Nee, meestal niet. Alleen in uitzonderlijke gevallen mag u camera’s met gezichtsherkenning inzetten. Met gezichtsherkenning verwerkt u namelijk biometrische gegevens. Dit zijn bijzondere persoonsgegevens als ze worden gebruikt voor de unieke identificatie van een persoon. En bijzondere persoonsgegevens mag u alleen verwerken als daarvoor in de wet een uitzondering staat.
Biometrische persoonsgegevens
Gebruikt u camera’s met gezichtsherkenning, dan verwerkt u gezichtsafbeeldingen. Dit zijn biometrische gegevens. Net als bijvoorbeeld vingerafdrukken. Deze lichaamskenmerken zijn uniek. Daarom kunnen organisaties ze gebruiken om mensen te identificeren. En ook om te controleren of iemand is wie hij/zij zegt te zijn (authenticatie). Omdat deze gegevens uniek zijn, leveren ze een extra hoog privacyrisico op. Bijvoorbeeld bij diefstal van de gegevens. Het is niet mogelijk om een gezichtsafbeelding of vingerafdruk aan te passen, zoals dat wel makkelijk kan met een pincode of wachtwoord.
Uitzonderingen op verbod
Er zijn 2 uitzonderingen op het verbod om camera’s met gezichtsherkenning te gebruiken.
Uitzondering 1: noodzakelijk voor authenticatie of beveiliging
U mag biometrische gegevens gebruiken als dat noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Het moet daarbij wel gaan om een zwaarwegend algemeen belang. Dat is bijvoorbeeld de beveiliging van een kerncentrale. Maar de beveiliging van bijvoorbeeld een supermarkt is niet zó belangrijk dat u daarvoor biometrische gegevens mag verwerken.
Uitzondering 2: uitdrukkelijke toestemming van betrokkenen
U mag camera’s met gezichtsherkenning inzetten als de betrokkenen (de mensen die u filmt) hiervoor uitdrukkelijke toestemming hebben gegeven. Let op: uitdrukkelijke toestemming is een zwaardere vorm van ‘normale’, ondubbelzinnige toestemming. Voor uitdrukkelijke toestemming is daarom meer vereist dan voor ondubbelzinnige toestemming.
Privacyrisico’s
Gezichtsherkenning brengt grote privacyrisico’s met zich mee. Hou daar rekening mee als u camera’s met gezichtsherkenning wilt gebruiken. Deze risico’s moet u bijvoorbeeld meenemen in een data protection impact assessement (DPIA). De risico’s zijn onder meer:
bias (vooringenomenheid) en fouten in gezichtsherkenning (de uitkomsten van gezichtsherkenning kunnen discriminerend zijn en minder goed werken bij bepaalde groepen);
ondoorzichtige informatieverzameling (gezichtsherkenning werkt momenteel vaak op basis van modellen die getraind zijn met beelden waarvoor de afgebeelde personen geen toestemming hebben gegeven);
ontbreken van een keuze- of reflectiemoment voor betrokkenen (wil ik dit wel echt?);
secundair gebruik van data (bijvoorbeeld overheden die bedrijven vragen om de informatie die zij met gezichtsherkenning hebben verzameld).
