Mag een sportschool ’s nachts mensen met gezichtsherkenning binnenlaten?

Het hoeft niet, maar het kán: midden in de nacht fitnessen. Dat meldde BN De Stem onlangs. Een nieuwe fitness-zaak in Etten-Leur gaat gezichtsherkenning inzetten bij klanten, vanwege haar mogelijkheid tot 24 uur toegang. Mensen krijgen een eigen tag waarmee ze binnen kunnen. We werken met camera’s met gezichtsherkenning, die aanslaan wanneer er iemand binnenkomt die niet herkend wordt, zo staat in het artikel. Er is dan geen personeel maar je kunt hulp inroepen via een keycord.

Zakelijk vast een gat in de markt, maar was er niet iets met gezichtsherkenning en camera’s onder de AVG? Ja inderdaad. Wanneer je gezichten gaat fotograferen met als doel mensen herkennen, dan spreken we van verwerking van biometrische persoonsgegevens en dat valt onder de strenge regels van de bijzondere persoonsgegevens. Heel kort: afblijven tenzij in de AVG specifiek staat dat het mag.

In principe is het idee daarmee van tafel, want de AVG kent geen ontheffing voor het gebruik van bijzondere persoonsgegevens voor herkenning. Maar dat komt omdat de lidstaten het niet eens konden worden over hoe ver die regels dan mochten gaan. Artikel 9 lid 4 zegt dan ook dat de lidstaten zelf regels mogen maken over biometrie.

Nederland heeft dat gedaan in artikel 29 Uitvoeringswet AVG, en vrij breed ook:

[het verbod is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Het mag dus, als er maar een duidelijk belang daarvoor is én eigenlijk geen andere optie hebt ter authenticatie of voor de beveiliging. Je moet dit onderbouwen en die onderbouwing moet in je verwerkingsregister zitten.

Bij toegangscontrole wanneer er geen personeel aanwezig is, is biometrie een op zich redelijk betrouwbare keuze volgens mij. Natuurlijk kun je zeggen, zet een nachtportier neer of ga gewoon niet open. Maar dat vind ik geen reële alternatieven: ze zijn duur en niet perse betrouwbaarder – en gewoon dicht zijn is zakelijk natuurlijk onwerkbaar. Ik denk dan ook dat aan die noodzaak wel is voldaan.

Arnoud

18 reacties

      1. Omdat je een biometrisch gegeven niet zomaar kunt wijzigen. Heel lomp gezegd, als jij je vingerafdruk gebruikt voor authenticatie en ik hak je vinger af, kan ik me als jou authenticeren en kan ik dus bij gegevens komen die wellicht vertrouwelijk zijn. Authenticatie moet eigenlijk ook multi-factor zijn (iets dat je hebt & iets dat je weet), waarbij hetgene dat je hebt ook opnieuw gegenereerd kan worden (authenticator app, of een RSA token). Bij biometrie is dat opnieuw genereren erg moeilijk.

        Voor identificatie: ofwel, bewijzen dat je bent wie je bent, is biometrie inderdaad behoorlijk goed, omdat je (over het algemeen) niet veranderd wie je bent en dus multi-factor niet nodig is.

  1. Er zijn redelijk wat minder ingrijpende manieren om toegang geautomatiseerd te controleren zonder biometrische gegevens te verplichten. Zo zou een keyfob een optie zijn, of een RFID kaart gekoppeld aan abbo, eventueel te combineren met een pincode (“iets dat je hebt, en iets dat je weet”). En zo zijn er nog meer alternatieven te bedenken, die allen minder ingrijpend zijn (want zonder biometrie).

    1. Die zijn volgens mij allemaal niet relevant voor het doel wat de uitbater van de zaak daadwerkelijk probeert te bereiken: namelijk alleen toegang geven aan diegene die daadwerkelijk een abonnement heeft. Als ik een ‘onbeperkte toegang’ abonnement zou hebben, dan zou ik de RFID-card of PIN-code met een aantal goede vrienden kunnen delen zodat we dan allemaal op hetzelfde abonnement mee kunnen liften. De eigenaar van de fitness-zaak heeft een legitieme reden om dat te willen voorkomen.

      1. Bovendien heb je een probleem met security elke keer als iemand zijn pas verliest (van het moment van verliezen tot het moment dat de kaart uit het systeem is gegooid). Iemand verliest zijn gezicht niet zo snel.

  2. Arnoud, je geeft aan dat biometrie noodzakelijk zou zijn voor authenticatie of beveiligingsdoeleinden en je draagt daarvoor als argumenten aan: dat een nachtportier duur is, dat nachtportier niet perse betrouwbaarder dan een computersysteem en dat dicht zijn zakelijk natuurlijk onwerkbaar zou zijn.

    Ik vind deze argumenten niet overtuigdend. Het is waar dat een nachtportier duur is maar daaruit volgt niet dat een biometrie dus noodzakelijk is. Als een nachtportier onbetaalbaar is, dan is biometrie noodzakelijk om s’nachts open te kunnen zijn, maar een nachtportier alleenmaar duur is dan betaal je wat meer. Het is ook waar dat een nachtportier niet perse betrouwbaarder is dan biometrie, maar ook daaruit volgt geen noodzaak. Immers, een gelijke of (iets) lagere betrouwbaarheid kan acceptabel zijn. We hebben het hier niet over de toegang tot kernwapens. Tot slot, ’s nachts dicht zijn is helemaal niet onwerkbaar. Een hele hoop bedrijven zijn ’s nachts dicht en doen het zakelijk gezien prima.

