AI-surveillance tijdens het WK 2026: hoe ver reiken de AI-verordening en de AVG?

Het FIFA WK 2026 wordt het grootste sporttoernooi ooit. Naar verwachting zullen miljoenen supporters de wedstrijden bezoeken in de Verenigde Staten, Canada en Mexico. Om de veiligheid van dergelijke evenementen te waarborgen wordt steeds vaker gekeken naar AI-systemen voor biometrische identificatie, waaronder gezichtsherkenning.

Dat roept een interessante juridische casus op. De Europese AI-verordening bevat enkele van de strengste regels ter wereld voor biometrische AI-systemen. Bovendien kunnen biometrische gegevens onder de AVG als bijzondere persoonsgegevens kwalificeren. Maar zijn deze kaders in dit geval wel van toepassing, gelet op de locatie van het toernooi? En zo ja, welke Europese waarborgen reizen met supporters mee naar het buitenland?

Interesse in dit onderwerp en andere juridische vraagstukken rond het WK? We verwelkomen u graag bij ons WK & Recht event op dinsdag 23 juni 2026 in Buro de Pijp, Amsterdam.

AI-surveillance tijdens grote sportevenementen

Grote sportevenementen maken steeds meer gebruik van biometrische technologie voor veiligheidsdoeleinden. Daarbij kan worden gedacht aan gezichtsherkenning bij toegangscontrole, identificatie van personen met een stadionverbod of het opsporen van personen die een veiligheidsrisico vormen. Ook in Europa wordt geëxperimenteerd met AI-ondersteunde beveiligingssystemen. Tijdens de Olympische Spelen van Parijs 2024 werd bijvoorbeeld een wettelijk kader ingevoerd voor algoritmische videobewaking, al bleef gezichtsherkenning daarbij expliciet uitgesloten. Denemarken ging een stap verder en staat sinds afgelopen jaar gezichtsherkenning bij voetbalwedstrijden in Kopenhagen toe.

Juridisch gezien is met name (realtime) identificatie relevant. Daarbij wordt aan de hand van biometrische kenmerken, oftewel fysieke, fysiologische of gedragsgerelateerde kenmerken, gepoogd de identiteit van een persoon vast te stellen (art. 3 onder 34 en 35 AI-verordening). Juist deze toepassing wordt door de Europese wetgever als een van de meest gevoelige vormen van AI-gebruik beschouwd, zoals hieronder zal blijken.

Is de Europese wetgeving van toepassing?

Allereerst moet worden vastgesteld of de Europese regels überhaupt van toepassing kunnen zijn. Het WK voetbal vindt immers plaats buiten de Europese Unie.

AI-verordening

De AI-verordening kent een zekere extraterritoriale werking. Artikel 2 bepaalt dat aanbieders en gebruikers van buiten de Unie binnen de werkingssfeer van de verordening kunnen vallen. Doorslaggevend is of een AI-systeem (i) op de Europese markt wordt aangeboden, (ii) binnen de Unie in gebruik wordt gesteld of (iii) dat de output van het systeem binnen de Unie wordt gebruikt. Geen van deze drie scenario’s lijkt op het WK van toepassing, althans ten aanzien van biometrische surveillance. Rechtstreekse toepassing op een biometrisch systeem dat uitsluitend wordt ingezet binnen een stadion in de Verenigde Staten, Canada of Mexico ligt daarom niet voor de hand. Dat is mogelijk anders als de output van tijdens het WK gebruikte biometrische systemen in een Europese lidstaat wordt benut. Er is geen reden om aan te nemen dat dit het geval is. Amerikaanse partijen als FIFA zullen dit juist willen vermijden, gelet op de Europese wetgeving.

