| Ingediend | 28 oktober 2021 |
|---|---|
| Beantwoord | 6 december 2021 (na 39 dagen) |
| Indiener | Renske Leijten (SP) |
| Beantwoord door | Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z18782.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-974.html |
Een dergelijk overzicht is er niet.
Dat ben ik met u eens.
Aan het toepassen van gezichtsherkenning kleven risico’s. Dat is ook onderkend door de wetgever. Zowel in EU als nationaal verband zijn er strikte regels, die ertoe moeten leiden dat er terughoudend wordt omgegaan met de inzet van deze technologie. Ik vind het belangrijk dat de inzet van gezichtsherkenning rechtmatig is en voldoet aan dit strikte juridisch kader dat daarvoor geldt. Er geldt in deze gevallen een «nee, tenzij» regime en op grond daarvan is er weinig ruimte voor gezichtsherkenning. Bij deze evenementen zal de inzet hooguit denkbaar kunnen zijn op basis van uitdrukkelijke toestemming van de betrokkene zelf, die vrijelijk moet kunnen worden gegeven. De verwerkingsverantwoordelijke, in deze casus de organisator van een evenement, moet burgers dus echt de keuze bieden of zij toestemming willen geven voor gezichtsherkenning, ook door minder ingrijpende alternatieven aan te bieden. Op basis van de informatie uit het NRC-artikel heb ik geen reden om aan te nemen dat bij genoemde evenementen niet aan de wettelijke vereisten is voldaan.
Ik verwijs verder naar de antwoorden op de vragen 2 en 3 van het lid Kerseboom (FVD) aan de Minister voor Rechtsbescherming over de inzet van gezichtsherkenningstechnologie die ik tegelijkertijd aan uw Kamer heb aangeboden. Hierin is onder meer tot uiting gebracht dat, ook al is er vrijelijk uitdrukkelijke toestemming door betrokkenen verstrekt, gezichtsherkenning alleen mag worden toegepast als aan alle voorwaarden uit de AVG is gedaan. Hierbij wordt onder meer gewezen op het beginsel van data minimalisatie.
Uit navraag onder de veiligheidsregio’s is gebleken dat er geen specifieke richtlijnen bekend zijn voor evenementen met gezichtsherkenning in de veiligheidsregio’s.
Ik ben het met u eens dat dergelijke beslissingen binnen een wettelijk kader horen. Dit is ook het geval. Hoe de wet in de praktijk uitpakt is altijd afhankelijk van de specifieke omstandigheden van het geval. Toestemming door de betrokkene, zoals beschreven in artikel 7 van de Algemene verordening gegevensbescherming (AVG), moet vrijelijk en uitdrukkelijk zijn gegeven. Het onthouden van toestemming mag er niet toe leiden dat betrokkene als gevolg daarvan nadelige gevolgen ondervindt.2 In het hypothetische geval dat de door de organisator van het evenement voorziene indeling van het aantal toegangspoortjes tussen «identificatie door gezichtsherkenning» versus «analoge identificatie» ertoe leidt dat betrokkenen die geen toestemming verlenen voor het verwerken van hun biometrische gegevens bijvoorbeeld substantieel langer moeten wachten en een deel van het evenement missen waarvoor zij hebben betaald, kan worden aangenomen dat dit als nadelig gevolg kwalificeert. Het is aan de Autoriteit Persoonsgegevens (AP), of in voorkomend geval aan de rechter, om in het specifieke geval te beoordelen of deze toestemming daadwerkelijk vrijelijk is gegeven. Op basis van de informatie in het aangedragen NRC-artikel heb ik geen reden om aan te nemen dat bezoekers hun toestemming niet vrijelijk hebben kunnen verlenen.
