Gezichtsherkenning
Wilt u als organisatie camera’s met gezichtsherkenning gebruiken? Dat is vrijwel altijd verboden. U leest hier wanneer het wel mag en welke regels voor u gelden.
Op deze pagina
De AP heeft ook een juridisch kader opgesteld om organisaties handvatten te bieden bij het gebruik van gezichtsherkenning. Bijvoorbeeld producenten of leveranciers van camera’s met gezichtsherkenning. In het juridisch kader leest u ook meer over de techniek achter gezichtsherkenning.
De techniek achter gezichtsherkenning
Er zijn verschillende manieren om een computer gezichten te laten herkennen. In de Guidelines on the use of facial recognition technology in the area of law enforcement van de European Data Protection Board (EDPB) wordt gezichtsherkenning omschreven als een proces in 2 fasen:
- De verzameling van gezichtsafbeeldingen en de transformatie in een template of sjabloon, gevolgd door:
- De herkenning van het gezicht door de template of het sjabloon te vergelijken met andere templates/sjablonen. In het juridisch kader gezichtsherkenning zijn de verschillende fases en stappen nader uitgewerkt.
Exceptie: persoonlijk of huishoudelijk doel
Heeft de verwerking alleen een persoonlijk of huishoudelijk doel? Bijvoorbeeld wanneer mensen hun eigen mobiele telefoon ontgrendelen met een vingerafdruk of gezichtsscan? Dan is de AVG niet van toepassing.
Wilt u zich beroepen op deze uitzondering? Dan moet u voldoen aan een aantal eisen:
- Het door de gebruiker van de mobiele elektronica gebruikmaken van het apparaat of de dienst om toegang te verkrijgen tot (gedownloade applicaties op) het apparaat is aan te merken als privégebruik.
- De gebruiker krijgt het gebruik van biometrische gegevens niet opgelegd door een werkgever of een andere derde (partij). De gebruiker heeft er dus zelf voor gekozen om gebruik te maken van de optie om met de verwerking van biometrische gegevens toegang te krijgen. De gebruiker kan ook voor een alternatief kiezen, zoals inloggen met een wachtwoord.
- De biometrische gegevens die van een gebruiker zijn opgeslagen, zijn niet toegankelijk voor derden. De gegevens kunnen bijvoorbeeld niet naar een externe database worden gestuurd en derden kunnen niet bij deze gegevens. Bovendien is de opslag van de gegevens goed beveiligd.
- De biometrische gegevens worden op het apparaat opgeslagen met versleuteling volgens de stand van de techniek.
- Bij een toegangscontrole geeft de techniek alleen door of de herkenning is gelukt of niet.
Bekijk ook het juridisch kader gezichtsherkenning.
Uitzonderingen op verbod gezichtsherkenning
Een gezichtsafbeelding is een biometrisch persoonsgegeven. Als een biometrisch persoonsgegeven wordt gebruikt om iemand uniek te identificeren, is het een bijzonder persoonsgegeven. Met camera’s met gezichtsherkenning verwerkt u dus bijzondere persoonsgegevens.
Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering geldt. Dit betekent dat u alleen gezichtsherkenning mag inzetten als in uw situatie een van die wettelijke uitzonderingen geldt.
De 2 meest voor de hand liggende uitzonderingen zijn:
- De betrokkenen hebben hun uitdrukkelijke toestemming gegeven. Dit is een van de uitzonderingen uit de AVG op het verbod om bijzondere persoonsgegevens te verwerken.
- De verwerking is noodzakelijk voor authenticatie of beveiliging. Deze uitzondering staat in de Uitvoeringswet AVG (UAVG). Die noodzaak is er echter niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.
Tip: Bekijk ook de overige voorkomende uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens.
Afweging gebruik gezichtsherkenning
Authenticatie of beveiliging
Wilt u als organisatie gezichtsherkenning gebruiken voor authenticatie of beveiliging? Bekijk welke voorwaarden daarvoor gelden.
Uitdrukkelijke toestemming
Wilt u als organisatie biometrische gegevens gebruiken op basis van uitdrukkelijke toestemming? Bekijk welke eisen daarvoor gelden.
DPIA bij gezichtsherkenning
Voordat u mag starten met gezichtsherkenning, moet u eerst een data protection impact assessment (DPIA) uitvoeren. Neem in uw DPIA de privacyrisico’s van gezichtsherkenning op en de maatregelen om deze risico’s te verkleinen. Deze risico’s zijn onder meer:
- Bias (vooringenomenheid) en fouten in gezichtsherkenning: de uitkomsten van gezichtsherkenning kunnen discriminerend zijn en minder goed werken bij bepaalde groepen mensen.
- Ondoorzichtige informatieverzameling: gezichtsherkenning werkt momenteel vaak op basis van algoritmes die getraind zijn met beelden van mensen die daarvoor geen toestemming hebben gegeven.
- Ontbreken van een keuze- of reflectiemoment voor de mensen die worden gefilmd (‘wil ik dit wel echt?’).
- Secundair gebruik (hergebruik) van gegevens: bijvoorbeeld overheden die bedrijven vragen om de informatie te verstrekken die zij met gezichtsherkenning hebben verzameld.
Beveiliging van biometrische gegevens
Gaat u camera’s met gezichtsherkenning gebruiken, let dan op dat u voldoet aan de eisen voor beveiliging van biometrische gegevens.
Regels voor producent of leverancier
Bent u producent van camera’s met gezichtsherkenning? Dan moet u al bij het ontwerp van de camera’s letten op privacyaspecten. Dit heet privacy by design en privacy by default. Hiermee dwingt u technisch en organisatorisch een zorgvuldige omgang met persoonsgegevens af.
Levert u als producent de camera’s vervolgens ook aan klanten? En gaat u voor hen persoonsgegevens verwerken? Dan bent u verwerker van deze gegevens. U bent ook verwerker als u (alleen) leverancier bent van camera’s met gezichtsherkenning en u persoonsgegevens verwerkt voor uw klanten. U heeft een aantal specifieke verplichtingen als verwerker.