Gezichtsherkenning met behulp van camera’s is in principe verboden, stelt de Autoriteit Persoonsgegevens. Er zijn echter uitzonderingen op de regel, maar daar wordt uit angst voor boetes weinig gebruik van gemaakt. 20face, een spin-off van de Universiteit Twente, heeft zich daarom gespecialiseerd in AVG-conforme gezichtsherkenning.

De reden dat de Autoriteit Persoonsgegevens zo terughoudend is met het toestaan van verwerking van biometrische gegevens, is dat die gegevens in tegenstelling tot een wachtwoord of pincode niet veranderd kunnen worden. Als criminelen de hand weten te leggen op een biometrische identiteit, kan het slachtoffer daar de rest van zijn leven nadeel van ondervinden. Daarnaast kunnen mensen problemen ondervinden doordat de apparatuur niet altijd even nauwkeurig werkt. Iemand zou dan ten onrechte voor een crimineel kunnen worden aangezien.

Uitzonderingen
Biometrische identificatie, zoals gezichtsherkenning, is daarom alleen toegestaan als dit noodzakelijk is voor authenticatie of beveiliging met een zwaarwegend algemeen belang, zoals bij toegangverlening tot een kernreactor. Ook mag het worden gebruikt als betrokkenen er uitdrukkelijk toestemming voor hebben gegeven, zonder dat er sprake is van een scheve gezagsverhouding.
Degene die verantwoordelijk is voor de gegevensverwerking moet een data protection impact assessement (DPIA) opstellen. Onder deze voorwaarden is gezichtsherkenning met camera’s gewoon toegestaan. Dit neemt volgens jurist Menno Weij van BDO Legal niet weg, dat er veel koudwatervrees is ontstaan voor biometrische identificatie. Hij denkt dat bij veel kwesties de AP het zal verliezen als het op een rechtszaak uitdraait. Mede daarom wordt momenteel aan Europese wetgeving gewerkt, die toepassing van biometrie en kunstmatige intelligentie nog meer aan banden zal leggen. Dit onder andere naar aanleiding van het Clearview-schandaal, waarbij van sociale media gekopieerde persoonsgegevens werden doorverkocht voor gezichtsherkenning in de openbare ruimte.

Technologie
Dit maakt het lastig om gezichtsherkenning in te zetten in bijvoorbeeld voetbalstadions om mensen met een stadionverbod te herkennen. Wel mag de technologie worden gebruikt om mensen die dat willen sneller en makkelijker toegang te verlenen. Maar ook dan gelden er strenge voorwaarden. Zo dienen allerlei maatregelen getroffen te worden om te voorkomen dat de biometrische gegevens door derden worden misbruikt. En dat is precies wat 20Face doet. Het bedrijf zorgt voor centrale opslag in de database in de cloud. Daarbij wordt zo min mogelijk data van de gebruiker opgeslagen. Alleen data die noodzakelijk is voor de toepassing. Dus wel een gezichtsvector, maar niet de originele foto waarvan de gezichtsvector is gemaakt. Daarnaast is de database natuurlijk beveiligd met een sterk wachtwoord en niet direct benaderbaar van buiten. Het uitgangspunt is privacy by design. Als een persoon toegang wil, wordt van een gezichtsscan een vector gemaakt, die met de vector in de database wordt vergeleken. De vector is niet terug te herleiden naar de gezichtsscan. Daarom is het systeem ook veilig te gebruiken voor meerdere toepassingen. Iemand zou in theorie met één account, een soort virtueel paspoort, toegang tot kantoor, tot het stadion en tot de sportschool kunnen krijgen. De gebruiker kan zonder hulp van de leverancier zijn gegevens wijzigen of verwijderen.

Goede spelregels
Menno Weij stelt dat je als Autoriteit Persoonsgegevens voor een verbod kunt pleiten, maar dat je ook kan kijken naar wat er wel kan om daar goede spelregels voor te bedenken. Hetzelfde geldt voor toepassing van kunstmatige intelligentie. Daarbij moet worden meegewogen, dat gezichtsherkenning veel voordelen biedt ten opzichte van traditionele authenticatiemethodes, zoals wachtwoorden, pincodes of pasjes. Met de juiste technologie is de kans uiterst klein dat de data gestolen en vervolgens misbruikt kan worden voor identiteitsfraude. Wel blijft het noodzakelijk dat de systemen geleverd worden door een deskundige leverancier, die de klant kan wijzen op wettelijke voorwaarden, zoals uitvoering van een DPIA en het beperken van de toepassing tot waarvoor deze in beginsel bedoeld is. Zo mag een winkelier een systeem voor herkenning van goede klanten – die daarvoor toestemming hebben gegeven – niet gebruiken om winkeldieven te herkennen.