Boodschappen doen zonder in de rij te staan voor de kassa. Een voetbal- wedstrijd bezoeken zonder te worden lastig gevallen door hardcore hooligans. En je bedrijfspand inlopen zonder ingewikkelde toegangspasjes. Gezichtsherkenning biedt uiteenlopende voordelen, maar kan het middel ook onbeperkt worden ingezet? Wat zijn de wettelijke restricties? Jeroen van Rest, senior consultant risk based security bij TNO, heeft zo zijn twijfels.
‘De wereld is voortdurend in verandering en daarom wordt ons bedrijf futureproof.’ Het is een slogan waar veel werkgevers graag mee schermen, bijvoorbeeld als
ze kiezen voor een innovatief toegangscontrolesysteem. Want anno 2022 zijn we niet meer afhankelijk van poortjes die alleen maar open gaan met het juiste pasje. We beschikken inmiddels namelijk over gezichtsherkenning.
Ultramoderne uitstraling
De voordelen zijn legio. Wie heeft nooit zijn pasje per ongeluk thuis laten liggen, wie is het nooit kwijtgeraakt? Je gezicht heb je altijd bij je. Daarbij zorgt het systeem ook nog eens voor aanzienlijk minder oponthoud. Kost het bij een pasjessysteem vaak 15 seconden voor je door kunt lopen, met gezichtsherkenning is die tijd teruggebracht tot een seconde of 3. En, voegen fabrikanten hieraan toe, met zo’n modern systeem werk je ook nog eens aan je uitstraling: wij zijn ultramodern, futureproof.
Als jij een blanke man bent, lijk je vaker door de controle te komen dan een gekleurde vrouw
Oneerlijk onderscheid
Een aanrader dus? Jeroen van Rest, senior consultant risk based security bij TNO, heeft zo zijn twijfels. “Natuurlijk, de fabrikanten hebben het foutenpercentage de laatste jaren teruggebracht, maar toch… het systeem geeft nog regelmatig vals positieve of vals negatieve resultaten. En die zouden wel eens oneerlijk kunnen zijn verdeeld. De algoritmes maken soms onderscheid op basis van leeftijd, geslacht en etniciteit. Als jij een blanke man bent, lijk je vaker door de controle te komen dan een gekleurde vrouw. Bij haar bestaat er een significant grotere kans dat de toegang wordt geweigerd, ook als ze wel degelijk geautoriseerd is. Oké, de meest recente publicatie daarover laat verbeteringen zien, maar zeker niet bij alle leveranciers.”
Dan is er nog de kwestie van de gegevensbescherming. Van Rest ziet hier een hellend vlak. “Stel, een werkgever gebruikt gezichtsherkenning voor toegangscontrole – maar vervolgens wordt hij geconfronteerd met diefstal. Dan zou hij in de verleiding kunnen komen om datzelfde systeem te gebruiken voor opsporing. En dan ga je natuurlijk een grens over.”
Lees ook: Privacyrisico’s van gezichtsherkenning
Schending van privacy
Dat geldt volgens Van Rest zeker als de beelden worden gedeeld met bijvoorbeeld de politie. “Schending van de privacy gaat altijd in kleine stapjes. Stel, je zit in het management van een groot Nederlands openbaarvervoersbedrijf. Dan wil je geen relschoppers in je trein of bus die een OV-verbod hebben, en dus is het verleidelijk om gebruik te maken van een systeem met gezichtsherkenning. Dat filtert de hooligans er bijna feilloos uit. En natuurlijk is het ook verleidelijk om hierin samen te werken met de politie. Die zou de gezichten van bekende relschoppers kunnen aanleveren of jouw beelden zelfs kunnen bekijken.”
Het klinkt als een vruchtbare samenwerking, maar volgens Van Rest is dit ethisch riskant. “Want die politie is mogelijk niet alleen geïnteresseerd in de hooligans in bussen of treinen. Ze hebben daar ook een lijst van terreurverdachten, en een andere lijst met duizenden voortvluchtigen. En dus is de verleiding groot om jouw beelden te gebruiken voor verdere opsporing. Maar dat besluit om die gegevens op die ma nier in te zetten, moet natuurlijk niet worden genomen door de politie. Dat is een taak van het gezag, zoals de gemeente. In dit voorbeeld zou de doelbinding dus niet op orde zijn.”
