Een lezer vroeg me:
Ik werk aan een dienst die toegangsverboden in de horeca helpt handhaven door middel van gezichtsherkenning. Software kan dat beter dan portiers is het idee, en natuurlijk moet er altijd een mens nog beslissen of deze persoon echt diegene van het verbod is. Kan dit onder de AVG?
Het gebruik van biometrie is onder de AVG inderdaad zeg maar een dingetje. In principe mag dat niet, tenzij de wet (de AVG of de Nederlandse Uitvoeringswet) zegt van wel.
In gevallen als deze zou het gaan om de uitzondering uit artikel 29 Uitvoeringswet: identificatie van de betrokkene die noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
De noodzaak zou hem dan zitten in het feit dat menselijke portiers eigenlijk gewoon niet in staat zijn om adequate controle op lokaalverbodbrekers te houden. Dan kun je niet anders, en aangenomen dat er dan altijd nog een menselijke check is van het gezicht versus de vermelding in de lokaalverbodlijst, denk ik dat het dan wel oké is.
Ik denk wel dat je er niet aan ontkomt om echt aan te tonen dát het misgaat bij dat café of die club. Een abstracte “mensen maken fouten om 2 uur ’s nachts” argumentatie gaat hem niet worden, dat toont geen noodzaak in dit geval aan.
Verder vraag ik me af of de dienstverlener hier zich op gaat stellen als verwerker (bij elke klant een aparte database en gescheiden dienstverlening) of als verantwoordelijke (één database en gedeelde dienstverlening, wat je vaak ziet bij samenwerkende horeca waarbij een lokaalverbod voor al die horeca geldt). Dat laatste zou extra spannend zijn omdat je dan ook in het gebied van de zwarte lijsten valt, waarvoor verplicht een DPIA moet worden uitgevoerd én in principe toestemming van de AP gevraagd moet worden.
Arnoud
Hoe komt de dienst aan de foto van degene die NIET naar binnen mag? Wordt je als je naar buiten wordt gezet gedwongen om een foto van je te laten maken, al dan niet vastgehouden door twee portiers die je voor de camera dwingen? Ik kan me namelijk niet zo goed voorstellen dat de normale camerabeelden voldoende zijn. En dan heb je nog alle klanten die ook even in de camera moeten kijken om binnen te mogen komen en daar ontevreden over zijn en zich afvragen wat er met hun foto gebeurt. Terwijl ze ONSCHULDIG zijn.
Gokje: iederéén moet hij binnenkomst in de camera kijken, en bij rotzooi wordt de dader opgezocht en gemarkeerd.
Als je geluk hebt, worden brave klanten na een week gewist.
Of ben ik nu cynisch?
” én in principe toestemming van de AP gevraagd moet worden.”
Als ik “in principe” in zo’n context lees, krijg ik het steeds wat koud. Ik versta dan dat de auteur dat stukje regelgeving als te negeren beschouwd en neerkijkt op diegenen die het wel willen volgen.
Braaf voorbeeldje: In principe mag je in de dorpskern maar 50 (of 30)km per uur rijden.
Hmm, zo bedoel ik die term niet. De wet zegt dat je toestemming moet vragen voor zo’n zwarte lijst, behalve een aantal specifieke uitzonderingsgevallen. Dat probeer ik dan kort aan te geven met “in principe”. Hoe zou jij dat formuleren zonder als gewichtig pratende jurist te klinken?
zou:
” én moet meestal toestemming van de AP gevraagd worden.”
werken? “in principe” wordt inderdaad nogal vaak gevolgd door een “maar meestal gebeurt het niet”.
Eens iemand ingelezen is hoe een DPIA uit te voeren, lijkt het uitzoeken om al dan niet “toestemming vragen” een kleinere zaak. Afhankelijk van het aantal uitzonderingen: – uitzondering niet vermelden, zeker als de uitzondering zeer specifiek is omdat de betrokkenen al onder andere gelijkaardige wetgeving “valt” – “bijna steeds” – “meestal” – “vaak”