Elke dag moeten luchthavens talrijke passagiers controleren. Door gebruik te maken van gezichtsherkenningssystemen kunnen ze de verschillende stappen van deze controle (op het vlak van veiligheid, bij het inchecken van bagage of bij het instappen) automatiseren, met als doel de passagiersstroom te rationaliseren en hun ervaring te verbeteren.
Welke gezichtsherkenningstools zijn compatibel met de Algemene Verordening Gegevensbescherming (hierna AVG)?
De implementatie van deze instrumenten vereist een wettelijk kader.
In advies 11/2024, heeft het Europees Comité voor gegevensbescherming (hierna EDPB) zich gebogen over de vraag van het gebruik van gezichtsherkenning op luchthavens en de verenigbaarheid ervan met verschillende bepalingen van de AVG :
- Artikel 5(1)(e) en (f), gewijd aan het beginsel van de opslagbeperking en het beginsel van integriteit en vertrouwelijkheid
- Artikel 25 gewijd aan gegevensbescherming door ontwerp en door standaardinstellingen
- Artikel 32 gewijd aan de veiligheid van de verwerking
Er zijn vier technische scenario’s onderzocht door de EDPB :
- Scenario 1 : opslag van het biometrische model op het persoonlijke apparaat van de passagier.
- Scenario 2 :centrale opslag op de luchthaven, gekodeerd model, sleutel in het bezit van de passagier.
- Scenario 3 : centrale opslag in een database op de luchthaven onder controle van de luchthavenexploitant.
- Scenario 4 : centrale opslag in de cloud onder controle van de luchtvaartmaatschappij.
Wat zijn de aanbevelingen van de EDPB?
De EDPB concludeerde dat scenario’s 1 en 2 verenigbaar zijn met de bovengenoemde bepalingen, mits minimale waarborgen (algemene, organisatorische en technische) worden aangenomen. Deze waarborgen omvatten onder meer :
- Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA), aangezien het gaat om een grootschalige verwerking van biometrische gegevens;
- Het vaststellen van een beleid voor versleuteling en sleutelbeheer;
- Het geven van passende opleiding aan het personeel voor het gebruik van dit systeem;
- Het versleutelen van biometrische gegevens;
- Het onmiddellijk wissen van gegevens na gebruik;
- Het beperken van de toegang tot de gegevens.
In tegenstelling tot scenario’s 3 en 4 geven deze twee scenario’s de passagier controle over zijn gegevens.
Wat te doen in de praktijk ?
In de praktijk zal een luchthaven die een dergelijk systeem wil invoeren, dus de voorkeur moeten geven aan een systeem dat vergelijkbaar is met dat van scenario’s 1 en 2. Het gebruik van dit instrument moet echter aan een grondige juridische analyse en aan een juridisch kader worden onderworpen.
Ons advies:
- Onderschat het belang van een DPIA niet bij het bepalen of het gebruik van gezichtsherkenning in overeenstemming is met de wetgeving. De juridische en financiële risico’s zijn reëel.
- Zorg ervoor dat u minimale waarborgen inbouwt zodat uw gezichtsherkenningssysteem voldoet aan de AVG.
Voor de reputatie van uw luchthaven en om aan de wettelijke voorschriften te voldoen, dient u onmiddellijk actie te ondernemen. Aarzel niet om contact met ons op te nemen!
