De impact van biometrie op de juridische definitie van 'Identiteit'
Stel je voor: je loopt de supermarkt in en een camera scant je gezicht zonder dat je het doorhebt. Of je moet je vingerafdruk laten scannen om het magazijn van je werkgever te betreden.
Biometrie – het automatisch herkennen van mensen op basis van lichaamskenmerken – is overal.
Het voelt futuristisch, maar het roept ook direct vragen op. Wie heeft toegang tot jouw unieke lichaamsgegevens? En wat betekent dit voor je privacy en de manier waarop we 'identiteit' in de wet definiëren? We duiken in de wereld van vingerafdrukken, gezichtsherkenning en de wet.
Toepassing biometrie
Biometrie is niet meer alleen iets voor spionagefilms of sci-fi. Tegenwoordig gebruik je het waarschijnlijk zelf, elke dag.
Denk aan het ontgrendelen van je smartphone met Face ID of je vingerafdruk. Dit is 'persoonlijk gebruik', en daarop is de AVG (Algemene Verordening Gegevensbescherming) in beginsel niet van toepassing. Het gaat hier om jouw eigen toestel.
Maar de toepassingen buiten jouw telefoon groeien explosief. Bedrijven gebruiken biometrie voor toegangscontrole. Waarom?
Omdat het makkelijk is. Een medewerker die zijn pasje vergeet, kan alsnog naar binnen met zijn vinger.
Voorbeelden van biometrische gegevens zijn vingerafdrukken, gezichtsafbeeldingen, iris- of netvliesscans en stemherkenning. Volgens de Autoriteit Persoonsgegevens (AP) zijn dit stuk voor stuk persoonsgegevens die resulteren uit specifieke technische verwerking van fysieke, fysiologische of gedragskenmerken. De reden dat organisaties voor biometrie kiezen, is de unieke identificatie. Een wachtwoord kun je vergeten, een pasje kun je kwijtraken, maar je vingerafdruk heb je altijd bij je.
Het is een handige manier om iemand eenduidig te identificeren of om diens identiteit te bevestigen. Toch zorgt deze gemakkelijkheid voor flinke juridische hoofdbrekens.
Hoe werkt gezichtsherkenning?
Veel mensen denken dat een camera simpelweg een foto maakt en die vergelijkt. In de praktijk werkt het slimmer.
Een systeem maakt een 'template' van je gezicht. Dat is een digitale meetlat die afstanden tussen je ogen, neus en kin vastlegt.
Die data is vaak versleuteld en lastig terug te herleiden naar een foto, maar het blijft jouw unieke kenmerk. Er zijn twee hoofdmethoden die je moet onthouden. De eerste is 'one-to-many'.
Dit is wat politie doet op een druk plein: ze scannen een gezicht en vergelijken dit met een enorme database met foto's (zoals van paspoorten of rijbewijzen) om te zien wie jij bent. Dit is identificatie: "Wie is deze persoon?" De tweede methode is 'one-to-one'. Dit gebruik je bijvoorbeeld bij het inloggen op je telefoon.
Het systeem vergelijkt je gezicht alleen met het template dat eerder is opgeslagen bij de setup.
Dit is authenticatie: "Ben jij echt de persoon die beweert te zijn?" Het onderscheid is juridisch cruciaal, want de regels voor identificatie zijn vaak strenger dan voor authenticatie.
Regels voor gebruik biometrie
Hier wordt het serieus. Biometrische gegevens vallen onder de 'bijzondere persoonsgegevens' volgens artikel 9 van de AVG.
Dit zijn gegevens die zo gevoelig zijn dat ze extra bescherming nodig hebben.
In beginsel is het verboden om deze gegevens te verwerken, tenzij er een specifieke uitzondering geldt. Je kunt niet zomaar iemands vingerafdrukken gaan verzamelen omdat het handig is. Een veelgehoorde uitzondering is 'uitdrukkelijke toestemming'.
Als je als werknemer toestemming geeft voor een vingerscan om het magazijn in te komen, mag dat. Maar let op: toestemming moet vrij zijn gegeven.
De context van de verwerking als bepalende factor
Een werknemer die onder druk staat, kan moeilijk 'nee' zeggen. De AP kijkt hier streng naar. Een andere uitzondering is een 'wettelijke verplichting'. De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) speelt hier een grote rol.
De Hoge Raad oordeelde in 2023 dat financiële instellingen verplicht zijn een kopie van een identiteitsbewijs met pasfoto volledig te bewaren.
Hieronder valt dus niet het weglaten van de pasfoto om privacy te 'beschermen'. De wet eist het bewaren van het gezicht, juist om identiteit vast te stellen. Naast deze regels is het belangrijk om te weten dat de verwerking 'proportioneel' moet zijn.
Gebruik biometrie alleen als er geen minder ingrijpend alternatief is. Begrijp in dat kader ook de rol van biometrie bij het voorkomen van identiteitsfraude. Is een pasje of een pincode niet voldoende?
Dan mag je wellicht overgaan op biometrie. Maar de noodzaak moet glashard zijn. De impact van biometrie op de arbeidsmarkt is hierbij doorslaggevend.
In een ziekenhuis waar je toegang krijgt tot medische dossiers, is de noodzaak voor biometrie groter dan in een vakantiepark. De AP onderzoekt momenteel verschillende sectoren.
Juridisch kader gezichtsherkenning
Zo werden vakantieparken op de vingers getikt omdat ze gezichtsherkenning gebruikten voor toegang tot faciliteiten, terwijl dat vaak niet noodzakelijk was.
De AP publiceert regelmatig handreikingen en besluiten. Zo legde de AP Clearview AI een boete op voor illegale dataverzameling voor gezichtsherkenning. Clearview had miljarden afbeeldingen van internet gehaald zonder toestemming.
