Staten blijven hiaten in privacywetgeving opvullen: biometrische wetgeving in Illinois wint aan populariteit en dient als model voor andere staten
De Biometric Information Privacy Act (740 ILCS 14/1 of BIPA) van Illinois, die in 2008 van kracht werd, verplicht bedrijven in het algemeen om toestemming te vragen aan een persoon voordat ze diens "biometrische identificatiegegevens" of "biometrische informatie" verzamelen, vastleggen of kopen. Sinds eind 2015 zijn er ten minste zes zaken aanhangig gemaakt op grond van deze wet, en op 1 december 2016 werd de eersteschikking in een zaak op grond van de wet ( )goedgekeurd voor een bedrag van 1,5 miljoen dollar. Hoewel Illinois en Texas momenteel de enige staten zijn met dergelijke wetten, zijn er in vijf andere staten wetsvoorstellen op het gebied van biometrie in behandeling bij commissies.
De toename van het aantal zaken dat in de afgelopen 14 maanden is aangespannen en mogelijke nieuwe wetgeving in andere staten geven sterk aan dat bedrijven de biometrische informatie die hun producten of diensten verzamelen, moeten beoordelen, aangezien er mogelijk updates nodig zijn voor het beleid en de praktijken op het gebied van kennisgeving, toestemming en gegevensbewaring.
Recente ontwikkelingen in de jurisprudentie
De meeste zaken met betrekking tot BIPA-claims zijn beslist op basis van de vraag of de informatie in kwestie volgens de wet "biometrische identificatiemiddelen" of "biometrische informatie" vormt, of dat de beweringen van de eisers voldoende grond geven voor artikel III. Een recente uitspraak in het noordelijke district van Illinois, waarin de definitie van "biometrische identificatiemiddelen" wordt geïnterpreteerd, maakt het mogelijk een class action tegen Google Inc. voort te zetten. Zie Rivera v. Google Inc., nr. 1:16-cv-02714 (N.D. Ill. 27 februari 2017).
Hoewel Google aanvoerde dat de afbeeldingen in kwestie niet onder de BIPA vallen omdat ze zijn afgeleid van foto's en alleen persoonlijk uitgevoerde gezichtsscans als biometrische identificatiemiddelen gelden, verwierp het Hof deze redenering en stelde dat "als Google de foto's alleen had vastgelegd en opgeslagen en geen metingen had uitgevoerd en geen scans van de gezichtsgeometrie had gegenereerd, er geen sprake zou zijn van een schending van de wet". Rivera, slip op. op 15. Nadat de eisers een tweede gewijzigde klacht hadden ingediend, verzocht Google het Northern District op 9 maart om zijn beslissing van 27 februari 2017 te wijzigen en de procedure op te schorten terwijl het Seventh Circuit beslist of het beroep van Google wordt toegewezen.
In januari heeft een districtsrechtbank in New York een rechtszaak met betrekking tot BIPA afgewezen, omdat zij van oordeel was dat de procedurele schendingen van de bepalingen inzake kennisgeving en toestemming op zich niet voldoende zijn om rechtsgeldigheid te verlenen. Zie Vigil v. Take-Two Interactive Software, Inc., nr. 15-8211 (S.D.N.Y. 30 januari 2017). De redenering van de rechtbank in Vigil was vergelijkbaar met de conclusies in McCollough v. Smarte Carte, Inc., nr. 16 C 03777, 2016 WL 4077108, op *4 (N.D. Ill. 1 augustus 2016), waarin de rechtbank het verzoek van de verweerder tot afwijzing wegens gebrek aan procesbevoegdheid toewees, omdat het niet verkrijgen van voorafgaande schriftelijke toestemming voor het bewaren van vingerafdrukgegevens geen concrete schade opleverde.
