Op de Sint-Bavohumaniora in Gent kunnen leerlingen binnenkort broodjes en drankjes afrekenen via een scan van hun handpalm. Dat meldde Tweakers onlangs. De biometrische technologie zou praktischer zijn dan de huidige badges en maaltijdbonnetjes, die regelmatig vergeten worden of kwijtraken. Maar het riep vragen op bij vele lezers, omdat het gebruik van biometrische persoonsgegevens toch heel streng gereguleerd was onder de AVG. Recent mocht Manfield gen vingerafdrukken inzetten tegen kassafraude, dus hoezo mag een school dit zomaar doen voor iets triviaals als een lunch afrekenen? Dus ja, hoezo mag dat dan?
Allereerst: die Manfielduitspraak was vooral gebaseerd op het feit dat er niet nagedacht leek te zijn over impact en alternatieven. Hadden ze dat wel gedaan, dan was het volgens mij zonder twijfel legaal geweest om dit systeem in te voeren. Maar er is geen twijfel dat een handpalmafdruk een biometrisch persoonsgegeven is, gezien de definitie van die categorie uit de AVG. Daarmee kom je meteen in de extra strenge bescherming voor bijzondere persoonsgegevens terecht.
Hoofdregel is dat je bijzondere persoonsgegevens niet mag verwerken, tenzij in de AVG of je lokale wetgeving staat van wel. Een van de genoemde uitzonderingsgronden is de uitdrukkelijke toestemming. In Nederland hebben we daarnaast nog de noodzaak voor identificatie of authenticatie, waar dus een werkgever zich op zou kunnen beroepen als hij zijn privacy impact assessment rond heeft.
Een werkgever moet wel, want die kan geen toestemming vragen vanwege de afhankelijkheidsrelatie (en het feit dat het hier om iets verplichts ging). Maar afrekenen met een handpalm voelt voor mij vrijwilliger dan een vinger om in te loggen bij de kassa, er zijn immers gewoon alternatieven beschikbaar. Dus ik zou zelf geen probleem zien met dit als school (of werkgever, in de kantine dus) invoeren als vrijwillige extra afrekenoptie. Natuurlijk wel even extra goed de security checken van het biometrisch betalingsauthenticatiesysteem.
Ik keek nog even snel in de Belgische Uitvoeringswet bij de AVG (de Kaderwet) en het zal ongetwijfeld aan mij liggen maar ik zie daar dus geen analogie aan onze noodzaak voor identificatie en authenticatie. Sterker nog, ik zie in artikel 34 een veel stérker verbod: geen verwerking van biometrie tenzij dit wettelijk is geregeld, noodzakelijk is voor vitaal belang of het gegeven kennelijk openbaar is gemaakt. Daar mist dus de uitdrukkelijke toestemming als grondslag. Dat mag (artikel 23 AVG) maar het voelt als een rare uitkomst, vooral omdat de Gegevensbeschermingsautoriteit zegt dat het “natuurlijk zo [is] dat toestemming een basis is”. Waar dan weer gek aan is dat er geen ‘uitdrukkelijk’ bij staat, een vakterm die ik toch wel verwacht had in een publicatie van de toezichthouder.
Afijn. Ervan uitgaande (ik moet altijd de spelling daarvan nazoeken) dat uitdrukkelijke toestemming in België inderdaad een grondslag is, én er goed over de beveiliging is nagedacht, lijkt me dit dus prima legaal. Als je alléén nog kunt afrekenen met je hand bij die kantine, dan zou ik het niet meer vrijwillig vinden. Natuurlijk kun je dan zeggen, “neem een zakske bokes mee” maar dat voelt voor mij geen reëel alternatief voor een lunch op school die je al jaren gewend bent.
Arnoud
Citaat uit het artikel van VRT
Het lijkt er dus op dat het niet optioneel wordt voor de leerlingen. Wat mij daarnaast ook verbaast is een andere quote uit het artikel…
Uhm, waar te beginnen. Als die techniek eenmaal paraat is, dan zal het niet lang meer duren voor de eerste zorgverzekeraar gaat eisen dat jij meedoet aan het systeem, want dan kunnen ze jou tegen jezelf beschermen als je weer een worstenbroodje wilt kopen.Het lijkt me verstandig voor de Sint-Bavohumaniora om het recente Zweedse oordeel over aanwezigheidsregistratie per camera eens goed te bestuderen. In het kort: doel was besparing van 17.000 (les)uur per jaar, proef, drie weken, 22 leerlingen, ‘volledig vrijwillig’ en alternatief voorhanden, toestemming van leerlingen en ouders – en toch 200.000 SEK boete: bijzondere persoonsgegevens, kinderen, afhankelijkheidsrelatie, geen vrije toestemming mogelijk (ook niet van ouders), nieuwe technologie, allerlei alternatieven voorhanden, enzovoorts.
