Privacy Weekly #12: Verbod op gezichtsherkenning

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

Eindelijk zijn alle lidstaten het eens geworden over een regeling voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk! Verder in deze Privacy Weekly: een verbod op gezichtsherkenning, kritiek op online adverteerders en de registratie van vaccinaties.

Registreren vaccinaties

De afgelopen tijd krijgt de AP regelmatig vragen over welke privacyregels er gelden rondom de vaccinaties tegen het coronavirus. De AP heeft antwoord gegeven op de vraag of een werkgever mag registreren of een medewerker gevaccineerd is. De AP zegt dat het onrechtmatig is om dergelijke informatie te verwerken.

De hoofdregel voor het verwerken van persoonsgegevens is dat dit enkel mag wanneer er sprake is van een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. De AP stelt dat het twijfelachtig is of aan die criteria kan worden voldaan. Dat komt met name door het feit dat het volgens het RIVM op dit moment nog steeds niet helemaal duidelijk is of gevaccineerde personen het coronavirus kunnen overdragen. Hierdoor bestaat er ook geen noodzaak voor de werkgever om te registreren of een medewerker wel of niet gevaccineerd is, aangezien niet onderbouwd kan worden welk doel bereikt zal worden met de registratie.

Verder is het gegeven of iemand wel of niet is gevaccineerd een gezondheidsgegeven. Daarmee valt het onder de categorie ‘bijzondere persoonsgegevens’. In beginsel is het verboden om deze gegevens te verwerken, tenzij sprake is van uitdrukkelijke toestemming van de betrokkene of van een wettelijke uitzonderingsgrond.

De uitdrukkelijke toestemming van de medewerker moet vrij worden gegeven. In een arbeidsverhouding ontbreekt die vrijheid, vanwege de afhankelijkheidsrelatie tussen werkgever en werknemer.

De uitzonderingssituatie dat sprake moet zijn van een ‘wettelijke uitzonderingsgrond’ om de persoonsgegevens te verwerken gaat hier ook niet op. Er bestaat op dit moment geen wettelijke regeling op grond waarvan een werkgever dergelijke gezondheidsgegevens zou mogen verwerken. Dit mogen enkel de arbodienst en bedrijfsartsen.

Verbod op gezichtsherkenning

De EDPB wil een algeheel verbod op het gebruik van gezichtsherkenning in openbare ruimten.

De Europese Commissie heeft in april een wetsvoorstel gepubliceerd met regels voor het gebruik van op artificiële intelligentie gebaseerde systemen die een bedreiging kunnen vormen voor mensenrechten en de nationale veiligheid. Het doel is om dit soort AI systemen te verbieden.

Ook kwam het gebruik van biometrische identificatiesystemen in het wetsvoorstel aan bod. In het wetsvoorstel staat dat onder bepaalde omstandigheden het gebruik van gezichtsherkenningstechnologieën geoorloofd is in het kader van wetshandhaving.

De EDPB vindt dit te ver gaan en pleit voor een algeheel verbod op het gebruik van gezichtsherkenning in openbare ruimten. De EDPB vindt real time gezichtsherkenning een te groot risico vormen voor de vrijheid van Europese burgers. Ook op vergelijkbare technologieën zoals stemherkenning, bewegingsherkenning en emotieherkenning ziet de EDPB liever een verbod. Het gebruik van discriminerende vormen van kunstmatige intelligentie die mensen indelen op geslacht of huidskleur keurt de EDPB ook af.

Online commerciële surveillance

De Noorse Consumentenbond (NCC) heeft recent een nieuw onderzoek gepubliceerd waarin de negatieve gevolgen van commerciële surveillance aan het licht worden gebracht.

Dit heeft ertoe geleid dat de Noorse privacytoezichthouder tezamen met tientallen Amerikaanse en Europese mensenrechtenorganisaties een open brief heeft geschreven aan beleidsmakers om persoonsgerichte online advertenties te verbieden. Met het hedendaagse advertentiemodel worden enorm veel persoonsgegevens verzameld en gecombineerd om zo gericht mogelijk te kunnen adverteren. De organisaties stellen dat dit veel negatieve gevolgen met zich meebrengt. Los van de inbreuk op privacyrecht, kan het ook het risico op cybercrime zoals identiteitsfraude en phishing vergroten.

In de open brief wordt aan beleidsmakers gevraagd om privacywetgeving te ontwerpen die de consument daadwerkelijk beschermt. Ook wordt in het onderzoek van de NCC gewezen op alternatieve mogelijkheden van online adverteren. Een van de modellen die genoemd wordt is dat de gebruiker zelf kiest waar hij advertenties over wil ontvangen. Deze methode zou ook aanzienlijk goedkoper zijn voor de adverteerder, omdat deze geen bemiddelingskosten hoeft te betalen aan de tussenpersoon.

Doorgifte naar Verenigd Koninkrijk kan doorgaan

De Europese Commissie heeft twee nieuwe adequaatheidsbesluiten aangenomen, waarin wordt bepaald dat de uitwisseling van persoonsgegevens met het Verenigd Koninkrijk door mag gaan.

Tijdens een stemming in mei wilde het Europees Parlement eerst nog een aantal veranderingen zien, alvorens de gegevens ook na 1 juli met het Verenigd Koninkrijk uitgewisseld mogen worden. Het parlement eiste onder andere dat het adequaatheidsbesluit volledig in lijn moest zijn met adviezen van de EDPB en recente privacyrechtelijke rechtspraak. Ook waren er zorgen rondom mogelijke toekomstige gegevensdoorgifte vanuit het VK naar derde landen.

In de twee nieuwe adequaatheidsbesluiten stelt de Europese Commissie vast dat het VK hetzelfde privacyrechtelijke beschermingsniveau heeft als de Europese Unie. De EU-lidstaten hebben hier unaniem mee ingestemd.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Volg onze publicaties

Gratis AVG|Check

cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.