Dit toont aan dat de autoriteiten actief handhaven, ook bij buitenlandse bedrijven. Ook binnen organisaties speelt de context een rol.
Neem Doris (22), die op haar strepen stond omdat ze alleen nog met een vingerscan toegang kreeg tot het magazijn. Zij vond dit te ver gaan. Was er een alternatief? Was de noodzaak er echt?
Dit soort discussies leidt tot rechtszaken en nieuwe beleidsregels. De wetgeving rondom gezichtsherkenning is een dynamisch veld.
Er lopen meerdere onderzoeken en procedures. De AP geeft antwoord op prangende juridische vragen om organisaties duidelijkheid te geven. Ze benadrukt dat 'one-to-many' (identificatie) vaak meer risico's met zich meebrengt dan 'one-to-one' (authenticatie).
Specifieke wetgeving en onderzoeken
Een specifieke ontwikkeling is de 'Brief regels voor gezichtsherkenning in supermarkten'. Hoewel supermarkten graag diefstal willen voorkomen, is het op grote schaal scannen van klanten om ze in een database te zetten vaak een brug te ver.
De privacy van de klant weegt hier zwaar. De Hoge Raad speelt een rol in het aanscherpen van regels. Zoals gezegd, de Wwft-bewaarplicht is heilig.
Je mag als bank geen 'privacy-vriendelijke' kopie maken door de pasfoto weg te halen. De wetgever wil dat financiële instellingen precies weten met wie ze zaken doen.
De overheid bekijkt ook eigen systemen. Zo is er een 'Toets wijziging Vreemdelingenwet (biometrie vreemdelingen)'.
Hiermee wil de overheid biometrie inzetten voor vreemdelingenregistratie. Dit raakt aan fundamentele rechten en vraagt om een zorgvuldige afweging. Ook de 'Toets wijziging Wet DNA-onderzoek' en een 'Advies aanvulling Wet kind, draagmoederschap en afstamming' laten zien dat biometrie en genetisch materiaal steeds vaker door de wetgeving worden omarmd, maar ook nieuwe ethische vragen oproepen.
Bij bedrijven die werken met veiligheidsnormen (zoals ISPS-bedrijven in de havensector) is er een 'Besluit gedragscode Toegangsbeleid ISPS-bedrijven' en een 'Privacy Gedragscode Toegangsbeleid ISPS-bedrijven'. Hierin staan regels over hoe je biometrie mag gebruiken voor toegang tot schepen of terminals, waar veiligheid vaak prevaleert, maar privacy niet mag worden vergeten.
Praktische tips voor organisaties
Ben je een organisatie en denk je aan biometrie? Trap niet in de valkuilen.
De grootste fout is biometrie inzetten zonder wettelijke grondslag of toestemming. Omdat het om bijzondere gegevens gaat, is dit verboden.
Zorg dat je je zaakjes op orde hebt voordat je start. Een andere veelgemaakte fout is het opslaan van biometrische templates als 'normale' persoonsgegevens. Je moet de extra waarborgen in acht nemen.
Denk aan het versleutelen van data en het beperken van de toegang. En vergeet niet: bij een datalek met biometrie is de schade vaak onomkeerbaar. Een wachtwoord kun je veranderen, je vingerafdruk niet. Volg deze stappen:
- Voer een DPIA uit: Een Data Protection Impact Assessment is verplicht bij grootschalige of risicovolle biometrische verwerking. Schat de risico's in voor de betrokkenen.
- Zorg voor transparantie: Informeer duidelijk over het gebruik, de risico's en de rechten (inzage, rectificatie, wissing). Hang borden op, vermeld het in een privacy statement.
- Vraag om toestemming: Vraag expliciete, geïnformeerde toestemming, tenzij een wettelijke uitzondering ( zoals de Wwft) geldt.
- Minimaliseer opslag: Bewaar de data zo kort mogelijk en beveiligd. Maak geen onnodige kopieën van identiteitsbewijzen.
- Maak onderscheid: Documenteer duidelijk of je identificeert (one-to-many) of authenticateert (one-to-one). Dit bepaalt de juridische vereisten.
Gerelateerde thema's en onderwerpen
Biometrie hangt samen met andere vormen van toezicht. Een onderwerp dat vaak samenvalt is cameratoezicht bij organisaties.
Waar camerasystemen vroeger alleen beeld opnamen, integreren ze nu steeds vaker gezichtsherkenning.
De regels voor cameratoezicht (zoals de meldplicht bij de AP) worden hierdoor complexer. Een camera die alleen registreert dat er iemand is, is iets anders dan een camera die direct herkent dat het om 'Persoon X' gaat. Een andere schakel is de persoonsgegevens op een paspoort of identiteitskaart.
Deze documenten zijn de basis voor veel biometrische systemen. Ze bevatten al jaren biometrische kenmerken (de chip met vingerafdrukken en gezichtsdata). De discussie is nu: wat mag er met die data gebeuren? Mag een supermarkt die chip uitlezen?
Mag de overheid die data koppelen aan andere databases? De impact op de juridische definitie van 'Identiteit' is groot.
Vroeger was identiteit iets dat je bewees met een papiertje of een getuige. Nu is het een digitaal, biometrisch profiel, waarbij blockchain helpt bij het beveiligen van biometrische gegevens.
De wetgeving probeert bij te blijven, maar de technologie ontwikkelt zich sneller. Het is een kat-en-muisspel tussen innovatie en privacy. En terwijl we deze technologie omarmen voor gemak en veiligheid, is het zaak scherp te blijven op wat we inleveren: de controle over ons eigen, unieke lichaam.