Beveiligingnieuws Logo

Onze partners

Akuvox

Eizo

Optex

HD Security

Ajax Systems

Aritech

Oribi ID Solutions

Traka ASSA ABLOY

Intrasec

Hanwha Vision Europe

PG Security Systems

Alarm Meldnet

HID

Milestone

Add Secure

Bydemes

ASIS

Secusoft

Centurion

Seris

MOBOTIX

Crown Security Services

IDIS

Alphatronics

Service Centrale Nederland

Securitas

NetworxConnect

Advancis

Paraat

VEB

Paxton

Bosch Security Systems

CDVI

OSEC

Gold-IP

Eagle Eye Networks

Unii

Avigilon Alta

SmartCell

ASSA ABLOY

SOBA

ARAS

ADI

Genetec

Nenova

Lobeco

BHVcertificaat.online

VBN

Seagate

VideoGuard

Multiwacht

Connect Security

Regio Control Veldt

i-Pro

Distri Company

Brivo

Network Optix

Kiwa

SMC Alarmcentrale

VAIBS

EAL

NIBHV

Dero Security Products

SmartSD

Hikvision

2N

Uniview

Top Security

Trigion

CSL

VVNL

Masset Solutions

G4S

Sequrix

Gezichtsherkenning veel vaker toegestaan dan gedacht wordt

7 september 2022
Redactie
07:44

Gezichtsherkenning met behulp van camera’s is in principe verboden, stelt de Autoriteit Persoonsgegevens. Er zijn echter uitzonderingen op de regel, maar daar wordt uit angst voor boetes weinig gebruik van gemaakt. 20face, een spin-off van de Universiteit Twente, heeft zich daarom gespecialiseerd in AVG-conforme gezichtsherkenning.

De reden dat de Autoriteit Persoonsgegevens zo terughoudend is met het toestaan van verwerking van biometrische gegevens, is dat die gegevens in tegenstelling tot een wachtwoord of pincode niet veranderd kunnen worden. Als criminelen de hand weten te leggen op een biometrische identiteit, kan het slachtoffer daar de rest van zijn leven nadeel van ondervinden. Daarnaast kunnen mensen problemen ondervinden doordat de apparatuur niet altijd even nauwkeurig werkt. Iemand zou dan ten onrechte voor een crimineel kunnen worden aangezien.

Uitzonderingen
Biometrische identificatie, zoals gezichtsherkenning, is daarom alleen toegestaan als dit noodzakelijk is voor authenticatie of beveiliging met een zwaarwegend algemeen belang, zoals bij toegangverlening tot een kernreactor. Ook mag het worden gebruikt als betrokkenen er uitdrukkelijk toestemming voor hebben gegeven, zonder dat er sprake is van een scheve gezagsverhouding.
Degene die verantwoordelijk is voor de gegevensverwerking moet een data protection impact assessement (DPIA) opstellen. Onder deze voorwaarden is gezichtsherkenning met camera’s gewoon toegestaan. Dit neemt volgens jurist Menno Weij van BDO Legal niet weg, dat er veel koudwatervrees is ontstaan voor biometrische identificatie. Hij denkt dat bij veel kwesties de AP het zal verliezen als het op een rechtszaak uitdraait. Mede daarom wordt momenteel aan Europese wetgeving gewerkt, die toepassing van biometrie en kunstmatige intelligentie nog meer aan banden zal leggen. Dit onder andere naar aanleiding van het Clearview-schandaal, waarbij van sociale media gekopieerde persoonsgegevens werden doorverkocht voor gezichtsherkenning in de openbare ruimte.

Technologie
Dit maakt het lastig om gezichtsherkenning in te zetten in bijvoorbeeld voetbalstadions om mensen met een stadionverbod te herkennen. Wel mag de technologie worden gebruikt om mensen die dat willen sneller en makkelijker toegang te verlenen. Maar ook dan gelden er strenge voorwaarden. Zo dienen allerlei maatregelen getroffen te worden om te voorkomen dat de biometrische gegevens door derden worden misbruikt. En dat is precies wat 20Face doet. Het bedrijf zorgt voor centrale opslag in de database in de cloud. Daarbij wordt zo min mogelijk data van de gebruiker opgeslagen. Alleen data die noodzakelijk is voor de toepassing. Dus wel een gezichtsvector, maar niet de originele foto waarvan de gezichtsvector is gemaakt. Daarnaast is de database natuurlijk beveiligd met een sterk wachtwoord en niet direct benaderbaar van buiten. Het uitgangspunt is privacy by design. Als een persoon toegang wil, wordt van een gezichtsscan een vector gemaakt, die met de vector in de database wordt vergeleken. De vector is niet terug te herleiden naar de gezichtsscan. Daarom is het systeem ook veilig te gebruiken voor meerdere toepassingen. Iemand zou in theorie met één account, een soort virtueel paspoort, toegang tot kantoor, tot het stadion en tot de sportschool kunnen krijgen. De gebruiker kan zonder hulp van de leverancier zijn gegevens wijzigen of verwijderen.

Goede spelregels
Menno Weij stelt dat je als Autoriteit Persoonsgegevens voor een verbod kunt pleiten, maar dat je ook kan kijken naar wat er wel kan om daar goede spelregels voor te bedenken. Hetzelfde geldt voor toepassing van kunstmatige intelligentie. Daarbij moet worden meegewogen, dat gezichtsherkenning veel voordelen biedt ten opzichte van traditionele authenticatiemethodes, zoals wachtwoorden, pincodes of pasjes. Met de juiste technologie is de kans uiterst klein dat de data gestolen en vervolgens misbruikt kan worden voor identiteitsfraude. Wel blijft het noodzakelijk dat de systemen geleverd worden door een deskundige leverancier, die de klant kan wijzen op wettelijke voorwaarden, zoals uitvoering van een DPIA en het beperken van de toepassing tot waarvoor deze in beginsel bedoeld is. Zo mag een winkelier een systeem voor herkenning van goede klanten – die daarvoor toestemming hebben gegeven – niet gebruiken om winkeldieven te herkennen.

Deel dit artikel via:

Vlog

Premium partners

Videoguard

Distri Company

Seagate

Suricat

SequriX

Aritech

Wordt een partner