We lezen regelmatig verhalen over de vergaande technologie en op welke manier die technologie gegevens van individuen vastlegt. In China wordt bijvoorbeeld veelvuldig gebruik gemaakt van camera’s met gezichtsherkenning. Wie een overtreding begaat, wordt met deze technologie herkend en krijgt vervolgens een boete op de mat.
Hoewel het in Nederland meestal nog niet zo ver gaat, wordt ook hier op veel plekken cameratoezicht ingezet. Soms wordt daarbij gebruik gemaakt van de mogelijkheid van gezichtsherkenning. Dit wordt niet gebruikt om boetes op te leggen, maar wel om bijvoorbeeld winkeldieven te herkennen en hen zo te kunnen weren uit de winkel. Deze camera’s kunnen nog veel meer. Zo kunnen ze koopgedrag monitoren en een profiel van klanten opstellen en koppelen aan social media.
In Europa vinden we dit minder wenselijk dan daar buiten. Om die reden is het gebruik van gezichtsherkenning in supermarkten in principe verboden. De Autoriteit Persoonsgegevens (AP) heeft afgelopen december een supermarkt op dit verbod gewezen en gewaarschuwd voor het gebruik van cameratoezicht met gezichtsherkenning. Hoe zit dat precies?
Bij het gebruik van camera’s met gezichtsherkenning worden de eigenschappen van het gezicht van alle personen die in beeld komen geregistreerd en verwerkt. Deze biometrische gegevens worden aangemerkt als bijzondere persoonsgegevens, waarvan de verwerking op grond van de Algemene Verordening Gegevensbescherming (AVG) verboden is. Biometrische gegevens mogen alleen verwerkt worden als zich een van de twee uitzonderingen voordoet.
In de eerste plaats is de verwerking toch toestaan als de betrokkene uitdrukkelijk toestemming heeft gegeven. Hiervoor is onder andere vereist dat de toestemming in vrijheid gegeven is, op voldoende informatie berust en met een ondubbelzinnige, actieve handeling is gegeven. Dit laatste betekent dat stilzwijgend toestemming geven, zoals het binnenlopen van een winkel waar camera’s met gezichtsherkenning hangen, niet geldt als uitdrukkelijke toestemming. Wie zwijgt, stemt in dit geval dus niet toe.
De tweede uitzondering houdt in, dat de verwerking van biometrische gegevens ondanks het verbod is toegestaan, wanneer het noodzakelijk is voor authenticatie of beveiliging. Hierbij moet het gaan om een zwaarwegend belang. Het meest sprekende voorbeeld daarvan is wanneer biometrische gegevens vereist zijn voor de beveiliging van een kerncentrale of een database met zeer vertrouwelijke informatie. Hoewel ondernemers een groot belang hebben bij het voorkomen van diefstal, is dit niet van hetzelfde gewicht als het beveiligen van een kerncentrale of een database. De AP constateert dan ook dat gezichtsherkenning niet noodzakelijk is voor de beveiliging van een supermarkt.
De AP heeft gewaarschuwd dat het gebruiken van camera’s met gezichtsherkenning in deze situatie niet is toegestaan onder de AVG. Dit betekent echter niet dat het gebruik van camera’s in het geheel niet mogelijk is. Wanneer aan bepaalde voorwaarden is voldaan, mogen reguliere camera’s wel worden ingezet om diefstal tegen te gaan en werknemers en klanten te beschermen.
In de eerste plaats is daarvoor vereist dat een gerechtvaardigd belang bestaat voor het gebruik van de camera’s. Het tegen gaan van diefstal of het willen beschermen van klanten en werknemers zijn dergelijke gerechtvaardigde belangen.
Daarnaast moet het ophangen van de camera’s noodzakelijk zijn om die belangen te behartigen. Dit houdt in dat er geen andere, minder ingrijpende mogelijkheid is om het belang te behartigen en dat het cameratoezicht niet op zichzelf staat, maar onderdeel is van een totaalpakket aan maatregelen. Bijvoorbeeld naast het inzetten van een beveiliger of het gebruiken van beveiligingsstickers op de producten. Ook kun je er op letten dat je zo min mogelijk camera’s ophangt.
Verder moet je als ondernemer altijd een belangenafweging maken voordat camera’s worden opgehangen. Daarbij moeten de belangen van klanten en werknemers worden afgewogen tegen de belangen die je als ondernemer hebt bij het cameratoezicht.
Ten slotte is in sommige gevallen een data protection impact assessment (DPIA) vereist. In een DPIA wordt duidelijk wat de privacyrisico’s van het cameratoezicht zijn en welke maatregelen (kunnen) worden genomen om die risico’s te beperken. Een DPIA is vereist wanneer het cameratoezicht grootschalig en/of systematisch wordt ingezet of wanneer sprake is van verborgen cameratoezicht. Als geen sprake is van verborgen camera’s, moeten de klanten en werknemers voordat ze de onderneming binnenlopen op de hoogte gebracht worden van de camera’s. Dit kan door middel van een bord waaruit blijkt dat er camera’s hangen en wat het doel daarvan is. Voor de werknemers kan een intern beleid worden opgesteld. Let er op dat de OR wel met dat beleid moet instemmen.
