De rol van biometrie bij het beschermen van onze privacy (Paradox)
Je staat bij de supermarkt en de kassa scant je gezicht. Of je moet je vingerafdruk laten scannen om toegang te krijgen tot je werkplek.
Handig, snel, en veilig? Misschien. Maar wat gebeurt er eigenlijk met die biometrische data? Dit is de paradox: we gebruiken biometrie om onze privacy te beschermen, maar tegelijkertijd zetten we onze meest persoonlijke data op het spel. Biometrie is niet zomaar een wachtwoord dat je kunt veranderen.
Het is uniek, onherroepelijk en direct gekoppeld aan wie jij bent. In dit artikel duiken we in de wereld van biometrie, van vingerafdrukken tot gezichtsherkenning, en bekijken we hoe het onze privacy kan beschermen én bedreigen.
A longitudinal analysis of the privacy paradox
De privacy paradox is een interessant fenomeen. Mensen zeggen dat ze privacy belangrijk vinden, maar gedragen zich online alsof het ze niets kan schelen.
Een longitudinale analyse door Dienlin, Masur & Trepte (2023) in New Media & Society (25(5), p. 1043-1064) laat zien dat dit gedrag niet zomaar verandert. We zijn geneigd om gemak en snelheid voor privacy te laten gaan. Biometrie speelt hier een dubbelrol.
Aan de ene kant voelt het veilig: niemand kan je vingerafdruk kopiëren zoals een wachtwoord. Aan de andere kant geef je iets heel persoonlijks weg.
Het onderzoek laat zien dat mensen zich pas bewust worden van de risico’s als het te laat is.
Denk aan Clearview AI. Dit bedrijf verzamelde illegaal miljarden gezichtsdata voor gezichtsherkenning. De Autoriteit Persoonsgegevens legde een boete op, maar de data is al verspreid. Dit is de paradox: we gebruiken biometrie voor veiligheid, maar lopen het risico op onherroepelijke datalekken.
Toepassing biometrie
Biometrie wordt overal gebruikt. Van smartphones met vingerafdrukscanners tot luchthavens met gezichtsherkenning.
Maar wat mag eigenlijk? Volgens de AVG (Algemene Verordening Gegevensbescherming) vallen biometrische gegevens onder artikel 9. Dit betekent dat verwerking verboden is, tenzij er een uitzondering van toepassing is.
De Autoriteit Persoonsgegevens (AP) bepaalt wat mag. Biometrie mag alleen met expliciete toestemming en een duidelijk doel.
Bijvoorbeeld voor beveiliging op je werk, maar niet zomaar voor marketing. De AP houdt toezicht en legt boetes op als organisaties de regels overtreden. Een voorbeeld: vingerafdrukken van personeel. Sommige bedrijven gebruiken dit voor toegangscontrole.
Maar mag dat zomaar? Nee, alleen als er geen minder ingrijpend alternatief is.
De AP onderzoekt of de verwerking proportioneel is. Is het niet nodig? Dan is het verboden.
Biometrie is dus niet zomaar een handige tool. Het is een krachtig instrument met strikte regels.
Organisaties moeten kunnen aantonen dat ze zich houden aan de AVG en de UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming).
Hoe werkt gezichtsherkenning?
Gezichtsherkenning is een van de meest bekende vormen van biometrie. Het werkt met twee hoofdmethoden: one-to-many en one-to-one.
Bij one-to-many vergelijkt een systeem je gezicht met een database van duizenden mensen. Dit wordt gebruikt voor identificatie, bijvoorbeeld op luchthavens. Bij one-to-one vergelijkt het systeem je gezicht met één specifiek record.
Dit wordt gebruikt voor authenticatie, zoals het ontgrendelen van je telefoon. Beide methoden gebruiken complexe algoritmen om unieke kenmerken van je gezicht te analyseren, zoals de afstand tussen je ogen of de vorm van je kaaklijn.
Juridisch kader gezichtsherkenning
Maar er zijn risico’s. Gezichtsherkenning kan fouten maken, vooral bij mensen van kleur of bij slechte verlichting. Bovendien is de data onherroepelijk: als je gezichtsdata lekt, kun je niet zomaar je ‘wachtwoord’ wijzigen. Dit maakt het een hoogrisicotechnologie onder de AVG.
De AVG en UAVG stellen strenge eisen aan gezichtsherkenning. Organisaties moeten een Data Protection Impact Assessment (DPIA) uitvoeren voordat ze deze technologie inzetten.
Dit onderzoek moet de risico’s voor de privacy van betrokkenen in kaart brengen. De Autoriteit Persoonsgegevens waarschuwt voor misbruik. Clearview AI is een schrikbeeld: het bedrijf verzamelde zonder toestemming gezichtsdata van sociale media en andere openbare bronnen.
