Gezichtsherkenning is een vorm van kunstmatige intelligentie die steeds vaker wordt gebruikt om de identiteit van personen te controleren aan de hand van foto’s of video’s, bijvoorbeeld om veiligheidsredenen. Tegelijkertijd is er vanuit privacy-oogpunt zorg over het gebruik ervan. De EU heeft met het voorlopige akkoord van de Artificial Intelligence Act (AI Act) nu een wereldprimeur.
Door Ellen Jelgersma
De AI Act bevat strenge regels voor het gebruik van artificiële intelligentie in de EU en beschermt de privacy van de burger. In 2021 heeft de Europese Commissie een voorstel hiervoor gedaan. Eind 2022 hebben de lidstaten een aangepaste tekst voorgesteld. Nu moet het Europees Parlement eerst nog officieel met zijn voorstel komen, voordat deze partijen in onderhandeling gaan over een definitieve tekst.
“Het is een spannende tijd”, zegt Florence Frequin, privacyconsultant bij Lumen Group, “want het Europees Parlement gaat in februari over de AI Act stemmen. De inhoud is onder andere van belang voor alle vormen van gebruik van gezichtsherkenning.”
> LEES OOK: Gezichtsherkenning mogelijk ná voorafgaande toets
Strenge regels
Gezichtsherkenning is een technologie die zich snel ontwikkelt en lang niet alleen voor beveiligingsdoeleinden wordt gebruikt. Denk bijvoorbeeld aan geautomatiseerde paspoortcontroles op het vliegveld die zorgen voor kortere wachttijden. Deuren in verzorgingstehuizen die openen of juist dicht blijven voor bewoners zodat ze niet gaan ronddwalen. Het ontgrendelen van je telefoon of inloggen op een app zijn ook toepassingen.
Wanneer gezichtsherkenning wordt toegepast in het kader van de uitvoering van taken en bevoegdheden van bijvoorbeeld de politie, valt het onder de Wet politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg). In andere gevallen valt gezichtsherkenning in Nederland onder de Algemene Verordening Gegevensbescherming (AVG) waarbij hele strenge maatstaven gelden.
> LEES OOK: Organisaties beperken gebruik van AI uit zorg over privacy
Frequin: “Er gelden hele strenge regels omdat het gebruik van gezichtsherkenning echt kan ingrijpen in je persoonlijke levenssfeer. Het fundamenteel recht van de mens op vrijheid komt daarbij in geding.” Het is een grondrecht dat alle mensen recht hebben op bescherming van hun persoonsgegevens.
Wie is Florence Frequin?
Florence Frequin is afgestudeerd in privaat recht aan de Vrije Universiteit van Amsterdam maar volgde ook mastervakken strafrecht en arbeidsrecht. Na enkele jaren als consultant te hebben gewerkt, is zij sinds 2021 Certified Data Protection Officer (CDPO).
Momenteel is ze werkzaam als privacyconsultant. Ze wordt bij diverse organisaties ingezet als functionaris gegevensbescherming via Lumen Group.
Lumen Group is een onafhankelijke consultancy- en projectorganisatie exclusief gericht op de terreinen van dataprivacy en informatiebeveiliging. Hierbij gaat het om hoogwaardige en pragmatische oplossingen, onder meer de inzet van externe functionarissen gegevensbescherming, Privacy Officers of Chief Information Security Officers. Lumen Group biedt ook consultancy- en adviesdiensten, audits en trainingen aan.
“In sommige gevallen is het verplicht om een functionaris gegevensbescherming te hebben, bijvoorbeeld omdat je grootschalig persoonsgege- vens verwerkt of omdat je een overheidsinstelling bent”, licht Frequin toe. “Maar het kan ook een praktische keuze zijn om zo’n functionaris in te huren. De Autoriteit Persoonsgegevens heeft onlangs laten weten dat er nog veel organisaties zijn die er geen hebben, terwijl ze het wel nodig acht. Denk aan organisaties met een datagedreven bedrijfsmodel en een grote bekendheid.”
Onafhankelijke toezichthouder
In Nederland is het de Autoriteit Persoonsgegevens (AP) die hier als onafhankelijke toezichthouder over waakt en zorgt dat iedereen zich aan de privacywetgeving houdt. In de AVG staat dat het gebruik van biometrische persoonsgegevens met het oog op unieke identificatie van een persoon in beginsel verboden is. Maar hierop zijn volgens de AVG uitzonderingen mogelijk, al gaat het dan wel om hoge uitzonderingen die zelden voorkomen.
