Op de Sint-Bavohumaniora in Gent kunnen leerlingen binnenkort broodjes en drankjes afrekenen via een scan van hun handpalm. Dat meldde Tweakers onlangs. De biometrische technologie zou praktischer zijn dan de huidige badges en maaltijdbonnetjes, die regelmatig vergeten worden of kwijtraken. Maar het riep vragen op bij vele lezers, omdat het gebruik van biometrische persoonsgegevens toch heel streng gereguleerd was onder de AVG. Recent mocht Manfield gen vingerafdrukken inzetten tegen kassafraude, dus hoezo mag een school dit zomaar doen voor iets triviaals als een lunch afrekenen? Dus ja, hoezo mag dat dan?
Allereerst: die Manfielduitspraak was vooral gebaseerd op het feit dat er niet nagedacht leek te zijn over impact en alternatieven. Hadden ze dat wel gedaan, dan was het volgens mij zonder twijfel legaal geweest om dit systeem in te voeren. Maar er is geen twijfel dat een handpalmafdruk een biometrisch persoonsgegeven is, gezien de definitie van die categorie uit de AVG. Daarmee kom je meteen in de extra strenge bescherming voor bijzondere persoonsgegevens terecht.
Hoofdregel is dat je bijzondere persoonsgegevens niet mag verwerken, tenzij in de AVG of je lokale wetgeving staat van wel. Een van de genoemde uitzonderingsgronden is de uitdrukkelijke toestemming. In Nederland hebben we daarnaast nog de noodzaak voor identificatie of authenticatie, waar dus een werkgever zich op zou kunnen beroepen als hij zijn privacy impact assessment rond heeft.
Een werkgever moet wel, want die kan geen toestemming vragen vanwege de afhankelijkheidsrelatie (en het feit dat het hier om iets verplichts ging). Maar afrekenen met een handpalm voelt voor mij vrijwilliger dan een vinger om in te loggen bij de kassa, er zijn immers gewoon alternatieven beschikbaar. Dus ik zou zelf geen probleem zien met dit als school (of werkgever, in de kantine dus) invoeren als vrijwillige extra afrekenoptie. Natuurlijk wel even extra goed de security checken van het biometrisch betalingsauthenticatiesysteem.
Ik keek nog even snel in de Belgische Uitvoeringswet bij de AVG (de Kaderwet) en het zal ongetwijfeld aan mij liggen maar ik zie daar dus geen analogie aan onze noodzaak voor identificatie en authenticatie. Sterker nog, ik zie in artikel 34 een veel stérker verbod: geen verwerking van biometrie tenzij dit wettelijk is geregeld, noodzakelijk is voor vitaal belang of het gegeven kennelijk openbaar is gemaakt. Daar mist dus de uitdrukkelijke toestemming als grondslag. Dat mag (artikel 23 AVG) maar het voelt als een rare uitkomst, vooral omdat de Gegevensbeschermingsautoriteit zegt dat het “natuurlijk zo [is] dat toestemming een basis is”. Waar dan weer gek aan is dat er geen ‘uitdrukkelijk’ bij staat, een vakterm die ik toch wel verwacht had in een publicatie van de toezichthouder.
Afijn. Ervan uitgaande (ik moet altijd de spelling daarvan nazoeken) dat uitdrukkelijke toestemming in België inderdaad een grondslag is, én er goed over de beveiliging is nagedacht, lijkt me dit dus prima legaal. Als je alléén nog kunt afrekenen met je hand bij die kantine, dan zou ik het niet meer vrijwillig vinden. Natuurlijk kun je dan zeggen, “neem een zakske bokes mee” maar dat voelt voor mij geen reëel alternatief voor een lunch op school die je al jaren gewend bent.
Arnoud
Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone,