Van tracking via gezichtsherkenning tot datalekken van vingerafdrukken, leer hoe u zich kunt verdedigen tegen ongeoorloofde verzameling van biometrische gegevens. Illinois BIPA-bescherming, Meta $1.4B Texas-schikking, Clearview AI-uitspraken en GDPR Artikel 9 rechten voor bijzondere categorieën van gegevens.
Uw gezicht, vingerafdrukken, irisscans, stemafdruk en zelfs uw DNA zijn unieke biologische identificatiemiddelen – veel gevoeliger dan wachtwoorden of creditcardnummers, omdat ze niet kunnen worden gewijzigd als ze worden gestolen of misbruikt. Toch verzamelen bedrijven deze biometrische gegevens steeds vaker met minimale controle, door gezichtsherkenning in sociale media-apps in te bouwen, vingerafdrukscans te gebruiken voor tijdregistratie op de werkplek, irisscanners in te zetten voor gebouwtoegang en miljarden foto's van het internet te scrapen om bewakingsdatabases op te bouwen – vaak zonder duidelijke toestemming, adequate beveiliging of openbaarmaking van hoe de gegevens zullen worden gebruikt of gedeeld.
De gevolgen van ongeoorloofde verzameling van biometrische gegevens zijn ernstig. Zodra uw gezichtsgeometrie of vingerafdruksjabloon is gestolen bij een datalek, kunnen criminelen deze voor altijd gebruiken voor identiteitsdiefstal – u kunt geen nieuw gezicht of nieuwe vingerafdrukken krijgen. Biometrische bewakingssystemen maken het mogelijk om uw bewegingen door openbare ruimtes, winkels en werkplekken zonder uw medeweten uitgebreid te volgen. Discriminatoire algoritmen ingebed in gezichtsherkenningssystemen identificeren minderheden met alarmerende frequentie verkeerd, wat leidt tot onterechte arrestaties (minstens zes gedocumenteerde gevallen in de VS per 2024). Bedrijven profiteren door uw biometrische gegevens te verkopen aan adverteerders, datamakelaars en zelfs autoritaire regeringen.
Illinois nam in 2008 het voortouw door de Biometric Information Privacy Act (BIPA) in te voeren, de sterkste biometrische privacywet van het land, die individuen een privaat vorderingsrecht geeft om bedrijven aan te klagen die biometrische gegevens verzamelen zonder schriftelijke toestemming en openbaarmaking. BIPA voorziet in wettelijke schadevergoeding van $1,000 per nalatige overtreding en $5,000 per roekeloze/opzettelijke overtreding – wat betekent dat geen bewijs van daadwerkelijke schade vereist is. Texas volgde met de Capture or Use of Biometric Identifier (CUBI) Act (wijzigingen uit 2023 versterkten de handhaving). Californië's CCPA classificeert biometrische gegevens als gevoelige persoonlijke informatie die verhoogde bescherming vereist. En de GDPR Artikel 9 van de Europese Unie behandelt biometrische gegevens als 'bijzondere categorie' gegevens die expliciete toestemming en strikte beveiliging vereisen.
Belangrijke schikkingen hebben deze bescherming bevestigd: Meta betaalde $1.4 miljard aan Texas (2024) voor het verzamelen van gezichtsherkenningsgegevens zonder toestemming, de grootste privacyschikking door één staat. Meta betaalde eerder $650 miljoen om een Illinois BIPA collectieve actie over Facebook-fototagging te schikken. Clearview AI betaalde $50 miljoen om Illinois-claims te schikken voor het scrapen van miljarden foto's. Google betaalde $100 miljoen voor Google Photos gezichtsherkenning (Illinois). Amazon Ring, Six Flags, Snapchat, TikTok en tientallen werkgevers hebben BIPA-schikkingen betaald variërend van $500,000 tot $100 miljoen. Individuele BIPA-claims leveren regelmatig $5,000-$15,000 per persoon op. Deze gids laat u zien hoe u schendingen van biometrische privacy kunt identificeren, uw rechten kunt begrijpen en alle mogelijke wegen naar compensatie kunt bewandelen.
