Over leeftijdsscanners, context en een hardnekkige paradox
Op 7 januari 2026 publiceerde het AD een artikel met daarin de discussie over het gebruik van leeftijdsscanners bij tankstations. Apparaten die, met behulp van een camera, inschatten of een klant oud genoeg is om bijvoorbeeld tabak te kopen. Leveranciers stellen dat dit anoniem gebeurt, zonder opslag van beelden, zonder internetverbinding en zonder vaststelling van identiteit. Toch plaatst onder andere de Autoriteit Persoonsgegevens hier vraagtekens bij vanuit de AVG.
Los van de vraag of deze specifieke toepassing juridisch is toegestaan, raakt de discussie aan een fundamenteler probleem. Waarom worden oplossingen die aantoonbaar weinig gegevens verwerken soms als risicovol beschouwd, terwijl andere methoden die veel meer informatie blootleggen als vanzelfsprekend worden geaccepteerd?
Gegevensbescherming is niet hetzelfde als privacy
De AVG wordt vaak aangeduid als privacywetgeving, maar dat is slechts gedeeltelijk juist. De verordening richt zich primair op de bescherming van persoonsgegevens. Zij bepaalt wanneer gegevens mogen worden verwerkt, onder welke voorwaarden en met welke waarborgen.
Het begrip privacy komt niet als zelfstandig juridisch concept terug in de artikelen van de AVG. De verordening geeft uitvoering aan het grondrecht op privacy en gegevensbescherming, maar doet dat via regels over persoonsgegevens en verwerking, niet via een algemene definitie van privacy.
Privacy in bredere zin gaat over meer dan gegevens. Het raakt aan anonimiteit, autonomie, context en het vermogen om je vrij te bewegen zonder voortdurend te worden beoordeeld of vastgelegd. Die bredere privacybelangen worden door gegevensbescherming slechts indirect geraakt.
Dat onderscheid is belangrijk, omdat veel intuïtieve reacties in dit soort discussies voortkomen uit een privacygevoel, terwijl de AVG vanuit een gegevensbeschermingslogica redeneert.
Context in de AVG: aanwezig, maar normatief
De AVG kent context. Dat blijkt onder meer uit beginselen als proportionaliteit en dataminimalisatie, uit belangenafwegingen bij gerechtvaardigd belang en uit de verplichting om rekening te houden met aard, omvang, context en doeleinden van een verwerking bij een DPIA.
Deze context is echter juridisch en normatief van aard. Zij kijkt naar het doel van de verwerking, de positie van de betrokkene en de aard van de gegevenscategorie. Wat de AVG niet structureel doet, is context beoordelen zoals dat in informatiebeveiliging gebruikelijk is.
Hoewel de verordening expliciet vereist dat waarschijnlijkheid, ernst en technische mitigaties worden meegewogen, schrijft zij geen operationeel dreigingsmodel voor en biedt zij geen vaste methodiek om aanvalsvlakken, technische architectuur of ontwerpkeuzes systematisch te wegen. De waarschijnlijkheid van misbruik en de technische mogelijkheden om dat misbruik te beperken spelen slechts beperkt een rol.
De AVG kent dus context, maar niet de operationele context waarin beveiligingsspecialisten denken.
Methode en doel lopen uiteen
Dat verschil wordt zichtbaar bij technologie die gezichtsbeelden analyseert.
Een gezicht kan technisch voor verschillende doelen worden gebruikt. Het kan dienen om een identiteit vast te stellen, om leeftijd te schatten, om emoties te herkennen of om kenmerken als geslacht of etniciteit af te leiden. Deze toepassingen verschillen sterk in impact en risico.
In de juridische beoordeling krijgt echter vaak de methode de meeste aandacht. In de praktijk wordt bij geautomatiseerde analyse van gezichtskenmerken al snel gesproken over biometrie. Toezichthouders hanteren daarbij vaak een ruime interpretatie. Juridisch is die kwalificatie echter niet vanzelfsprekend en hangt zij af van het doel van de verwerking en de technische mogelijkheid tot unieke identificatie.
Volgens de AVG is pas sprake van biometrische gegevens wanneer gezichtskenmerken worden verwerkt met het oog op unieke identificatie van een persoon. Bij toepassingen die uitsluitend een niet-herleidbare leeftijdsinschatting maken, bestaat daarover reëel juridisch debat. Het doel van de verwerking, bijvoorbeeld een niet herleidbare leeftijdsinschatting, weegt in de praktijk minder zwaar dan veel mensen verwachten.
Dat is geen fout in de wet, maar een gevolg van hoe categorieën richtinggevend werken in toezicht en handhaving.