Brief regels voor gezichtsherkenning in supermarkten
De AP legde een boete op, maar de data is al gebruikt voor gezichtsherkenning door politie en veiligheidsdiensten.
Wil je weten of een organisatie jouw gezichtsdata mag verwerken? Check de AP-website of vraag de organisatie om transparantie. Je hebt recht op inzage, correctie en verwijdering van je data, tenzij er een wettelijke uitzondering is.
Sommige supermarkten experimenten met gezichtsherkenning voor klantenkaarten of beveiliging. Maar dit is niet zomaar toegestaan.
Onderzoek vingerafdrukken personeel
De AP heeft duidelijke regels: gezichtsherkenning mag alleen als er geen alternatief is en als klanten expliciet toestemming geven. Stel je voor: een supermarkt scant je gezicht bij de ingang zonder dat je het weet. Dit is verboden.
Je moet worden geïnformeerd en actief toestemming geven. Bovendien mag de data niet worden gebruikt voor marketing zonder aparte toestemming. De AP onderzoekt supermarkten die deze regels overtreden.
Een overtreding kan leiden tot hoge boetes. Als consument kun je een klacht indienen bij de AP als je vermoedt dat je data onrechtmatig wordt verwerkt.
Vingerafdrukken worden vaak gebruikt voor toegangscontrole op werkplekken. Maar mag dit zomaar? Nee, volgens de AP is dit alleen toegestaan als er geen minder ingrijpend alternatief is, zoals een pasje of pincode. Als werkgever moet je kunnen aantonen dat vingerafdrukken noodzakelijk zijn voor beveiliging.
Bovendien moet je personeel expliciet toestemming geven. Dit is niet vrijblijvend: werknemers mogen niet worden gedwongen om hun vingerafdruk af te staan.
De AP onderzoekt regelmatig bedrijven die deze regels overtreden. Een voorbeeld is een bedrijf dat vingerafdrukken gebruikte zonder duidelijk doel of toestemming. De AP legde een boete op en eiste dat de data werd verwijderd.
Kan ik mijn gegevens bij een organisatie inzien, laten verbeteren of laten verwijderen?
Ja, dat kan. Onder de AVG heb je recht op inzage, correctie en verwijdering van je persoonsgegevens, inclusief biometrische data.
Dit heet het ‘recht op vergetelheid’. Stel je voor: je hebt je vingerafdruk laten scannen bij een bedrijf, maar je wilt dit niet meer.
Je kunt de organisatie vragen om je data te verwijderen. Ze moeten hieraan voldoen, tenzij er een wettelijke uitzondering is. Biometrische gegevens zijn onherroepelijk. Als ze lekken, kun je niet zomaar je ‘wachtwoord’ wijzigen.
Daarom is het extra belangrijk om te controleren wie je data verwerkt en waarvoor.
Tip: vraag altijd om een bevestiging als je je data laat verwijderen. Bewaar deze als bewijsmateriaal voor de AP.
Wat kan ik doen als ik een vraag of klacht heb over het gebruik van mijn persoonsgegevens?
Als je een vraag of klacht hebt, neem dan eerst contact op met de organisatie zelf.
Vraag om transparantie: waarom worden je biometrische gegevens verwerkt? Zijn ze hiertoe bevoegd volgens de internationale wetgeving voor biometrische privacy?
Als je niet tevreden bent, kun je een klacht indienen bij de Autoriteit Persoonsgegevens. De AP onderzoekt of de organisatie zich houdt aan de AVG en UAVG. Bij overtredingen kan de AP boetes opleggen tot €20 miljoen of 4% van de wereldwijde omzet. Je kunt ook juridische stappen ondernemen.
Een advocaat kan je helpen bij het indienen van een schadeclaim. Verzamel bewijs, zoals e-mails of bevestigingen van de organisatie.
Onthoud: biometrische gegevens zijn hoogrisicodata. Neem serieuze stappen als je vermoedt dat ze onrechtmatig worden verwerkt, zeker gezien de impact van biometrie op je identiteit.
Praktische tips
- Check de AP-website: Voordat je biometrische data deelt, controleer of de organisatie bevoegd is.
- Vraag om toestemming: Geef nooit zomaar je vingerafdruk of gezichtsdata. Vraag waarvoor het wordt gebruikt.
- Bewaar bewijs: Als je data laat verwijderen, vraag om een bevestiging.
- Wees alert op datalekken: Biometrische data zijn onherroepelijk. Als ze lekken, is de schade groot.
- Gebruik alternatieven: Als possible, kies voor minder ingrijpende methoden, zoals een pasje of pincode.
Biometrie is een krachtig instrument, maar het brengt risico’s met zich mee. Ontdek hoe biometrie onze perceptie van veiligheid en vrijheid verandert en hoe je bewust met je data omgaat om je privacy te beschermen.
Onthoud: je bent zelf de eerste verdedigingslinie. Wees kritisch, vraag door en neem actie als het nodig is.