Hele uitspraak (Zweeds) hier: Tillsyn enligt EU:s dataskyddsförordning 2016/679 –ansiktsigenkänning för närvarokontroll av elever
Maar aanwezigheidsregistratie vind ik een heel ander verhaal dan afrekenen in de kantine. Aanwezigheid meten is een stuk indringender en semi-verplichter, wie er niet is wordt daarop aangekeken. Wie geen worstenbroodje koopt, zal daar weinig gevolgen van ondervinden.
Dat van die alternatieven blijf ik een lastige vinden. Er zijn altijd wel alternatieven. Hoe weeg je dat tegen elkaar af? Het voelt ergens als een te strakke rem op innovatie als je altijd zegt, het kan ook met pijl en boog.
Eens, de registratie moet. De vraag is hoe. Het belang van de school 10 minuten per lesuur te besparen door automatisering was hier groot – en toch niet voldoende om gebruik van bijzondere persoonsgegevens van kinderen in een afhankelijkheidspositie te rechtvaardigen.
In België is het al dan niet kopen van een broodje een kleiner probleem. Tegelijkertijd maakt precies dat argument ook het belang van de school bij automatisering kleiner. Bovendien denk ik dat je ook daar niet van volledig vrije toestemming kunt spreken. Geen lunch kunnen kopen (bij verplichte deelname) of erop aangekeken worden dat je inefficiënt afrekent (als er keuze in betaalwijze is) zijn geen marginale consequenties.
Wacht maar tot de dikzak zich met een kopietje volvreet op kosten van ’t kakkertje z’n ouders.
(Roep ik het schoolse sfeertje nu goed op? Het is al even geleden…)
Arnoud
Je verwijst naar een tekst van de privacycommissie van 2008 en ja de gegevensbeschermingsautoriteit (GBA) had deze beter van zijn website gehaald. Een recente tekst van hen : https://www.gegevensbeschermingsautoriteit.be/nieuws/gegevenslek-van-2000-vingerafdrukken-de-autoriteit-volgt-de-zaak-Adecco-van-nabij
Als een bedrijf als Adecco met een 32.000 tal werknemers de biometrische gegevens al niet kan beveiligen, is het een illusie te denken dat een school het wel kan.
De GBA legt hierbij trouwens formeel een gegevensbeschermingseffectbeoordeling op en waarborgen naar de veiligheid. Bovendien zie ik niet in hoe je van privacy-by-design of noodzaak om deze gegevens te verwerken, kan spreken als er een privacy vriendelijk alternatief is, bv. contante betaling of bonnetjes.
Het is ook een giller als de school zou stellen dat er GEEN gezagsrelatie is.
Nu een boete van een 150 euro per week en per leerling zoals in Zweden lijkt me hier een gepaste sanctie.
Als de school gehackt wordt en de handpalm lekt per ongeluk uit gaan ze dan ook alle negatieve gevolgen voor de rest van het leven van deze deelnemers vergoeden? Vast niet en naar dat risico is ook vast niet of zeer beperkt gekeken. Een wachtwoord vervangen is relatief simpel te doen, een hand(palm) vervangen ivm een hack is niet te doen. Combineer dat met de vermoedelijk relatief jonge leeftijd van de deelnemers en dat is toch wel een probleem.
Het feit dat een handpalm registratie uitlekt levert nog niet zomaar schade op. Vingerafdrukken laten we ook overal slingeren en dat leidt eigenlijk ook niet tot problemen.
In theorie zijn die mogelijk wel te vervalsen (sterk afhankelijk van het scansysteem) maar in de praktijk gebeurt dat eigenlijk nooit op een publiek systeem. Het is niet evident om een valse handpalm te maken en daarmee ten overstaan van meerdere aanwezigen in een kantine een scansysteem te neppen zonder dan een caissière of een klant achter je opmerkt dat er iet aan de hand is. Dat risico is veel te groot voor de mogelijke opbrengst.
Interessante discussie over deze case op LinkedIn: https://www.linkedin.com/posts/balduck_broodje-kopen-op-school-scan-je-handpalm-activity-6573128454579990528-QMsz/
Welke nieuwe Europese privacyregels zijn er sinds 14 september 2019 of is de directeur van de school helemaal ongeschikt voor haar job? https://www.vrt.be/vrtnws/nl/2019/09/11/sint-bavohumaniora-stelt-revolutionaire-handpalmscan-uit/