  3. In die nachtelijke uren is er geen begeleiding aanwezig. Franken: ,,Mensen krijgen een eigen tag waarmee ze binnen kunnen. We werken met camera’s met gezichtsherkenning, die aanslaan wanneer er iemand binnenkomt die niet herkend wordt. Voor de sporters hangen er keycords met een hanger waarmee ze hulp in kunnen roepen als er iets zou gebeuren wat niet in de haak is. Dus de veiligheid is voldoende gewaarborgd.”

    Uit het originele artikel overgenomen. Dat betekent dat iemand dus een pas moet aanbieden bij de deur, waarna met de camera alleen nog gecontroleerd wordt of jij wel echt Arnoud Engelfriet bent die een abonnement heeft.

    Ik vind het wel erg ver gaan om het delen van een pasje in de nachtelijke uren tegen te gaan met dezelfde maatregelen als de KMar neemt op Schiphol voor het passeren van een grens met een pas ipv je paspoort.

    Biometrie is, zoals je al aangeeft, een zwaar middel om in te zetten. Zeker voor zoiets (imo triviaals) als toegang tot een sportschool in de nachtelijke uurtjes.

  4. Valt dit niet gewoon onder expliciete toestemming?

    elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

    Ikzelf zou toestemming fijner vinden, dan dat er gebruik wordt gemaakt van een uitzondering en ik niet 123 kan weigeren.

    “Om gebruik te maken van de gym tussen 00:00 en 06:00 hebben wij een recente foto van uw gezicht nodig. Deze gegevens worden enkel gebruikt om u toegang te geven, en wij kunnen, op verzoek, deze gegevens vernietigen. Akkoord? Ja/Nee.”

    1. Als toestemming is vereist om nachtelijk toegang te krijgen tot de sportschool dan is deze niet vrij gegeven, aangezien je niet kunt weigeren. Toestemming zou pas een geldige grondslag zijn als er ook een alternatief beschikbaar was, zoals een live verbinding met een medewerker die je handmatig kan autoriseren.

      1. Ik zou het inderdaad ook gooien op een noodzaak voor de overeenkomst: jij wilt sporten op een moment dat er geen portier aanwezig is, ik moet toch kunnen nagaan of jij het bent dan wel iemand die jouw pas geleend heeft, dus dan ontkom ik niet aan gezichtsherkenning. Ik denk dat je daar een heel eind in komt.

        1. Het is een beetje een kip-ei verhaal.

          Enerzijds kun je inderdaad zeggen ‘jij wilt sporten op het moment dat er geen portier aanwezig is, dat heeft bepaalde consequenties’.

          Anderzijds kun je ook zeggen: ‘de baas van de sportschool heeft besloten om ook ’s nachts open te zijn. Hij wil, vrije keuze, echter geen portier beschikbaar stellen, en ook geen alternatief, maar hij wil wel 1oo% zekerheid dat je echt abbonnementhouder bent, dus je wordt gedwongen mee te werken aan een privacyinbreuk’

          Maar uiteindelijk is het een kostenissue aan de kant van de ondernemer. Hij kan best een portier beschikbaar stellen maar dat is te duur. Hij kan ook het (kleine) financiele verlies accepteren dat er ’s nachts misbruik van een abbonnement gemaakt wordt, maar dat wil hij niet.

          Hij zou ook met fysieke checks op willekeurige tijdstippen een heel eind kunnen komen.

          Ik neig ernaar om te stellen dat als je een activiteit niet op winstgevende wijze kunt aanbieden zonder privacyinbreuk, je het niet moet doen.

          1. Waarom is dat een privacy inbreuk? Dat wordt het pas als met die gegevens méér gedaan wordt als waar voor je toestemming gegeven hebt. Een alternatief is er ook gewoon… op normale tijden sporten?

      2. Ik vindt dat best een strenge interpretatie van vrije toestemming. Je kunt best weigeren, en gewoon overdag sporten. De sportschool is geen werkgever of overheid, waar meer dwang is. Ook is de verwerking noodzakelijk: Niet als een app die preventief om locatiegegevens vraagt voor toegang tot de applicatie (met en zonder locatiefuntionaliteit).

    2. Dit lijkt mij ook. Volgens mij zit de vraag dan ook in eventuele bijvangst. Het lijkt erop dat de camera en gezichtsherkenning alleen werkt als het nacht is en er een tag wordt aangeboden, dus ook dat lijkt me geen probleem, maar als de camera en gezichtsherkenning de hele dag door draait en/of op de weg gericht staat, zou dat anders kunnen zijn. Ook is het de vraag of mensen een redelijk alternatief hebben, oftewel of er een ander abonnement of nabije sportschool of alternatief is waarvoor je niet je biomedische gegevens hoeft op te geven (want volgens mij heb je een initiële scan nodig om je later ’s nachts te kunnen herkennen).

  5. Als ik dit goed begrijp wordt de gezichtsscan van alle klanten van deze sportschool opgeslagen zodat afwijkende personen geïdentificeerd worden. Bij de eerste groep worden dan biometrische persoonsgegevens met toestemming verwerkt terwijl het bij de tweede groep eigenlijk geen persoonsgegevens betreft omdat ze niet identificeerbaar zijn. Dit doet me denken aan de parkeergarage waar mijn kenteken bij binnenkomst geregistreerd wordt zodat bij vertrek automatisch de slagboom open gaat zonder dat ik mijn betaalde ticket hoef te laten scannen. Dit laatste geval lijkt mij eigenlijk eerder een inbreuk op de privacy dan de casus van de sportschool omdat ik dan, in ieder geval voor de overheid, identificeerbaar ben.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.