichtsherkenning. Of er was wel een alternatief, maar het vakantiepark liet dat de gasten niet uit zichzelf weten. Andere vakantieparken informeerden de gasten onvoldoende over de gezichtsherkenning. En over de rechten die de gasten hebben zodra een organisatie hun persoonsgegevens gebruikt voor gezichtsherkenning.
De gasten kregen vaak geen informatie over hoe lang het vakantiepark de gegevens bewaart en wie de gegevens ontvangt. Verdier: “Dit is zeer ernstig. Je mag mensen niet onder druk zetten om hun biometrische gegevens af te staan. Toch was dat wat hier gebeurde: mensen betalen voor een leuke vakantie, inclusief zwembad, en worden voor een voldongen feit gesteld: als je wilt zwemmen, moet je je data afstaan. Dat is verboden.”

Hoe nu verder?
De AP heeft een last opgelegd aan het vakantiepark dat nu nog niet aan de wet voldoet. Het vakantiepark krijgt tot begin december om de werkwijze bij gezichtsherkenning aan te passen. Doet het park dat niet, dan kan de AP overgaan tot andere maatregelen. Verdier: “Het bedrijf heeft dan genoeg kans gehad om aan de wet te voldoen. Een andere maatregel, zoals een boete of een dwangsom, kan dan nodig zijn.”