Gevaar van aanvallen van hackers
En dat is niet het enige risico van gezichtsherkenning. Volgens Van Rest zijn onze biometrische gegevens ook niet veilig voor aanvallen door hackers. “Ik weet het, de aanbieders van deze systemen benadrukken dat de gebruikers zich geen zorgen hoeven te maken. Jouw gegevens worden veilig opgeslagen in een databank, en ze zijn zo encrypted dat ze niet tot jouw gezicht zijn te herleiden. Maar ik betwijfel dat. Stel, ik heb het systeem gehackt, en ik beschik over de gegevens van jouw gezicht. Dan koop ik een gezichtsherkenningscomputer van die aanbieder, en daar voer ik jouw gegevens op in. Vervolgens bied ik het algoritme honderd gezichten aan, en vraag ik welke het meest met het jouwe overeenkomt. Dan krijg ik een hit, en daar laat ik 99 variaties op maken. Alweer kiest het systeem het gezicht dat het meest matcht. Op die manier krijg je een gezicht dat bijna niet van het jouwe is te onder scheiden.”
Biometrische gegevens zijn niet veilig voor aanvallen door hackers
Kortom, in het uiterste geval liggen je gegevens op straat, maar wat er op straat ligt… dat is gewoon je gezicht. Is dat erg? Van Rest ziet wel degelijk risico’s. “Er bestaat een witte vlek, een ontwikkeling waar gek genoeg maar weinig over wordt gepraat: maskers. Stel, ik beschik over een hogeresolutiefoto van jouw gezicht. Dan kan ik op basis daarvan een masker laten maken. En nee, dat is niet alleen geschikt voor carnaval; ik kan daarmee gewoon de Albert Heijn binnenlopen en niemand ziet het verschil. In een wereld die gezichtsherkenning zou hebben omarmd, kan ik dus ook inloggen bij je bank en bij je binnenlopen in je bedrijfspand.”
Lees ook: Mobiele en biometrische toegangscontrole
Gezichtsherkenning geen geïsoleerd middel
Een ernstig probleem dus, maar volgens Van Rest ook weer niet het einde van de gezichtsherkenning. “Hier is sprake van een wapenwedloop. Criminelen ontwikkelen maskers om de toegangscontrole te omzeilen, maar de gebruikers hiervan kunnen terugvallen op bijvoorbeeld liveness detectie. Een voorbeeld: als ik een zaklamp richt op jouw mond, zie je het licht uit je wangen komen, maar een masker beïnvloedt hoe dat licht wordt doorgelaten. Als je dat weet, kun je dat masker dus herkennen. Daar komt nog bij dat je gezichtsherkenning niet moet zien als een geïsoleerd middel. Bij bedrijven met een hoog risico zou ik altijd kiezen voor een multifactoridentificatie. Niet alleen gezichtsherkenning, maar ook bijvoorbeeld een vingerafdruk en een pincode.”
Terug naar de werkgever die met de genoemde slogan schermt. Die installeerde een toegangscontrolesysteem gebaseerd op gezichtsherkenning, en werd naar eigen zeggen futureproof. Het is ook een argument waar aanbieders graag mee schermen. Ze maken onderscheid tussen twee soorten klanten: zij die hun systeem echt nodig hebben, de kerncentrales, de AIVD. En anderen die het systeem vooral zien als een glimmende gadget, of in de terminologie van de aanbieders: als nice.
Ontnuchterende boodschap
Voor hen heeft Van Rest een ontnuchterende boodschap: gezichtsherkenning is in hun geval niet alleen nice, maar vooral disproportioneel. “Het opslaan van biometrische gegevens is een zwaar middel. Dat is alleen proportioneel als er sprake is van een concrete dreiging. Bijvoorbeeld bij kerncentrales of de AIVD. In een gemiddelde kantooromgeving is daar geen sprake van, dus stuit zo’n werkgever onmiddellijk op de AVG. Gezichtsherkenning is verboden, tenzij. Een goede leverancier zal hier altijd op wijzen, of zelfs weigeren om zaken met je te doen. En als die leverancier in gebreke blijft, ligt de bal bij de werknemer of de bezoeker. Die kan hier gewoon aangifte van doen.
Kreten als nice of futureproof… die zullen de werkgever in zo’n geval niet helpen.”
Tekst | Peter Passenier
Volg Security Management op LinkedIn