De technologische ontwikkeling die wij doormaken zorgt ervoor dat de samenleving steeds efficiënter wordt. Zo experimenteren Schotse scholen sinds kort met het betalen van lunch door middel van gezichtsherkenning. Na het kiezen van een maaltijd scannen leerlingen hun gezicht. De scan vergelijkt het gezicht met gegevens in een database, waardoor het programma weet wie er afrekent. Door middel van deze betalingsmethode wordt het betalingsproces met 5 seconden per leerling verkort. Hierdoor is er sprake van een efficiënter betalingsproces én is dit volgens scholen een hygiënische manier van betalen, waardoor het Coronavirus wordt tegengegaan. Verschillende privacy organisaties reageren niet positief op deze ontwikkeling en vinden dat het te ver gaat. “Er wordt een persoonlijke en gedetailleerde beschrijving van een gezicht verkregen. Dit soort identiteitscontroles, biometrische identiteitscontroles genoemd, moeten niet worden genormaliseerd voor alledaagse gebruiken”, aldus organisatie Big Brother Watch. Leidt inzet van deze technologie in dit geval inderdaad tot ongewenste schending van privacy? Of is het gebruik van biometrie al geaccepteerd door de samenleving?  

Biometrische gegevens worden omschreven als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijk persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukken”. Onder biometrische gegevens vallen ook bijvoorbeeld de herkenning van stemgeluid en irisscans. Wetgeving hieromtrent is vastgelegd in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). De AVG legt regels vast voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. De verkregen informatie uit biometrische gegevens mag enkel worden gebruikt ter identificatie of verificatie. Alleen in dit geval kunnen we spreken van “biometrisch” in de zin van de AVG.

Biometrische gegevens worden door de ontwikkelingen in de technologie steeds vaker gebruikt ter identificatie. Zo wordt op Schiphol gebruik gemaakt van de irisscanner, waarmee reizigers zich kunnen identificeren door middel van het scannen van hun oog. Ook in het dagelijks leven wordt er gebruik gemaakt van biometrische gegevens. Zo is de functie “Touch ID” op mobiele telefoons in 2013 geïntroduceerd door Apple, welke wordt opgevolgd door de functie “Face ID” sinds 2017. Hierdoor kan men een telefoon of tablet ontgrendelen door slechts de vingerafdruk te scannen of het gezicht te laten zien. Deze nieuwe technieken komen ook van pas bij politieonderzoeken. Zo heeft de Hoge Raad in 2021 geoordeeld dat de politie een in beslag genomen smartphone biometrisch mag ontgrendelen (met de vingerafdruk van de verdachte) indien er sprake is van een onderzoeksbelang. Er wordt dus veel gebruik gemaakt van nieuwe technieken in combinatie met biometrische gegevens. Maar hoever moeten we gaan met het gebruik van biometrische gegevens? Het gebruik hiervan kan namelijk een inbreuk op onze privacy opleveren, omdat er gevoelige informatie naar voren kan komen. Door middel van gezichtsherkenning kan bijvoorbeeld de religie of etniciteit van personen zichtbaar zijn, terwijl dit niet de bedoeling is van het gebruik van biometrische gegevens.

Om een inbreuk op privacy tegen te gaan is daarom een verwerkingsverbod van biometrische gegevens vastgesteld. Dit verbod is neergelegd in artikel 9 AVG en artikel 22 UAVG. Volgens deze artikelen is verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon verboden. Een uitzondering op deze regel wordt geboden in lid 2 van beide artikelen. Wanneer de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van de gegevens voor welbepaalde doeleinden, is het verbod niet van toepassing. Ook moet er sprake zijn van keuzevrijheid voor de betrokkene. Dit wil zeggen dat er altijd een andere methode moet zijn om een persoon te identificeren. In het geval van het ontgrendelen van een telefoon moet er naast de keuze voor Touch ID of Face ID bijvoorbeeld ook de mogelijkheid zijn om een code of wachtwoord te gebruiken. Ook volgt uit de UAVG dat het verwerken van biometrische gegevens slechts is toegestaan voor zover er een noodzakelijk en proportioneel doel is. Het is dus belangrijk dat er een belangenafweging wordt gemaakt. Deze moet worden vastgesteld in het verwerkingsregister, een registratie van de persoonsgegevens die binnen een organisatie worden verwerkt. De AVG en UAVG geven dus bepaalde handvatten die het gebruik van biometrische gegevens beperken en de privacy van gebruikers waarborgen.

Terugkomend op de situatie die speelt op Schotse scholen biedt het gebruik van biometrische gegevens efficiëntie en hygiëne. Voor het gebruik van de nieuwe betalingstechnologie is het wel van belang, volgens de AVG, dat er aan een aantal voorwaarden is voldaan. Zo moet er sprake zijn van uitdrukkelijke toestemming voor de gegevensverwerking en moet er een alternatieve betalingsmethode zijn. Volgens scholen die deelnemen aan de experimenten heeft 97 procent van de ouders van de kinderen toestemming gegeven voor het nieuwe betalingssysteem. Wellicht heeft het overgrote deel van de samenleving, in tegenstelling tot privacy organisaties, het gebruik van biometrische identiteitscontroles al meer geaccepteerd dan verwacht? Of zou het kunnen zijn dat de meeste mensen zich eigenlijk niet bewust zijn van de mogelijke gevolgen van oneigenlijk gebruik van hun persoonsgegevens?