Illinois BIPA (740 ILCS 14/) is de sterkste biometrische privacywet in de VS. Deze is van toepassing op elke particuliere entiteit die biometrische identificatiemiddelen (gezichtsgeometrie, vingerafdrukken, stemafdrukken, irisscans, retinascan, handscans, ganganalyse) van inwoners van Illinois verzamelt, vastlegt, opslaat of gebruikt – zelfs als het bedrijf elders gevestigd is. Bedrijven moeten: (1) een schriftelijk bewaarbeleid en vernietigingsbeleid ontwikkelen en publiceren; (2) schriftelijk kennisgeven dat biometrische gegevens worden verzameld; (3) schriftelijke toestemming verkrijgen; (4) biometrische gegevens nooit verkopen, verhuren of er winst uit halen; (5) redelijke zorgvuldigheid betrachten bij de bescherming van biometrische gegevens (dezelfde standaard als voor financiële gegevens).
De belangrijkste kracht van BIPA: privaat vorderingsrecht. U kunt rechtstreeks een rechtszaak aanspannen bij de rechtbank van de staat Illinois zonder een administratieve klacht in te dienen. Schadevergoeding: $1,000 per nalatige overtreding, $5,000 per opzettelijke/roekeloze overtreding, plus advocaatkosten. Geen bewijs van daadwerkelijke schade vereist – de overtreding zelf creëert een claim. Rechtbanken hebben geoordeeld dat elke scan een afzonderlijke overtreding kan zijn (bijv. als de werkgever uw vingerafdruk 500 keer heeft gescand voor tijdregistratie gedurende 2 jaar, potentiële schade: $500,000-$2.5M, hoewel rechtbanken doorgaans minder toekennen). Verjaringstermijn: 5 jaar (soms 1 jaar voor overtredingen van schriftelijke vrijgave – complex).
Common BIPA Violations:
Veelvoorkomende BIPA-overtredingen: Werkgever vereist vingerafdrukscan zonder schriftelijke toestemming. Facebook tagt u in foto's met gezichtsherkenning zonder toestemming. Beveiligingssysteem scant uw gezicht voor gebouwtoegang zonder openbaarmaking. Winkelier gebruikt gezichtsherkenning voor klanttracking zonder kennisgeving. App analyseert uw stemafdruk zonder toestemming.
Texas Business & Commerce Code Chapter 503 (versterkt in 2023) beschermt biometrische identificatiemiddelen (gezichtsgeometrie, stemafdruk, retina-/irisscan, vingerafdruk, handscan, toetsaanslagdynamiek). Bedrijven moeten: (1) individuen informeren dat biometrische gegevens worden vastgelegd; (2) toestemming verkrijgen (kan in de servicevoorwaarden staan, maar moet duidelijk zijn); (3) gegevens vernietigen binnen een redelijke termijn nadat het doel is vervuld; (4) gegevens met redelijke zorgvuldigheid beschermen. Verbod: biometrische gegevens niet verkopen, verhuren of openbaar maken zonder toestemming.
Handhaving: de procureur-generaal van Texas kan een rechtszaak aanspannen voor een rechterlijk bevel en $25,000 per overtreding. Privaat vorderingsrecht: individuen kunnen een rechtszaak aanspannen voor daadwerkelijke schade als zij schade lijden, plus advocaatkosten. In tegenstelling tot Illinois BIPA vereist Texas CUBI bewijs van daadwerkelijke schade voor particuliere rechtszaken (zwaardere bewijslast), maar de staatshandhaving is agressief geweest – de $1.4B Meta-schikking werd door de procureur-generaal van Texas aangespannen onder CUBI + Texas DTPA. Collectieve acties zijn mogelijk.
