Gezichtsherkenningstechnologie wordt al enige tijd op beperkte schaal ingezet door overheden voor opsporing en beveiliging, maar is sinds kort ook beschikbaar voor bedrijven en burgers. Onderzoekers van de Universiteit van Tilburg deden onderzoek naar onder andere de gevolgen ervan voor de privacy van burgers en publiceerden hierover dit voorjaar het rapport ‘Op het eerste gezicht. Een verkenning van gezichtsherkenning en privacyrisico’s in horizontale relaties’.
Esther Keymolen, Merel Noorman en Bart van der Sloot
Naar aanleiding van de wereldwijde protesten tegen het gewelddadig en discriminerend optreden van politie heeft IBM besloten te stoppen met de verdere ontwikkeling van gezichtsherkenningstechnologie. Het risico dat deze technologie in de handen van politie kan bijdragen aan raciale profilering is simpelweg te groot. Dat stelt het bedrijf in een open brief aan het Amerikaanse congres. Ook Microsoft en Amazon zetten de levering van deze technologie aan politiediensten stop. In elk geval tot er duidelijke wet -en regelgeving op dit gebied is. En er voldoende waarborgen zijn om oneigenlijk gebruik van hun technologieën te voorkomen.
De risico’s van gezichtsherkenning: discriminatie
Bij de toepassing van gezichtsherkenning is er een inherent risico op bias en dus discriminatie. Zo blijkt uit onderzoek dat gezichtsherkenningstechnologieën van Microsoft, Face++ en IBM significant beter scoren in het herkennen van gezichten van mannen dan van vrouwen en beter bij licht getinte dan donker getinte personen. Alle bedrijven presteren het slechtst bij donkere vrouwen.
Ontbreken van toestemming of wettelijke grondslag
Het risico op discriminatie door slechtwerkende gezichtsherkenning is echter maar één van de vele risico’s die zijn gelinkt aan het gebruik van deze technologie. Bij het trainen van gezichtsherkenningsmodellen op foto’s en video’s wordt niet zelden gebruik gemaakt van materiaal dat zonder toestemming of wettelijke grondslag van het internet wordt geschraapt. Dat stellen wij vast in ons rapport ‘Op het eerste gezicht. Een verkenning van gezichtsherkenning en privacyrisico’s in horizontale relaties’. Zo kwam laatst het Amerikaanse bedrijf Clearview AI negatief in het nieuws toen bekend werd dat het, tegen de gebruikersvoorwaarden van platforms als Twitter en Facebook, afbeeldingen verzamelde om zijn gezichtsherkenningsalgoritmes te trainen. Dit zogenoemde ‘legacy’-probleem speelt sectorbreed.
>> LEES OOK: Cameratoezicht en Artificial Intelligence
Gezichtsherkenning als toegangscontrole
Daarnaast is er de trend die ook wel aangeduid wordt als de ‘democratisering van gezichtsherkenningstechnologie’. Zo kunnen consumenten nu al zelf aan de slag met gezichtsherkenningstechnologieën, bijvoorbeeld door middel van een slimme deurbel. Ook bedrijven maken veelvuldig gebruik van deze technologie. Zo zijn er evenementen waarbij gezichtsherkenning wordt gebruikt als toegangscontrole, in plaats van het ouderwetse kaartje.
Het is de verwachting dat deze technologie steeds goedkoper wordt, voor steeds meer doeleinden kan worden ingezet. En daarmee ook door steeds meer overheidsdiensten, bedrijven en ook burgers zal worden gebruikt. Als deze technologie inderdaad steeds weider verbreid raakt, dan is de vraag of het nog mogelijk is voor burgers om zich anoniem in de publieke en semi-publieke ruimte te begeven.
