Rechten van bezoekers bij het gebruik van een camera met gezichtsherkenning
Stel je voor: je loopt een kantoorpand binnen en een camera scant je gezicht zonder dat je het doorhebt. Dat voelt ongemakkelijk, hè?
Je wilt weten wat er met je beeld gebeurt en of je dit zomaar mag worden aangeboden. Gelukkig zijn er regels. Je hebt rechten, en die zijn best concreet.
Hier leg ik je uit hoe het zit, zonder ingewikkelde taal. Je leest wat gezichtsherkenning is, waarom het je raakt, hoe bedrijven het mogen inzetten, en wat jij kunt doen.
Voel je welkom en neem de tijd. We doen dit samen.
Wat is gezichtsherkenning en waarom doet het ertoe
Gezichtsherkenning is een vorm van biometrie. Een camera meet je gezicht, zoals de afstand tussen je ogen en de vorm van je kaaklijn.
Dat profiel wordt vergeleken met een database. Het werkt snel en automatisch.
Daardoor voelt het alsof je identiteit in een seconde wordt gecheckt. Waarom is dat belangrijk? Omdat je gezicht net zo uniek is als je vingerafdruk.
Je kunt het niet zomaar veranderen. Als iemand je biometrische profiel verkeerd gebruikt, is de schade groot. Denk aan identiteitsfraude of ongewenste tracking. Daarom beschermt de AVG biometrische gegevens extra streng.
Veel bedrijven zetten gezichtsherkenning in voor toegang, beveiliging of klantgedrag. Denk aan kantoren, evenementen en winkels.
Je ziet systemen van merken als Hikvision, Dahua, Axis en Bosch. Soms draait de software op een server van Microsoft Azure of AWS.
Dat maakt de datastroom complexer. Jij hebt recht op duidelijkheid over wie wat ziet.
Wat zegt de AVG over gezichtsherkenning
De AVG (Algemene Verordening Gegevensbescherming) ziet biometrische gegevens als bijzonder persoonsgegeven. Bedrijven mogen deze gegevens alleen verwerken als er een wettelijke grondslag is.
Veel voorkomend zijn toestemming, een overeenkomst of een gerechtvaardigd belang. Bij gerechtvaardigd belang moet het bedrijf een belangenafweging doen. Een camera met gezichtsherkenning mag niet zomaar in de openbare ruimte.
In Nederland is cameratoezicht in de openbare ruimte alleen toegestaan voor specifieke doelen, zoals verkeer of veiligheid, en met een goede motivering. Gezichtsherkenning bovenop die camera’s is vaak nog strenger beoordeeld.
Bedrijven moeten een Data Protection Impact Assessment (DPIA) doen bij hoog risico.
Dat betekent: schat de risico’s, kies de minst ingrijpende techniek en leg maatregelen vast. Denk aan versleuteling, toegangscontrole en bewaartermijnen. Zonder DPIA mogen ze vaak niet starten. Je hebt als bezoeker rechten.
Je mag weten dat gezichtsherkenning wordt gebruikt, je mag je gegevens inzien, en je mag bezwaar maken. Ook kun je rectificatie of wissing vragen.
En je kunt klagen bij de Autoriteit Persoonsgegevens (AP). Dat is je recht.
Biometrische gegevens zijn extra beschermd. Wees alert op transparantie en een kleine bewaartermijn.
Wat betekent dit in de praktijk: kern en werking
Stel je loopt een kantoor binnen met een camera van Hikvision of Axis.
De camera detecteert je gezicht en maakt een template: een wiskundig profiel, geen plaatje. Dat template wordt vergeleken met een database van medewerkers of bezoekers. Als er een match is, opent een deur of krijg je een seintje. De camera’s zitten vaak op een netwerk via Power over Ethernet (PoE).
De beelden gaan soms naar een lokale recorder (NVR) of naar de cloud. Als de software draait op Azure of AWS, verplaatst je profiel zich soms over de grens.
Bedrijven moeten dat melden en waarborgen. De werking voelt snel en soepel, maar risico’s zitten in de details.
Verkeerde herkenning kan voorkomen, vooral bij lage resolutie of slecht licht. Daardoor kun je onterecht worden geweigerd. Ook bestaat het risico op misbruik als databases niet goed beveiligd zijn.
Bedrijven moeten technische en organisatorische maatregelen nemen. Denk aan versleuteling (AES-256), sterke toegangscontrole, twee-factor authenticatie, en logboeken.