Note:
Handhavingsprioriteiten van de procureur-generaal van Texas (2024): Gezichtsherkenning op sociale media, biometrische tracking van werknemers zonder toestemming, datalekken die biometrische gegevens blootleggen, verkoop van biometrische gegevens aan derden.
CCPA (Cal. Civ. Code § 1798.100 et seq.) classificeert 'biometrische informatie' (fysiologische, biologische of gedragskenmerken die kunnen worden gebruikt voor identificatie, inclusief gezichtsafbeeldingen, irisscans, vingerafdrukken, stemafdrukken, toetsaanslagpatronen, gang) als 'gevoelige persoonlijke informatie'. Bedrijven moeten: (1) de verzameling van biometrische gegevens openbaar maken in het privacybeleid; (2) een opt-outrecht aanbieden (consumenten kunnen het gebruik beperken tot noodzakelijke doeleinden); (3) biometrische gegevens niet verkopen zonder expliciete opt-in toestemming. Overtredingen: de procureur-generaal van Californië of de Privacy Protection Agency kan een boete opleggen van $2,500 per overtreding ($7,500 voor opzettelijke overtreding). Datalek: Als biometrische gegevens worden gelekt door gebrek aan redelijke beveiliging, kunnen consumenten een rechtszaak aanspannen voor $100-$750 per incident, of daadwerkelijke schade (welke het hoogst is), plus advocaatkosten. In tegenstelling tot Illinois BIPA voorziet CCPA niet in wettelijke schadevergoeding voor verzameling zonder toestemming bij afwezigheid van een datalek.
RCW 19.375 vereist dat bedrijven die consumenten inschrijven in biometrische identificatiesystemen: (1) kennisgeving doen van het doel en de duur van de inschrijving; (2) toestemming verkrijgen; (3) gegevens vernietigen wanneer het doel is vervuld of binnen 3 jaar. Overtredingen worden gehandhaafd door de procureur-generaal van Washington onder de Consumer Protection Act: tot $7,500 per overtreding. Privaat vorderingsrecht: consumenten kunnen een rechtszaak aanspannen voor daadwerkelijke schade, een rechterlijk bevel en advocaatkosten als zij schade lijden. Sterker dan CCPA, maar zwakker dan Illinois BIPA (vereist bewijs van schade voor individuele schadevergoeding).
GDPR Artikel 9 classificeert biometrische gegevens die worden gebruikt voor unieke identificatie (gezichtsherkenning, vingerafdrukmatching, irisscans, DNA) als 'bijzondere categorie' persoonsgegevens die expliciete toestemming vereisen (niet alleen opt-in, maar bevestigende, geïnformeerde, vrijelijk gegeven toestemming) of een andere Artikel 9-uitzondering (bijv. zwaarwegend algemeen belang met wettelijke basis). Verwerkingsverantwoordelijken moeten gegevensbeschermingseffectbeoordelingen (DPIA's) uitvoeren voor biometrische verwerking. De beveiligingseisen zijn verscherpt.
Overtredingen: Tot €20 miljoen of 4% van de wereldwijde jaaromzet (welke het hoogst is). Individuen kunnen een rechtszaak aanspannen voor materiële en immateriële schade onder Artikel 82 (EU-rechtbanken hebben €2,000-€10,000 toegekend voor biometrische GDPR-overtredingen die emotionele schade veroorzaakten, hoger bij datalek of discriminatie). Recht op wissing (Artikel 17): u kunt de verwijdering van uw biometrische gegevens eisen als de toestemming ongeldig was of de gegevens niet langer noodzakelijk zijn. Nationale DPA's (Autoriteiten Persoonsgegevens) handhaven – dien een klacht in bij de DPA in uw EU-land.
Major GDPR Fines:
Belangrijke GDPR biometrische boetes: Clearview AI (€20M+ boetes in meerdere EU-landen voor illegale gezichtsherkenningsdatabase), H&M (€35M voor werknemerstoezicht), British Airways (£20M voor datalek biometrische paspoortgegevens).
