De Autoriteit Persoonsgegevens (AP) heeft vastgesteld dat acht Nederlandse vakantieparken de privacywet hebben overtreden door gezichtsherkenningstechnologie in te zetten bij de toegang tot zwembaden en speeltuinen. Het onderzoek kwam tot stand na meldingen van burgers die verrast waren door het gebruik van gezichtsherkenning zonder voldoende alternatieven of informatie. De overtredingen betroffen onder meer het niet aanbieden van een alternatief voor gezichtsherkenning en het onvoldoende informeren van gasten over hun rechten en het gebruik van hun persoonsgegevens.
Volgens de Algemene verordening gegevensbescherming (AVG) is het gebruik van gezichtsherkenning in principe verboden, behalve in uitzonderlijke gevallen, zoals voor veiligheidsdoeleinden of met uitdrukkelijke toestemming van de betrokkenen. In het geval van de vakantieparken was toestemming de enige rechtmatige grondslag. De parken waren echter nalatig in het correct verkrijgen van deze toestemming en in het bieden van een alternatief, zoals toegang met een pasje of polsbandje.
Na het onderzoek hebben zeven van de acht vakantieparken hun werkwijze aangepast. Eén park heeft echter nog geen veranderingen doorgevoerd, waardoor de AP mogelijke verdere maatregelen overweegt, zoals het opleggen van een boete of dwangsom. AP-vicevoorzitter Monique Verdier zegt: “Dit is zeer ernstig. Je mag mensen niet onder druk zetten om hun biometrische gegevens af te staan. Toch was dat wat hier gebeurde: mensen betalen voor een leuke vakantie, inclusief zwembad, en worden voor een voldongen feit gesteld: als je wilt zwemmen, moet je je data afstaan. Dat is verboden.”