Belgische school laat leerlingen hun lunch afrekenen met scan van handpalm

| AE 11457 | Privacy | 10 reacties

Op de Sint-Bavohumaniora in Gent kunnen leerlingen binnenkort broodjes en drankjes afrekenen via een scan van hun handpalm. Dat meldde Tweakers onlangs. De biometrische technologie zou praktischer zijn dan de huidige badges en maaltijdbonnetjes, die regelmatig vergeten worden of kwijtraken. Maar het riep vragen op bij vele lezers, omdat het gebruik van biometrische persoonsgegevens toch heel streng gereguleerd was onder de AVG. Recent mocht Manfield gen vingerafdrukken inzetten tegen kassafraude, dus hoezo mag een school dit zomaar doen voor iets triviaals als een lunch afrekenen? Dus ja, hoezo mag dat dan?

Allereerst: die Manfielduitspraak was vooral gebaseerd op het feit dat er niet nagedacht leek te zijn over impact en alternatieven. Hadden ze dat wel gedaan, dan was het volgens mij zonder twijfel legaal geweest om dit systeem in te voeren. Maar er is geen twijfel dat een handpalmafdruk een biometrisch persoonsgegeven is, gezien de definitie van die categorie uit de AVG. Daarmee kom je meteen in de extra strenge bescherming voor bijzondere persoonsgegevens terecht.

Hoofdregel is dat je bijzondere persoonsgegevens niet mag verwerken, tenzij in de AVG of je lokale wetgeving staat van wel. Een van de genoemde uitzonderingsgronden is de uitdrukkelijke toestemming. In Nederland hebben we daarnaast nog de noodzaak voor identificatie of authenticatie, waar dus een werkgever zich op zou kunnen beroepen als hij zijn privacy impact assessment rond heeft.

Een werkgever moet wel, want die kan geen toestemming vragen vanwege de afhankelijkheidsrelatie (en het feit dat het hier om iets verplichts ging). Maar afrekenen met een handpalm voelt voor mij vrijwilliger dan een vinger om in te loggen bij de kassa, er zijn immers gewoon alternatieven beschikbaar. Dus ik zou zelf geen probleem zien met dit als school (of werkgever, in de kantine dus) invoeren als vrijwillige extra afrekenoptie. Natuurlijk wel even extra goed de security checken van het biometrisch betalingsauthenticatiesysteem.

Ik keek nog even snel in de Belgische Uitvoeringswet bij de AVG (de Kaderwet) en het zal ongetwijfeld aan mij liggen maar ik zie daar dus geen analogie aan onze noodzaak voor identificatie en authenticatie. Sterker nog, ik zie in artikel 34 een veel stérker verbod: geen verwerking van biometrie tenzij dit wettelijk is geregeld, noodzakelijk is voor vitaal belang of het gegeven kennelijk openbaar is gemaakt. Daar mist dus de uitdrukkelijke toestemming als grondslag. Dat mag (artikel 23 AVG) maar het voelt als een rare uitkomst, vooral omdat de Gegevensbeschermingsautoriteit zegt dat het “natuurlijk zo [is] dat toestemming een basis is”. Waar dan weer gek aan is dat er geen ‘uitdrukkelijk’ bij staat, een vakterm die ik toch wel verwacht had in een publicatie van de toezichthouder.

Afijn. Ervan uitgaande (ik moet altijd de spelling daarvan nazoeken) dat uitdrukkelijke toestemming in België inderdaad een grondslag is, én er goed over de beveiliging is nagedacht, lijkt me dit dus prima legaal. Als je alléén nog kunt afrekenen met je hand bij die kantine, dan zou ik het niet meer vrijwillig vinden. Natuurlijk kun je dan zeggen, “neem een zakske bokes mee” maar dat voelt voor mij geen reëel alternatief voor een lunch op school die je al jaren gewend bent.

Arnoud

Hoe bindend is een bestelling met je moeders duim?

| AE 9164 | Ondernemingsvrijheid | 14 reacties

Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Gelukkig voor het verhaal bleek de order retourneerbaar, maar het riep bij mij wel de juridische vraag op: zit je er aan vast als ouder, als je kind zo een bestelling plaatst?

Een kind van zes kan niet rechtsgeldig een overeenkomst sluiten met een winkel natuurlijk. Tenzij je zegt dat het normaal is voor zesjarigen om voor 250 dollar aan speelgoed te kopen (art. 1:234 lid 2 BW). Daar verandert het gebruik van moeders duim -of pincode, of lijst met TAN-codes, of portemonnee- niets aan. De ouders kunnen die transactie onder Nederlands recht dus zonder enig probleem terugdraaien.

Lastig wordt het alleen wel als de winkel zegt “Nee, niet het kind maar u de ouder heeft die bestelling geplaatst, het was immers uw telefoon waarmee de betaling werd geautoriseerd”. Bij dit soort bestellingen zal de bestelinformatie immers op naam van de vader of moeder staan, en inderdaad is er een betaalmiddel van de ouder gebruikt. De bal ligt dan bij de ouder in kwestie om te bewijzen dat het niet haar was maar het kind dat op die knop drukte. En dat lijkt me nog knap ingewikkeld.

In het verleden hebben we deze discussie ook gehad bij gebruik van ouderlijke creditcards, of smartphones waar recent de pincode nog was ingevoerd. Juridisch maakt het weinig verschil dat nu een vingerafdruk is gebruikt. De bewijsproblematiek wordt er volgens mij niet wezenlijk anders van. Hoe toon je aan dat je kind jouw duim pakte, dat is hetzelfde als hoe je aantoont dat je kind jouw creditcard overtypte of jouw telefoon gebruikte binnen de 20 minuten voordat de pincode weer gevraagd wordt.

Verschil in de praktijk is natuurlijk wel dat je bij die andere betaalmiddelen iets kunt doen. Je creditcard kan in een afgesloten tas. Je telefoon kun je handmatig vergrendelen. Je TAN-codes kun je op een hoge plank leggen. Maar wat doe je met je duim als je in slaap valt? Dit schijnt sleepjacking te heten, en volgens mij is het nog best lastig om dat probleem met biometrische authenticatie op te lossen.

Arnoud