Nog geen uitgebreide federale biometrische privacywet, maar: (1) FTC Act Section 5: FTC kan bedrijven aanklagen voor oneerlijke/misleidende praktijken als zij biometrische gegevens verzamelen in strijd met privacybeleidsbeloften of zonder openbaarmaking. Snapchat, TikTok, Facebook schikten FTC-klachten. (2) Children's Online Privacy Protection Act (COPPA): Verbiedt het verzamelen van biometrische gegevens van kinderen onder 13 jaar zonder verifieerbare ouderlijke toestemming. (3) Voorgestelde federale wetten: National Biometric Information Privacy Act (in behandeling, gemodelleerd naar Illinois BIPA), Fourth Amendment is Not For Sale Act (beperkt overheidsaankoop van biometrische gegevens). (4) Federale instanties: HHS HIPAA dekt biometrische gegevens verzameld door zorginstellingen. TSA gezichtsherkenning op luchthavens valt onder de Privacy Act – beperkte rechtsmiddelen.
De procureur-generaal van Texas klaagde Meta (Facebook) aan onder Texas CUBI en de Deceptive Trade Practices Act voor het verzamelen van miljoenen gezichtsherkenningsgegevens van Texanen via fototagging zonder toestemming. De gezichtsherkenningsfunctie van Facebook scande automatisch gezichten in geüploade foto's om tags voor te stellen, waarbij gezichtsgeometrie werd verzameld. Schikking: $1.4 miljard (grootste privacyschikking door één staat), betaald over 5 jaar. Meta stemde ermee in om gezichtsherkenning in Texas niet meer te gebruiken zonder expliciete toestemming, eerder verzamelde gegevens te verwijderen en zich te onderwerpen aan monitoring. Betekenis: Bewees dat procureurs-generaal van staten enorme schadevergoedingen kunnen veiligstellen onder staatswetten voor biometrie, zelfs als federale wetgeving ontbreekt.
De collectieve actie Patel v. Facebook beweerde dat de gezichtsherkenning voor fototagging van Facebook de Illinois BIPA schond door gezichtsgeometrie te verzamelen en op te slaan zonder schriftelijke toestemming van 1.6 miljoen Illinois-gebruikers. De federale rechtbank keurde een schikking van $650M goed (gemiddeld $397 per persoon, waarbij sommigen $300-$500 ontvingen, afhankelijk van het aantal gebruiksjaren). Vereisten: Inwoner van Illinois met een Facebook-account tussen juni 2011 en augustus 2021 waarop u of vrienden op foto's verschenen. Betekenis: Grootste BIPA-schikking en grootste privacy-collectieve actie op dat moment. Vastgesteld dat automatische gezichtsherkenning van foto's, zelfs indien geüpload door vrienden (niet door u), de BIPA-toestemmingsvereisten activeert.
Clearview AI scrapte 30 miljard foto's van sociale media, websites en het openbare internet om een gezichtsherkenningsdatabase op te bouwen die werd verkocht aan wetshandhavers en particuliere bedrijven. Inwoners van Illinois klaagden aan onder BIPA. Schikking (2024): $50M (betaald in Clearview-aandelen aan groepsleden – controversiële structuur), plus een landelijk bevel: Clearview verboden om toegang tot de database te verkopen aan particuliere bedrijven in de VS, moet individuen op de hoogte stellen als hun biometrische gegevens in de database staan en opt-out toestaan. Afzonderlijke schikkingen: ACLU-schikking beperkte het gebruik van Clearview. Meerdere EU-landen beboetten Clearview €20M+ onder de GDPR. Lopende zaken in Californië, Vermont. Betekenis: Vastgesteld dat het scrapen van openbare foto's om een gezichtsherkenningsdatabase op te bouwen BIPA schendt, zelfs als de foto's openbaar waren geplaatst.
