32 761 Verwerking en bescherming persoonsgegevens

Nr. 265 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 5 april 2023

De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Minister voor Rechtsbescherming over de brief van 5 december 2022 over een toezegging over het gebruik gezichtsherkenningstechnologie door de politie in een gecontroleerde omgeving (Kamerstuk 32 761, nr. 253).

De vragen en opmerkingen zijn op 30 januari 2023 aan de Minister voor Rechtsbescherming voorgelegd. Bij brief van 3 april 2023 zijn de vragen beantwoord.

De voorzitter van de commissie, Kamminga

De adjunct-griffier van de commissie, Van Tilburg

I

Vragen en opmerkingen vanuit de fracties

2

 

Vragen en opmerkingen van de leden van de VVD-fractie

2

 

Vragen en opmerkingen van de leden van de D66-fractie

2

 

Vragen en opmerkingen van de leden van de CDA-fractie

2

     

II

Reactie van de bewindspersoon

3

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben kennisgenomen van de geagendeerde brief en hebben geen aanvullende vragen.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben kennisgenomen van de brief van de Minister en hebben daarover twee vragen. De Minister geeft het voorbeeld van een festival als gecontroleerde omgeving waarbij mensen toestemming hebben gegeven aan de organisatie voor het gebruik van gezichtsherkenning. Begrijpen deze leden het goed dat bezoekers in dat geval ook impliciet toestemming hebben gegeven aan de politie om gezichtsherkenning te gebruiken op het terrein van het festival? Vervolgens verwijst de Minister naar de Telecomraad van 6 december 2022 en stelt dat in de AI-Verordening uitzonderingen zijn op het verbod voor realtime gezichtsherkenning in de openbare ruimte. Kan de Minister aangeven welke uitzonderingen het zijn, zo vragen deze leden.

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie danken de Minister voor de nadere toelichting over het gebruik van gezichtsherkenningstechnologie. Deze leden hebben hierover nog enkele vragen.

De leden van de CDA-fractie hechten groot belang aan een strenge wettelijke afbakening en controle van de toepassing van gezichtsherkenningstechnologie, zoals ook is afgesproken in het regeerakkoord. Het toenemende gebruik van gezichtsherkenning is een volgende indringende stap in een digitaliserende samenleving, met als risico dat mensen als een verzameling data worden gezien. Deze leden constateren dat via verschillende trajecten wordt gewerkt aan nieuwe wet- en regelgeving rondom gezichtsherkenning, namelijk de Verzamelwet Gegevensbescherming, de AI-Act vanuit Europa en een specifieke uitwerking van het regeerakkoord die is voorzien voor het voorjaar van 2023. Deze leden vragen of dit klopt en volledig is en of de Minister specifiek kan aangeven wanneer de uitwerking van het regeerakkoord op het punt van gezichtsherkenning naar de Kamer wordt gestuurd.

De leden van de CDA-fractie hebben behoefte aan duidelijkheid over wat er per traject wettelijk dan wel beleidsmatig aan normen voor het gebruik van gezichtsherkenning wordt vastgesteld. Deze leden vragen of de Minister hier specifiek op wil ingaan, en ook wil aangeven hoe de trajecten ten opzichte van elkaar gewogen moeten worden en hoe de planning van deze trajecten eruit ziet. Deze leden achten het van belang dat de verschillende trajecten elkaar aanvullen en niet leiden tot onduidelijkheid.

De leden van de CDA-fractie lezen dat de zinsnede over gezichtsherkenning in een gecontroleerde omgeving ziet op gebruik door organisaties anders dan de politie. Deze leden vragen of de Minister de zorg deelt dat het gebruik van gezichtsherkenning steeds verder toeneemt, ook als dat niet noodzakelijk is vanwege bijvoorbeeld de veiligheid. De leden vragen of de Minister kan toelichten welke waarborgen hij noodzakelijk acht als gezichtsherkenningstechnologie gebruikt zou worden voor bijvoorbeeld de toegang tot een festival. Deze leden vragen ook of de Minister kan bevestigen dat dit altijd met uitdrukkelijke toestemming moet gebeuren en dat er altijd een analoog alternatief voorhanden moet zijn. Deze leden vragen hoe en waar deze waarborgen in de wet zijn of zullen worden vastgelegd.

