Stel je voor: een zomerse dag op het strand. Een vader en moeder merken ineens dat hun kind kwijt is. Waar ze ook kijken, nergens is hij te zien. Gelukkig hangen overal slimme camera’s rondom het strand. Wat vind jij, mogen de ouders in paniek in zo’n geval dan aan de autoriteiten een foto van hun zoon laten zien, zodat de camera’s hem vervolgens kunnen opsporen?
Waarschijnlijk zul je in zo’n geval geen enkele moeite hebben met de inzet van gezichtsherkenning. Zeker als je duidelijk maakt dat de camera’s alleen aangaan op het moment dat het nodig is. Toch is in Nederland, en eigenlijk in heel Europa, de afgelopen jaren behoorlijke angst ontstaan voor deze nog jonge technologie. Mede gevoed door de Autoriteiten Persoonsgegevens in de diverse landen, die hierin een behoorlijk restrictief geluid laten horen.
Té restrictief, zegt Menno Weij (partner en jurist Tech & Privacy Law bij BDO Legal), die vreest dat hierdoor wel eens het kind met het badwater kan worden weggegooid. ‘De tendens lijkt een beetje: begin er maar niet aan. Het is bashing van dit soort technologie. Maar als je teruggaat naar de wet is daar eigenlijk geen reden toe. De wet is duidelijk: als je aan een aantal spelregels en voorwaarden voldoet, mag het gewoon. En kun je er volgens mij zelfs veel voordeel van hebben.’
VoetbalTV kapot gemaakt
Als adviserend jurist werkt Weij veel voor startups en scaleups. Daar merkt hij veel belangstelling voor de mogelijkheden van gezichtsherkenning, maar ook veel koudwatervrees. Misschien begrijpelijk, zegt hij, maar ook onterecht. ‘Als het gaat om het gebruik van biometrische gegevens, dan is het uitgangspunt van de Algemene verordening gegevensbescherming dat het verboden is. Maar er is Europees gezien hierin ook een héél klein beetje ruimte gegeven. Bij ons is dat gebeurd in de uitvoeringswet die hierbij hoort, de UAVG. Daarin staat dat je biometrische gegevens gebruiken mag in twee situaties: óf het is noodzakelijk voor authenticatie of beveiliging, óf de gebruiker geeft toestemming, dat wil zeggen: expliciet, ondubbelzinnig en geïnformeerd, en ook nog eens uitdrukkelijk.’
Die ruimte wordt door de Nederlandse AP zo uitgelegd dat het van hen bijna nooit mag, aldus Weij. ‘Ik ben daar kritisch op. De AP probeert het braafste jongetje van de klas te zijn en houdt er een vrij conservatieve lezing op na – zeker bij toestemming’, zegt hij. ‘Maar het is uiteindelijk de rechter die hierover zal moeten beslissen. En ik vraag me hardop af die conservatieve lezing van de AP daar is vol te houden. Een heel goed voorbeeld daarvan is te vinden bij VoetbalTV, een initiatief van John de Mol rondom amateurvoetbal, dat strandde door een starre houding van de AP, maar later door de rechter wel in het gelijk werd gesteld. Het videoplatform was toen al wel failliet verklaard, maar de AP is daar bij de rechter wel nat gegaan. Een lesje privacyrecht voor de toezichthouder, heb ik dat toen genoemd.’
Gezichtsherkenning: de juridische kant
Maar hoe zit het nu dan wel met de juridische kant van gezichtsherkenning? Wat zijn nu de regels en waarom? Wat gaat er in de toekomst veranderen? Waar moet je op letten als je bijvoorbeeld toegang wilt verlenen middels gezichtsherkenning?
‘Er is Europese wetgeving op komst over het gebruik van AI’, vertelt Weij. ‘Alle Europese privacywaakhonden, verenigd in de European Data Protection Board, werken daarvoor samen. Ze hebben daarbij al voorgesorteerd op een nagenoeg volledig verbod op het gebruik van gezichtsherkenning in publieke ruimtes. Ik heb daar persoonlijk wel moeite mee, en vind dat te ver gaan. Ik snap bijvoorbeeld een verbod op emotieherkenning in het publieke domein. We moeten vooral geen China worden. Maar er zijn prima toepassingen te bedenken die onze wereld beter maken. In de geest van de wet is er zo volgens mij best een manier te vinden om hier praktisch mee om te gaan.’
In de wet AVG vallen biometrische gegevens, zoals je vergaart met gezichtsherkenning, onder de zogeheten ‘bijzondere gegevens’. Over gebruik van zulke gegevens is de wet helder, zegt Weij. ‘Of het staat dus in de wet dat het mag, dus als je een noodzaak hebt voor authenticatie of beveiliging en dat goed kunt uitleggen. Of er is toestemming nodig van de betrokkene, nadrukkelijk geënt op het doel van de verantwoordelijke. Bijvoorbeeld: ik wil als voetbalstadion gezichtsherkenning inzetten voor de toegang van supporters. Dan mag ik dat doen, als supporters daarmee instemmen of als ik daartoe die beveiligingsnoodzaak zie, maar dan moet ik het wel bij dat doel houden, en mag ik het nergens anders voor gebruiken.’
Privacy by design
Maar als je aan één van beide voorwaarden voldoet is gezichtsherkenning dus gewoon prima in te zetten, benadrukt Weij. ‘Al komen er nog wel twee belangrijke aspecten bij: beveiliging en privacy by design. Komen gegevens niet op één grote hoop terecht? Kun je gegevens gedecentraliseerd opslaan? Kun je als leverancier het zo doen dat jij als het ware één stukje van de puzzel hebt, en de klant het andere stukje? Dus dat niet alle gegevens in één bak bij de leverancier zitten, vanuit de angst voor bijvoorbeeld ransom-aanvallen en hacks?’
Maar goede technologieleveranciers kunnen hiermee omgaan, zegt Weij. Zoals bijvoorbeeld het Nederlandse 20Face doet, een spinoff van de Universiteit Twente, die technologie voor gezichtsherkenning levert, maar daarbij zelf alleen de gezichtsvector opslaat, samen met een mailadres en toegangscode. Die laatste code maakt de verbinding met het toegangscontrolesysteem van de klant, zodat verdere persoonlijke gegevens beschermd blijven.
Koudwatervrees wegnemen
Dit soort duidelijk decentrale inrichting van de gegevensverwerking moet koudwatervrees bij geïnteresseerde bedrijven kunnen wegnemen, hoopt Weij. ‘Bovendien kun je als goede leverancier ook je klant helpen met het “huiswerk” dat hij als verwerker van de gegevens moet voldoen, bijvoorbeeld bij de DPIA die hij zal moeten uitvoeren.’
En zo zijn er in de praktijk al enkele geslaagde voorbeelden te vinden. Denk aan de manier waarop Secure Logistics voor de Rotterdamse haven de gezichtsvector van een medewerker op een pas zet, die zorgt voor veilige en efficiënte toegang, en tegelijk de privacy beschermt.
Soms gaat de leverancier zelfs verder dan de AVG vereist. Bij 20Face kunnen mensen zich bijvoorbeeld ook met hun eigen mailadres registreren, waarna ze de gezichtsherkenning kunnen combineren met het gebruik voor bijvoorbeeld sportschool, stadions of kantoor. Omdat de informatie op de secure cloud in Nederland wordt bewaard kunnen de gebruikers daarbij zonder tussenkomst zelf hun informatie wijzigen of verwijderen.
Lees ook: Zo werkt efficiënte en veilige toegang in de Rotterdamse haven
Gezichtsherkenning gaat niet meer weg
Dit soort voorbeelden laten volgens Weij zien: de technologie is er, en gaat ook niet meer weg. ‘Je kunt dan wel voor een verbod pleiten, maar je kunt dan volgens mij beter kijken naar: wat kan er wel? En daar dan goede spelregels voor bedenken. Eigenlijk zoals het nu ook is opgenomen in het huidige wettelijke kader, en ook in de nieuwe wetgeving die eraan komt rondom kunstmatige intelligentie.’
Volgens Weij is inzet van biometrische gegevens voor bijvoorbeeld toegang vaak zelfs veiliger dan veel van de huidige systemen die organisaties gebruiken. ‘Als je het goed inregelt, is het risico op misbruik heel klein. Wil je zeker weten dat de juiste persoon de kassa opent? Of dat iemand met een stadionverbod niet het stadion binnenkomt? Dan kent biometrie weinig risico in het kader van de situatie waarin je het toepast. Zeker als een goede technologieaanbieder erbij betrokken is. Dan levert het vaak meer veiligheidsvoordeel op ten opzichte van the oldfashioned way die je nu gebruikt.’