AVG

Ook de AVG kent extraterritoriale werking. Op grond van artikel 3 AVG kan zij onder omstandigheden van toepassing zijn op organisaties buiten de Europese Unie. De doorslaggevende factor is vergelijkbaar met die van de AI-verordening, namelijk of er voldoende aanknopingspunten met de Unie bestaan. Hoofdzakelijk betekent dit dat de verwerking van persoonsgegevens plaatsvindt in het kader van activiteiten binnen de Unie (lid 1), of verband houdt met het aanbieden van goederen of diensten aan personen die zich in de Unie bevinden dan wel het monitoren van hun gedrag (lid 2). Voor toepassing van het tweede lid is vereist dat de betrokkene zich tijdens de verwerking in de Unie bevindt.

Beide bepalingen zijn mogelijk relevant. Denkbaar is dat tijdens het WK verzamelde biometrische gegevens worden gebruikt om bezoekers te profileren (ervan uitgaande dat Amerika dit niet verbiedt). Dit profiel stelt FIFA of andere partijen waaraan toegang is verleend vervolgens in staat om gericht binnen Europa te adverteren. Het probleem is alleen dat de aanvankelijke verwerking tijdens het WK waarschijnlijk nog niet direct plaatsvindt in het kader van activiteiten binnen de Unie, laat staan verband houdt met het aanbieden van goederen of diensten of het monitoren van gedrag binnen de Unie. Hoewel dat mogelijk wel (onderdeel van) het uiteindelijke doel is, zal die link lastig te bewijzen zijn. Zeker omdat FIFA zich eenvoudig kan beroepen op het waarborgen van de veiligheid. Tegen de tijd dat de AVG rechtstreeks van toepassing wordt, bijvoorbeeld doordat de verzamelde gegevens worden gebruikt voor advertenties binnen de Unie, is het kwaad al geschied. De grootschalige biometrische identificatie heeft dan immers al plaatsgevonden.

Kortom

Hoewel de toepasselijkheid van de AVG en de AI-verordening uiteindelijk afhangt van de concrete feiten en omstandigheden, moet de conclusie luiden dat de Europese wetgeving in de praktijk niet ver genoeg reikt om bezoekers te beschermen gedurende het WK voetbal. Daarmee gaan aanzienlijke rechten en waarborgen verloren. Welke precies, wordt hierna beknopt toegelicht. Vervolgens wordt nagegaan of de bezoekers met lege handen staan of dat zij op andere wetgeving kunnen terugvallen.

Biometrische identificatie onder de AI-verordening

Verboden praktijk?

De AI-verordening kent een reeks harde verboden met betrekking tot de toepassing van AI-systemen (art. 5). Twee daarvan hangen samen met biometrie (onder g en h), waarvan één specifiek met identificatie (onder h). Het gaat hierbij om biometrische identificatie met het oog op rechtshandhaving. De identificatie moet plaatsvinden in publiek toegankelijke ruimten en in real time (lees: voortdurend).

Zelfs al was de AI-verordening van toepassing op het WK, dan nog is het verbod hier niet aan de orde. Rechtshandhaving ziet op een publiekrechtelijke context, oftewel de handhaving van maatschappelijke regels en wetten door overheidsinstanties. Biometrische identificatie tijdens het WK wordt daarentegen ingezet door FIFA en andere private partijen. Daarmee ontbreekt in beginsel de vereiste rechtshandhaving.

Dat gezegd hebbende, in de praktijk werken publieke en private partijen vaak nauw samen om de veiligheid te waarborgen, althans in Europa. Wanneer biometrische identificatie feitelijk wordt ingezet voor opsporing, terrorismebestrijding of andere publiekrechtelijke taken, ligt het verbod op de loer. Toepassing is daarmee nog niet gegeven. Zo gelden er enkele uitzonderingen op het verbod, met name als er gericht wordt gezocht naar specifieke slachtoffers, verdachten of dreigingen (zie art. 5 onder h).

High-risk AI?