De leden van de CDA-fractie zijn voorts van mening dat verantwoord gebruik van gezichtsherkenningstechnologie staat of valt met adequaat toezicht op de naleving van de wettelijke voorschriften. Deze leden maken zich zorgen over signalen dat veel organisaties niet goed weten wat de regels voor het gebruik van gezichtsherkenning zijn. Deze leden vragen daarom of de Minister kan aangeven hoe het toezicht wordt vormgegeven en of daarvoor nog extra waarborgen nodig zijn, naast bijvoorbeeld voorlichting door de Autoriteit Persoonsgegevens.

II Reactie van de bewindspersoon

Met interesse heb ik kennisgenomen van de vragen die door de verschillende fracties zijn gesteld naar aanleiding van mijn brief van 15 december 2022, over het gebruik van gezichtsherkenning door de politie in een gecontroleerde omgeving (Kamerstuk 32 761, nr. 253).

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben kennisgenomen van de geagendeerde brief en hebben geen aanvullende vragen.

Vragen en opmerkingen van de leden van de D66-fractie

Vraag

De Minister geeft het voorbeeld van een festival als gecontroleerde omgeving waarbij mensen toestemming hebben gegeven aan de organisatie voor het gebruik van gezichtsherkenning. Begrijpen deze leden het goed dat bezoekers in dat geval ook impliciet toestemming hebben gegeven aan de politie om gezichtsherkenning te gebruiken op het terrein van het festival?

Antwoord

Nee, een bezoeker geeft niet impliciet toestemming aan de politie voor het inzetten van gezichtsherkenning. Het hiervoor genoemde voorbeeld gaat over het gebruik van gezichtsherkenningstechnologie tussen burgers en bedrijven in de horizontale relatie en is niet gerelateerd aan de politie of opsporing en vervolging.

Vraag

Vervolgens verwijst de Minister naar de Telecomraad van 6 december 2022 en stelt dat in de AI-Verordening uitzonderingen zijn op het verbod voor realtime gezichtsherkenning in de openbare ruimte. Kan de Minister aangeven welke uitzonderingen het zijn, zo vragen deze leden.

Antwoord

In de door de Europese Commissie voorgestelde tekst en de in december 2022 aangenomen raadspositie1 van de AI-verordening is een verbod opgenomen voor realtime biometrische identificatie, waar gezichtsherkenning onder te plaatsen valt, op afstand in de openbare ruimte door de rechtshandhaving. Op dit verbod zijn in de AI-verordening (limitatief) uitzonderingen geformuleerd. Die uitzonderingen hebben betrekking op de gerichte zoektocht naar mogelijke slachtoffers van misdrijven, bepaalde substantiële bedreigingen ten aanzien van het leven of de fysieke veiligheid van personen of van een terroristische aanslag en de opsporing, lokalisatie, identificatie of vervolging van een natuurlijke persoon met het oog op strafrechtelijk onderzoek, vervolging of tenuitvoerlegging van ernstige strafbare feiten. Verder moet de inzet van realtime gezichtsherkenning op afstand in de openbare ruimte door de rechtshandhaving voldoen aan de vereisten van proportionaliteit en subsidiariteit. Verder moet ieder gebruik worden goedgekeurd door een rechter of een andere onafhankelijke autoriteit die bepaalt onder welke voorwaarden de toepassing gebruikt mag worden.

Vragen van de leden van de CDA-fractie

Vraag

De leden van de CDA-fractie hechten groot belang aan een strenge wettelijke afbakening en controle van de toepassing van gezichtsherkenningstechnologie, zoals ook is afgesproken in het regeerakkoord. Het toenemende gebruik van gezichtsherkenning is een volgende indringende stap in een digitaliserende samenleving, met als risico dat mensen als een verzameling data worden gezien. Deze leden constateren dat via verschillende trajecten wordt gewerkt aan nieuwe wet- en regelgeving rondom gezichtsherkenning, namelijk de Verzamelwet Gegevensbescherming, de AI-Act vanuit Europa en een specifieke uitwerking van het regeerakkoord die is voorzien voor het voorjaar van 2023. Deze leden vragen of dit klopt en volledig is en of de Minister specifiek kan aangeven wanneer de uitwerking van het regeerakkoord op het punt van gezichtsherkenning naar de Kamer wordt gestuurd.

De leden van de CDA-fractie hebben behoefte aan duidelijkheid over wat er per traject wettelijk dan wel beleidsmatig aan normen voor het gebruik van gezichtsherkenning wordt vastgesteld. Deze leden vragen of de Minister hier specifiek op wil ingaan, en ook wil aangeven hoe de trajecten ten opzichte van elkaar gewogen moeten worden en hoe de planning van deze trajecten eruit ziet. Deze leden achten het van belang dat de verschillende trajecten elkaar aanvullen en niet leiden tot onduidelijkheid.

