Antwoord schriftelijke vragen : Antwoord op vragen van het lid Kerseboom aan over de inzet van gezichtsherkenningstechnologie
Vragen van het lid Kerseboom (FVD) aan de Minister voor Rechtsbescherming over de inzet van gezichtsherkenningstechnologie (ingezonden 5 november 2021).
Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 6 december 2021). Zie
ook Aanhangsel Handelingen, vergaderjaar 2021–2022, nr. 807.
Vraag 1
Bent u bekend met het bericht van 1Limburg «11devande11de werkt bij toegang met gezichtsherkenning»
van 3 november 2021 en het artikel van NRC «Gezichtsherkenning als identificatiemiddel
naast de coronacheck voor festivals» van 25 oktober 2021?1
Antwoord 1
Ja.
Vraag 2, 3
Hoe heeft het bedrijf Compo toestemming verkregen voor het gebruik van gezichtsherkenningstechnologie,
gezien in de «Beleidsreactie onderzoeksrapporten horizontale privacy»2 vermeld wordt dat het gebruik van gezichtsherkenning in horizontale relaties (tussen
burgers en bedrijven) in principe niet is toegestaan?
Vindt u dat de inzet van gezichtsherkenningstechnologie bij evenementen in Limburg
een «zwaarwegend algemeen belang dien[t]»?3 Zo ja, wat is dit zwaarwegend algemeen belang?
Antwoord 2, 3
In de genoemde beleidsreactie schreef ik, kort weergegeven, dat de toepassing van
gezichtsherkenning tussen burgers onderling alleen is toegestaan na uitdrukkelijke,
vrijelijk gegeven toestemming4 door de burger die wordt herkend of wanneer dat noodzakelijk is om redenen van zwaarwegend
algemeen belang voor beveiligings- of authenticatiedoeleinden (bijvoorbeeld het beveiligen
van een energiecentrale).5 Uit de berichten leid ik af dat de verantwoordelijken geen beroep doen op een zwaarwegend
belang, maar dat de verwerkingsverantwoordelijke organisaties zich baseren op de uitdrukkelijke
toestemming van betrokkenen om de verwerking van biometrische gegevens rechtmatig
plaats te laten vinden. Die toestemming van burgers moet wel voldoen aan alle eisen
die de Algemene verordening gegevensbescherming (AVG) daaraan stelt, zoals onder meer
dat deze vrijelijk moet worden gegeven. Uiteindelijk is het aan de Autoriteit Persoonsgegevens
(AP) om in het specifieke geval – met in acht name van de richtsnoeren 05/2020 inzake
toestemming van de European Data Protection Board (EDPB) – te bepalen of deze toestemming
daadwerkelijk vrijelijk is gegeven. Op basis van de informatie uit de aangedragen
artikelen heb ik geen reden om aan te nemen dat bij genoemde evenementen niet aan
de wettelijke vereisten is voldaan.
Ook wanneer biometrische gegevens verwerkt mogen worden omdat er rechtsgeldig uitdrukkelijke
toestemming door de betrokkene is verleend, betekent dit nog niet dat gezichtsherkenning
zomaar kan worden toegepast. De AVG kent namelijk een breed scala aan waarborgen.
Zo volgt bijvoorbeeld uit het beginsel van data minimalisatie6 dat de verwerkingsverantwoordelijke zo min mogelijk gegevens van betrokkene moet
verwerken: alleen gegevens welke noodzakelijk zijn om het doel te bereiken mogen worden
verwerkt. Dit brengt mee dat een verwerkingsverantwoordelijke die gezichtsherkenning
toe wil passen moet toetsen of er geen mogelijkheden bestaan om het doel te bereiken
en daarbij minder gegevens te verwerken.
Voor nadere uitleg over het juridisch kader omtrent gezichtsherkenning verwijs ik
graag naar de recente kabinetsreactie op een deel van een opinie van de European Data
Protection Supervisor (EDPS) en EDPB inzake de in Brussel voorliggende «AI-verordening».7
Vraag 4
Vindt u dat het bewustzijn onder burgers over de «gevaren en juridische (en mogelijkerwijs
ook sociale en ethische) grenzen»8 van het toepassen van gezichtsherkenningstechnologieën inmiddels hoog genoeg is voor
burgers om expliciet toestemming te geven voor het verwerken van hun data voor evenementen
zoals de 11devande11de?
Antwoord 4
Het is belangrijk dat burgers zich bewust zijn van de voor- en nadelen van gezichtsherkenning.
Juist om bewuste keuzes onder burgers te waarborgen, stelt artikel 7 AVG strikte voorwaarden
voor het aannemen van rechtsgeldige toestemming vast. Eén van die voorwaarden is dat
degene die toestemming verleent voldoende geïnformeerd moet zijn. In de in antwoorden
op de vragen 2 en 3 aangehaalde richtsnoeren van de EDPB wordt nadere duiding gegeven
over het begrip toestemming.9 Daarnaast draagt de Autoriteit Persoonsgegevens bij aan het bewustzijn door op haar
site voorlichting te geven aan de regels voor onder gezichtsherkenningstechnologieën.
Het is tevens aan de AP, of in voorkomend geval aan de rechter, om een oordeel te
vellen over of de verleende toestemming als ¨geïnformeerd¨ kan worden gekwalificeerd.
Vraag 5
Bent u het ermee eens dat de privacy van mensen die geen gebruik willen maken van
de gezichtsherkenningstechnologie niet gegarandeerd kan worden als die ingezet wordt
bij dergelijke evenementen en zij per ongeluk in de camera kijken?
Antwoord 5
In voorliggend geval verplicht de AVG de verwerkingsverantwoordelijke ervoor te zorgen
dat alleen de biometrische gegevens worden verwerkt van personen die daarvoor toestemming
hebben verleend, en niet die van anderen.
Daarnaast verplicht de AVG tot het nemen van de nodige technische en organisatorische
maatregelen om ervoor te zorgen de rechten van betrokkenen worden beschermd en de
bepalingen uit de AVG worden nageleefd. In dit geval vloeit hier logischerwijs uit
voor dat er maatregelen worden getroffen om te vermijden dat de (biometrische) gegevens
van derden – die daarvoor dus geen toestemming hebben verleend – worden verwerkt.
Ondertekenaars
-
Eerste ondertekenaar
S. Dekker, minister voor Rechtsbescherming
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.