Een class action beweerde dat de gezichtsherkenningsgroeperingsfunctie van Google Foto's ("gezichtsclustering" om foto's per persoon te organiseren) de BIPA schond door gezichtsgeometrie te verzamelen en op te slaan zonder schriftelijke toestemming. Schikking: $100M voor inwoners van Illinois die Google Foto's gebruikten en op foto's werden afgebeeld tussen mei 2015 en april 2023. Gemiddelde uitbetaling: $150-$400 per persoon. Google stemde ermee in om duidelijkere BIPA-openbaarmakingen te verstrekken en toestemming te verkrijgen vóór gezichtsherkenning in Illinois. Betekenis: Eerste grote BIPA-schikking tegen Google, toont aan dat clouddiensten voor foto's onder de BIPA vallen.
De FTC klaagde Amazon aan voor Ring-deurbelcamera's wegens: (1) het geven van onbeperkte toegang aan werknemers tot videopnames van klanten, inclusief intieme momenten; (2) het gebruiken van gezichtsherkenning op klantvideo's om AI te trainen zonder toestemming; (3) beveiligingsfouten die leidden tot toegang van hackers tot camera's. Schikking: $5.8M voor consumentencompensatie. Amazon stemde ermee in om onrechtmatig verzamelde gegevens te verwijderen, privacywaarborgen te implementeren en te stoppen met het gebruiken van klantvideo's voor AI-training zonder expliciete toestemming. Betekenis: Vastgesteld dat de FTC biometrische privacy zal handhaven onder Section 5, zelfs bij afwezigheid van specifieke federale biometrische wetgeving.
Rosenbach v. Six Flags (Hooggerechtshof van Illinois 2019) vestigde een belangrijk BIPA-precedent: Six Flags scande de vingerafdruk van een tiener voor een seizoenspas zonder schriftelijke toestemming of openbaarmaking. Het Hooggerechtshof van Illinois oordeelde: een BIPA-schending vindt plaats op het moment van verzameling zonder toestemming – geen bewijs van daadwerkelijke schade vereist (vernietiging van afwijzing door lagere rechtbank). Een daaropvolgende class action werd geschikt voor $36M (houders van een seizoenspas in Illinois 2013-2018 wiens vingerafdrukken werden gescand). Gemiddelde uitbetaling: $200-$400 per persoon. Betekenis: Een baanbrekende zaak die de kracht van BIPA vaststelt, zelfs zonder tastbare schade.
Een class action beweerde dat de augmented reality-lenzen/filters van Snapchat (puppyoortjes, gezichtswissels, enz.) gezichtsherkenning gebruikten om gezichtsgeometrie in kaart te brengen zonder BIPA-toestemming. Schikking: $35M voor Snapchat-gebruikers in Illinois van januari 2015 tot november 2022 die lenzen gebruikten. Gemiddeld: $58 per persoon. Snapchat stemde ermee in om BIPA-openbaarmakingen te verstrekken in Illinois. Betekenis: Vastgesteld dat 'leuke' AR-filters die gezichtsgeometrie verzamelen onder de BIPA vallen – niet vrijgesteld als 'commercieel entertainment'.
Een class action consolideerde 21 rechtszaken waarin TikTok werd beschuldigd van: (1) het verzamelen van gezichtsherkennings- en stemafdrukgegevens zonder toestemming (Illinois BIPA-claims); (2) het delen van gegevens met China; (3) het schenden van de privacy van kinderen. Schikking: $92M (2021) voor Amerikaanse TikTok-gebruikers per oktober 2021. Eisers onder de Illinois BIPA ontvingen hogere uitbetalingen ($167-$500 afhankelijk van activiteitsniveau). TikTok stemde ermee in om bepaalde gegevensverzamelingspraktijken te stoppen en duidelijkere privacyverklaringen te verstrekken. Betekenis: Een van de eerste grote BIPA-schikkingen tegen een groot Chinees platform.
