Wet-en regelgeving / Cameratoezicht

Je gezicht gebruiken als toegangskaartje: hoe werkt dat eigenlijk?

zaterdag 02 juni 2018 Leestijd: 3 min.

gezichtsherkenning / ANP

Eelke Bakker

Redactie

zaterdag 02 juni 2018 Leestijd: 3 min.

 Je gezicht laten scannen bij de entree van een museum, pretpark of recreatieplas, het is al lang geen science fiction meer. Ook in Nederland wordt de techniek al op een aantal locaties toegepast. Zo ook bij het Henschotermeer, een recreatieplas tussen Utrecht en Amersfoort. Binnenkort kun je daar namelijk alleen nog een duik nemen nadat je door een geavanceerde camera je gezicht hebt laten opmeten. Hoe werkt dit precies, en mag dit zomaar?

Naar aanleiding van eerdere publicaties over het onderwerp cameratoezicht, kregen wij een aantal tips binnen over het Henschotermeer. Rondom de invoering van de vernieuwde toegangscontrole bij de recreatieplas was discussie ontstaan. ‘Ik ga zeker niet met mijn giechel in een database,’ en  ‘daar ga ik dus mooi niet meer naartoe,’ waren sommige reacties op sociale media. Zowel binnen de gemeenteraad als binnen de Provinciale Staten werden er vragen gesteld over de privacy van bezoekers. Want, vroegen de fracties van de SP en de PvdA zich af, welke regels zijn er omtrent de privacy bij het gebruik van dergelijke systemen? Hoe wordt privacygevoelige informatie verwerkt en opgeslagen, en wie is er verantwoordelijk bij een eventueel datalek?

‘Het klinkt cru, maar we maken van elke bezoeker simpelweg een nummer’
‘Ik snap heel goed dat mensen zich zorgen maken,’ zegt Frans Penninx, eigenaar van de firma Elpar, die de toegangspoortjes gaat installeren. ‘Alleen mensen hebben niet in de gaten dat het achterlaten van een adres of telefoonnummer vele malen privacygevoeliger is dan de gegevens die wij van bezoekers opslaan.’ Hij legt uit: ’Onze camera haalt, op het moment dat jij ervoor staat, veertig punten uit jouw gezicht en verbindt aan die punten een getal.’ Dat getal, vertelt Penninx, ‘wordt vervolgens direct met behulp van een sleutel omgerekend naar weer een ander nummer.’

Dit nummer, 64 karakters lang, is vervolgens het enige dat door het bedrijf wordt opgeslagen. “Het klinkt een beetje cru,” zegt Penninx, ‘maar iedere bezoeker wordt dus simpelweg een nummer. Bovendien, verzekert Penninx, worden er geen namen of andere persoonsgegevens aan de codes  gekoppeld. ‘We kunnen uit een gezicht wel een getal herleiden, maar uit een getal geen gezicht. Wij weten dus ook niet wie de bezoekers precies zijn,’ zegt Penninx. 

En mag dit onder de AVG?
We nemen contact op met prof. Gerrit-Jan Zwenne, Hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. ‘Juridisch is het niet een heel eenvoudig verhaal,’ vertelt hij. ‘Om te weten of dit mag, moet je heel precies gaan kijken wat er wordt vastgelegd.’  Het is de vraag of de gegevens die het Henschotermeer verzamelt, kunnen worden gezien als persoonsgegevens. ‘Het hangt ervan af of het mogelijk is om zonder onevenredige inspanning de identiteit te  achterhalen van de persoon die met de code wordt aangeduid. Ik vermoed  overigens dat de Autoriteit Persoonsgegevens dit wel al snel als persoonsgegevens zal zien,’ zegt Zwenne. 

De Autoriteit Persoonsgegevens, die toezicht houdt op het gebruik van data door organisaties, zegt er in een eerste reactie inderdaad vanuit te gaan dat het hier gaat om biometrische persoonsgegevens, een categorie waaronder ook vingerafdrukken en irisscans vallen. Voor deze gegevens geldt principe een verwerkingsverbod. In dit geval durft de Autoriteit Persoonsgegevens nog niet te zeggen of de toegangscontrole bij het Henschotermeer rechtmatig is of niet, omdat er op het verbod wel een aantal uitzonderingen van toepassing zijn.

‘Biometrische gegevens mogen bijvoorbeeld wel verwerkt worden met expliciete toestemming van de datasubjecten, de bezoeker,’ vertelt Zwenne. ‘Maar ook dan moeten bezoekers die toestemming in vrijheid kunnen geven en dat is hier nog maar de vraag. Als advocaat zou ik tegen de recreatieplas zeggen: Kijk uit. Als hierover wordt geklaagd, kan het zijn dat er een indringende vragenbrief van de Autoriteit Persoonsgegevens komt.’

Indianenverhalen
‘Over al deze dingen is erg weinig naar ons toe gecommuniceerd door de exploitant,’ zegt Moniek van de Graaf. Namens de PvdA stelde zij bezorgd vragen in de gemeenteraad van de gemeente Woudenberg. ‘Dit is nog een vrij nieuwe techniek in Nederland. Dat, gecombineerd met de nieuwe privacywetgeving en al het gedoe rondom Facebook, zorgt voor al die indianenverhalen en onrust. Ja, en dan gaan wij vragen stellen.’

Op dit moment is de nieuwe toegangscontrole wegens technische problemen nog niet in werking getreden, maar Elpar zegt druk bezig te zijn met een oplossing zodat het systeem binnenkort gelanceerd kan worden. Inmiddels heeft de beheerder van het Henschotermeer ook over de gezichtsherkenningstechniek een uitgebreide privacyverklaring op de website gezet. Op de vragen binnen de Provinciale Staten wordt binnen drie weken een antwoord verwacht.

 

 

 

Dit artikel is geschreven door:

Eelke Bakker

Deel dit artikel

Meer artikelen in dit onderzoek

Meer weten?

Het is de normaalste zaak van de wereld dat je door camera’s in beeld wordt gebracht. Maar levert dat alleen maar successen op, of kun je ook onterecht in de problemen komen door camerabeelde...
Alles over dit onderzoek