Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Vraag: Ik werk aan een dienst die toegangsverboden in de horeca helpt handhaven door middel van gezichtsherkenning. Software kan dat beter dan portiers is het idee, en natuurlijk moet er altijd een mens nog beslissen of deze persoon echt diegene van het verbod is. Kan dit onder de AVG?
Antwoord: Het gebruik van biometrie is onder de AVG inderdaad zeg maar een dingetje. In principe mag dat niet, tenzij de wet (de AVG of de Nederlandse Uitvoeringswet) zegt van wel.
In gevallen als deze zou het gaan om de uitzondering uit artikel 29 Uitvoeringswet: identificatie van de betrokkene die noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
De noodzaak zou hem dan zitten in het feit dat menselijke portiers eigenlijk gewoon niet in staat zijn om adequate controle op lokaalverbodbrekers te houden. Dan kun je niet anders, en aangenomen dat er dan altijd nog een menselijke check is van het gezicht versus de vermelding in de lokaalverbodlijst, denk ik dat het dan wel oké is.
Ik denk wel dat je er niet aan ontkomt om echt aan te tonen dát het misgaat bij dat café of die club. Een abstracte "mensen maken fouten om 2 uur 's nachts" argumentatie gaat hem niet worden, dat toont geen noodzaak in dit geval aan.
Verder vraag ik me af of de dienstverlener hier zich op gaat stellen als verwerker (bij elke klant een aparte database en gescheiden dienstverlening) of als verantwoordelijke (één database en gedeelde dienstverlening, wat je vaak ziet bij samenwerkende horeca waarbij een lokaalverbod voor al die horeca geldt). Dat laatste zou extra spannend zijn omdat je dan ook in het gebied van de zwarte lijsten valt, waarvoor verplicht een DPIA moet worden uitgevoerd én in principe toestemming van de AP gevraagd moet worden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.