Bij meerdere tankstations in Nederland worden gezichten van klanten gescand bij de aankoop van tabak. De camera’s worden ingezet voor leeftijdscontrole en soms voor diefstalpreventie. Dit gebeurt recent en vaak zonder duidelijke uitleg in de winkel. De kwestie raakt privacy en Europese digitalisering gevolgen bedrijfsleven, omdat biometrie onder strenge regels valt.
Camera’s bij tabaksverkoop
Steeds meer verkooppunten gebruiken een camera-gestuurd systeem voor leeftijdsverificatie bij sigaretten. De software schat de leeftijd op basis van gezichtskenmerken. Soms staat het scherm bij de kassa, soms bij een afgesloten tabakskast. Consumenten melden dat zij niet altijd vooraf zien dat hun gezicht wordt geanalyseerd.
Leveranciers beschrijven dit als “age estimation” en zeggen dat er geen namen worden opgeslagen. Toch kan zo’n systeem in de praktijk breder werken. Het beeld kan worden gekoppeld aan tijdstip, locatie en transactie. Zonder heldere grenzen ontstaat risico op onbedoelde profilering of volgen over meerdere filialen.
Winkeliers beroepen zich op hun wettelijke plicht om de leeftijd te controleren. Die plicht staat in de Tabaks- en rookwarenwet. Maar die wet schrijft niet voor hoe je controleert. Een camera met algoritmen is dus een keuze, geen noodzaak.
Onzekerheid over toestemming
Voor het scannen van gezichten is een geldige grondslag onder de AVG nodig. Toestemming moet vrij, specifiek en geïnformeerd zijn. In een winkel is toestemming niet snel “vrij”, tenzij er een echt gelijkwaardig alternatief is, zoals handmatige ID-check. Ontbreekt zo’n keuze, dan is toestemming juridisch zwak.
Er is ook een verschil tussen gezichtsherkenning en leeftijdsschatting. Als het systeem iemand uniek kan identificeren, gaat het om biometrische gegevens van een bijzondere categorie. Die verwerking is in principe verboden, behalve in uitzonderingen. Bij pure leeftijdsschatting zonder identificatie is de drempel lager, maar blijft de AVG volledig van kracht.
Transparantie is cruciaal. Klanten moeten vóór de scan weten wat er gebeurt, waarom, hoe lang gegevens bewaard blijven en met wie ze worden gedeeld. Dat vraagt duidelijke borden bij de ingang en kassa, en een privacyverklaring die de techniek begrijpelijk uitlegt.
AVG stelt strenge eisen
De AVG verlangt dataminimalisatie: verwerk zo min mogelijk persoonsgegevens, zo kort mogelijk. Biometrische analyse valt hier extra onder. Beelden die niet strikt nodig zijn voor leeftijdscontrole mogen niet worden bewaard. Koppeling aan betalings- of loyaliteitsdata vergroot de risico’s en moet worden vermeden.
Biometrische gegevens zijn persoonsgegevens die iemand uniek kunnen identificeren, zoals gezichtskenmerken of vingerafdrukken.
Bij grootschalige, systematische cameratoezicht in een publieke ruimte is een Data Protection Impact Assessment (DPIA) verplicht. Tankstations en retailruimtes vallen daar vaak onder. De DPIA beschrijft risico’s, proportionaliteit en beveiligingsmaatregelen. Blijven er hoge risico’s bestaan, dan is vooraf overleg met de Autoriteit Persoonsgegevens (AP) nodig.
Ook organisatorisch moet het kloppen. Winkels hebben verwerkersovereenkomsten met de technologieleverancier nodig. Toegang tot de cameradata moet strikt worden ingeperkt en gelogd. Beveiliging, inclusief versleuteling en toestelhardening, moet aantoonbaar op orde zijn.
AI Act vraagt transparantie
De Europese AI-verordening (AI Act) legt extra plichten op bij biometrische toepassingen. Biometrische identificatie is hoog-risico en onderwerpt aanbieders aan strenge eisen. Biometrische categorisatie, zoals leeftijdsschatting, valt onder transparantieverplichtingen: mensen moeten weten dat een AI-systeem actief is. Dat betekent duidelijke signalering in de winkel en in de interface.
De AI Act vereist ook risicobeheer, datakwaliteit en menselijk toezicht voor risicosystemen. Bedrijven moeten documentatie kunnen overleggen over werking en testen. Voor retailketens met veel locaties betekent dit structurele governance en audits. Implementaties die vandaag draaien, moeten worden voorbereid op deze regels.
De handhaving start gefaseerd na publicatie van de verordening. Op het moment van schrijven wordt in Brussel gewerkt aan de laatste uitvoeringsdetails. Nederlandse bedrijven doen er goed aan nu al te toetsen of hun leeftijdscontrole proportioneel is. Minder ingrijpende middelen hebben de voorkeur onder Europees recht.
Toezicht en gevolgen
De Autoriteit Persoonsgegevens kan onderzoek doen wanneer klachten binnenkomen. Bij overtredingen variëren sancties van een berisping tot hoge boetes, tot 20 miljoen euro of 4% van de wereldwijde omzet. De NVWA blijft tegelijk controleren op de naleving van de leeftijdsgrens voor tabak. Beide regimes gelden naast elkaar.
Voor tankstations betekent dit balanceren tussen verkoopregels en privacywetgeving. Een DPIA en een duidelijke keuze voor de minst ingrijpende techniek verlagen het risico. Interne trainingen helpen medewerkers om bij twijfel over te stappen op handmatige controle. Heldere communicatie met klanten beperkt frictie aan de kassa.
Consumenten hebben rechten onder de AVG. Zij mogen informatie opvragen, bezwaar maken en verwijdering eisen als beelden onnodig zijn bewaard. Ook kunnen zij een klacht indienen bij de AP. Die druk dwingt aanbieders om hun systemen privacyvriendelijk in te richten.
Alternatieven voor leeftijdscheck
Er bestaan minder ingrijpende oplossingen dan gezichtsanalyse. De eenvoudigste is een handmatige ID-check door personeel. Een tweede optie is een ID-scanner die de geboortedatum controleert zonder het document of de foto op te slaan. Dat voldoet vaak aan dataminimalisatie en is voor klanten goed uit te leggen.
Digitale leeftijdsattributen via eID, zoals een app die alleen “18+” deelt, bieden extra privacy. Hierbij wordt geen gezichtsscan gemaakt en blijven persoonsgegevens lokaal. Zulke systemen sluiten aan bij Europese eID-ontwikkelingen en de aankomende eIDAS 2.0-wallets. Voor retailers verkleint dit de juridische en technische complexiteit.
Als een keten toch camera’s inzet, zijn strikte waarborgen nodig. Verwerk lokaal, bewaar niets, plaats duidelijke borden en bied altijd een niet-biometrisch alternatief. Zo kan de winkel aan de Tabaks- en rookwarenwet voldoen zonder onnodige inbreuk op de privacy. Dat is beter voor klanten, en in lijn met zowel de AVG als de AI Act.