Chilling effect
Daarnaast kan er een vorm van informatie-asymmetrie ontstaan. Anderen kunnen door middel van gezichtsherkenning zeer diepgaande inzichten verkrijgen – emoties die uit gelaatsuitdrukkingen zijn af te lezen, informatie die via het internet aan deze persoon is gekoppeld, gelijkenissen tussen deze persoon en anderen met soortgelijke kenmerken, enzovoort. Het kan daarmee steeds moeilijker worden om een realistische inschatting te maken over wat anderen van je weten. Dit kan leiden tot het zo gehete ‘chilling effect’. Mensen gaan zich anders gedragen uit vrees voor de mogelijk negatieve gevolgen.
Risico op misbruik of chantage
Tot slot is er natuurlijk het gevaar van misbruik en chantage. Dat dit geen ongefundeerde angst is blijkt uit het voorbeeld van de gezichtsherkenningstoepassing Findface, een smartphone applicatie die in Rusland gebruikt kon worden in combinatie met het daar zeer populaire sociale media platform Vkontakte. Personen die bijvoorbeeld in het geheim voor een escortbedrijf werkten, werden via de app geïdentificeerd en vervolgens gechanteerd en bedreigd.
Gezichtsherkenning in Nederland
In ons onderzoek stellen wij vast dat in Nederland gezichtsherkenning nog niet op grote schaal of in tal van domeinen wordt toegepast. Eerder is er sprake van lokale, afgebakende experimenten en toepassingen op het gebied van toegangscontrole om te onderzoeken of een duidelijke use-case en verdienmodel mogelijk is. De bedrijven die wij in het kader van het onderzoek spraken, gaven zelf ook aan bewust terughoudend te zijn.
Angst voor AVG en reputatieschade
Van start-ups tot gevestigde ontwikkelaars en afnemers van de technologie, allen gaven aan zich bewust te zijn van de risico’s. Zo noemen zij de onzekerheid of hun toepassingen wel zijn toegestaan onder de geldende Algemene Verordening Gegevensbescherming (AVG) en vrezen zij ook voor reputatieschade mocht er onverhoopt iets misgaan. Hoewel deze bedrijven vaak zelf investeren in strategieën zoals ‘fair AI principles’ en ‘privacy-by-design’ aanpakken om mogelijke risico’s te beperken, zijn zij niet zeker dat dit altijd afdoende is. In die zin komt de terugtrekkende beweging van bedrijven als IBM, Microsoft en Amazon niet geheel onverwacht.
>> LEES OOK: 6 technologietrends in de beveiliging
Is de inzet van gezichtsherkenningtechnologie juridisch wel toegestaan?
Deze onzekerheid doet meteen de vraag rijzen: is de inzet van gezichtsherkenningstechnologie uit juridisch oogpunt in de EU al dan niet toegestaan? In ons rapport stellen wij vast dat dit voor het merendeel van de huidige toepassingen hoogstwaarschijnlijk niet het geval is. De AVG stelt namelijk hoge eisen aan het verwerken van persoonsgegevens. Zeker in het geval van gezichtsherkenningstechnologie waarbij door de band genomen biometrische gegevens verwerkt worden. Dit zijn gegevens die iets prijsgeven over onder andere fysieke of gedragskenmerkende eigenschappen van een persoon en waarvoor een streng ‘nee, tenzij’ regime geldt.
Met andere woorden, alleen onder zeer uitzonderlijke voorwaarden mag gezichtsherkenning worden toegepast. De Nederlandse wetgever noemt in de uitvoeringswet van de AVG het voorbeeld van de beveiliging van een kerncentrale. Daar staat zo een zwaarwegend, algemeen belang op het spel, dat het geoorloofd kan zijn om gezichtsherkenning in te zetten om de toegang tot de kerncentrale te controleren.
Gezichtsherkenning moet noodzakelijk, proportioneel en subsidiair zijn
Ook is er de mogelijkheid om data subjecten om uitdrukkelijke toestemming te vragen. Aan die toestemming is echter een scala aan eisen verbonden. Zo moet iemand goed geïnformeerd die keuze maken en dus voldoende informatie hebben om toestemming te kunnen verlenen. De toestemming moet bovendien vrij zijn, wat betekent dat – in het voorbeeld van gezichtsherkenning om zich aan te melden voor een conferentie – er ook de mogelijkheid aanwezig moet zijn om zonder gezichtsherkenning toegang te verkrijgen. Ook blijven te allen tijde de eisen gelden dat de gezichtsherkenning noodzakelijk, proportioneel en subsidiair is.
