Daar sta je dan als trotse supermarkteigenaar: in het najaar van 2018 word je uitgeroepen tot winnaar van de ‘Wel-zo-veilig award’ in de categorie detailhandel omdat je je supermarkt met maar liefst tachtig camera’s met gezichtsherkenning hebt uitgerust. Eenmaal betrapt komt een dief jouw winkel niet meer in. Ook heb je een hypermodern vingerscanautorisatiesysteem om te zorgen dat onbevoegden niet zomaar alle ruimtes kunnen betreden. Helemaal state of the art! Door jou durven mensen “hun kinderen weer mee te nemen” naar de supermarkt (jazeker, check het filmpje). Maar … wellicht toch iets vergeten? De Algemene Verordening Gegevensbescherming (AVG) misschien?
In mijn bijdrage van vorige maand werd al duidelijk dat deze supermarkteigenaar zijn vingerscanautorisatie-systeem maar beter kan uitschakelen. omdat er anders een forse boete op de loer ligt. Nu blijkt dat hij inmiddels ook zijn camera’s heeft moeten uitschakelen.
Op 5 juni jl. publiceerde de Autoriteit Persoonsgegevens (AP) een brief die naar de brancheorganisatie Centraal Bureau Levensmiddelenhandel (CBL) is verstuurd, nadat onder meer in de media en in de Tweede Kamer ophef was ontstaan over de inzet van camera’s met gezichtsherkenning in de supermarktbranche.
Het gebruik van deze camera’s leidt tot het verwerken van biometrische persoonsgegevens, namelijk de gezichtsafbeeldingen van de supermarktbezoekers. Dit is op grond van art. 9 AVG verboden. Het verwerken van deze gegevens kan namelijk een ernstig privacyrisico vormen, onder meer omdat − wanneer de gegevens gestolen worden − je deze gegevens niet eenvoudigweg kunt wijzigen, zoals je bij een wachtwoord wel kunt doen. Alleen onder strenge voorwaarden kan het verwerkingsverbod worden doorbroken. De AP gaat in haar brief in op twee mogelijkheden:
- Het vragen van uitdrukkelijke toestemming aan alle supermarktbezoekers. De AP geeft echter meteen aan dat het praktisch bijna onmogelijk is om aan iedere bezoeker toestemming te vragen op een wijze die aan de AVG voldoet;
- Op grond van art. 29 van de Uitvoeringswet AVG (UAVG) kunnen biometrische persoonsgegevens worden verwerkt voor beveiligings- en authenticatiedoeleinden, mits daarmee een zwaarwegend algemeen belang wordt gediend. Hierbij noemt de AP het bekende voorbeeld van een kerncentrale waar het belang van een zeer strenge beveiliging evident is. De AP sluit een beroep op deze uitzondering voor de supermarkten juridisch gezien bijna helemaal uit: “Biometrische gegevens verwerken in het kader van beveiliging van een supermarkt lijkt niet noodzakelijk en proportioneel te zijn. […] … bij een supermarkt [is] de noodzaak van de beveiliging niet zodanig dat van (potentiële) overlastgevers/dieven biometrische gegevens moeten worden vastgelegd om een supermarkt te beveiligen.”
De AP gaat de leveranciers van deze camera’s vragen aan welke sectoren zij deze camera’s leveren om ook daar voorlichting te geven en indien nodig tot handhaving over te kunnen gaan. Met de prijswinnende supermarkteigenaar is gesproken en hij heeft het systeem uitgezet. Voor de supermarkteigenaar is het uiteraard fijn dat hij niet wordt beboet, maar het roept wel de vraag op waarom de AP wel een (forse) boete heeft opgelegd wegens het gebruik van een vingerscanautorisatiesysteem aan het in mijn vorige bijdrage bedoelde bedrijf.
Is cameratoezicht bij supermarkten nu geheel uit den boze? Nee hoor, de AP wijst er in haar brief nadrukkelijk op dat de AVG aanzienlijk meer ruimte biedt voor de inzet van camera’s zonder gezichtsherkenning. Oftewel: dag biometrie, hallo privacy!
