Het gebruik van biometrische gegevens, en in het bijzonder gezichtsherkenning, is de afgelopen tijd enorm toegenomen. Als we kijken naar het jaar 2018 heeft Amazon begin dit jaar zijn eerste kassa-vrije ‘Go’ winkel geopend, waar op basis van onder andere gezichtsherkenning klanten automatisch een rekening toegestuurd krijgen. In Nederland heeft recreatieplas Henschotermeer in juli aangekondigd toegang tot de plas op basis van gezichtsherkenning mogelijk te maken, en deze week las ik dat het ontgrendelen van je telefoon op basis van gezichtsherkenning voor de nieuwe lijn iPhones (iPhone 9, iPhone XS en iPhone X Plus) waarschijnlijk de standaard wordt.
Het gebruik van biometrische gegevens voor het ontgrendelen van je telefoon leidt tot een interessant juridisch vraagstuk. Want wat als een van een misdrijf verdachte nuttige informatie op zijn vergrendelde smartphone heeft staan? Onder welke voorwaarden kunnen biometrische gegevens gebruikt worden om toegang tot die smartphone te verschaffen? In principe geldt het beginsel dat een verdachte niet kan worden verplicht om mee te werken aan zijn eigen veroordeling (nemo tenetur). Een bevel om toegang te verschaffen tot een geautomatiseerd werk mag in Nederland niet aan een verdachte worden opgelegd. In de originele memorie van toelichting bij de nieuwe wet op computercriminaliteit III was een dergelijk decryptiebevel voor bepaalde zaken nog wel opgenomen, maar dit bevel is vanwege de strijd met het nemo tenetur beginsel in de huidige versie geschrapt.
De politie is in principe bevoegd om op eigen houtje de telefoon van een verdachte te ontgrendelen, en vervolgens alle informatie die op de telefoon opgeslagen staat door te spitten. Het ontgrendelen van een smartphone zonder de medewerking van een verdachte zal niet altijd een makkelijke klus zijn. Zelfs de Amerikaanse FBI, met aanzienlijk meer middelen dan de Nederlandse politie, is het een lange tijd niet gelukt om een iPhone te ontgrendelen waardoor een rechtszaak dreigde.
De politie is bij het aanhouden van een verdachte ook bevoegd om ter identificatie een vingerafdruk af te nemen en een foto van de verdachte te maken. Die foto’s en vingerafdrukken mogen in geval van ernstige misdrijven ook worden gebruikt voor het opsporen van strafbare feiten. De vraag is of deze gegevens ook gebruikt mogen worden om een smartphone van een verdachte te ontgrendelen? Mag de politie de verdachte dan dwingen om met zijn vingerafdruk of gezichtsscan zijn telefoon te ontgrendelen?
Er kan worden beargumenteerd dat het verplicht afstaan van biometrische gegevens om een smartphone te ontgrendelen hetzelfde doel dient als een bevel om toegang tot de telefoon te verschaffen, en daarom in strijd zou zijn met het nemo tenetur beginsel. De verdachte wordt dan namelijk verplicht om een handeling te verrichten waarmee hij mogelijk meewerkt aan zijn eigen veroordeling.
Als we over de Nederlandse grens kijken, lijkt men deze opvatting niet te delen. Begin dit jaar heeft een rechter uit Minnesota geoordeeld dat hoewel een verdachte niet verplicht kan worden om een cijfercode af te staan, het nemo tenetur beginsel slechts zou strekken tot de bescherming van een gedachtegoed. Fysieke eigenschappen, zoals de vingerafdruk en gezichtsscan, worden volgens de Amerikaanse rechter niet door dit beginsel gedekt. Ook in Noorwegen heeft een rechter een verdachte in 2016 verplicht om zijn mobiel via zijn duim te ontgrendelen. Wetgeving in het Verenigd Koninkrijk geeft de Britse politie de bevoegdheid een algemeen decryptiebevel aan een verdachte op te leggen.
In Nederland heeft een douanier aangifte tegen de politie gedaan voor het onder dwang afstaan van zijn vingerafdruk om zijn telefoon te ontgrendelen. Het wordt interessant of en hoe de Nederlandse rechter over deze kwestie zal oordelen.
Met dank aan Edo Hoogervorst