Een lezer vroeg me:
Op diverse plekken staan zuilen voor sigarettenverkoop, die gezichten scannen om te bepalen of men oud genoeg is. Mij is opgevallen dat deze dingen gezichten scannen van iedereen in de rij. Ik zie het lampje van de scanner iedere keer branden wanneer iemand voor de kassa verschijnt, dus niet pas als je sigaretten afrekent of in de scanner kijkt. Mag dat zomaar?Ik zie wel hoe dit zo kan werken. Vanwege gebruiksgemak scant het ding de hele tijd naar gezichten, maar meestal zal dat geen nuttige scan opleveren omdat mensen te ver weg staan of niet recht in de camera kijken. De scans worden niet opgeslagen, dus de praktische impact is beperkt.
Er is geen expliciete wettelijke regel waaruit blijkt dat je moet melden dat je een gezichtsscan uitvoert. Vanaf 2 augustus zal onder de AI Act de transparantie-eis (artikel 50) van kracht worden. Deze verplicht “gebruiksverantwoordelijken” van AI-systemen (zoals biometrische gezichtsherkenning) waarmee je directe interactie hebt, expliciet aan te laten geven dat je met een AI interacteert. Zo’n scanner zal dus bij iedere scan moeten melden “ik scan nu je gezicht”.
Heel recent verscheen arrest C-422/24 van het Hof van Justitie. Hier ging het over de vraag waar een opname met een bodycam door een controleur in het openbaar vervoer onder valt binnen de AVG. Het Hof noemt dit een “directe verkrijging” van persoonsgegevens, en eist dat er dan ook direct informatie wordt verschaft aan de betrokkenen. De locatie moet daarom voorzien zijn van bordjes (“Inspecteurs hebben bodycams”) en verwijzingen naar uitgebreidere informatie.
Dit arrest is met een beetje goede wil zo te lezen dat ook zo’n gezichtsscanner een bordje moet krijgen als deze de gehele ruimte scant. Ik twijfel daar wel over, omdat het niet de bedoeling is dat iedereen gescand wordt, maar de scanner gewoon een zeker bereik heeft en dus toevallig gezichten aanstraalt waar vervolgens niets mee gebeurt.
Arnoud
Is dit in Nederland? Want als je sigaretten alleen bij de tabakszaak kunt krijgen, en die scanner dus alleen daar staat is het al heel snel relevant om van alle winkelbezoekers de leeftijd te schatten, omdat er niets te koop is voor minderjarigen.
Dat lijkt me een andere afweging dan in een supermarkt, waar Jan-Paul van 17 ook gewoon een mandarijn mag kopen.
Staan ook bij het tankstation
Is weer een bizarre sponsoring van fossiele brandstoffen. Op stations van het openbaar vervoer is de verkoop verboden maar in tankstations mag het nog steeds.
Hoeveel heeft de fossiele lobby daarvoor weer politici “overgehaald”
De kan dat een minderjarige onbegeleid door een volwassene in het OV komt is zeg maar groter dan dat ze onbegeleid door een volwassene gaan tanken.
Zo haal je de prikkel weg van ze.
@Steven: het zou me niet verbazen dat de helft van de klandizie van een tabakszaak een pakketje komt afhalen. En die hebben dan geen camera in het gezocht nodig.
Wat is ‘de locatie’? Een milieu-inspecteur (of BOA, maar misschien is dat WPG ipv AVG) komt overal in de gemeente, juist ook buiten locaties van de organisatie zelf.Bij een tabaksspeciaalzaak zijn vaak ook andere artikelen, zoals tijdschriften en ansichtkaarten, te koop.
Wat is er mis met een knop “scan nu”?
Dit is toch een compleet overbodige wijze van dataverzameling. Bovendien onnodig extra elektriciteitsverbruik voor de exploitant.
Mijn vraag is waar en door wie de actuele verwerking van (bijzondere!) persoonsgegevens plaatsvindt. Gaat alles naar een datacentrum onder Amerikaanse controle waar het voor “trainingsdoeleinden” voor een onbepaalde periode bewaard blijft? Dat lijkt me informatie die voor een toevallige winkelbezoeker van belang is.
‘De scans worden niet opgeslagen, dus de praktische impact is beperkt.’
Ik heb hier zoveel moeite mee met deze uitleg. Dit hoor ik ook steeds vaker.
Buiten het feit dat ik het in bijna alle gevallen niet geloof als een bedrijf dit zegt (ze maken bijna altijd gebruik van techniek/software van derde partijen. Die je ook hun woord moet geloven.)
Ik kan als nietsvermoedende klant (die geen sigaretten koopt) dit op geen enkele manier verifiëren of dit daadwerkelijk zo is.
Film me gewoon niet. Klaar. Wettelijk zal dit vast allemaal mogen, maar man man man.
(Sorry moest t even kwijt)
Er is praktisch geen winkel in Nederland die binnen, en bij tankstations buiten ook, niet volhangt met bewakingscamera’s die gegarandeerd beelden bewaren, dan maakt zo’n scanner weinig meer uit.
Bij lokale opslag van opnames die na een periode van een of twee weken automatisch gewist worden, verder niet bekeken worden tenzij er een incident plaatsgevonden heeft, kun je (als onschuldige klant) goed voorspellen wanneer jouw beelden met derden gedeeld worden. Het maakt dan niet uit of er een leeftijdsscanner aan de camera hangt of niet.
Maar wanneer er beelden naar een externe (cloud-) opslag gaan of de leeftijdsscan in “de cloud” gebeurt is de kans dat externe partijen toegang krijgen tot de opname groter. De leeftijdsverificator kan ongevraagd beelden gebruiken voor trainingsdoeleinden, de cloudopslag kan besluiten om gezichtsherkenning te gaan toepassen, etc. Ik weet dat deze zaken contractueel afgedekt kunnen worden, maar of en hoe dat gebeurd is, is voor een bezoeker totaal niet transparant.
Tsjongejonge. Ik schrik hiervan. Dit is inderdaad een complete verkeerde veronderstelling hoe deze casus uitgewerkt moet worden. Eerst moet je uitzoeken of het mag, dat staat nog los van hoe je het gaat doen. Stap 1: is er een verwerking van persoonsgegeven, ja, stap 2: is de AVG van toepassing, JA. Stap 3, Is er een geldige grondslag (hangt er van af), sterker nog, is een gezichtscan biometrisch, dan moet je ook nog de art. 9 hoepel door. Dat de scans niet wordt opgeslagen is in al deze stappen niet eens onderwerp van gesprek!! Ik zeg het al vaker, Arnoud gaat bij AVG-kwesties veel te kort door de bocht.
Je ziet heel veel het platslaan tot, wat is de impact nou eigenlijk, en in de praktijk ontkom je daar niet aan, maar we vragen juridisch advies. En dit slaat de plank compleet en volledig mis. Dit hoor ik van CISO’s die 0 AVG kennis hebben. Komop, Arnout, je weet beter.
Ook nog als aanvulling op deze compleet verkeerd ingeschatte casus. Het stellen dat het maar beperkte impact hebben is hetzelfde niveau als leveranciers die zeggen: onze data staat in de EU dus we zijn 100% compliant.