Wetgeving in behandeling in andere staten
Omdat Illinois een particuliere rechtsvordering biedt, in tegenstelling tot de wet van Texas die alleen handhaving door de procureur-generaal toestaat, dient BIPA als model voor andere staten die biometrische wetten invoeren. Andere staten die dergelijke wetgeving overwegen, zijn onder meer:
|
Staat |
Samenvatting |
|
Net als BIPA verbiedt het wetsvoorstel het verzamelen van biometrische gegevens van personen zonder de juiste kennisgeving en toestemming, vereist het tijdige verwijdering van de gegevens wanneer deze niet langer nodig zijn en voorziet het in een particulier recht van vordering.
| |
|
Dit wetsvoorstel hanteert een heel andere benadering dan BIPA en richt zich uitsluitend op het verbieden van het gebruik van gezichtsherkenning voor marketingdoeleinden.
| |
|
Illinois heeft onlangs een wetswijziging voorgesteld die bedrijven verbiedt om van personen of klanten biometrische identificatiegegevens/informatie te eisen als voorwaarde voor het leveren van goederen of diensten, behalve voor zover dat nodig is om antecedentenonderzoek te doen of beveiligingsprotocollen te implementeren.
De wijziging zou niet van toepassing zijn op bedrijven die medische diensten verlenen, wetshandhavingsinstanties of overheidsinstanties.
| |
|
Indien aangenomen, verbiedt de wetgeving particuliere entiteiten om biometrische gegevens van personen te verzamelen, op te slaan en te gebruiken zonder toestemming van de betrokkene, en stelt zij procedures vast voor de verkoop, openbaarmaking, bescherming en verwijdering van biometrische informatie.
| |
|
Net als BIPA zou het wetsvoorstel het verzamelen, bewaren en gebruiken van biometrische gegevens door particulieren en particuliere entiteiten reguleren. Het wetsvoorstel verleent benadeelde personen een particulier recht van vordering.
| |
|
Hoewel het hoofddoel vergelijkbaar lijkt met dat van de BIPA, beperken verschillende beperkingen het algemene effect van het wetsvoorstel. Zo voorziet het wetsvoorstel bijvoorbeeld in een uitzondering op alle kennisgevings- en toestemmingsvereisten wanneer biometrische gegevens worden verzameld en opgeslagen "ter bevordering van een veiligheidsdoel".
Het wetsvoorstel bepaalt ook dat het verbod op openbaarmaking en bewaring van biometrische identificatiemiddelen niet van toepassing is op de openbaarmaking of bewaring van biometrische identificatiemiddelen "die zijn uitgeschreven" (een term die verwijst naar geanonimiseerde of gedeïdentificeerde biometrische gegevens). Net als in Texas voorziet het wetsvoorstel niet in een particulier recht van vordering.
|
Belangrijkste implicaties voor bedrijven
BIPA werd mede aangenomen omdat de wetgever van Illinois verwachtte dat bedrijven steeds vaker biometrische gegevens zouden gaan gebruiken om financiële transacties te vergemakkelijken, en omdat deze gegevens, in tegenstelling tot andere persoonlijk identificeerbare informatie, niet realistisch gezien kunnen worden gewijzigd als ze worden gestolen. De voorspellingen van de wetgever bleken juist, aangezien biometrische informatie niet alleen wordt gebruikt om financiële transacties te verwerken, maar ook om toegang te krijgen tot auto's en gebouwen, om door de veiligheidscontrole op luchthavens te komen en om in te loggen op accounts op mobiele apparaten.
Hoewel de voorgestelde wetgeving nog niet is aangenomen in een van de vijf staten, is er een duidelijke trend waarneembaar om op staatsniveau biometrische wetgeving aan te nemen. Als gevolg hiervan moeten bedrijven ervoor zorgen dat hun beleid en procedures met betrekking tot kennisgeving, toestemming en verwijdering in overeenstemming zijn met de huidige wetgeving en flexibel en aanpasbaar zijn aan updates, aangezien andere staten mogelijk soortgelijke biometrische wetten zullen aannemen.
