De nieuwe wet op de private opsporing

Dhr. Bart De Bie (i-Force) en mr. Stijn De Meulenaer (Everest)

Webinar op donderdag 17 oktober 2024


Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

Gezichtsherkenning en de AI-Verordening: komt er een totaalverbod? (Reyns Advocaten)

Auteur: Jef De Foer (Reyns Advocaten)

Gezichtsherkenningstechnologie (of facial recognition) is de afgelopen jaren aanzienlijk geëvolueerd. Ze vindt steeds vaker de weg naar toepassingen die een impact hebben op ons dagdagelijks leven. Denk daarbij aan het gebruik ervan op vlak van beveiliging in luchthavens, voetbalstadia of kerncentrales, de identificatie van vermiste personen, het monitoren van studenten die online examens afleggen, marketingtoepassingen enz.

Tegelijkertijd zijn er heel wat kanttekeningen te maken bij het vergaand gebruik van dergelijke technologie, zowel op juridisch als op ethisch vlak. De algoritmes waarvan gezichtsherkenningstechnologie gebruik maakt, zijn bijvoorbeeld gevoelig voor vooringenomenheid (of bias) en hebben de neiging maatschappelijke ongelijkheden en discriminatie te bekrachtigen of vergroten. Onderzoek heeft aangetoond dat gezichtsherkenningssystemen bijvoorbeeld moeite hebben met het accuraat herkennen van gezichten van bepaalde etnische groepen, vrouwen en ouderen, hetgeen tot onrechtvaardige behandeling kan leiden wanneer ze worden gebruikt om beslissingen te nemen over zaken als kredietverstrekking of werkgelegenheid.

Ook juridisch is het duidelijk dat het gebruik van gezichtsherkenning erg privacy invasief is, zeker wanneer we er zonder onze toestemming aan worden onderworpen.

Hoe werkt gezichtsherkenning?

Gezichtsherkenning is een technologie die gebruik maakt van algoritmen en geavanceerde beeldanalyse om individuen te identificeren op basis van hun unieke gezichtskenmerken. In een eerste fase wordt het gezicht vastgelegd en geanalyseerd. De software legt verschillende gezichtskenmerken in datapunten vast, waarvan de belangrijkste zijn de positie van de ogen, de afstand tussen de ogen, de vorm van neus en mond, de diepte van de oogkassen en de afstand van het voorhoofd tot de kin. Aan de hand van de meest onderscheidende gezichtskenmerken wordt een digitaal profiel ontwikkeld van de persoon in kwestie.

Artificiële intelligentie (AI) heeft het gebruik van gezichtsherkenning sterk bevorderd. AI-systemen waarop dergelijke gezichtsherkenningstechnologie vaak draaien, teren op enorme datasets aan foto’s die veelal van sociale media worden geplukt. Aan de hand van machine learning worden de algoritmen getraind op grote datasets van gezichtsafbeeldingen om patronen en kenmerken te herkennen. Het systeem past zich aan en verbetert naarmate het meer gegevens verwerkt en feedback ontvangt.

Wanneer er een match wordt gezocht vergelijkt de technologie het digitaal profiel met andere profielen in haar datasets. Als er een overeenkomst wordt gevonden kan de persoon die in beeld werd gebracht geïdentificeerd worden.

USA vs EU

In de Verenigde Staten is het gebruik van gezichtsherkenning al langer ingeburgerd. De CEO van het omstreden ClearView pochte eerder dit jaar dat zijn gezichtsherkenningstechnologie al meer dan een miljoen keer zou zijn gebruikt door Amerikaanse politiediensten. Met het systeem van ClearView kan een politiedienst een foto van een gezicht uploaden en overeenkomsten vinden in een database van miljarden verzamelde beelden. ClearView plukt die beelden van openbare sociale media profielen, zonder de toestemming van wie wordt afgebeeld.  Het reikt vervolgens links aan naar de plaatsen waar de overeenkomende beelden online verschijnen, zoals bijvoorbeeld het Facebook of Instagram account van de betrokkene.

Maar gezichtsherkenning wordt er niet enkel door overheidsdiensten gehanteerd. Lieven Scheire en vrienden brachten in hun podcast “Nerdland” recent een sappig verhaal over het gebruik van gezichtsherkenning in de Verenigde Staten. De uitbater van Madison Square Garden haalde zich er de woede van de advocatuur op de hals door elke advocaat gelieerd aan een kantoor waarmee hij ooit wel eens in aanvaring was gekomen (in totaal een 90-tal kantoren), voortaan te weren aan de deur. Advocaten die uit waren op een concert of wedstrijd van the Nicks werden bij aankomst herkend door het systeem en wandelen gestuurd.

Een reeks lawsuits en een mediarel later zijn de toegangsbeperkingen (deels) terug ingetrokken. Dat vergde de nodige creativiteit vanwege de betrokken advocaten want het gebruik van gezichtsherkenningstechnologie is er quasi ongereguleerd.

In de podcast wordt er terecht op gewezen dat dergelijk agressief gebruik van gezichtsherkenningstechnologie in Europa niet zomaar door de beugel kan. De Algemene Verordening Gegevensbescherming (beter bekend als de GDPR) stelt strenge voorwaarden aan het gebruik van gezichtsherkenningstechnologie. Gezichtsscans of afbeeldingen worden als biometrische persoonsgegevens gekwalificeerd en  mogen in de regel niet gebruikt worden om iemand te identificeren (art. 9 GDPR). Het gebruik ervan is enkel toegelaten indien ze absoluut noodzakelijk is voor authenticatie- of beveiligingsdoeleinden of wanneer de betrokkene zijn/haar uitdrukkelijke toestemming heeft gegeven. Die toestemming moet actief, ondubbelzinnig en vrij worden gegeven.