Dataminimalisatie en feitelijke veiligheid
Leveranciers van leeftijdsscanners benadrukken dat hun systemen zijn ontworpen om zo weinig mogelijk gegevens te verwerken. Met betrekking tot de in het artikel genoemde MyCheckr Mini geldt het volgende:
MyCheckr voert anonieme leeftijdsschattingen uit om medewerkers te ondersteunen bij de verkoop van leeftijdsgebonden producten. Er worden geen gegevens opgeslagen, het systeem werkt lokaal zonder internetverbinding en adviseert alleen wanneer een handmatige ID-controle nodig is.
Of deze claims in alle opzichten juist zijn, is hier niet doorslaggevend. Wat zij laten zien, is een poging om dataminimalisatie in de praktijk toe te passen.
Bij een traditionele ID-controle worden zichtbaar de naam, geboortedatum en foto van een persoon. Soms is ook een geboorte- of woonplaats, of documentnummer te zien. Het moment wordt vaak vastgelegd door beveiligingscamera’s. Vanuit technisch en beveiligingsperspectief is dit een zwaardere verwerking met meer mogelijkheden voor misbruik.
Toch wordt deze methode zelden als problematisch ervaren. Dat heeft deels een juridische reden: een vluchtige menselijke ID-controle zonder vastlegging of registratie valt in veel gevallen buiten het bereik van de AVG. Zodra een camera of geautomatiseerd systeem wordt ingezet, is er wél sprake van verwerking van persoonsgegevens en geldt het volledige AVG-kader.
De risico-paradox
Hier ontstaat een paradox die vaker terugkomt in discussies over gegevensbescherming en veiligheid.
Wanneer juridische experts stellen dat de AVG risico-gebaseerd is, doelen zij op risico’s voor rechten en vrijheden van betrokkenen. Dat risico wordt normatief beoordeeld op basis van abstracte rechten, waarbij technische mitigaties en operationele ontwerpkeuzes de juridische classificatie van een verwerking vaak niet veranderen.
In informatiebeveiliging betekent risico iets anders. Daar gaat het om kans en impact, om dreigingsmodellen en om de vraag welke aanvalsvlakken daadwerkelijk bestaan. Een systeem zonder opslag en zonder netwerkverbinding wordt in die context als laag risico gezien.
Het gevolg is dat verwerkingen met lage operationele risico’s juridisch zwaar kunnen worden beoordeeld, terwijl verwerkingen met hogere operationele risico’s als normaal worden beschouwd. Niet omdat risico’s worden genegeerd, maar omdat het begrip risico verschillend wordt ingevuld.
Context en gevoeligheid van gegevens
Ook buiten biometrie speelt dit probleem. De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens, maar houdt beperkt rekening met contextuele gevoeligheid.
Een adres geldt juridisch als een regulier persoonsgegeven. In de praktijk maakt het echter groot verschil of het gaat om een willekeurige consument, iemand die ondergedoken zit vanwege huiselijk geweld of een kind dat onder toezicht staat.
De AVG probeert dit deels op te vangen via beveiligingseisen en DPIA’s, maar kent geen structureel mechanisme om zulke contextverschillen in de classificatie zelf te verwerken.
Een structureel spanningsveld
Deze discussies laten zich beter begrijpen als een spanningsveld tussen drie waarden: veiligheid, privacy en anonimiteit.
Veiligheid vraagt om zicht, controle en de mogelijkheid om in te grijpen. Privacy gaat over bescherming tegen onnodige inbreuk en over het behouden van autonomie in verschillende contexten. Anonimiteit verkleint de herleidbaarheid van individuen en beperkt daarmee zowel toezicht als handhaving.
Gegevensbescherming bevindt zich midden in dit spanningsveld. De AVG is een instrument dat privacy probeert te beschermen binnen grenzen die veiligheid en maatschappelijke controle toelaten. Dat instrument werkt met vaste categorieën en normatieve risico’s, terwijl privacy en veiligheid in de praktijk sterk contextafhankelijk zijn.
De discussie over leeftijdsscanners is daarmee geen uitzondering, maar een illustratie van een bredere spanning waarin gegevensbescherming niet alle belangen tegelijk kan bedienen.
Tot slot
Dit artikel bepleit geen standpunt voor of tegen specifieke technologieën en wijst geen partijen aan als verantwoordelijk voor het spanningsveld. Wij laten zien dat gegevensbescherming, privacy en veiligheid verschillende logica’s volgen en niet altijd vanzelfsprekend op elkaar aansluiten.
Zolang regelgeving vooral werkt met vooraf gedefinieerde categorieën en normatieve risicobeoordelingen, terwijl technische risico’s contextueel en dynamisch zijn, zal deze frictie blijven bestaan. Het erkennen van dat spanningsveld lost het probleem niet op, maar voorkomt wel dat het debat verzandt in simplistische tegenstellingen.