Evenementen moeten er vanuit hun rol als verwerkingsverantwoordelijke van deze bijzondere persoonsgegevens zorg voor dragen dat aan de wet wordt voldaan en dat zij rechtmatig gegeven toestemming van betrokkenen verkrijgen voor de verwerking van biometrische gegevens. Eén van die vereisten is dat het evenement – gelet op de risico’s die dergelijke grootschalige monitoring van biometrische gegevens meebrengt – een Data Protection Impact Assessment (DPIA) uit moet voeren.3 In zo’n beoordeling zal de vraag over het rechtmatig geven van toestemming en de consequenties daarvan voor de manier waarop de toegang tot het evenement wordt ingericht een centrale rol moeten vervullen. Vervolgens is het aan de organisatie om maatregelen te nemen zodat toestemming wél vrijelijk kan worden gegeven, bijvoorbeeld door de indeling van de toegangspoortjes aan te passen, en er zorg voor te dragen dat aan alle bepalingen en beginselen van de AVG wordt voldaan.
De AVG kent een getrapte en risico-gebaseerde toezichtstructuur. De AP is de toezichthouder op de verwerking van persoonsgegevens en daarmee de centrale figuur in het toezichtstelsel. Daarnaast moeten organisaties in bij wet bepaalde gevallen waar de risico’s van gegevensverwerkingen voor betrokkenen groter worden een Functionaris Gegevensbescherming (FG) aanstellen.4 Deze FG fungeert als interne controleur en als verlengstuk van de AP binnen organisaties. De positie en taken van de FG zijn ook in de wet vastgelegd.5 Daarnaast moeten organisaties zoals eerder genoemd een DPIA uitvoeren als de verwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, om vervolgens maatregelen te nemen om die risico’s te mitigeren. De FG toetst deze DPIA in diens onafhankelijke rol.
Wat betreft de capaciteit van de AP verwijs ik naar de brief van 19 november 2020 waarin uw Kamer is geïnformeerd over de taken en middelen van de AP.6 Vanaf 2022 ontvangt de AP structureel 6 miljoen extra.
Ik vind het van groot belang dat hier voldoende aandacht is voor. Het kabinet heeft dan ook meerdere onderzoeken laten verrichten naar de ethische en juridische consequenties van technologie. Naar aanleiding daarvan heeft het kabinet maatregelen genomen om te borgen dat die risico’s worden beperkt.7 Ook in de Nederlandse Digitaliseringsstrategie (NDS) wordt aandacht gegeven aan de risico’s van digitalisering, bijvoorbeeld als het gaat om de bescherming van persoonsgegevens.8 Ik vind het belangrijk dat komende overheidsstrategieën alle gevolgen van technologische ontwikkelingen, dus zowel positief als negatief, voldoende in ogenschouw nemen.
Mijn indruk is daarnaast dat erin de wetenschap, maar ook in het politieke debat en het openbaar bestuur volop aandacht wordt besteed aan de gevolgen van technologische ontwikkeling. Dit baseer ik op de veelheid aan artikelen, rapporten en aanbevelingen over de maatschappelijke, economische en juridische consequenties van nieuwe technologie.9 Ik ga er vanuit dat de aandacht voor dit belangrijke onderwerp de komende jaren alleen nog maar verder toe zal nemen.
Ja. De Algemene verordening gegevensbescherming (AVG) biedt zoals in antwoord op vraag 2, 3 en 5 weergeven, als mede in de hiervoor genoemde kabinetsbrieven uitgebreider beschreven, een uitgebreid kader dat de verwerking van biometrische gegevens reguleert. Verplichte biometrische identificatie om toegang tot de werkomgeving te verkrijgen zal doorgaans niet rechtmatig zijn, omdat toestemming in relaties tussen werkgevers en werknemers niet vrijelijk kan worden gegeven.10 Dit behoudens uitzonderingssituaties waar het gebruik van biometrische gegevens noodzakelijk is om redenen van zwaarwegende algemeen belang voor beveiligings- of authenticatiedoeleinden; zoals het identificeren van werknemers bij een energiecentrale. Deze laatste eis bevat dus een dubbele en cumulatief werkende noodzakelijkheidstoets: noodzakelijk voor een zwaarwegend algemeen belang én noodzakelijk voor beveiligings- of authenticatiedoeleinden. Deze dubbele noodzakelijkheidstoets zal in de aanstaande wijziging van de UAVG worden vastgelegd.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Leijten (SP), van uw Kamer aan de Minister van Justitie en Veiligheid over het gebruik van gezichtsherkenning bij toegang tot evenementen (ingezonden 28 oktober 2021) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.