Recente relletjes in eigen land tonen aan dat deze juridische beperkingen er niet aan weerhouden dat gezichtsherkenning ook bij ons steeds vaker wordt toegepast op een manier die voorbijgaat aan bovenstaande wetgeving. In maart 2022 rapporteerde het Controleorgaan van de politionele informatie (COC) dat de federale gerechtelijke politie ook sporadische zoekopdrachten doorvoerde in de ClearView software, terwijl dat in strijd is met de GDPR wetgeving.

Ook Golazo Group, organisator van de Antwerp 10 Miles, wordt vermoed zich te hebben vergaloppeerd. Deelnemers konden na afloop van de loopwedstrijd foto’s van hun deelname – genomen door verschillende fotografen langs het parcours – opvragen. Op de website van de organisatie werd gevraagd een selfie te uploaden, waarna er onmiddellijk een overzicht werd gepresenteerd van een honderdtal foto’s waarin de betrokkene (prominent of als stip in achtergrond) stond afgebeeld.

De snelheid waarmee die foto’s van de respectievelijke deelnemers werden verzameld is opmerkelijk te noemen. Ze wijst erop dat de gezichtsherkenning niet op het moment van het uploaden van de selfie heeft plaatsgevonden, maar wel voordien. De organisatie beschikte naar alle waarschijnlijkheid reeds over een gezichtsprofiel van elke deelnemer bij aanvang van de wedstrijd, waardoor alle binnenkomende foto’s doorheen de dag aan de hand van gezichtsherkenning konden worden gelinkt aan het profiel van de deelnemer.

Alle 37.500 deelnemers aan de Antwerp 10 Miles (waaronder ondergetekende) mogen er bijgevolg vanuit gaan dat er van hen een gezichtsprofiel circuleert dat kan worden aangewend door private ondernemingen. Bovendien werd dat profiel gebruikt voor gezichtsherkenning zonder dat zij daarvoor voorafgaande toestemming hebben gegeven. Een dergelijke werkwijze is niet in lijn met de GDPR regelgeving en krijgt mogelijks nog een staartje indien de Gegevensbeschermingsautoriteit beslist te onderzoeken.

AI-Verordening

Binnen de Europese Commissie woedt discussie over de mate waarin gezichtsherkenningstechnologieën, en het gebruik van AI in het algemeen, gereguleerd moet worden. Over een voorstel van de “AI-Verordening” wordt sinds 2021 onderhandeld tussen twee kampen: enerzijds zij die vrezen dat de innovatie zal getemperd worden als het gebruik van de technologie in een te strak keurslijf wordt gedwongen, tegenover zij die regulering noodzakelijk achten om de risico’s voor de privacy van consumenten te beperken.

Inmiddels lijkt het voorstel in een finale plooi te liggen. Op 11 mei 2023 werd een geamendeerd Commissievoorstel goedgekeurd in de daarvoor aangestelde comités. De verwachting is dat de AI-Verordening in juni kan worden voorgelegd in het Europees Parlement.

Wat er op tafel ligt is een behoorlijk strenge regulering van AI-toepassingen. De Verordening zal AI-toepassingen beoordelen op basis van het risico dat zij vormen voor de privacy van de consument. Toepassingen die grote risico’s vormen, dan wel ingrijpende beslissingen kunnen nemen voor mensen,  moeten aan hoge kwaliteitsvoorschriften voldoen en worden onderworpen aan conformiteitsprocedures. Enkel betrouwbare en evenredige AI-systemen zullen op de Europese markt kunnen fungeren.

Daarnaast ontwikkelt men een lijst van toepassingen en systemen die een onaanvaardbaar risico vormen en in alle omstandigheden worden verboden. Daarbij worden in de eerste plaats manipulatieve of bedrieglijke toepassingen geviseerd, maar ook gezichtsherkenning staat op de verboden lijst.

De verstrenging die in de laatste versie van het voorstel werd opgenomen komt de facto neer op een volledig verbod op het gebruik van gezichtsherkenning in de openbare ruimte. Biometrische identificatie op afstand, gebruikt om personen te identificeren in de openbare ruimte, wordt in de regel verboden indien die identificatie in real time gebeurt. Daarbij lijkt ook de uitzondering voor de detectie van terrorisme en opsporing van vermiste kinderen uit de boot gevallen. Gezichtsherkenning die achteraf wordt toegepast is eveneens verboden, tenzij er een voorafgaande gerechtelijke toestemming is verkregen in het kader van een gerichte opsporing die verband houdt met een ernstig strafbaar feit dat al heeft plaatsgevonden.

Ook het zogenaamde “scraping “ van biometrische gegevens van sociale media om er databanken mee aan te leggen wordt aan banden gelegd.

Europa trekt een lijn in het zand om haar burgers te beschermen tegen de excessen van AI-toepassingen. Indien de Verordening wordt goedgekeurd, zal ze een eerste zijn in haar soort en mogelijks de richting aangeven voor de rest van de wereld. Europa kiest er daarbij voor om de AI-toepassingen die het meest ingrijpend zijn voor de rechten en vrijheden van haar burgers te weren.

Het gebruik van gezichtsherkenning in de openbare ruimte zal zodra de Verordening van kracht wordt nog moeilijk te verantwoorden zijn. De Commissie oordeelt dat een vrij gebruik van de technologie het privéleven van een groot deel van de bevolking aantast en het gevoel van constante surveillance oproept. Ze is bovendien nog te gevoelig voor fouten en vooringenomenheid, hetgeen kan leiden tot bevooroordeelde of discriminerende resultaten.

Bron: Reyns Advocaten

» Bekijk alle artikels: IT & IP, Privacy & Gegevensbescherming