Honderden werkgevers in Illinois zijn aangeklaagd onder BIPA wegens het vereisen van vingerafdrukscans voor prikklokken zonder schriftelijke toestemming: McDonald's franchises ($50M schikking), Mondelez/Nabisco ($5M), transportbedrijven, magazijnen, zorginstellingen. De meeste schikken voor $500-$5,000 per getroffen werknemer. Betekenis: Vastgesteld dat biometrische systemen op de werkplek moeten voldoen aan BIPA – de werkgever-werknemerrelatie creëert geen vrijstelling. Praktische impact: De meeste grote werkgevers in Illinois gebruiken nu badges in plaats van biometrische prikklokken.
Zaken inzake biometrische privacy vereisen bewijs van: (1) het bedrijf heeft uw biometrische gegevens verzameld/opgeslagen, (2) zonder de juiste toestemming/openbaarmaking, (3) in strijd met de toepasselijke wetgeving. Zo verzamelt u bewijs:
Documenteer welke biometrische gegevens zijn verzameld: Gezichtsherkenning (beveiligingscamera's, app-filters, fototags), vingerafdrukscan (prikklokken, gebouwtoegang, telefoonontgrendeling), iris-/retinascan (luchthavenbeveiliging, hoogbeveiligde toegang), stemafdruk (spraakassistenten, callcenters), ganganalyse (bewakingssystemen). Bewijs: Maak foto's van apparaten/borden, screenshot app-machtigingen die biometrische toegang tonen, controleer privacybeleid dat gezichtsherkenning of biometrische gegevens vermeldt.
Voor Illinois BIPA-claims moet u aantonen dat het bedrijf NIET heeft verstrekt: (1) schriftelijke openbaarmaking dat biometrische gegevens werden verzameld, (2) schriftelijke openbaarmaking van het doel en de duur van de opslag, (3) schriftelijke toestemming (handtekening of selectievakje waarmee wordt ingestemd met biometrische verzameling). Bewijs: Toon aan dat u nooit een biometrisch toestemmingsformulier hebt ondertekend. Als toestemming 'begraven' was in algemene servicevoorwaarden of privacybeleid zonder een specifieke biometrische sectie, voldoet dit vaak NIET aan de BIPA-vereiste van 'schriftelijke openbaarmaking en toestemming' (rechtbanken hebben geoordeeld dat BIPA een afzonderlijke, specifieke openbaarmaking vereist – niet algemene privacybeleidstaal). Als de werkgever een vingerafdrukprikklok implementeerde zonder training of toestemmingsformulieren, is dat sterk bewijs. Controleer aanwervingsdocumenten – als er geen biometrische toestemming is, heeft u een claim.
Illinois BIPA: U moet inwoner van Illinois zijn of werknemer van een faciliteit in Illinois. Texas CUBI: Inwoner van Texas. CCPA: Inwoner van Californië. AVG: EU-ingezetene of uw gegevens zijn verwerkt door een verwerkingsverantwoordelijke in de EU. Bewijs: Bewijs van ingezetenschap (nutsrekening, rijbewijs, arbeidsgegevens waaruit een werklocatie in Illinois blijkt). Illinois BIPA is van toepassing, zelfs als het bedrijf elders is gevestigd – als u in Illinois woont/werkt en zij uw biometrische gegevens hebben verzameld, is BIPA van toepassing.
Toon aan dat het bedrijf daadwerkelijk biometrische gegevens heeft verzameld/opgeslagen: Screenshot van Facebook-fototag-suggesties met uw naam. Prikklokgegevens van vingerafdrukken (verzoek aan werkgever onder gegevensrechten). App die toestemming vraagt voor gezichtsherkenning. Camerabeelden van bewaking (verzoek onder AVG Artikel 15 / CCPA-toegangsrecht). Melding van datalek van biometrische gegevens (indien het bedrijf u op de hoogte heeft gesteld van een datalek). Deskundigenverklaring (forensische analyse die aantoont dat de app gezichtsherkenning gebruikt, zelfs indien niet openbaar gemaakt).
