Computable publiceerde onlangs een opmerkelijk artikel. IBM kant zich tegen het gebruik van technologie voor gezichtsherkenning voor doeleinden van raciale profilering en massasurveillance. Het stopt met de ontwikkeling van dergelijk technologie. Ook Microsoft en Amazon schuiven dezelfde richting op.
Maar mag je, overeenkomstig Europees en Belgisch privacyrecht, als onderneming eigenlijk gebruik maken van gezichtsherkenningstechnologieën?
Welnu, gezichtsafbeeldingen worden in de Europese GDPR uitdrukkelijk vermeld onder de definitie van de zogenaamde biometrische gegevens. Dat zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de kenmerken van een natuurlijke persoon waaruit dan de identificatie van die natuurlijke persoon kan worden afgeleid.
Biometrische gegevens, die (terecht) aangezien worden als zeer gevoelig, zijn enkel te verwerken wanneer aan bijzonder strikte voorwaarden wordt voldaan. Een van de mogelijkheden om dergelijke gegevens te verwerken, is de uitdrukkelijke toestemming van de betrokken persoon, maar die toestemming is aan strikte voorwaarden onderworpen. Daarnaast zal nog aan veel andere voorwaarden voldaan moeten worden om dergelijke gegevens te kunnen verwerken. Met andere woorden: er rust een grote verantwoordelijkheid op een onderneming (als zogenaamde verwerkingsverantwoordelijke) die deze verwerkingen wenst uit te voeren.
Belgiƫ
Het Belgische niveau maakt het er niet eenvoudiger op. Al in 2008 vaardigde de toenmalige Belgische Privacycommissie een opinie uit over het gebruik van biometrische gegevens voor doeleinden van authenticatie. Meer dan tien jaar later wordt op de website van wat nu de Belgische Gegevensbeschermingsautoriteit (GBA) heet, nog steeds verwezen naar deze opinie en worden fundamentele vragen gesteld bij de toelaatbaarheid van het gebruik van gezichtsherkenning. Daarbij is duidelijk dat de GBA geen voorstander is van dergelijke technieken en meent dat er aan verschillende voorwaarden dient te worden voldaan om van gezichtsherkenning gebruik te kunnen maken.
Is het gebruik ervan dan verboden? Neen, maar ondernemingen die deze technologie wensen te implementeren moeten wel nagaan op welke wijze ze aan de wettelijke vereisten kunnen voldoen. Dit zal zonder twijfel een grondige oefening vergen, want naast het verkrijgen van de nodige toestemmingen (met de nodige transparantie en processen om de toestemming rechtsgeldig te verkrijgen) zijn ook andere aspecten van belang, zoals het implementeren van de nodige veiligheidsmaatregelen (die moeten ‘gepast’ zijn), het afsluiten van geschikte overeenkomsten met derden waarmee men samenwerkt, het limiteren van de bewaartermijn van dergelijke gegevens, het uitvoeren van een gegevensbeschermingseffectbeoordeling, het opnemen van deze verwerkingen in het verwerkingsregister, et cetera.
Toemaatje
In België kennen we daarbij nog een wettelijk toemaatje. De nieuwe Belgische privacywet van 2018 bepaalt immers nog een aantal bijkomende regels in verband met het verwerken van biometrische gegevens. De bijkomende wettelijke vereisten spelen op het vlak van het beperken van de personen die toegang kunnen hebben tot die gegevens en het opleggen van contractuele verplichtingen ten aanzien van deze personen.
De privacywetgeving verbiedt op zich dus niet de ontwikkeling en/of het gebruik van deze technologieën, maar verwacht wel van ondernemingen die er gebruik van willen maken dat zij de nodige oefening ondernemen om de privacy van burgers te beschermen.