Interessanter is de vraag of biometrische identificatie tijdens het WK en wedstrijden in het algemeen kwalificeert als high risk onder de AI-verordening. Anders dan bij de verbodsbepaling kan die vraag waarschijnlijk bevestigend worden beantwoord.

AI-systemen voor biometrische identificatie op afstand moeten uitdrukkelijk worden aangemerkt als systemen met een hoog risico (Annex III onder 1). De details voor kwalificatie worden nader toegelicht in de recente richtlijnen van de Europese Commissie. Primair hangt kwalificatie af van het beoogde doel van een systeem. Een systeem dat uitsluitend controleert of een bezoeker overeenkomt met een eerder geregistreerde foto verschilt wezenlijk van een systeem dat doorlopend camerabeelden analyseert en vergelijkt met omvangrijke databanken. Die laatste toepassing zal aanzienlijk sneller als high risk kwalificeren. Goed denkbaar is dat dergelijke ingrijpende identificatie plaatsvindt tijdens het WK, al dan niet om potentiële veiligheidsrisico’s in real time te signaleren. 

Relevant is ook nog het filtermechanisme van artikel 6 lid 3 AI-verordening. Bepaalde Annex III-systemen kunnen buiten de high-risk classificatie blijven wanneer zij slechts een beperkte procedurele of ondersteunende taak vervullen. Volgens de Commissie moet deze uitzondering restrictief worden uitgelegd. Voor biometrische identificatie tijdens een voetbalwedstrijd ligt een beroep op dit mechanisme dus niet voor de hand, alleen al omdat de implementatie van profilering (vgl. art. 4 lid 4 AVG) de uitzondering uitsluit.

Indien sprake is van een high-risk AI-systeem, volgt een omvangrijk pakket aan verplichtingen (zie hoofdstuk 3 AI-verordening). Denk aan gegevensbescherming, technische documentatie, logging en menselijk toezicht. Daarnaast moeten risico's voor gezondheid, veiligheid en fundamentele rechten gedurende de volledige levenscyclus van het systeem worden beoordeeld en gemitigeerd.

Biometrische identificatie onder de AVG

Ook de AVG speelt een belangrijke rol bij biometrische identificatie. Artikel 9 verbiedt in beginsel de verwerking van biometrische gegevens met het oog op identificatie. Organisaties die biometrische identificatie willen inzetten moeten dat dan ook rechtvaardigen op basis van een van de uitzonderingen.

Daarmee ontstaat direct een juridische hobbel. Het enkele belang van veiligheid is niet automatisch voldoende om grootschalige biometrische identificatie te rechtvaardigen. Zelfs wanneer een uitzonderingsgrond van toepassing kan zijn (zie bijvoorbeeld het zwaarwegend algemeen belang onder g), blijft de verwerking onderworpen aan de beginselen van noodzakelijkheid en proportionaliteit. De vraag luidt dan of biometrische identificatie daadwerkelijk noodzakelijk is voor het beoogde doel. Zijn er minder ingrijpende alternatieven beschikbaar, dan wordt het moeilijker om de verwerking te rechtvaardigen.

Juist bij een evenement als het WK is die vraag relevant. Organisatoren zullen wijzen op de uitzonderlijke veiligheidsuitdagingen die gepaard gaan met een mondiaal evenement van deze omvang. Daar staat tegenover dat biometrische identificatie potentieel miljoenen bezoekers raakt en aanzienlijke gevolgen kan hebben voor privacy en gegevensbescherming. Indien biometrische identificatie wordt toegestaan, ligt een gegevensbeschermingseffectbeoordeling voor de hand (art. 35), gelet op de aard en omvang van de verwerking. Ook de bekende AVG-beginselen, zoals doelbinding en  dataminimalisatie, blijven onverkort van toepassing (art. 5).

Alternatieve bescherming?