Kortom: een bedrijf moet kunnen aantonen dat de gezichtsherkenningstoepassing noodzakelijk is om een bepaald doel te bereiken, de privacy-inbreuk in verhouding staat tot het te bereiken doel en dat er geen minder privacy-invasieve middelen bestaan die hetzelfde doel bereiken. Die vragen blijken in het geval van gezichtsherkenning vaak niet positief beantwoord te kunnen worden.
Beveiliging van supermarkten
Dat de inzet van gezichtsherkenning deze toets niet eenvoudig doorstaat, blijkt ook uit een recente brief (1 mei 2020) van de Autoriteit Persoonsgegevens (AP), het orgaan dat in Nederland verantwoordelijk is voor het toezicht op het naleven van de AVG. In die brief, gericht aan de supermarktbranche, geeft de AP aan ‘zeer weinig ruimte’ te zien ‘om camera’s met gezichtsherkenning in te zetten’ met het oog op beveiliging van supermarkten. Alle klanten op een gedegen manier om uitdrukkelijke toestemming vragen lijkt moeilijk haalbaar en ook het zwaarwegend, algemeen belang dat gediend zou moeten zijn bij de inzet van gezichtsherkenning ter beveiliging van de supermarkt lijkt niet aanwezig. De inzet van gezichtsherkenning lijkt hier niet noodzakelijk noch proportioneel.
Tot nu toe is het oorverdovend stil bij de Nederlandse overheid
Wat te doen?
Nu bedrijven zelf een stap terugzetten als het gaat om gezichtsherkenning, dringt de vraag zich alleen maar sterker op: welke positie wil Nederland eigenlijk innemen in deze discussie? Tot nu toe is het oorverdovend stil bij de Nederlandse overheid. Het is wachten op de in het najaar beloofde reactie van de minister aan de Tweede Kamer. In ons rapport bieden wij in ieder geval een overzicht van de reguleringsmogelijkheden: van een algemeen verbod op gezichtsherkenning tot het gedogen ervan. Om echter tot een gedegen keuze te komen, moet eerst de politieke en maatschappelijke vraag beantwoord worden: ‘Welke rol zien wij eigenlijk toebedeeld aan zo een privacy-invasieve technologie als gezichtsherkenning in onze democratische rechtsstaat?’
Grote terughoudendheid bij inzet gezichtsherkenningstechnologie is op zijn plaats
Gezien de hierboven geschetste risico’s, de indringende privacy-inbreuken en de geringe opbrengsten, zijn wij van mening dat grote terughoudendheid gepast is. Op zijn minst zouden sectorale verboden overwogen dienen te worden, zoals nu nota bene door bedrijven zelf wordt aangedragen. Nederland zou echter nog een stap verder kunnen gaan door een – tijdelijk – totaalverbod af te kondigen. Dit zou ook passen bij de voortrekkersrol die de EU nu al neemt in het beschermen van de privacy van haar burgers. Met zo’n verbod zouden we geen baanbrekende innovaties of wereld verbeterende technologieën weren, maar er juist voor zorgen dat bedrijven duidelijkheid krijgen en gestimuleerd worden om technologische toepassingen te ontwikkelen die wel passen in een vrije en democratische samenleving zoals we die in Nederland waarderen.
Esther Keymolen, Merel Noorman en Bart van der Sloot zijn de hoofdauteurs van het rapport ‘Op het eerste gezicht. Een verkenning van gezichtsherkenning en privacyrisico’s in horizontale relaties’ dat op 20 april aan de Tweede Kamer is aangeboden.
– Gratis whitepaper cameratoezicht & Artificial Intelligence
– Intelligente camera’s: enkele kanttekeningen
– Thermische camera’s: hot or not?
Volg Security Management op LinkedIn