Antwoord

Er wordt inderdaad in verschillende trajecten gewerkt aan nieuwe wet- en regelgeving rondom gezichtsherkenning. Zoals uw Kamer heeft kunnen lezen in het wetsvoorstel tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) (Verzamelwet gegevensbescherming) wordt voorgesteld om artikel 29 van de UAVG te wijzigen. Artikel 29 regelt dat het verbod om biometrische gegevens te verwerken niet van toepassing is, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. In het wijzigingsvoorstel van de UAVG wordt expliciet opgenomen dat de uitzonderingsgrond van artikel 29 alleen kan worden toegepast wanneer dat nodig is voor een zwaarwegend algemeen belang (toetsing van proportionaliteit en subsidiariteit). Met deze dubbele noodzakelijkheidstoets (noodzakelijk voor de authenticatie of beveiligingsdoeleinden én noodzakelijk omwille van een zwaarwegend algemeen belang) geeft de UAVG beter invulling aan de eis van artikel 9, tweede lid, onderdeel g, van de AVG. De privacybescherming in het horizontale domein wordt daarmee versterkt. Uw Kamer ontvangt in april 2023 een brief over de uitwerking van het coalitieakkoord op het punt van gezichtsherkenningstechnologie, waarin alle door de fracties aangehaalde thema’s aan bod zullen komen. In deze brief wordt aldus ingegaan op de verschillende trajecten, waaronder de UAVG en de AI-verordening, en hoe deze trajecten zich onderling tot elkaar verhouden en aanvullen.

Vraag

De leden van de CDA-fractie lezen dat de zinsnede over gezichtsherkenning in een gecontroleerde omgeving ziet op gebruik door organisaties anders dan de politie. Deze leden vragen of de Minister de zorg deelt dat het gebruik van gezichtsherkenning steeds verder toeneemt, ook als dat niet noodzakelijk is vanwege bijvoorbeeld de veiligheid.

Antwoord

Gezichtsherkenningstechnologie is een technologie waarmee inbreuk kan worden gemaakt op grondrechten. Het is daarom belangrijk dat de toepassing van die technologie strikt wordt gereguleerd en niet lichtzinnig wordt ingezet. Ik begrijp de zorg van de CDA-fractie dat het gebruik van gezichtsherkenning steeds verder toeneemt, ook als dat niet noodzakelijk is vanwege bijvoorbeeld de veiligheid. Mede vanwege die zorg is in het coalitieakkoord het standpunt opgenomen dat in Nederland geen gezichtsherkenning mag worden ingezet zonder strenge wettelijke afbakening en controle. Ook in de conceptteksten van de (in onderhandeling zijnde) AI-verordening wordt het gebruik van real time biometrische identificatie op afstand door rechtshandhaving in de publieke ruimte in beginsel verboden, met uitzonderingen zoals beschreven in het antwoord op de tweede vraag van de leden van de D66-fractie.

Vraag

De leden vragen of de Minister kan toelichten welke waarborgen hij noodzakelijk acht als gezichtsherkenningstechnologie gebruikt zou worden voor bijvoorbeeld de toegang tot een festival. Deze leden vragen ook of de Minister kan bevestigen dat dit altijd met uitdrukkelijke toestemming moet gebeuren en dat er altijd een analoog alternatief voorhanden moet zijn. Deze leden vragen hoe en waar deze waarborgen in de wet zijn of zullen worden vastgelegd.

Antwoord

Er gelden verschillende strenge vereisten op grond van de Algemene Verordening Gegevensbescherming (AVG) om gezichtsherkenning door een private partij, bijvoorbeeld voor een festival, toe te passen. De festivalorganisator zou gezichtsherkenning kunnen toepassen indien hij voldoet aan de vereisten die de AVG daaraan stelt.

Gezichtsherkenningstechnologie verwerkt biometrische persoonsgegevens. Biometrische persoonsgegevens zijn lichaams- of gedragskenmerken (bijvoorbeeld een afbeelding van het gezicht of een vingerafdruk) die worden gebruikt om een persoon te identificeren of authentiseren. Biometrische persoonsgegevens zijn op grond van de AVG «bijzondere persoonsgegevens» en worden daarom extra goed beschermd. In beginsel is het op grond van de AVG niet toegestaan om bijzondere persoonsgegevens te verwerken. Dit verbod kan worden doorbroken wanneer er een beroep kan worden gedaan op een van de uitzonderingen die in de AVG zijn genoemd.

