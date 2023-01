Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een 'echte' pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?

Antwoord: Algemeen is het zeker toegestaan om een persoonsgebonden abonnement te verkopen. Overeenkomsten voor dienstverlening zijn namelijk als hoofdregel altijd met een specifiek persoon, niet met iedereen die een pasje kan laten zien.

Vanuit die regel is het dus ook in beginsel toegestaan om via het pasje te regelen dat je met de abonnementshouder te maken hebt, en niet met een willekeurige lener van het pasje. Een pasfoto opnemen is dan ook een op zich logisch middel.

Alleen loop je dan wel tegen het probleem aan dat je dan de foto tot biometrisch persoonsgegeven maakt: je gebruikt de foto als herkenningsmiddel. Dat mag alleen onder de strenge voorwaarde dat je geen reëel alternatief hebt, zoals de naam via een overheidsidentiteitsbewijs controleren of een eenmalige scanbare code op je telefoon laten zien die je via je account kocht.

Wat hier verder nog gebeurt, is dat de dienstverlener zo te lezen met een machine learning algoritme onderzoekt of de foto geschikt is voor het beoogde doel. Dat is toegestaan áls het onderliggende gebruik van de foto (als identificatiemiddel van de abonnementshouder) dat ook is. Wel moet de dienstverlener natuurlijk voorkomen dat de ML-aanbieder de foto gaat hergebruiken voor trainingsdoeleinden (training van het ML-algoritme, voor de duidelijkheid).

