Mag een abonnementsverlener eisen dat ik een toegangspas met foto gebruik?

| AE 13536 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me:

Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een ‘echte’ pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?
Algemeen is het zeker toegestaan om een persoonsgebonden abonnement te verkopen. Overeenkomsten voor dienstverlening zijn namelijk als hoofdregel altijd met een specifiek persoon, niet met iedereen die een pasje kan laten zien.

Vanuit die regel is het dus ook in beginsel toegestaan om via het pasje te regelen dat je met de abonnementshouder te maken hebt, en niet met een willekeurige lener van het pasje. Een pasfoto opnemen is dan ook een op zich logisch middel.

Alleen loop je dan wel tegen het probleem aan dat je dan de foto tot biometrisch persoonsgegeven maakt: je gebruikt de foto als herkenningsmiddel. Dat mag alleen onder de strenge voorwaarde dat je geen reëel alternatief hebt, zoals de naam via een overheidsidentiteitsbewijs controleren of een eenmalige scanbare code op je telefoon laten zien die je via je account kocht.

Wat hier verder nog gebeurt, is dat de dienstverlener zo te lezen met een machine learning algoritme onderzoekt of de foto geschikt is voor het beoogde doel. Dat is toegestaan áls het onderliggende gebruik van de foto (als identificatiemiddel van de abonnementshouder) dat ook is. Wel moet de dienstverlener natuurlijk voorkomen dat de ML-aanbieder de foto gaat hergebruiken voor trainingsdoeleinden (training van het ML-algoritme, voor de duidelijkheid).

Arnoud

Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

| AE 13390 | Ondernemingsvrijheid, Privacy | 20 reacties

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

“Camera met gezichtsherkenning meestal niet toegestaan”

| AE 12310 | Privacy, Security | 15 reacties

Het gebruik van camera’s met gezichtsherkenning is, zo las ik bij Security.nl meestal niet toegestaan voor bedrijven. Dit volgt uit een recente publicatie van de Autoriteit Persoonsgegevens. De privacytoezichthouder gaat daarom sectoren die dergelijke camera’s vaak gebruiken voorlichting geven over de regels. De Algemene verordening gegevensbescherming (AVG) verbiedt in beginsel het gebruik van biometrische gegevens om iemand te identificeren, maar het gebeurt vaak aldus de toezichthouder: Winkels gebruiken gezichtsherkenningscamera’s om winkeldieven op te sporen, terwijl bedrijven in de beveiliging, beurslocaties en pretparken de technologie inzetten voor toegangscontrole.

Het onderwerp is al wel vaker langsgeweest, eind vorig jaar blogde ik over gezichtsherkenning inzetten om een lokaalverbod te handhaven en eerder die sportschool die ’s nachts mensen met gezichtsherkenning binnenliet. De kern van het probleem is dat biometrische gegevens als bijzondere persoonsgegevens gelden, en je daar dus van af moet blijven. Gebruik je foto’s van mensen om ze te herkennen, dan tellen die foto’s als biometrische gegevens (een gewoon kiekje is dus geen biometrisch persoonsgegeven). En dan mag je ze dus niet gebruiken.

Dat ‘herkennen’ moet je breed opvatten: het gaat niet alleen over matchen tegen een database met NAW-gegevens of iets dergelijks. Ook enkel geautomatiseerd constateren “die was hier gisteravond ook” of “die lijkt op foto 31337 uit ons bestand overlastplegers” is al een vorm van ‘herkennen’, waarmee je camerabeelden tot bijzondere persoonsgegevens verworden.

Enige ruimte wordt gegeven door de uitzondering uit artikel 29 Uitvoeringswet: identificatie van de betrokkene die noodzakelijk is voor authenticatie of beveiligingsdoeleinden. En natuurlijk, het doel van deze identificatie (inclusief de 31337-constatering) is voor beveiliging, je wilt overlastplegers, lokaalverbodshouders et cetera niet binnen hebben. Maar is er een nóódzaak? Die vraag is veel lastiger want dat is een hele hoge lat.

Kort gezegd moet er dan geen ander middel voorhanden zijn dat ongeveer zo effectief is, en de maatregel moet ook proportioneel zijn. De AP gaat zelfs nog een stapje verder:

Het moet daarbij wel gaan om een zwaarwegend algemeen [italics AE] belang. Dat is bijvoorbeeld de beveiliging van een kerncentrale. Maar de beveiliging van bijvoorbeeld een supermarkt is niet zó belangrijk dat u daarvoor biometrische gegevens mag verwerken.
Dat algemeen belang haal ik zo niet uit de Uitvoeringswet, maar het is natuurlijk waar dat beveiligen van één winkel geen algemeen belang dient. Ik had zelf altijd het idee dat ook een individueel belang goed genoeg kon zijn (dit is weer die discussie over legitiem belang, geloof ik), maar dat het misgaat op wat ik de innovatieparadox noem.

De innovatieparadox uit de AVG luidt: nieuwe maatregelen voldoen nooit aan de noodzakelijkheidseis omdat er altijd bestaande maatregelen zijn die goed genoeg zijn. Zet een portier neer die het verbod handhaaft, beveilig je supermarkt met detectiepoortjes, doe toegangscontrole met tickets op naam, et cetera. Natuurlijk zitten daar kosten aan, maar zeker in het begin zitten die er ook aan camera-identificatie – aanschaf, onderhoud, testen en beveiligen bijvoorbeeld. Dus “dit is veel goedkoper” is geen argument.

Oftewel: hoe betoog je dat een nieuwe manier van persoonsgegevens verwerken acceptabel is, als deze net zo duur is en zich nog niet bewezen heeft in de praktijk?

Arnoud

Mag ik gezichtsherkenning inzetten om een lokaalverbod te handhaven?

| AE 11620 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Ik werk aan een dienst die toegangsverboden in de horeca helpt handhaven door middel van gezichtsherkenning. Software kan dat beter dan portiers is het idee, en natuurlijk moet er altijd een mens nog beslissen of deze persoon echt diegene van het verbod is. Kan dit onder de AVG? Het gebruik van… Lees verder

Mag een sportschool ’s nachts mensen met gezichtsherkenning binnenlaten?

| AE 11093 | Ondernemingsvrijheid, Privacy | 18 reacties

Het hoeft niet, maar het kán: midden in de nacht fitnessen. Dat meldde BN De Stem onlangs. Een nieuwe fitness-zaak in Etten-Leur gaat gezichtsherkenning inzetten bij klanten, vanwege haar mogelijkheid tot 24 uur toegang. Mensen krijgen een eigen tag waarmee ze binnen kunnen. We werken met camera’s met gezichtsherkenning, die aanslaan wanneer er iemand binnenkomt… Lees verder

Mag Taylor Swift met gezichtsherkenning mensen weren van haar concerten?

| AE 11022 | Privacy, Security | 17 reacties

Popartiest Taylor Swift gebruikt gezichtsherkenning tegen stalkers die naar haar concerten gaan, meldden diverse media. Een camera was verborgen in een zuil waar men highlights van het concert kon terugkijken. Deze scande gezichten van geïnteresseerden en een extern bedrijf vergeleek ze automatisch met bekende gezichten. Voor zover bekend werd er niemand gevonden. Maar het roept… Lees verder

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

| AE 10911 | Privacy | 12 reacties

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu… Lees verder

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Informatiemaatschappij | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland): I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me? (Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst… Lees verder

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Privacy, Security | 27 reacties

Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon. Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn… Lees verder