Illinois BIPA: GEEN bewijs van schade vereist – de overtreding zelf creëert een claim. Texas CUBI particuliere actie: Moet daadwerkelijke schade bewijzen (emotionele nood, tijd/kosten om de overtreding aan te pakken, risico op identiteitsdiefstal). CCPA: Moet datalek of daadwerkelijke schade bewijzen. AVG: Kan herstel vorderen voor 'immateriële schade' (emotionele nood, angst) zonder financiële schade. Documenteer schade: Medische dossiers voor angst/therapie gerelateerd aan de overtreding. Tijd besteed aan het aanpakken van het probleem (uren × redelijk uurtarief). Bewijs van pogingen tot identiteitsdiefstal indien biometrische gegevens zijn gelekt. Screenshots van intimiderend contact indien risico op stalking is ontstaan.
Voor hogere BIPA-schadevergoeding ($5.000 opzettelijk versus $1.000 nalatig): Toon aan dat het bedrijf op de hoogte was van BIPA. Bewijs: Het bedrijf heeft werknemers/klanten in Illinois (zou op de hoogte moeten zijn van BIPA). Eerdere BIPA-rechtszaken tegen het bedrijf of de sector. BIPA-nalevingsclausules in bedrijfscontracten. Interne e-mails waarin BIPA wordt besproken (vindbaar in rechtszaken). Als het bedrijf BIPA negeerde na te zijn geïnformeerd, is dat roekeloos/opzettelijk.
Controleer: (1) Heeft het bedrijf uw gezichtsherkenning, vingerafdruk, irisscan, stemafdruk of andere biometrische gegevens verzameld? (2) Bevindt u zich in een beschermd rechtsgebied (Illinois, Texas, Californië, EU, enz.)? (3) Heeft u de juiste schriftelijke toestemming gegeven (voor BIPA betekent dit afzonderlijke openbaarmaking en toestemming – niet alleen algemene voorwaarden)? (4) Heeft het bedrijf de vereiste procedures gevolgd (bewaarbeleid, vernietigingstermijn, beveiligingsmaatregelen)? Als het bedrijf biometrische gegevens in Illinois heeft verzameld zonder schriftelijke BIPA-toestemming, heeft u vrijwel zeker een claim – raadpleeg onmiddellijk een advocaat (verjaringstermijn van 5 jaar, maar stel niet uit).
Vraag uw gegevens op om bewijs te verzamelen: Illinois: Stuur een schriftelijk verzoek met verwijzing naar BIPA Section 15(c) waarin u vraagt om: (1) alle verzamelde biometrische gegevens, (2) schriftelijk bewaar- en vernietigingsbeleid, (3) lijst van derden met wie biometrische gegevens zijn gedeeld, (4) data van verzameling en opslag. Californië CCPA: Vraag om 'specifieke stukken persoonlijke informatie', inclusief biometrische gegevens, bronnen, ontvangers van derden. EU AVG Artikel 15: Vraag om alle biometrische gegevens, verwerkingsdoeleinden, ontvangers, bewaartermijn, bestaan van geautomatiseerde besluitvorming. Bedrijven moeten binnen 30-45 dagen reageren. Weigering om gegevens te verstrekken is aanvullend bewijs van overtreding.
Voordat u een individuele rechtszaak aanspant, controleer of er een class action bestaat voor uw situatie: Zoek naar '[Bedrijfsnaam] BIPA class action' of '[Bedrijfsnaam] biometrische rechtszaak'. Controleer classaction.org, topclassactions.com, ilbipalitigation.com. Illinois BIPA-rechtszaken: Vele zijn aanhangig tegen werkgevers (productie, gezondheidszorg, detailhandel), technologiebedrijven (apps met gezichtsherkenning), verhuurders (toegangssystemen voor gebouwen). Als er een class action bestaat en u in aanmerking komt, is deelnemen eenvoudig (dien een claimformulier in wanneer de schikking is goedgekeurd). Als er geen class action is, maar veel mensen zijn getroffen, kan een advocaat een class action indienen (meer onderhandelingsmacht voor een schikking).
