Het dubbele gezicht van gezichtsherkenning

17 september 2019

Om de organisatie binnen jouw school in goede banen te leiden kan het belangrijk zijn dat leerlingen, personeel en bezoekers zich identificeren. Denk alleen al aan de absentiecontrole, het melden bij de receptie of het inloggen op het LVS. Door de huidige technologische ontwikkelingen kan het identificeren van personen een stuk eenvoudiger.

Zo zijn er tegenwoordig nieuwe identificatiesystemen met vingerafdrukken, irisscans en gezichts- en stemherkenning beschikbaar. Een greep uit twee actuele nieuwsberichten rondom biometrische persoonsgegevens.

 

Manfield

Schoenenketen Manfield heeft enige tijd geleden in alle filialen een vingerscan-autorisatiesysteem voor haar kassasysteem ingevoerd. Medewerkers zijn verplicht een vingerafdruk te gebruiken om werkzaamheden uit te voeren. Een werknemer van de schoenenketen had hier problemen mee en stapte naar de rechter. Biometrische gegevens, zoals een vingerafdruk, vallen namelijk onder de categorie bijzondere persoonsgegevens. Voor het gebruik van deze categorie persoonsgegevens bestaan extra strenge regels.

Het gebruik van biometrische gegevens is in Nederland toegestaan wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Manfield had daarom vooraf een afweging moeten maken of identificatie met biometrische gegevens écht noodzakelijk was. Hierbij had ook de vraag gesteld moeten worden: kan het doel, in dit geval het beveiligd inloggen op het kassasysteem, niet op een andere en minder privacygevoelige wijze bereikt worden?

Volgens de rechter kon Manfield de noodzakelijkheid van het gebruik van vingerafdrukken onvoldoende onderbouwen. Ook had Manfield niet voldoende beargumenteerd waarom er voor deze methode en niet voor een toegangspas, een wisselend wachtwoord of 2FA gekozen was. Manfield had de werknemer daarom niet mogen verplichten een vingerafdruk te gebruiken om in te loggen.

 

Zweedse school

Inmiddels is in Zweden ook de eerste AVG-boete uitgedeeld. Een school in het voortgezet onderwijs ontving daar een boete van zo’n € 20.000,- vanwege het gebruik van gezichtsherkenning in de klas. Om de absentiecontrole gemakkelijker te maken werd met behulp van een camera in het klaslokaal automatisch de aanwezigheid onder leerlingen geregistreerd. Aan de leerlingen was hiervoor om toestemming gevraagd, maar toestemming is in dit geval geen valide grondslag wegens de afhankelijke en hiërarchische relatie tussen leerling en schoolbestuur.

Volgens de toezichthouder kon de school de noodzaak van dit systeem niet voldoende onderbouwen. Ook had het schoolbestuur niet onderzocht of het doel, de absentieregistratie, op een andere en minder vergaande wijze bereikt had kunnen worden.

 

Conclusie

Wil je als school gebruik gaan maken van vingerafdrukken of gezichtsherkenning? Technologie kan handig zijn, maar wees voorzichtig. Het gebruik van biometrische gegevens is niet onmogelijk onder de AVG, wel gelden er strenge regels. Gebruik van deze gegevens is alleen mogelijk wanneer dit écht noodzakelijk is en er geen andere, minder inbreuk makende, mogelijkheden bestaan.

Bedenk ook dat het geven van toestemming in een werknemer – werkgeversrelatie of een school – leerlingrelatie niet altijd juist is. Wil je toch biometrische gegevens gebruiken? Laat dan allereerst een degelijke DPIA uitvoeren waar de gehele gegevensverwerking uitgebreid beoordeeld wordt.

 

Juriaan van de Wege
Privacyjurist / Functionaris Gegevensbescherming