Podium

Gezichtsherkenning in Nederland: tijd voor duidelijke keuzes

Het gaat snel met de toepassingen die wereldwijd worden ontwikkeld met betrekking tot gezichtsherkenningstechnologie en de privacyrisico’s die daarmee gepaard gaan. Dit maakt dat nu duidelijke keuzes gemaakt moeten worden en dat we voor de fundamentele vraag staan: 'wat vinden wij (nog) wenselijk als het gaat om gezichtsherkenningstechnologie?'

Wereldwijd wordt gezichtsherkenningstechnologie steeds vaker ingezet door overheden. De technologie maakt het mogelijk om op basis van digitale beelden (bijvoorbeeld een foto of video), gezichten of gezichtskenmerken te herkennen. Politiediensten gebruiken het om voortvluchtige criminelen te identificeren in de publieke ruimte,
gezichtsherkenningstechnologie wordt ingezet om de landsgrenzen te bewaken en om gevangenissen en andere kritische infrastructuur te beveiligen. In de Verenigde Staten wordt zelfs onderzocht of gezichtsherkenning kan worden ingezet om mensen te identificeren die in de buurt zijn geweest van met Covid-19 besmette personen.

De inzet van gezichtsherkenning beperkt zich niet tot de overheid-burger relatie. In toenemende mate maakt gezichtsherkenning ook onderdeel uit van commerciële toepassingen. Dit opent een scala aan mogelijkheden voor ondernemingen en burgers om anderen te identificeren, te volgen en te profileren. Dat gaat van automatisch taggen van beelden op sociale media, tot het monitoren van winkelende klanten, tot toegangscontrole op evenementen.

In ons rapport ‘Op het eerste gezicht. Een verkenning van gezichtsherkenning en privacyrisico’s in horizontale relaties’ hebben wij in kaart gebracht hoe de inzet van gezichtsherkenningstechnologie door bedrijven en burgers het recht op privacy kan beknotten en welke instrumenten de Nederlandse overheid tot haar beschikking heeft om deze technologie te reguleren.

Gebruik gezichtsherkenningstechnologie

In ons onderzoek hebben wij gekeken hoe bedrijven in Nederland en in het buitenland gezichtsherkenning inzetten in verschillende domeinen. Wij hebben drie tendensen vastgesteld. Ten eerste zagen wij dat veel bedrijven gezichtsherkenning willen gebruiken om het gebruikersgemak en de efficiëntie van interne processen te vergroten. Een snelle check-in bij evenementen of het betalen in winkels via gezichtsherkenning, op afstand de toegang tot je huis regelen via de slimme deurbel, et cetera. Bedrijven zien gezichtsherkenning ook als een manier om bestaande activiteiten te verrijken met extra mogelijkheden, zoals dating-apps die de mogelijkheid bieden om op look-alikes van beroemde mensen te zoeken.

Ten tweede zetten bedrijven gezichtsherkenning in voor beveiliging en controle. Inchecken via gezichtsherkenning is niet alleen handig, het biedt in principe ook de mogelijkheid om op basis van zwarte lijsten ongewenste individuen op geautomatiseerde wijze de toegang tot bepaalde ruimtes te ontzeggen. Emotiedetectie als een specifieke vorm van gezichtsherkenning kan ook een rol spelen in beveiliging en controle, bijvoorbeeld wanneer bepaalde emoties als angst en boosheid op geautomatiseerde wijze herkend worden en dit wordt gebruikt om snel op te treden en escalatie te voorkomen.

Ten derde en tot slot kan gezichtsherkenning ook worden ingezet om dienstverlening te personaliseren en proactief aan te bieden. In de retailsector worden nu al menu’s en aanbiedingen aangepast op basis van gezichts- en emotieherkenning. Zeker de mogelijkheid om met emotiedetectie, een specifieke vorm van gezichtsherkenning, geautomatiseerd en real-time te kunnen monitoren hoe klanten zich voelen en daar dan proactief op in te kunnen spelen, is een toepassing die commerciële partijen als veelbelovend beschouwen. Nieuwe functionaliteiten die gepersonaliseerde dienstverlening of advertenties nog verder verfijnen, zoals het meten van de hartslag op basis van digitale videobeelden van gezichten, maken het automatisch analyseren van gezichten nog aantrekkelijker.