Ze mogen alleen het profiel opslaan, niet het hele beeld. En ze moeten de bewaartermijn beperken, bijvoorbeeld 24 uur tot 30 dagen, afhankelijk van het doel. Een camera met gezichtsherkenning werkt sneller dan een vingerprint-scanner, maar is ook gevoeliger voor ethische vragen. Wil je weten hoe je jezelf wapent tegen ongewenste gezichtsherkenning?
Bedrijven moeten kunnen uitleggen waarom ze dit inzetten en waarom minder ingrijpende middelen niet voldoen.
Zonder die uitleg is het gebruik risicovol.
Varianten, modellen en kosten
Er zijn verschillende systemen. All-in-one camera’s van Hikvision en Dahua bieden gezichtsherkenning aan de rand (edge).
Ze zijn vaak verkrijgbaar vanaf €400–€900 per stuk, exclusief installatie. Voor grote aantallen betaal je soms licenties per camera of per gezicht, bijvoorbeeld €5–€15 per maand. Axis en Bosch leveren zakelijke IP-camera’s met AI-functies.
Deze systemen zijn robuuster en integreren met toegangscontrole van HID of LenelS2.
Prijzen liggen vaak tussen €600–€1.200 per camera, plus licenties voor analytics modules. Installatie en configuratie kosten vaak €80–€120 per uur. Cloud-gezichtsherkenning via Microsoft Azure Face API of AWS Rekognition is schaalbaar. De kosten hangen af van het aantal API-calls.
Reken op €0,001–€0,01 per analyse, plus opslagkosten. Voor een evenement met 1.000 bezoekers kan dat snel oplopen, maar je betaalt vooral voor gebruik.
Er zijn ook privacy-vriendelijke varianten. Sommige systemen draaien volledig lokaal en slaan alleen templates op, geen beelden. Andere gebruiken federatie: je profiel blijft bij de organisatie en wordt niet gedeeld.
Prijzen liggen vaak hoger, vanaf €1.000 per unit, maar je bespaart op cloudkosten en risico’s.
Welk model kiezen? Hang af van je doel. Voor toegang tot een kantoor is een edge-camera met lokale verwerking vaak voldoende.
Voor grote events met 5.000 bezoekers kan een cloud-oplossing efficiënter zijn. Check altijd of het systeem voldoet aan de AVG, zoals een DPIA en een bewaartermijn van maximaal 30 dagen.
- Hikvision DS-2CD2147G2-LSU/SL: edge-gezichtsherkenning, vanaf €500, PoE, lokaal opslaan mogelijk.
- Axis P3268-LV: AI-camera met gezichtsdetectie, vanaf €900, integratie met toegangscontrole.
- Azure Face API: cloud-herkenning, €0,001–€0,01 per analyse, schaalbaar voor events.
Praktische tips voor bezoekers en organisaties
Vraag altijd om transparantie. Een bordje bij de ingang is het minimale. Je mag weten dat gezichtsherkenning actief is, waar je een biometrische camera mag ophangen, en wie de data beheert.
Vraag ook naar het doel en de bewaartermijn. Geef alleen toestemming als het vrijwillig kan.
Bij toegang tot een evenement mag je een alternatief krijgen, zoals een badge of vingerprint-check. Weigeren mag zonder consequenties.
Een bedrijf mag je niet verplichten om mee te doen zonder goede grondslag. Check je rechten. Vraag inzage in je profiel en de metadata.
Vraag om correctie als je onterecht wordt herkend. Vraag om wissing na bezoek, bijvoorbeeld binnen 24 uur.
En vraag om een bevestiging dat het is verwijderd. Ben je organisator? Doe een DPIA vooraf. Kies voor minimale gegevensverwerking: alleen templates, geen volledige beelden.
Stel een bewaartermijn in, bijvoorbeeld 24 uur voor bezoekers, 30 dagen voor medewerkers. Beveilig het netwerk met VLAN’s, firewall en tweefactorauthenticatie.
Houd rekening met diversiteit. Gezichtsherkenning kan minder accuraat zijn bij bepaalde groepen.
Test met een representatieve groep en deel de resultaten. Zorg voor een klachtenprocedure en een contactpersoon voor privacyvragen. Zo bouw je vertrouwen op.
Ben je bezoeker en voel je je ongemakkelijk? Spreek de organisatie aan. Vraag wie de verantwoordelijkheid draagt, wat de grondslag is, en hoe je je rechten kunt uitoefenen.
Voel je je onterecht behandeld? Dien een klacht in bij de AP.
Sluit af met een heldere afspraak. Bedrijven mogen gezichtsherkenning in de openbare ruimte alleen inzetten als het noodzakelijk is en met waarborgen.
Jij als bezoeker mag weten wat er gebeurt en mag nee zeggen. Zo blijft techniek dienen, niet beheersen.