Afrekenen met je gezicht: een veilige manier om te betalen?

Share

Je gezicht als betalings- of toegangspas gebruiken, is een thema waar de laatste weken heel wat media-aandacht aan werd besteed. Zo zijn bijvoorbeeld in de metro van Moskou geen toegangspasjes meer nodig. Wie wil kan zijn gezicht gebruiken als toegangskaartje voor de metro. In Schotland zijn er zelfs een aantal basisscholen die zo vooruitstrevend zijn, dat ze de leerlingen met hun gezicht willen laten afrekenen in de schoolkantine.

De voornaamste reden waarom dit soort systemen geïmplementeerd worden, is om de transactie sneller te laten verlopen. Zo belooft het Schotse kantine-betaalsysteem de transactie niet langer dan vijf seconden te laten duren.

Waar vijftien jaar geleden het merendeel van de transacties nog met contant geld plaatsvond, is dat inmiddels vervangen door contactloos betalen of zelfs Apple Pay. Aangenomen kan worden dat het gebruiksgemak dat dit soort technieken brengt voor de consument verleidelijk is.

In deze blog zal nader worden ingegaan op de privacyrechtelijke achtergrond van betaal- en toegangssystemen waarvoor gezichtsherkenningstechnologieën worden gebruikt.

Grondslag voor verwerking

In artikel 4 lid 14 AVG worden biometrische gegevens omschreven als: ‘Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.’ Het gezicht op zichzelf is dus geen biometrisch persoonsgegeven. Pas wanneer een afbeelding van het gezicht verwerkt wordt, is sprake van een biometrisch persoonsgegeven. Daarnaast worden biometrische persoonsgegevens gekwalificeerd als bijzondere persoonsgegevens.

De verwerking van bijzondere persoonsgegevens is in beginsel verboden op grond van artikel 9 lid 1 AVG. Slechts indien de verwerking noodzakelijk is op grond van een van de uitzonderingsgronden opgesomd in artikel 9 lid 2 sub b t/m j AVG, of indien er sprake is van uitdrukkelijke toestemming van de betrokkene, mogen de bijzondere persoonsgegevens verwerkt worden.

Op grond van artikel 29 van de Uitvoeringswet AVG mogen biometrische gegevens – zonder uitdrukkelijke toestemming – slechts verwerkt worden indien de verwerking noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Van een dergelijke noodzakelijkheid om biometrische persoonsgegevens te gebruiken kan sprake zijn indien bijvoorbeeld een gebouw of informatiesysteem zodanige beveiliging nodig heeft dat een toegangscode of pas een risico met zich mee kan brengen. Daarbij kan gedacht worden aan de beveiliging van een kerncentrale. Om het veiligheidsrisico uit te sluiten dat iemand met een gestolen toegangspasje de kerncentrale kan betreden, zou het noodzakelijk kunnen zijn om biometrische gegevens te gebruiken waarmee toegang kan worden verschaft.[3]

Een transactie in een supermarkt of toegang krijgen tot de metro valt niet onder een van de noodzakelijke situaties van artikel 29 UAVG. Verwerking van biometrische gegevens voor betaal- en toegangssystemen kan dus enkel berusten op de verwerkingsgrondslag ‘uitdrukkelijke toestemming’.

Kansen?

Ondanks de gevoelige aard van biometrische persoonsgegevens lijkt de ontwikkeling van dit soort systemen in volle vaart door te zetten. Creatieve ondernemers denken na over oplossingen om het gebruik van gezichtsherkenningssystemen te laten voldoen aan Europese privacywetgeving.

Zo stelt Dick Fens, CEO van het Twentse bedrijf 20face, dat zij software hebben ontwikkeld voor gezichtsherkenningstoepassingen die volgens het bedrijf privacyproof is. “Wij willen en kunnen voldoen aan alle privacyregels, omdat de gebruiker zelf het beheer houdt over de gezichtskenmerken”, aldus Dick Fens. De software werkt als volgt. De gebruiker stuurt een foto in en op basis daarvan maakt het bedrijf een versleutelde code van de biometrische gezichtskenmerken. Die code wordt opgeslagen in een beveiligde digitale kluis en de gebruiker van de gezichtsherkenningstoepassing mag bepalen of derden de code mogen inzetten. Denk daarbij aan een werkgever die toegang geeft tot kantoor of een sportschool.

Feitelijk gezien lijkt het erop dat de software biometrische persoonsgegevens pseudonimiseert, aangezien een code van de biometrische gegevens wordt opgeslagen en niet de afbeelding van het gezicht zelf. In principe klinkt dit inderdaad privacy-proof en lijkt het dat aan het principe van ‘privacy by design’ wordt voldaan. Hoewel dit inderdaad veilig en waterdicht lijkt, bestaat de kans dat deze gegevens weer gedepseudonimiseerd kunnen worden en uiteindelijk gebruikt kunnen worden voor andere doeleinden, of door andere partijen.

In de praktijk is namelijk gebleken wat de gevolgen kunnen zijn wanneer pseudonimiseren verward wordt met het anonimiseren van persoonsgegevens. Zo kreeg de gemeente Enschede enige tijd geleden een hoge boete van de AP, omdat met het wifitrackingsysteem de gepseudonimiseerde persoonsgegevens toch gedepseudonimiseerd kunnen worden. Hoewel de verwerking van de persoonsgegevens die verzameld werden door de wifitrackingsytemen uit de Enschedese binnenstad op een andere grondslag gebaseerd was dan de verwerking van biometrische data voor betalings- en toegangssystemen, laat dit wel zien dat er snel sprake kan zijn van een onvoorzien lek in het beveiligingssysteem.

Men dient dus niet lichtzinnig om te gaan met het gebruik van biometrische persoonsgegevens voor commerciële activiteiten, zoals het betalen in een schoolkantine of als toegangsmiddel voor een metro of festival, aangezien er verborgen risico’s kleven aan het gebruik van biometrische persoonsgegevens. In het verlengde daarvan is het van belang dat het individu altijd de keuzevrijheid behoudt om van alternatieven gebruik te maken.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.