Op basis van ons onderzoek zien wij dat gezichtsherkenningstoepassingen in horizontale relaties zich in Nederland nog in de experimentele fase bevinden. Bedrijven onderzoeken op beperkte schaal of er rendabele gezichtsherkenningstoepassingen kunnen worden geïntroduceerd. De stapsgewijze aanpak van bedrijven wordt niet louter ingegeven door economische motieven. Ook het groeiende bewustzijn dat de inzet van gezichtsherkenning privacyrisico’s met zich meebrengt en onzorgvuldig handelen tot mogelijke afbreukrisico’s leidt, maakt dat bedrijven niet al te voortvarend willen handelen. Waar Nederland nog volop in de experimenteerfase zit, zien wij in het buitenland – met name buiten de Europese Unie – al meer diverse gezichtsherkenningstoepassingen, hoewel die zich ook daar nog vaak in de implementatiefase bevinden.

Privacyrisico’s

De beschreven drie tendensen brengen verschillende privacyrisico’s met zich mee, waarvan wij er hier een aantal belichten. Een belangrijk risico speelt op dit moment al. Veel gezichtsherkenningstechnologie werkt momenteel op basis van modellen die getraind zijn met beelddata waarvoor de afgebeelde personen geen toestemming hebben gegeven. Het internet vormt hierbij een belangrijke bron, maar ook beeldmateriaal verkregen in de publieke ruimte wordt hiervoor gebruikt. Omdat dit verzamelen van data zich op mondiaal niveau afspeelt, is het moeilijk hier controle op uit te oefenen. Burgers verliezen controle over wat er gebeurt met hun foto’s en video’s.

Een ander risico van gezichtsherkenning is dat individuen onder druk komen te staan om hun privacy op te geven. Vanuit commercieel oogpunt houdt goed functionerende gezichtsherkenning vaak in dat burgers geen extra handelingen hoeven uit te voeren om de technologie zijn werk te laten doen. Het ontbreken van een actieve handeling ontneemt hen echter ook een belangrijk keuze- en reflectiemoment. Wil ik dit wel echt? Daarbij komt het risico dat wanneer burgers wél bewust willen kiezen voor een alternatieve dienst of product zonder gezichtsherkenning, het vaak zo zal zijn dat dit een uitgeklede optie is geworden waar nog maar weinig in wordt geïnvesteerd. Zij die vasthouden aan deze laatste optie moeten dan met een verminderde dienstverlening of een basaal functionerend product genoegen nemen.

Veel gezichtsherkenningstechnologie werkt op basis van modellen die getraind zijn met beelddata waarvoor de afgebeelde personen geen toestemming hebben gegeven

Een belangrijk privacyrisico ligt ook in de gevolgen van het gebruik van gezichtsherkenning voor verschillende groepen. Hoewel de kwaliteit en betrouwbaarheid van gezichtsherkenningstechnologie in de afgelopen jaren enorm is toegenomen, blijft het een bekend en niet te onderschatten probleem dat onder andere door biases in de trainingsdata, gezichtsherkenningstoepassingen uitkomsten genereren die discriminatoir van aard zijn en minder goed werken bij bepaalde groepen (zoals vrouwen, kinderen en personen met een getinte huidskleur). Voor deze groepen is de kans groter dat zij ofwel onjuist of niet herkend worden, met als gevolg dat hen bijvoorbeeld de toegang tot een evenement wordt ontzegd, of dat zij geen gebruik kunnen maken van bepaalde diensten, wat tot uitsluiting en stigmatisering kan leiden.

Meer in het algemeen geldt bovendien dat wanneer gezichtsherkenning in horizontale relaties wijdverbreid raakt, en door zowel bedrijven als door burgers eenvoudig kan worden ingezet, het steeds moeilijker zal worden voor mensen om zich anoniem in de publieke, semipublieke en zelfs private ruimte te begeven. Door de mogelijke koppeling van informatie wordt het bovendien voor burgers steeds moeilijker om in te schatten wat anderen over hen weten. Dit kan leiden tot machtsverschuivingen in horizontale relaties die ervoor zorgen dat burgers hun gedrag uit voorzorg gaan aanpassen (chilling effect). Wanneer de door gezichtsherkenning ontsloten informatie ingezet wordt om iemand te stalken of te bedreigen, kan ook de lichamelijke integriteit op het spel komen te staan.

Mogelijkheden om risico’s te beperken

Bedrijven kunnen zelf verschillende maatregelen treffen om de risico’s te beperken, zoals gebruik maken van privacy-by-design methodes, voorlichting geven en expliciet toestemming vragen. De Nederlandse overheid staat momenteel echter ook voor de vraag hoe zij de beschreven privacyrisico’s wil beperken. In ons rapport hebben wij de verschillende mogelijkheden in kaart gebracht, gebaseerd op een verkenning van de huidige wet- en regelgeving.

