Ryanair gebruikt gezichtsherkenning voor het online inchecken van klanten die tickets boeken via derde partijen. Ook steeds meer Nederlandse campings maken gebruik van deze technologie om toegang tot hun faciliteiten te regelen. Ondanks dat hiermee de wachtrijen op de vliegvelden en bij campingrecepties kunnen worden vermeden, rijst de vraag of deze toegangstechnologie in die gevallen op grond van de Algemene Verordening Gegevensbescherming (AVG) is toegestaan.
Gezichtsherkenning in het vliegtuig en op de camping
De stichting None of your Business (Noyb) heeft bij de Spaanse privacy toezichthouder een klacht ingediend over luchtvaartmaatschappij Ryanair. Die verplicht klanten die via een derde partij een Ryanair vliegticket hebben geboekt om verschillende persoonsgegevens aan te leveren om online te kunnen inchecken (tegen betaling van €0,35), waaronder een realtime video van hun gezicht. Indien klanten dit niet willen, dienen zij zich minstens twee uur voor vertrek van de vlucht te melden bij de incheckbalie om hun boarding pass op te halen, tegen betaling van €30,-.
Ryanair stelt deze gegevens nodig te hebben voor fraudepreventie en verwerkt deze persoonsgegevens op basis van toestemming, zo blijkt uit de privacyverklaring. Noyb is van mening dat deze toestemming niet aan de vereisten van de AVG voldoet en dat Ryanair hierdoor derde partijen die Ryanair tickets verkopen, van de markt af probeert te duwen.
Ook op Nederlandse campings blijkt gezichtsherkenning populair. Zo meldt RTL Nieuws dat zeker acht Nederlandse campings werken met gezichtsherkenning in plaats van polsbandjes of toegangspasjes om de toegang tot hun faciliteiten te reguleren. Campinghouders geven aan positieve geluiden te horen van gasten. Ze kunnen namelijk zonder bezoek aan de receptie direct door richting het zwembad en ongewenste recreatiegasten worden effectief geweerd.
Gezichtsherkenning en de AVG
Een gezichtsafbeelding is een biometrisch persoonsgegeven. Een dergelijk gegeven kan een persoon uniek identificeren of zijn identiteit bevestigen. Binnen de AVG worden biometrische gegevens daarom gekwalificeerd als bijzondere persoonsgegevens, waarmee met extra voorzichtigheid moet worden omgegaan.
De AVG verbiedt het verwerken van bijzondere persoonsgegevens tenzij een van de tien uitzonderingen zoals genoemd in artikel 9 lid 2 AVG van toepassing is. Denk aan uitdrukkelijke toestemming van de betrokkene (degene waarop de gegevens betrekking hebben) of een wettelijke verplichting op grond waarvan deze gegevens verwerkt mogen worden. Bovendien geldt dat het verwerken van (bijzondere) persoonsgegevens te allen tijde noodzakelijk moet zijn voor het te bereiken doel.
Daarnaast is het doorlopen van een gegevensbeschermingseffectbeoordeling (ook wel Data Protection Impact Assesment, DPIA) vereist alvorens biometrische gegevens mogen worden verwerkt (artikel 35 AVG). Bij dit assessment moeten de privacy risico’s van het gebruik van gezichtsherkenning worden beoordeeld en maatregelen worden genomen om deze risico’s zo veel mogelijk te beperken.
Meer informatie?
Zoals Noyb wellicht terecht aan de kaak stelt, is het de vraag of de door Ryanair gevraagde toestemming voldoet aan de vereisten van de AVG. Zo kan de toestemming niet worden geweigerd zonder dat er een duurder en tijdsintensiever alternatief tegenover staat. Tevens is discussieerbaar of beveiliging van campingfaciliteiten de noodzaak tot beveiliging middels gezichtsherkenning rechtvaardigt. De Autoriteit Persoonsgegevens stelt op haar website dat beveiliging van recreatiegebieden waarschijnlijk niet zodanig belangrijk is, dat het gebruik van gezichtsherkenning hierdoor is toegestaan. Kortom, gezichtsherkenning kan niet zonder meer worden toegepast.
Voor vragen of meer informatie omtrent het gebruik van gezichtsherkenning of het verwerken van bijzondere persoonsgegevens, kunt u contact opnemen met het team IE, IT & Privacy.
Neem contact op