Amazon en koffieketen Starbucks worden voor de Amerikaanse federale rechtbank gedaagd voor het misbruiken van biometrische kenmerken van klanten. Om diefstal tegen te gaan werd in de winkels gebruikgemaakt van geavanceerde bewakingssystemen, waaronder een systeem waarmee bezoekers op basis van hun biometrische kenmerken konden worden geïdentificeerd. Dit artikel schijnt licht op deze zaak en onderzoekt tevens hoe deze zaak zich verhoudt binnen het juridische kader van Nederland.
Biometrische gegevens
Biometrische gegevens zijn persoonsgegevens die voortkomen uit specifieke technische verwerking van fysieke, fysiologische of gedrag gerelateerde kenmerken van een persoon. Dit type gegevens maakt het mogelijk om de persoon op een unieke manier te identificeren of diens identiteit te bevestigen (authenticatie).
Biometrische persoonsgegevens omvatten bijvoorbeeld vingerafdrukken en gezichtsafbeeldingen. Deze kenmerken van het lichaam zijn van nature uniek, wat betekent dat ze kunnen worden teruggevoerd naar één specifiek individu.
De Amazon-Starbucks zaak
In de aangespannen rechtszaak worden de bedrijven ervan beschuldigd persoonsgegevens van klanten te verzamelen zonder hen daarvan op de hoogte te stellen. De bedrijven zouden de wet uit New York hebben overtreden die bedrijven verplicht om borden bij de ingang van winkels te plaatsen als ze biometrische gegevens van klanten verzamelen.
Om toegang te krijgen tot de winkel dient de klant ofwel een creditcard, ofwel een bijbehorende app te scannen. Binnen de winkelruimte zijn sensoren en camera's geïnstalleerd om bij te houden welke producten klanten selecteren, zodat de kosten hiervan automatisch in rekening worden gebracht bij het verlaten van de winkel. Dit systeem stelt klanten in staat om de traditionele kassarij over te slaan.
Amazon heeft zich verweert door te beargumenteren dat zij geen biometrische gegevens verzamelen om een specifieke klant te identificeren. De technologie zou enkel klanten die tegelijk in de winkel zijn uit elkaar kunnen halen. Of de rechter mee gaat in deze beredenering is nog niet bekend.
In maart werden de winkels ook al geconfronteerd met dezelfde juridische discussie. Na deze gebeurtenis had Amazon één enkel bordje geplaatst, waarop stond dat biometrische gegevens alleen zouden worden verzameld wanneer klanten de handpalmscanner gebruikten om de winkel binnen te gaan. Omdat de winkel echter over zes ingangen beschikte, is één bordje onvoldoende om aan de wettelijke vereisten te voldoen.
Hoe zit dit in Nederland?
De regels rond biometrische gegevens zijn in de EU strenger dan in de Verenigde Staten. Biometrie gebruiken voor de beveiliging van je winkel is in Nederland dan ook niet zomaar toegestaan. Hoe zit dit nou precies?
De Algemene Verordening Gegevens bescherming (AVG) bepaalt dat de verwerking van biometrische persoonsgegevens kwalificeert als een verwerking van bijzondere persoonsgegevens. In principe is het verboden om bijzondere persoonsgegevens te verwerken, tenzij er een uitzondering geldt. De uitzondering waar veelal een beroep op wordt gedaan, is de uitdrukkelijke toestemming van de betrokkene.
Uitdrukkelijke toestemming
Uitdrukkelijke toestemming is een zwaardere vorm van toestemming. Dit betekent dat de betrokkene een uitdrukkelijke verklaring van toestemming moet afgeven.
Om dit op een duidelijke manier te regelen, is het aan te raden om een schriftelijke verklaring van de betrokken persoon te verkrijgen. Dit kan eenvoudigweg helpen om ervoor te zorgen dat alles in goede orde verloopt. Als extra zekerheid kunt u overwegen om deze verklaring door de betrokkene te laten ondertekenen.
Hoewel in theorie een mondelinge verklaring ook afdoende kan zijn, kan het echter lastig zijn om aan te tonen dat aan alle noodzakelijke voorwaarden voor geldige, expliciete toestemming is voldaan.
Afgevraagd kan worden of de toestemming vrijelijk wordt gegeven indien de klant zonder toestemming geen toegang heeft tot bijvoorbeeld de winkel. Om toestemming op een vrije manier te verkrijgen, mag het verlenen van toegang tot diensten en functies niet voorwaardelijk zijn aan het feit dat een gebruiker instemt met het opslaan van gegevens.
Aanvullende vereisten
Indien aan een van bovenstaande uitzondering is voldaan, moet eerst een Data Protection Impact Assessment (DPIA) uitgevoerd worden voordat de gezichtsherkenning gebruikt mag worden.
Een Data Protection Impact Assessment (DPIA) is een hulpmiddel waarmee vooraf de potentiële privacy risico's van een gegevensverwerking worden geïdentificeerd, waardoor de organisatie in staat wordt gesteld passende maatregelen te treffen om deze risico's te minimaliseren.
Daarnaast is het essentieel om afdoende beveiligingsmaatregelen te implementeren. In situaties waarin vingerafdrukken worden verzameld, zou men bijvoorbeeld de data die daarop ziet kunnen versleutelen (encryptie).
Deze codering zorgt ervoor dat de vingerafdruk niet direct herkenbaar is, terwijl de code nog steeds wordt gebruikt om de betreffende persoon te identificeren. Het voldoet aan wettelijke eisen om ervoor te zorgen dat het systeem dat deze code opslaat op een hoog niveau van beveiliging wordt gehouden.
Conclusie
Hoe de Amazon-Starbucks zaak zal aflopen zal nog even afwachten zijn. In Nederland zal gebruik van biometrische beveiligingssystemen in winkels in ieder geval niet snel voorkomen. In principe is er een verbod op de verwerking van biometrische gegevens. Ondanks dat er wel uitzonderingen zijn op het verwerkingsverbod, zullen deze niet snel van toepassing zijn voor een winkel.
Heeft u vragen over de verwerking van (bijzondere) persoonsgegevens? Of heeft u andere vragen?
Neem gerust contact op met een van onze medewerkers.
