Witold Kepinski - 31 oktober 2024

Vakantieparken passen gebruik gezichtsherkenning aan na onderzoek AP

De Autoriteit Persoonsgegevens (AP) heeft 8 vakantieparken onderzocht die gezichtsherkenning inzetten bij de toegang tot zwembaden en speeltuinen. Alle onderzochte vakantieparken bleken de privacywet te overtreden. Bijvoorbeeld door hun gasten er niet op te wijzen dat ze ook het zwembad konden bezoeken zónder gezichtsherkenning. Onder druk van de AP hebben 7 van de onderzochte parken hun werkwijze aangepast, maar 1 vakantiepark nog niet. Blijft dat zo, dan kan de AP andere maatregelen opleggen, zoals een boete of dwangsom.

Vakantieparken passen gebruik gezichtsherkenning aan na onderzoek AP image

De AP startte het onderzoek door tips van burgers. "Mensen waren verbaasd", zegt AP-vicevoorzitter Monique Verdier. "Waar ze vroeger het zwembad in kwamen met een pasje of een polsbandje, werd nu opeens gezichtsherkenning ingezet. Voor volwassenen, maar ook voor kinderen. Enkel en alleen om het zwembad in te kunnen. Mag dat zomaar? Dat wilden ze weten."

Gezichtsherkenning is meestal verboden

De Algemene verordening gegevensbescherming (AVG) stelt strenge voorwaarden aan de inzet van gezichtsherkenning. "De inzet is in principe verboden. En dat is niet voor niets", zegt Verdier. "Als er eenmaal zo’n gezichtsscan van jou gemaakt is, ben je de controle kwijt. Je kunt dan overal geïdentificeerd en gevolgd worden. Je gezicht is uniek en kun je niet zomaar even ruilen voor een ander exemplaar."

In principe is in slechts 3 gevallen gezichtsherkenning wél toegestaan:

  1. Als de gezichtsherkenning alleen een persoonlijk of huishoudelijk doel heeft, zoals het ontgrendelen van een telefoon.
  2. Als de gezichtsherkenning noodzakelijk is voor authenticatie of beveiliging. Die noodzaak is er niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.

  3. Als degene van wie je het gezicht scant, daarvoor uitdrukkelijk toestemming geeft.

Uitdrukkelijke toestemming voor gezichtsherkenning

Bij toegangscontrole voor een zwembad is dus alleen optie 3 mogelijk: uitdrukkelijke toestemming. Er zitten flink wat voorwaarden aan de manier waarop een organisatie mensen toestemming moet vragen om gezichtsherkenning toe te passen.

Zo moet de organisatie mensen goed informeren, zodat zij echt weten waar ze 'ja' tegen zeggen. Ook moeten ze vrij zijn – en zich vrij voelen – om 'nee' te zeggen. Dat betekent onder meer dat er ook een alternatief moet zijn. In dit geval: bijvoorbeeld dat je ook toegang kunt krijgen met een pasje of polsbandje.

Verschillende overtredingen door vakantieparken

Uit het onderzoek van de AP bleek dat alle vakantieparken zich niet aan de wet hielden. De AP kwam verschillende overtredingen tegen:

  • Soms vroegen parken niet eens om toestemming. Of niet duidelijk genoeg.
  • Gasten konden soms geen gebruikmaken van een alternatief voor gezichtsherkenning. Of er was wel een alternatief, maar het vakantiepark liet dat de gasten niet uit zichzelf weten.
  • Andere vakantieparken informeerden de gasten onvoldoende over de gezichtsherkenning. En over de rechten die de gasten hebben zodra een organisatie hun persoonsgegevens gebruikt voor gezichtsherkenning.

  • De gasten kregen vaak geen informatie over hoe lang het vakantiepark de gegevens bewaart en wie de gegevens ontvangt.

Verdier: "Dit is zeer ernstig. Je mag mensen niet onder druk zetten om hun biometrische gegevens af te staan. Toch was dat wat hier gebeurde: mensen betalen voor een leuke vakantie, inclusief zwembad, en worden voor een voldongen feit gesteld: als je wilt zwemmen, moet je je data afstaan. Dat is verboden."

Hoe nu verder?

De AP heeft een last opgelegd aan het vakantiepark dat nu nog niet aan de wet voldoet. Het vakantiepark krijgt tot begin december om de werkwijze bij gezichtsherkenning aan te passen. Doet het park dat niet, dan kan de AP overgaan tot andere maatregelen. Verdier: "Het bedrijf heeft dan genoeg kans gehad om aan de wet te voldoen. Een andere maatregel, zoals een boete of een dwangsom, kan dan nodig zijn."

Telindus Proximus banner 2 27-10 tm 1-11 Gartner BW tm 02-11-2024
Tanium BN+BW 8/10/2024 - 01/11/2024