De Deense privacytoezichthouder Datatilsynet heeft fitnessketen Sporting Health Club berispt voor het invoeren van toegang door middel van gezichtsherkenning. Dat meldde Security.nl vorige week. De kern: je moet héél duidelijk zijn over de alternatieven en die als gelijkwaardig presenteren.
De sportschool wilde 24/7 open zijn, maar kon (of wilde) niet altijd personeel daar aanwezig laten zijn. De oplossing is dan vaak biometrie, in dit geval gezichtsherkenning, om naar binnen te mogen.
Onder de AVG is biometrie voor authenticatiedoeleinden een moeilijke optie, omdat het een zwaar middel is. De sportschool koos dan ook voor de grondslag van toestemming, waarmee je de complicaties van de andere grondslagen omzeilt. Alleen moet die dan wel vrijwillig worden gegeven, en deel daarvan is dat er een equivalent alternatief is.
Dat ging hier niet helemaal goed:
De Deense Autoriteit voor Gegevensbescherming is van oordeel dat het feit dat u tijdens de openingstijden van de receptie de mogelijkheid heeft om via persoonlijke service in te checken bij de receptie tijdens de openingstijden van de receptie op zichzelf niet als een soortgelijk alternatief kan worden beschouwd, aangezien u daardoor beperkt wordt in uw toegang tot het centrum vergeleken met wanneer u toestemming geeft voor gezichtsherkenning.
Tijdens de bemensde openingstijden binnengelaten worden is niet hetzelfde als 24/7 automatisch naar binnen kunnen. Maar omdat er ook een optie was om op ieder moment (24/7 dus) een externe ondersteuning te bellen die je dan binnenlaat, was uiteindelijk het alternatief toch equivalent.
Alleen, dat alternatief was niet duidelijk aangegeven bij de toestemmingsvraag. Die was op zich uitdrukkelijk en expliciet genoeg over wat er zou gebeuren met je gegevens (niets raars, overigens), maar die moet dus ook benoemen wat er gebeurt als je géén toestemming geeft.
Arnoud