Ten eerste is het belangrijk om vast te stellen dat er bij gezichtsherkenning doorgaans persoonsgegevens worden verwerkt en dat dan de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Aangezien deze persoonsgegevens biometrisch van aard zijn, geldt er bovendien een ‘strikt nee-tenzij’-regime. Dit brengt met zich mee dat gezichtsherkenningstechnologie maar in beperkte gevallen bij wet zal zijn toegestaan. Zo zijn er juridische vragen omtrent onder meer het bestaan van een legitieme verwerkingsgrondslag. Meer in het algemeen zijn er twijfels over de noodzakelijkheid, proportionaliteit en subsidiariteit van gezichtsherkenningstoepassingen. Het enkele feit dat een gebruiker instemt met een technologie of toepassing, maakt het gebruik daarvan immers nog niet geoorloofd.

Het strafrecht speelt momenteel slechts een geringe rol bij de regulering van gezichtsherkenningstechnologieën, grotendeels beperkt tot gevallen waarin heimelijk afbeeldingen van mensen worden gemaakt. De wetgever zou, naar analogie met de bestaande bescherming tegen het heimelijk maken van afbeeldingen, kunnen overwegen om ook heimelijke gezichtsherkenning strafbaar te stellen, zelfs als de camera waarmee gezichten worden herkend zelf wel duidelijk aanwezig is. Hierbij moet worden afgewogen of toepassingen en gebruik zo ernstig zijn dat vervolging en handhaving via het strafrecht gepast is. Tot slot ligt voor de hand om een en ander via het privaatrecht en onrechtmatige-daadsactie te laten verlopen, voor het geval de burger of een bedrijf zelf actie wil ondernemen.

Op basis van ons onderzoek zien wij een spectrum aan reguleringsopties voor de Nederlandse overheid, variërend van strikte handhaving van de bestaande verboden tot een losser gedoogbeleid. De Nederlandse wetgever kan ervoor kiezen om een (tijdelijk) totaalverbod neer te leggen voor het gebruik van gezichtsherkenningstechnologieën. Daarmee wordt duidelijkheid gegeven en wordt slechts een marginaal aantal mogelijke toepassingen die momenteel juridisch legitiem zouden zijn onmogelijk gemaakt. Anders gezegd: dit is nu nog een optie met relatief beperkte negatieve gevolgen. De functionaliteiten van apps zijn vooralsnog erg beperkt, de resultaten niet altijd betrouwbaar en de potentiële voordelen veelal marginaal. Als Nederland voor een strenge reguleringslijn zou kiezen, zou die lijn op een later moment, als de technologie en de toepassingen zich hebben ontwikkeld, nog eens kunnen worden geëvalueerd. Dit zou aansluiten bij de strenge lijn die zich in de Europese Unie lijkt te ontwikkelen.

Om tot zo een reguleringskeuze te komen zal de overheid echter eerst kleur moeten bekennen. Kiest de wetgever ervoor risico’s zoveel mogelijk te vermijden, laat deze duizend bloemen bloeien of wil deze liever op casus-basis tot een aanpak komen? In het rapport geven wij handvatten aan overheden en bewindslieden om gefundeerde keuzes te maken in de regulering. Zo wordt er onderscheid gemaakt tussen verschillende sectoren en toepassingen. Een app die slechtzienden helpt om mensen waar te nemen is iets anders dan inspelen op emoties van klanten door middel van gezichtsherkenning. Door helder onderscheid te maken in doeleinden ten behoeve van zorgverlening, beveiliging, commercie en recreatie kan op systematische en transparante wijze gedegen keuzes gemaakt worden.

Gezichtsherkenningstechnologie in horizontale relaties is nog geen voldongen feit in Nederland; het is gezichtsherkenning ‘op het eerste gezicht’. Maar de toepassingen die wereldwijd worden ontwikkeld en de privacyrisico’s die daarmee gepaard gaan zijn zeker reëel. Dit maakt dat Nederland genoodzaakt is nu de fundamentele vraag te stellen: ‘wat vinden wij wenselijk als het gaat om gezichtsherkenningstechnologie in onze democratische rechtsstaat?’

Esther Keymolen, Merel Noorman en Bart van der Sloot zijn onderzoekers van het Tilburg Institute for Law, Technology and Society

De drie zijn hoofdauteurs van het rapport ‘Op het eerste gezicht. Een verkenning van gezichtsherkenning en privacyrisico’s in horizontale relaties’ (PDF, 2 MB). Het rapport, geschreven in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), is op maandag 20 april aan de Tweede Kamer aangeboden.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren