Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over Toezegging over het gebruik gezichtsherkenningstechnologie door de politie in een gecontroleerde omgeving
32 761 Verwerking en bescherming persoonsgegevens
Nr. 265
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 5 april 2023
De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd
aan de Minister voor Rechtsbescherming over de brief van 5 december 2022 over een
toezegging over het gebruik gezichtsherkenningstechnologie door de politie in een
gecontroleerde omgeving (Kamerstuk 32 761, nr. 253).
De vragen en opmerkingen zijn op 30 januari 2023 aan de Minister voor Rechtsbescherming
voorgelegd. Bij brief van 3 april 2023 zijn de vragen beantwoord.
De voorzitter van de commissie, Kamminga
De adjunct-griffier van de commissie, Van Tilburg
I
Vragen en opmerkingen vanuit de fracties
2
Vragen en opmerkingen van de leden van de VVD-fractie
2
Vragen en opmerkingen van de leden van de D66-fractie
2
Vragen en opmerkingen van de leden van de CDA-fractie
2
II
Reactie van de bewindspersoon
3
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de geagendeerde brief en hebben
geen aanvullende vragen.
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben kennisgenomen van de brief van de Minister en hebben
daarover twee vragen. De Minister geeft het voorbeeld van een festival als gecontroleerde
omgeving waarbij mensen toestemming hebben gegeven aan de organisatie voor het gebruik
van gezichtsherkenning. Begrijpen deze leden het goed dat bezoekers in dat geval ook
impliciet toestemming hebben gegeven aan de politie om gezichtsherkenning te gebruiken
op het terrein van het festival? Vervolgens verwijst de Minister naar de Telecomraad
van 6 december 2022 en stelt dat in de AI-Verordening uitzonderingen zijn op het verbod
voor realtime gezichtsherkenning in de openbare ruimte. Kan de Minister aangeven welke
uitzonderingen het zijn, zo vragen deze leden.
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie danken de Minister voor de nadere toelichting over het
gebruik van gezichtsherkenningstechnologie. Deze leden hebben hierover nog enkele
vragen.
De leden van de CDA-fractie hechten groot belang aan een strenge wettelijke afbakening
en controle van de toepassing van gezichtsherkenningstechnologie, zoals ook is afgesproken
in het regeerakkoord. Het toenemende gebruik van gezichtsherkenning is een volgende
indringende stap in een digitaliserende samenleving, met als risico dat mensen als
een verzameling data worden gezien. Deze leden constateren dat via verschillende trajecten
wordt gewerkt aan nieuwe wet- en regelgeving rondom gezichtsherkenning, namelijk de
Verzamelwet Gegevensbescherming, de AI-Act vanuit Europa en een specifieke uitwerking
van het regeerakkoord die is voorzien voor het voorjaar van 2023. Deze leden vragen
of dit klopt en volledig is en of de Minister specifiek kan aangeven wanneer de uitwerking
van het regeerakkoord op het punt van gezichtsherkenning naar de Kamer wordt gestuurd.
De leden van de CDA-fractie hebben behoefte aan duidelijkheid over wat er per traject
wettelijk dan wel beleidsmatig aan normen voor het gebruik van gezichtsherkenning
wordt vastgesteld. Deze leden vragen of de Minister hier specifiek op wil ingaan,
en ook wil aangeven hoe de trajecten ten opzichte van elkaar gewogen moeten worden
en hoe de planning van deze trajecten eruit ziet. Deze leden achten het van belang
dat de verschillende trajecten elkaar aanvullen en niet leiden tot onduidelijkheid.
De leden van de CDA-fractie lezen dat de zinsnede over gezichtsherkenning in een gecontroleerde
omgeving ziet op gebruik door organisaties anders dan de politie. Deze leden vragen
of de Minister de zorg deelt dat het gebruik van gezichtsherkenning steeds verder
toeneemt, ook als dat niet noodzakelijk is vanwege bijvoorbeeld de veiligheid. De
leden vragen of de Minister kan toelichten welke waarborgen hij noodzakelijk acht
als gezichtsherkenningstechnologie gebruikt zou worden voor bijvoorbeeld de toegang
tot een festival. Deze leden vragen ook of de Minister kan bevestigen dat dit altijd
met uitdrukkelijke toestemming moet gebeuren en dat er altijd een analoog alternatief
voorhanden moet zijn. Deze leden vragen hoe en waar deze waarborgen in de wet zijn
of zullen worden vastgelegd.
De leden van de CDA-fractie zijn voorts van mening dat verantwoord gebruik van gezichtsherkenningstechnologie
staat of valt met adequaat toezicht op de naleving van de wettelijke voorschriften.
Deze leden maken zich zorgen over signalen dat veel organisaties niet goed weten wat
de regels voor het gebruik van gezichtsherkenning zijn. Deze leden vragen daarom of
de Minister kan aangeven hoe het toezicht wordt vormgegeven en of daarvoor nog extra
waarborgen nodig zijn, naast bijvoorbeeld voorlichting door de Autoriteit Persoonsgegevens.
II Reactie van de bewindspersoon
Met interesse heb ik kennisgenomen van de vragen die door de verschillende fracties
zijn gesteld naar aanleiding van mijn brief van 15 december 2022, over het gebruik
van gezichtsherkenning door de politie in een gecontroleerde omgeving (Kamerstuk 32 761, nr. 253).
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de geagendeerde brief en hebben
geen aanvullende vragen.
Vragen en opmerkingen van de leden van de D66-fractie
Vraag
De Minister geeft het voorbeeld van een festival als gecontroleerde omgeving waarbij
mensen toestemming hebben gegeven aan de organisatie voor het gebruik van gezichtsherkenning.
Begrijpen deze leden het goed dat bezoekers in dat geval ook impliciet toestemming
hebben gegeven aan de politie om gezichtsherkenning te gebruiken op het terrein van
het festival?
Antwoord
Nee, een bezoeker geeft niet impliciet toestemming aan de politie voor het inzetten
van gezichtsherkenning. Het hiervoor genoemde voorbeeld gaat over het gebruik van
gezichtsherkenningstechnologie tussen burgers en bedrijven in de horizontale relatie
en is niet gerelateerd aan de politie of opsporing en vervolging.
Vraag
Vervolgens verwijst de Minister naar de Telecomraad van 6 december 2022 en stelt dat
in de AI-Verordening uitzonderingen zijn op het verbod voor realtime gezichtsherkenning
in de openbare ruimte. Kan de Minister aangeven welke uitzonderingen het zijn, zo
vragen deze leden.
Antwoord
In de door de Europese Commissie voorgestelde tekst en de in december 2022 aangenomen
raadspositie1 van de AI-verordening is een verbod opgenomen voor realtime biometrische identificatie,
waar gezichtsherkenning onder te plaatsen valt, op afstand in de openbare ruimte door
de rechtshandhaving. Op dit verbod zijn in de AI-verordening (limitatief) uitzonderingen
geformuleerd. Die uitzonderingen hebben betrekking op de gerichte zoektocht naar mogelijke
slachtoffers van misdrijven, bepaalde substantiële bedreigingen ten aanzien van het
leven of de fysieke veiligheid van personen of van een terroristische aanslag en de
opsporing, lokalisatie, identificatie of vervolging van een natuurlijke persoon met
het oog op strafrechtelijk onderzoek, vervolging of tenuitvoerlegging van ernstige
strafbare feiten. Verder moet de inzet van realtime gezichtsherkenning op afstand
in de openbare ruimte door de rechtshandhaving voldoen aan de vereisten van proportionaliteit
en subsidiariteit. Verder moet ieder gebruik worden goedgekeurd door een rechter of
een andere onafhankelijke autoriteit die bepaalt onder welke voorwaarden de toepassing
gebruikt mag worden.
Vragen van de leden van de CDA-fractie
Vraag
De leden van de CDA-fractie hechten groot belang aan een strenge wettelijke afbakening
en controle van de toepassing van gezichtsherkenningstechnologie, zoals ook is afgesproken
in het regeerakkoord. Het toenemende gebruik van gezichtsherkenning is een volgende
indringende stap in een digitaliserende samenleving, met als risico dat mensen als
een verzameling data worden gezien. Deze leden constateren dat via verschillende trajecten
wordt gewerkt aan nieuwe wet- en regelgeving rondom gezichtsherkenning, namelijk de
Verzamelwet Gegevensbescherming, de AI-Act vanuit Europa en een specifieke uitwerking
van het regeerakkoord die is voorzien voor het voorjaar van 2023. Deze leden vragen
of dit klopt en volledig is en of de Minister specifiek kan aangeven wanneer de uitwerking
van het regeerakkoord op het punt van gezichtsherkenning naar de Kamer wordt gestuurd.
De leden van de CDA-fractie hebben behoefte aan duidelijkheid over wat er per traject
wettelijk dan wel beleidsmatig aan normen voor het gebruik van gezichtsherkenning
wordt vastgesteld. Deze leden vragen of de Minister hier specifiek op wil ingaan,
en ook wil aangeven hoe de trajecten ten opzichte van elkaar gewogen moeten worden
en hoe de planning van deze trajecten eruit ziet. Deze leden achten het van belang
dat de verschillende trajecten elkaar aanvullen en niet leiden tot onduidelijkheid.
Antwoord
Er wordt inderdaad in verschillende trajecten gewerkt aan nieuwe wet- en regelgeving
rondom gezichtsherkenning. Zoals uw Kamer heeft kunnen lezen in het wetsvoorstel tot
wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) (Verzamelwet
gegevensbescherming) wordt voorgesteld om artikel 29 van de UAVG te wijzigen. Artikel
29 regelt dat het verbod om biometrische gegevens te verwerken niet van toepassing
is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
In het wijzigingsvoorstel van de UAVG wordt expliciet opgenomen dat de uitzonderingsgrond
van artikel 29 alleen kan worden toegepast wanneer dat nodig is voor een zwaarwegend
algemeen belang (toetsing van proportionaliteit en subsidiariteit). Met deze dubbele
noodzakelijkheidstoets (noodzakelijk voor de authenticatie of beveiligingsdoeleinden
én noodzakelijk omwille van een zwaarwegend algemeen belang) geeft de UAVG beter invulling
aan de eis van artikel 9, tweede lid, onderdeel g, van de AVG. De privacybescherming
in het horizontale domein wordt daarmee versterkt. Uw Kamer ontvangt in april 2023
een brief over de uitwerking van het coalitieakkoord op het punt van gezichtsherkenningstechnologie,
waarin alle door de fracties aangehaalde thema’s aan bod zullen komen. In deze brief
wordt aldus ingegaan op de verschillende trajecten, waaronder de UAVG en de AI-verordening,
en hoe deze trajecten zich onderling tot elkaar verhouden en aanvullen.
Vraag
De leden van de CDA-fractie lezen dat de zinsnede over gezichtsherkenning in een gecontroleerde
omgeving ziet op gebruik door organisaties anders dan de politie. Deze leden vragen
of de Minister de zorg deelt dat het gebruik van gezichtsherkenning steeds verder
toeneemt, ook als dat niet noodzakelijk is vanwege bijvoorbeeld de veiligheid.
Antwoord
Gezichtsherkenningstechnologie is een technologie waarmee inbreuk kan worden gemaakt
op grondrechten. Het is daarom belangrijk dat de toepassing van die technologie strikt
wordt gereguleerd en niet lichtzinnig wordt ingezet. Ik begrijp de zorg van de CDA-fractie
dat het gebruik van gezichtsherkenning steeds verder toeneemt, ook als dat niet noodzakelijk
is vanwege bijvoorbeeld de veiligheid. Mede vanwege die zorg is in het coalitieakkoord
het standpunt opgenomen dat in Nederland geen gezichtsherkenning mag worden ingezet
zonder strenge wettelijke afbakening en controle. Ook in de conceptteksten van de
(in onderhandeling zijnde) AI-verordening wordt het gebruik van real time biometrische
identificatie op afstand door rechtshandhaving in de publieke ruimte in beginsel verboden,
met uitzonderingen zoals beschreven in het antwoord op de tweede vraag van de leden
van de D66-fractie.
Vraag
De leden vragen of de Minister kan toelichten welke waarborgen hij noodzakelijk acht
als gezichtsherkenningstechnologie gebruikt zou worden voor bijvoorbeeld de toegang
tot een festival. Deze leden vragen ook of de Minister kan bevestigen dat dit altijd
met uitdrukkelijke toestemming moet gebeuren en dat er altijd een analoog alternatief
voorhanden moet zijn. Deze leden vragen hoe en waar deze waarborgen in de wet zijn
of zullen worden vastgelegd.
Antwoord
Er gelden verschillende strenge vereisten op grond van de Algemene Verordening Gegevensbescherming
(AVG) om gezichtsherkenning door een private partij, bijvoorbeeld voor een festival,
toe te passen. De festivalorganisator zou gezichtsherkenning kunnen toepassen indien
hij voldoet aan de vereisten die de AVG daaraan stelt.
Gezichtsherkenningstechnologie verwerkt biometrische persoonsgegevens. Biometrische
persoonsgegevens zijn lichaams- of gedragskenmerken (bijvoorbeeld een afbeelding van
het gezicht of een vingerafdruk) die worden gebruikt om een persoon te identificeren
of authentiseren. Biometrische persoonsgegevens zijn op grond van de AVG «bijzondere
persoonsgegevens» en worden daarom extra goed beschermd. In beginsel is het op grond
van de AVG niet toegestaan om bijzondere persoonsgegevens te verwerken. Dit verbod
kan worden doorbroken wanneer er een beroep kan worden gedaan op een van de uitzonderingen
die in de AVG zijn genoemd.
Een van die uitzonderingen betreft «uitdrukkelijke toestemming» van de betrokkene.
In het voorbeeld zou de festivalorganisator gezichtsherkenning kunnen toepassen als
de bezoekers van het festival daarvoor uitdrukkelijke toestemming hebben gegeven.
«Uitdrukkelijke toestemming» moet op grond van de AVG aan een aantal eisen voldoen.
Ten eerste dient toestemming «vrijelijk» te zijn gegeven. Dat betekent dat de bezoeker
van het festival niet onder druk mag worden gezet om toestemming te verlenen en geen
nadeel mag ondervinden van het niet verlenen van toestemming. In dit voorbeeld betekent
dit dat de bezoeker van het festival ook een analoge toegangsmogelijkheid moet worden
geboden. Daarmee wordt bedoeld een toegangscontrolesysteem waarbij geen biometrische
gegevens worden verwerkt. De bezoeker mag bovendien geen nadeel ondervinden van de
analoge toegangsmogelijkheid, bijvoorbeeld aanzienlijke langere wachttijden waardoor
de bezoeker een deel van het festival moet missen. Ten tweede dient er sprake te zijn
van «ondubbelzinnige» toestemming; hetgeen inhoudt dat het volstrekt helder moet zijn
dat er toestemming is verleend. Het principe «wie zwijgt, stemt toe» gaat niet op.
Verder dient de betrokkene geïnformeerd te worden, onder meer aan wie de bezoeker
precies toestemming verleent en waarvoor. Bovendien moet de toestemming specifiek
zijn voor bepaalde verwerkingen en doelen. Tot slot dient de toestemming «uitdrukkelijk»
te zijn. Dit brengt mee dat de betrokkene een uitdrukkelijke verklaring van toestemming
moet geven.
Naast de vereisten die gelden voor «uitdrukkelijke toestemming», dient de inzet van
gezichtsherkenningstechnologie aan alle andere vereisten voor een behoorlijke gegevensverwerking
te voldoen die in de AVG zijn opgenomen, zoals het beginsel van minimale gegevensverwerking
en opslagbeperking. Deze waarborgen zijn in de AVG vastgelegd en nader uitgewerkt
in onder meer richtsnoeren van het Europees Comité voor gegevensbescherming (European
Data Protection Board) en de nationale en Europese jurisprudentie.
Vraag
De leden van de CDA-fractie zijn voorts van mening dat verantwoord gebruik van gezichtsherkenningstechnologie
staat of valt met adequaat toezicht op de naleving van de wettelijke voorschriften.
Deze leden maken zich zorgen over signalen dat veel organisaties niet goed weten wat
de regels voor het gebruik van gezichtsherkenning zijn. Deze leden vragen daarom of
de Minister kan aangeven hoe het toezicht wordt vormgegeven en of daarvoor nog extra
waarborgen nodig zijn, naast bijvoorbeeld voorlichting door de Autoriteit Persoonsgegevens.
Antwoord
Gezichtsherkenningstechnologie is een vorm van biometrische identificatie. Deze technologie
verwerkt biometrische persoonsgegevens. Biometrische persoonsgegevens worden onder
de AVG aangemerkt als «bijzondere persoonsgegevens». De verwerking van bijzondere
persoonsgegevens is aan meer regels gebonden dan de verwerking van gewone persoonsgegevens,
gelet op de gevoeligheid ervan. Elke organisatie die persoonsgegevens verwerkt is
er in de eerste plaats zelf verantwoordelijk voor dat dit op een rechtmatige manier
gebeurt, en moet voldoende interne toezichtmechanismen inrichten om daarop toe te
zien. Uiteindelijk is de Autoriteit Persoonsgegevens de toezichthouder, maar diens
taak ontslaat individuele organisaties niet van een scherpte blik op de eigen processen.
De AVG is inmiddels bijna vijf jaar van kracht; een zeker kennisniveau mag dan ook
inmiddels worden verondersteld, zeker bij grotere organisaties. Dat neemt niet weg
dat het belangrijk is dat informatie gemakkelijk te vinden en begrijpelijk is. De
Autoriteit Persoonsgegevens neemt haar voorlichtende taak serieus. Een voorbeeld daarvan
is een brief over dit specifieke onderwerp die zij op haar website heeft geplaatst
(https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/formele-waarschuwin…).
Ondertekenaars
-
Eerste ondertekenaar
R.J. Kamminga, voorzitter van de vaste commissie voor Digitale Zaken -
Mede ondertekenaar
I. van Tilburg, adjunct-griffier