“De beveiliging van een kerncentrale of het beveiligen van staatsgeheimen”, geeft Frequin als voorbeeld, of wanneer daar uitdrukkelijk toestemming voor is verkregen. Daarbij is er altijd de mogelijkheid om de toestemming in te trekken. Je zult de verkregen toestemmingen dus administratief bij moeten houden als organisatie. Ook gelden er zeer strenge waarborgen. Je bent als organisatie verplicht een Data Protection Impact Assessment (DPIA) uit te voeren, onder meer om mogelijke (hoge) risico’s te mitigeren naar een acceptabel niveau.
“Een bedrijf moet hierbij echt kunnen aantonen dat het om een situatie gaat waarbij de risico’s op de mogelijke inbreuk op iemands rechten en vrijheden opwegen tegen het gebruik van biometrische beveiliging.”
Naast het aantonen van de noodzaak moet ook kunnen worden aangetoond dat er geen andere, minder ingrijpende alternatieve methode mogelijk is voor authenticatie of beveiliging. Ook moet duidelijk zijn wat er met je foto of video gebeurt. Frequin benadrukt dat het hier gaat over identificatie van personen en niet over verificatie. “Bij identificatie ga je kijken wie de persoon is. Bij verificatie ga je toetsen of het degene is die op de foto staat.”
> LEES OOK: Risico’s van generatieve AI vereisen terughoudendheid in gebruik
Gezichtsherkenning bij Jumbo-supermarkt
Het is belangrijk om aan te kunnen tonen waarom er niet is gekozen voor alternatieve mogelijkheden die minder ingrijpend zijn. Frequin noemt als voorbeeld de case van een Jumbo-supermarkt in Alphen aan den Rijn. Deze kreeg in 2020 een formele waarschuwing van de Autoriteit Persoonsgegevens vanwege de inzet van gezichtsherkenning. De supermarkt wilde naar eigen zeggen camera’s voor gezichtsherkenning inzetten om winkelbezoekers en personeel te beschermen en winkeldiefstal tegen te gaan. Dit zou betekenen dat de gezichten van alle bezoekers van de winkel zouden worden geregistreerd en vergeleken met een databank van gezichten van mensen die een winkelverbod hadden gekregen. Dit is een vorm van verificatie, geen identificatie. Wanneer er geen match was zouden de gegevens binnen enkele seconden worden gewist.
De supermarktketen benadrukt overigens dat het geen gezichtsherkenning gebruikt in haar supermarkten. “Dat is geen beleid en dat is het ook nooit geweest”, aldus de supermarktketen. Volgens Jumbo ging het in Alphen aan den Rijn om een zelfstandige proef door de ondernemer die de vestiging runt.
> LEES OOK: Charles Groenhuijsen: Hoe intelligent is AI?
Proportionaliteit
“Proportionaliteit speelt ook een grote rol”, legt Frequin uit. “Het gebruik moet opwegen tegen het doel waarvoor je gezichtsherkenning inzet. En dan nog moet je van tevoren een DPIA uitvoeren.” Een DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en deze te mitigeren naar een acceptabel niveau. “Dan ga je kijken naar de mogelijke inbreuk op de rechten en vrijheden van de betrokken persoon waarvan een gezichtsafbeelding wordt gebruikt.”
Waarborgen bescherming mensenrechten
Wanneer het om kunstmatige intelligentie gaat, wordt aanbevolen om na te denken over de inzet van algoritmes aan de hand van het Impact Assessment Mensenrechten en Algoritmes, de zogeheten IAMA (voor overheidsorganisaties is dat al verplicht). Frequin: “Dan ga je kijken naar de mogelijke impact van een voorgenomen gebruik van gezichtsherkenning op een breder scala mensenrechten. Dat zijn allemaal waarborgen die je als organisatie moet treffen, voorafgaand aan de inzet van gezichtsherkenning.”
Dag van de Privacy
Op 28 januari was het Europese Dag van de Privacy. In 1981 werd op deze dag het Dataprotectieverdrag getekend waarmee de basis werd gelegd voor de privacybescherming zoals we deze nu kennen. “Iedereen heeft het recht op een menselijke blik bij besluiten. Dit betekent dat je een nieuw door een persoon genomen besluit kan vragen wanneer je met gezichtsherkenning bent geïdentificeerd. De Dag van de Privacy staat ook in het teken van het recht op autonomie. Je moet te allen tijde zelf over je persoonsgegevens kunnen beschikken.”