Een van die uitzonderingen betreft «uitdrukkelijke toestemming» van de betrokkene. In het voorbeeld zou de festivalorganisator gezichtsherkenning kunnen toepassen als de bezoekers van het festival daarvoor uitdrukkelijke toestemming hebben gegeven. «Uitdrukkelijke toestemming» moet op grond van de AVG aan een aantal eisen voldoen. Ten eerste dient toestemming «vrijelijk» te zijn gegeven. Dat betekent dat de bezoeker van het festival niet onder druk mag worden gezet om toestemming te verlenen en geen nadeel mag ondervinden van het niet verlenen van toestemming. In dit voorbeeld betekent dit dat de bezoeker van het festival ook een analoge toegangsmogelijkheid moet worden geboden. Daarmee wordt bedoeld een toegangscontrolesysteem waarbij geen biometrische gegevens worden verwerkt. De bezoeker mag bovendien geen nadeel ondervinden van de analoge toegangsmogelijkheid, bijvoorbeeld aanzienlijke langere wachttijden waardoor de bezoeker een deel van het festival moet missen. Ten tweede dient er sprake te zijn van «ondubbelzinnige» toestemming; hetgeen inhoudt dat het volstrekt helder moet zijn dat er toestemming is verleend. Het principe «wie zwijgt, stemt toe» gaat niet op. Verder dient de betrokkene geïnformeerd te worden, onder meer aan wie de bezoeker precies toestemming verleent en waarvoor. Bovendien moet de toestemming specifiek zijn voor bepaalde verwerkingen en doelen. Tot slot dient de toestemming «uitdrukkelijk» te zijn. Dit brengt mee dat de betrokkene een uitdrukkelijke verklaring van toestemming moet geven.

Naast de vereisten die gelden voor «uitdrukkelijke toestemming», dient de inzet van gezichtsherkenningstechnologie aan alle andere vereisten voor een behoorlijke gegevensverwerking te voldoen die in de AVG zijn opgenomen, zoals het beginsel van minimale gegevensverwerking en opslagbeperking. Deze waarborgen zijn in de AVG vastgelegd en nader uitgewerkt in onder meer richtsnoeren van het Europees Comité voor gegevensbescherming (European Data Protection Board) en de nationale en Europese jurisprudentie.

Vraag

De leden van de CDA-fractie zijn voorts van mening dat verantwoord gebruik van gezichtsherkenningstechnologie staat of valt met adequaat toezicht op de naleving van de wettelijke voorschriften. Deze leden maken zich zorgen over signalen dat veel organisaties niet goed weten wat de regels voor het gebruik van gezichtsherkenning zijn. Deze leden vragen daarom of de Minister kan aangeven hoe het toezicht wordt vormgegeven en of daarvoor nog extra waarborgen nodig zijn, naast bijvoorbeeld voorlichting door de Autoriteit Persoonsgegevens.

Antwoord

Gezichtsherkenningstechnologie is een vorm van biometrische identificatie. Deze technologie verwerkt biometrische persoonsgegevens. Biometrische persoonsgegevens worden onder de AVG aangemerkt als «bijzondere persoonsgegevens». De verwerking van bijzondere persoonsgegevens is aan meer regels gebonden dan de verwerking van gewone persoonsgegevens, gelet op de gevoeligheid ervan. Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor dat dit op een rechtmatige manier gebeurt, en moet voldoende interne toezichtmechanismen inrichten om daarop toe te zien. Uiteindelijk is de Autoriteit Persoonsgegevens de toezichthouder, maar diens taak ontslaat individuele organisaties niet van een scherpte blik op de eigen processen. De AVG is inmiddels bijna vijf jaar van kracht; een zeker kennisniveau mag dan ook inmiddels worden verondersteld, zeker bij grotere organisaties. Dat neemt niet weg dat het belangrijk is dat informatie gemakkelijk te vinden en begrijpelijk is. De Autoriteit Persoonsgegevens neemt haar voorlichtende taak serieus. Een voorbeeld daarvan is een brief over dit specifieke onderwerp die zij op haar website heeft geplaatst (https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/formele-waarschuwing-ap-aan-supermarkt-om-gezichtsherkenning).


X Noot
1

Door de Raad unaniem aangenomen «General Approach» versie 14954/22.

Naar boven