Recentelijk werd bekend dat San Francisco de eerste stad ter wereld is waar gezichtsherkenning wordt verboden. In Nederland lijken we nog niet zo ver, aangezien voetbalclub FC Den Bosch voornemens is gezichtsherkenning in te zetten om daarmee relschoppers uit haar stadion te weren. De vraag is of de inzet van software voor gezichtsherkenning wel in lijn is met de Algemene Verordening Gegevensbescherming (‘AVG’).
Omroep Brabant bericht dat uit onderzoek is gebleken dat in het stadion van FC Den Bosch 24 camera’s worden ingezet die gezichten herkennen en opslaan. Na analyse van de camerabeelden kan vervolgens worden vastgesteld of de betrokkene eerder in het stadion is geweest, de betrokkene eerder de toegang tot het stadion is ontzegd en welke route de betrokkene precies heeft gelopen. Daarnaast worden ook andere persoonsgegevens vastgelegd, zoals leeftijd, ras en geslacht. De vraag is echter of de inzet van software voor gezichtsherkenning wel in lijn is met de Algemene Verordening Gegevensbescherming (‘AVG’).
Wat zegt de AVG?
Vorig jaar mei trad de AVG in werking. In de AVG is bepaald dat een verwerking van persoonsgegevens rechtmatig is indien de verwerking kan worden gebaseerd op een van de voorwaarden van art. 6 AVG. Deze bepaling ziet echter enkel op de verwerking van gewone persoonsgegevens. Voor het gebruik van gezichtsherkenning moet worden gekeken naar de voorwaarden uit art. 9 AVG. Biometrische gegevens (bijvoorbeeld gezichtsafbeeldingen) die worden verwerkt met het oog op de unieke identificatie van een persoon worden namelijk gezien als ‘bijzondere persoonsgegevens’ en zijn in beginsel verboden onder de AVG. In specifieke situaties kan de verwerking van biometrische gegevens wel rechtmatig zijn. Dit is het geval indien:
Verder moeten de verwerkingsverantwoordelijke en de verwerker om persoonsgegevens te mogen verwerken voldoen aan twee criteria:
Gezichtsherkenning in stadions rechtmatig?
Voor het verlenen van toestemming is vereist dat de toestemming expliciet en in vrijheid kan worden gegeven. De betrokkene moet dus ook de mogelijkheid hebben om de toestemming te weigeren. Het is lastig om deze toestemming te realiseren voor de bezoekers van een voetbalstadion. Mogen de bezoekers nog wel naar binnen als ze de toestemming weigeren? Hoe vraag je aan zoveel bezoekers hun expliciete toestemming? Naast dat dit lastig te realiseren is, is het niet aannemelijk dat mensen toestemming zullen geven aan het stadion om hun biometrische gegevens te gebruiken. Dit geldt des te meer voor de groep mensen die door het stadion als ‘relschopper’ wordt gekwalificeerd. Daarnaast is het gebruik van gezichtsherkenning niet noodzakelijk voor authenticatie of beveiligingsdoeleinden, omdat er ook andere minder ingrijpende manieren zijn om relschoppers uit het stadion te weren. Zo kan de beveiliging van het stadion gebruik maken van pasfoto’s en een lijst met namen van de relschoppers om zelf de persoon te kunnen herkennen en kan de naam worden gebruikt om de kaartverkoop voor die persoon te blokkeren.
Het gebruik van gezichtsherkenning in stadions is dus niet rechtmatig. De verwerking van de biometrische gegevens van stadionbezoekers is kan niet worden gebaseerd op een van de grondslagen uit de AVG.
Gezichtsherkenning in stadions noodzakelijk en proportioneel?
Het doel van de gezichtsherkenning is volgens FC Den Bosch het weren van relschoppers uit het voetbalstadion. Het gaat nogal ver om de gezichten van alle bezoekers van het stadion – dat een capaciteit heeft van 8500 zitplaatsen – op te slaan, enkel om relschoppers te weren. Op het totale aantal stadionbezoekers zal het aantal relschoppers zeer beperkt zijn. De noodzakelijkheid en proportionaliteit ontbreekt op dit punt, omdat er minder ingrijpende maatregelen zijn om dit doel te bereiken. Bij de eerder genoemde maatregelen worden de biometrische gegevens van de stadionbezoekers namelijk niet opgeslagen en verwerkt.