Stel je voor dat je continu wordt gefilmd en gemonitord?
Realtime biometrische gezichtsherkenning verboden
Je hebt als burger het recht om eventuele beelden, en andere persoonsgegevens, van jezelf op te vragen met als doel deze te verbeteren of te laten verwijderen indien deze niet noodzakelijk zijn om te verwerken. Met de Europese AI Act zullen de regels voor het gebruik van camera’s met biometrische gezichtsherkenning duidelijker naar voren komen. Zo zal het binnen de EU specifiek verboden worden om gebruik te maken van realtime biometrische gezichtsherkenning in publieke ruimtes.
Een goede zaak volgens Frequin, want: “Stel je voor dat je continu wordt gefilmd en gemonitord? Een dergelijk surveillancesysteem zou leiden tot zelfcensuur en het beperken van de vrijheid van meningsuiting, omdat mensen daardoor terughoudend(er) zullen zijn in hun gedrag en communicatie. Mensen kunnen zich daardoor niet meer autonoom gedragen uit angst voor repercussies.”
> LEES OOK: Privacyrisico’s van gezichtsherkenning
Impact op samenleving
Het gebruik van kunstmatige intelligentie brengt zowel voordelen als risico’s met zich mee. “Enerzijds worden met behulp van kunstmatige intelligentie geweldige dingen bereikt in bijvoorbeeld de zorg. Maar uit onderzoek is ook gebleken dat met AI nepnieuws en desinformatie verspreid kunnen worden zonder dat mensen dit door hebben. Dat kan dus ook met gezichten en dit kan een grote impact op de samenleving hebben”, waarmee Frequin het belang van wetgeving over het gebruik van kunstmatige intelligentie benadrukt.
> LEES OOK: Nederlands trendrapport onthult de nieuwste AI en integratie ontwikkelingen
Europese verordening over AI: de AI Act
Inmiddels heeft het Europees Parlement een voorlopig akkoord bereikt over de Europese verordening over kunstmatige intelligentie, de AI Act. Deze verordening moet ervoor zorgen dat de grondrechten, de democratie, de rechtsstaat en de duurzaamheid van het milieu worden beschermd tegen het gebruik van kunstmatige intelligentie met een hoog risico, terwijl tegelijkertijd innovatie wordt gestimuleerd en van Europa een leider op dit gebied wordt gemaakt. De regels leggen verplichtingen voor AI vast op basis van de potentiële risico’s en de mate van impact.
Bestrijding terrorisme
Voor politie en justitie geldt aparte wetgeving. De European Data Protection Board (EDPB) is de overkoepelende organisatie waarbij de nationale toezichthouders van landen in de Europese Economische Ruimte (EER) en de Europese supervisor voor gegevensbescherming (EDPS) samenwerken. De EDPB erkent dat gezichtsherkenning een belangrijk instrument is dat ingezet moet kunnen worden bij de bestrijding van terrorisme, maar ziet het ook als een deel van de oplossing. Waar mogelijk moet er gebruik worden gemaakt van andere technologieën voor bijvoorbeeld de uitwisseling van informatie en kennis.
Verzwaring van de huidige eisen
“Door de AI Act kunnen we verwachten dat er een verzwaring komt van de huidige eisen voor de noodzakelijkheid van de inzet van gezichtsherkenning. Er zal een nog strengere toetsing vooraf worden vereist”, voorspelt Frequin. “Je mag camera’s onder voorwaarden ophangen maar niet zomaar gezichtsherkenning inzetten. En je moet vooraf een verplicht assessment uitvoeren. Ook de opsporingsinstanties worden meegenomen in de AI Act.”
Zo wordt in de wet een aantal zwaardere delicten opgesomd waarbij gezichtsherkenning ingezet mag worden, mits het noodzakelijk is om hiermee de publieke taak uit te voeren,. Waarbij deze publieke taak ook zwaarder moet wegen dan de mogelijke inbreuk op iemands rechten en vrijheden. Denk bijvoorbeeld aan het geval van een terroristische aanval, maar ook bijvoorbeeld illegale handel in menselijke organen en weefsel of moord.
“Het verwerken van biometrische gegevens kan een grote impact hebben op je rechten en vrijheden, dus het is fijn dat er straks op Europees niveau duidelijke richtlijnen worden gegeven.”
Volg Security Management op LinkedIn