Zoek een advocaat gespecialiseerd in: BIPA-geschillen (Illinois), privacyrecht, consumentenbescherming, arbeidsrecht (voor biometrische claims op de werkplek). De meeste BIPA-advocaten werken op basis van no cure, no pay (33-40% van het verhaal, geen kosten vooraf) omdat: BIPA winnende eisers toestaat advocaatkosten te verhalen op de gedaagde. Wettelijke schadevergoeding ($1.000-$5.000 per overtreding) maakt zaken economisch haalbaar, zelfs zonder bewijs van schade. Eerste consult is meestal gratis. Advocaat zal beoordelen: sterkte van de claim, activa van de gedaagde (geen zin om een failliet klein bedrijf aan te klagen), of een individuele of class action moet worden ingediend, potentiële schikkingswaarde.
Illinois BIPA: Dien rechtstreeks in bij de staatsrechtbank van Illinois (geen administratieve indiening vereist). Rechtsgebied: County waar de overtreding plaatsvond of waar de gedaagde zaken doet. Texas CUBI: Dien in bij de staatsrechtbank van Texas; moet mogelijk daadwerkelijke schade aantonen voor schadevergoeding. Californië/andere staten: Dien in onder toepasselijk privacyrecht, common law (inbreuk op privacy, nalatigheid), of wacht op handhaving door de procureur-generaal. Veel zaken worden geschikt vóór de rechtszaak: Werkgevers schikken BIPA-claims vaak voor $2.000-$10.000 per werknemer om proceskosten en precedenten te vermijden. Technologiebedrijven kunnen vroegtijdig schikken als certificering van een class action waarschijnlijk is. Aanmaningsbrieven (van advocaat) leiden soms tot een snelle schikking als de overtreding duidelijk is.
Inzage: Uw advocaat zal bedrijfsgegevens opvragen: bewaarbeleid voor biometrische gegevens, documentatie van IT-systemen, toestemmingsformulieren (of het ontbreken daarvan), gegevens van wie toegang had tot uw biometrische gegevens, communicatie met leveranciers, eerdere rechtszaken. Deskundigen: Forensische analyse van biometrische systemen, beveiligingsanalyse (bij datalek), schadeberekening. Classificering (indien class action): Advocaat moet gemeenschappelijkheid bewijzen (alle groepsleden hebben dezelfde claim), adequaatheid (representatieve eisers zijn typisch), talrijkheid (voldoende groepsleden). Rechtszaak of arbitrage: Als de zaak niet wordt geschikt, volgt een rechtszaak (jury of rechter). BIPA-zaken worden vaak geschikt tijdens de inzage wanneer het bedrijf beseft dat het bewijs sterk is. Hogere beroepen: BIPA-wetgeving is nog in ontwikkeling – sommige zaken gaan naar het Hooggerechtshof van Illinois voor juridische interpretatie.
U kunt ook klachten indienen bij toezichthouders om druk uit te oefenen op het bedrijf en anderen te beschermen: Procureur-generaal van Illinois: Dien een klacht in wegens BIPA-schending (de procureur-generaal kan onderzoek doen of zich aansluiten bij de rechtszaak). California Privacy Protection Agency: Dien een klacht in wegens CCPA-schending (kan leiden tot boetes). FTC: Dien een klacht in via reportfraud.ftc.gov als het bedrijf misleidende privacybeloften heeft gedaan of COPPA (kinderen) heeft geschonden. EU: Dien een klacht in bij de nationale gegevensbeschermingsautoriteit (bijv. ICO in het VK, CNIL in Frankrijk) wegens schending van AVG Artikel 9. Regelgevende acties kunnen parallel lopen aan particuliere rechtszaken en de schikkingsdruk verhogen. Sommige instanties bieden compensatie (FTC-compensatiefondsen).
Volg deze stappen om uw biometrische gegevens te beschermen en compensatie te eisen voor overtredingen