Kortom, het Europese kader met betrekking tot biometrische identificatie is omvangrijk. Maar zoals eerder vastgesteld ligt het niet voor de hand dat Europese WK-bezoekers zich daarop kunnen beroepen. Het feit dat de AI-verordening en de AVG waarschijnlijk niet van toepassing zijn, betekent echter niet dat eventuele biometrische identificatie plaatsvindt in een juridisch vacuüm. In de Verenigde Staten, Canada en Mexico bestaan verschillende privacywetten die onder omstandigheden bescherming kunnen bieden aan bezoekers. Hieronder volgt een beknopte weergave.

Veruit de meeste wedstrijden zullen gespeeld worden in de Verenigde Staten. Daar verschilt de regelgeving sterk per staat. Californië kwalificeert biometrische informatie bijvoorbeeld als gevoelige persoonsgegevens, waarvan de verwerking is gekoppeld aan bepaalde transparantieverplichtingen. Texas beschikt zelfs over specifieke wetgeving die (commerciële) verwerking van biometrische gegevens verbiedt zonder voorafgaande toestemming van de betrokkene. Washington vereist eveneens toestemming, maar pas op het moment dat biometrische gegevens in een commerciële database worden opgeslagen. New York vereist dat bedrijven hun klanten inlichten over het gebruik van biometrische gegevens en verbiedt de verkoop daarvan. Anders dan onder de geharmoniseerde Europese AI-verordening en AVG, gaat het steeds om afzonderlijke regels op het gebied van privacy- en gegevensbescherming. Het betreft concrete wettelijke waarborgen die ook bescherming kunnen bieden aan bezoekers van buitenaf.

Ook Canada kent een privacyrechtelijk kader voor biometrische gegevens. De Canadese privacytoezichthouder heeft recent specifieke richtlijnen gepubliceerd voor het gebruik van biometrische systemen door organisaties. Daarin worden noodzakelijkheid, proportionaliteit, transparantie en beveiliging benadrukt. Mexico beschikt eveneens over privacywetgeving. Biometrische gegevens kunnen daar als gevoelige persoonsgegevens worden aangemerkt en genieten aanvullende bescherming. Maar anders dan in de Europese Unie ontbreekt, net als in Canada, een afzonderlijk kader voor biometrische identificatie door AI-systemen. 

Tot slot raakt grootschalige biometrische identificatie aan fundamentele rechten die in veel rechtsstelsels worden erkend. Denk hierbij met name aan het recht op eerbiediging van het privéleven (art. 12 UVRM; art. 17 IVBPR). Een terechte zorg is dat burgers zich voortdurend geobserveerd voelen wanneer biometrische identificatie grenzeloos wordt ingezet. Uiteindelijk draait het om de vraag hoeveel surveillance in een democratische samenleving aanvaardbaar wordt geacht.

Afsluitend

Het WK 2026 vormt een interessante testcase voor de verhouding tussen moderne AI-surveillance en (Europese) grondrechten. Hoewel het toernooi buiten de Europese Unie plaatsvindt, verdwijnen Europese regels niet automatisch uit beeld. Met name de AVG kan onder omstandigheden relevant blijven, hoewel toepassing op de aanvankelijke verwerking in het voetbalstadion onwaarschijnlijk is gebleken.

De bespreking laat zien dat biometrische identificatie juridisch niet kan worden teruggebracht tot de vraag of gezichtsherkenning wel of niet is toegestaan. Slechts een beperkte categorie biometrische identificatie valt onder het verbod van artikel 5 AI-verordening. Veel andere toepassingen blijven toegestaan, al dan niet onder het high-risk regime. Buiten Europa ontbreekt een vergelijkbaar AI-kader, maar gelden wel afzonderlijke privacyregels die bescherming kunnen bieden aan bezoekers.

Voor een uitgebreide analyse van dit onderwerp en andere juridische vraagstukken rond het WK verwelkomen we u graag bij het WK & Recht event van deLex op dinsdag 23 juni 2026 in Buro de Pijp, Amsterdam. De agenda en inschrijving vindt u hier