VRAAGSTUK

Stel dat ik, 


na bevestiging van een diefstal in een winkel en met toestemming van de politie, 

camerabeelden als bewijs heb. 


Kan ik dan het gezicht van de dief in een databank opslaan, 

zonder bijkomende persoonsgegevens, aangezien zijn identiteit onbekend is?


Mag ik vervolgens bepaalde camera’s automatisch laten zoeken naar dat gezicht en mij persoonlijk een melding laten sturen wanneer deze persoon opnieuw wordt gedetecteerd?


Daarnaast zou ik duidelijk aangeven aan de ingang en op zichtbare plaatsen dat in de winkel AI-camera’s actief worden ingezet om bekende winkeldieven op te sporen.



Antwoord

GEZICHTS-HERKENNING

Wat zegt de Belgische wetgeving ?

In België is face detection / gezichtsherkenning in camerabewaking strikt gereguleerd en vaak (de facto) verboden in de private sector, met uitzonderingen voor politie en zeer specifieke situaties.

 

Belangrijk verschil: 

face detection vs face recognition


Face detection = een gezicht “zien” in beeld (AI detecteert persoon/face, zonder identiteit)

Face recognition = iemand identificeren of vergelijken met database (biometrie)

 

De wet behandelt vooral face recognition als biometrische data 

→ zeer streng gereguleerd

Basiswetgeving in België

Je krijgt te maken met 3 lagen.

1. GDPR (AVG – EU)

Gezichten = biometrische persoonsgegevens
dus “gevoelige data”

 

Mag alleen als:

je een sterke rechtsgrond hebt

én meestal expliciete toestemming of wettelijke basis

2. Belgische Camerawet 

Important :

camera’s mogen enkel voor:

veiligheid – diefstalpreventie –openbare orde

 

Je moet:

registratie doen

pictogram plaatsen

verwerkingsregister bijhouden

GDPR respecteren

 

 Maar: 

Deze wet is NIET gemaakt voor AI biometrie zoals face recognition.

3. EU AI Act (nieuw sinds 2024–2025)

Dit is de gamechanger.

 

“Real-time remote biometric identification” in openbare ruimtes is:

❌ in principe VERBODEN voor bedrijven
❌ massale gezichtsherkenning = verboden AI-praktijk

 

Alleen toegestaan voor politie in zeer strikte gevallen 

(bv. terrorisme of zware criminaliteit, en meestal met toestemming/controle).

 

REAL-TIME REMOTE BIOMETRIC IDENTIFICATION

Wat zegt de Europese AI Act ?

 

In “Real-time remote biometric identification” betekent remote niet “via internet vanuit thuis”.

 

Het betekent juridisch iets anders:

Remote = identificatie op afstand, zonder dat de persoon actief meedoet.

 

Dus:

iemand loopt voorbij een camera

camera scant gezicht automatisch

systeem vergelijkt met databank

persoon hoeft niets te doen

 

Dat is “remote”.

 

 

Remote: 

Biometric identification

 

Par exemple:

CCTV-camera in station scant voorbijgangers

Winkelcamera vergelijkt klanten met blacklist

Stadscamera zoekt gezochte persoon live

 

 

De persoon staat op afstand van systeem 

en doet niet bewust mee.

 

 

Niet Remote: 

Toegangscontrole met vrijwillige actie

 

Par exemple:

werknemer kijkt bewust in terminal om deur te openen

gebruiker ontgrendelt smartphone met gezicht

reiziger scant gezicht aan e-gate luchthaven

 

 Hier presenteert de persoon zich bewust aan het systeem.

 

Dat is nog steeds biometrie, 

maar meestal geen remote identification 

in de AI Act betekenis.

 

Voor camerabewaking in België betekent dit:

 

Risicovol / zwaar beperkt:

camera boven ingang die automatisch iedereen identificeert

 

 

Minder problematisch (maar nog GDPR relevant)

werknemer scant gezicht aan deurterminal

 

 

Waarom is “REMOTE” belangrijk ?

 

Omdat het lijkt op:

massasurveillance – tracking van burgers – identificatie zonder toestemming – chilling effect op vrijheid

 

 

Veel bedrijven denken: “Wij doen alleen face recognition”

 

Maar juridisch telt vooral:

Gebeurt het live? – In openbare ruimte? – Op afstand? – Zonder actieve deelname?

 

Dan kom je snel in verboden zone.

 

ANTWOORD

Zeer waarschijnlijk nee.


Même met toestemming van de politie is dat voor een private winkel in België juridisch zeer problematisch 

en waarschijnlijk onwettig, tenzij er een specifieke wettelijke basis of gerechtelijk bevel bestaat dat de verwerking toelaat. 

 

“Politie zegt oké” is normaal gezien niet genoeg om jou als winkeluitbater 

een zelfstandige biometrische opsporingsdatabank te laten exploiteren.

 

 

 

 

Waarom waarschijnlijk niet?




1. Een gezichtssjabloon zonder naam blijft een persoonsgegeven

 

 “zonder persoonsgegevens, want we kennen hem niet.”

 

Dat klopt juridisch meestal niet.

Een gezichtsbeeld of gezichts-template waarmee je iemand later opnieuw kan herkennen

 = biometrisch persoonsgegeven, ook als je naam onbekend is.

 

Dus:

geen naam nodig

geen adres nodig

geen identiteitskaart nodig

 

Als je iemand uniek kan herkennen, verwerk je persoonsgegevens.

 

 

 

 

2. Facial recognition / biometric matching

 

Wat willen we doen:

 

Gezicht uit diefstalbeeld halen

In databank zetten

Live camera’s laten scannen

Match bij terugkeer

Alert krijgen

 

 

Dat is geen gewone camerabewaking meer. 

 

Dat is:

biometrische identificatie of verificatie

geautomatiseerde profiling

risicovolle AI-verwerking

 

 

 

Voor private retail in België/EU is dat zeer zwaar gereguleerd.

 

 

 

 

3. Toestemming politie ≠ rechtsgrond voor jouw bedrijf

 

De politie kan eigen bevoegdheden hebben. 

Maar zij kunnen doorgaans niet zomaar hun bevoegdheid delegeren 

aan een winkel om zelf biometrische surveillance te doen.

 

Tenzij:

 

Gerechtelijk bevel

Wettelijke samenwerking in specifiek dossier

Politie beheert systeem zelf onder wettelijke bevoegdheid

 

Maar dat is iets totaal anders dan een winkel die eigen AI-blacklist runt.

 

 

 

 

 

Signalisatiebord helpt niet genoeg

 

 “ik hang duidelijke melding op”.

 

Dat helpt voor transparantie, 

mais een bord maakt iets niet legaal als de rechtsgrond ontbreekt.

 

 

Eigen winkelcamera’s + gezichtsdatabase + live alerts

Zeer waarschijnlijk niet toegestaan voor een private winkel in België.

 

 

Share me:

Automatische gezichtsherkenning: Wat zegt de wetgeving ?