Ondanks de vele voordelen zijn organisaties terughoudend met het invoeren van gezichtsherkenning voor toegangsverlening. De reden is de strenge, maar ook onduidelijke privacywetgeving. Niet nodig, zeggen Pascal Fisscher en Ruud van der Veen van 20face. Wij hebben technologie die volledig aan de AVG voldoet.

De beveiligingsmarkt heeft al even kennis kunnen maken met 20face tijdens de vakbeurs FireSafety & Security Event in ‘s-Hertogenbosch. De spin-off van de Universiteit van Twente ontwikkelt software, die op een privacyvriendelijke manier gezichtsherkenning mogelijk maakt. Vinden zij daarmee niet het wiel opnieuw uit? “Nee”, antwoordt chief technology officer Pascal Fisscher. “Het belangrijkste verschil met vergelijkbare oplossingen is dat bij onze technologie de eindgebruiker volledig ‘in control’ is. Die kan 24/7 zijn toestemming intrekken dat zijn gegevens worden gebruikt op een specifieke locatie. Ook kan hij op elk moment zijn biometrische gegevens volledig verwijderen. Het is dus niet nodig om een verzoek in te dienen bij de werkgever of bij 20face om gegevens te verwijderen.” “Daarnaast is het een volledig Nederlands product”, vult commercieel directeur Ruud van der Veen aan. “Gebruikers hoeven niet bang te zijn dat hun gezichten via ons systeem in databases van buitenlandse inlichtingendiensten terecht komen.”

Veiligheid en gemak
Fisscher en Van der Veen hebben alle begrip voor de strenge privacyregels voor biometrie, maar vinden dat de Autoriteit Persoonsgegevens soms onnodig te ver gaat. Van der Veen: “Ook wij willen geen Chinese toestanden, waarbij het een keer door rood oversteken consequenties kan hebben voor je verdere carrière, maar het is aan de andere kant ook jammer als mensen en organisaties niet kunnen profiteren van de veiligheid en het gemak dat biometrie biedt, terwijl er geen sprake is van privacyschending. Zo wordt met name ‘bijvangst’ (personen die geen toestemming hebben gegeven en niet in het systeem staan) volgens de AVG wel verwerkt. Er wordt namelijk op basis van een beeld een gezichtsvector gegenereerd, die vergeleken wordt met de gezichtsvectoren in de database. Als er geen match is wordt de nieuwe gezichtsvector verwijderd en nooit opgeslagen. Toch zijn we voor de wet dan een verwerker en dat mag niet zonder grondslag, terwijl we niemands privacy schenden. Wij gebruiken foto’s en beelden zelfs niet voor trainingsdoeleinden. De foto’s worden alleen gebruikt voor het genereren van gezichtsvectoren en het vergelijken van gezichtsvectoren. Hierin zijn we uniek en dat is voor ons een groot USP.”

Snel groeiende vraag
Hoewel hun technologie overal voor te gebruiken is, richten de veertien medewerkers van 20face zich nu in eerste instantie op toegangsbeheer binnen organisaties waar hoge eisen worden gesteld aan de beveiliging. Hierin kan gezichtsherkenning als extra factor worden toegevoegd. Fisscher: “In bijvoorbeeld een datacenter is de vraag naar dit soort oplossingen het grootst. Bovendien wordt biometrische identificatie in dit soort omgevingen makkelijker toegestaan.”
Intussen neemt ook de vraag vanuit organisaties met een normaal risicoprofiel sterk toe. Bedrijven beschouwen gezichtsherkenning als een mooi stukje innovatie, dat past bij wat zij willen uitstralen. Winkels zien het als kans om vaste klanten te herkennen en gezichtsherkenning maakt het makkelijk om deuren contactloos te openen, wat tijdens pandemieën een uitkomst betekent. 20face maakt overigens alleen de software. Apparatuur komt van bekende fabrikanten en de oplossingen worden gebouwd door de grotere system integrators. Het aantal integratiepartners groeit nog voortdurend. 20face stelt voor hen een Software Development Kit beschikbaar, waarmee zij de gezichtsherkenningstechnologie kunnen implementeren binnen hun eigen systemen. Op het moment wordt een dergelijk systeem uitgerold in de Rotterdamse haven, ter vervanging van een biometrisch systeem dat op basis van handgeometrie werkt. De ‘sleutel’ van de gebruiker staat in dat geval op de ID-pas van de gebruiker. Gezichtsherkenning wordt gebruikt om het ‘uitlenen’ van ID-passen te voorkomen.

Nek uitsteken
20face begon in 2017 en is sinds 2019 actief in de wereld van toegangsbeheer. De software wordt voortdurend verbeterd om de kans op ‘false positives’ en ‘false negatives’ te verminderen. Het model is getraind met gemiddeld twintig afbeeldingen per identiteit zodat het om kan gaan met variaties in licht, pose, wel of geen bril etc. Het systeem reageert ook alleen op bewegende gezichten. Het is dus niet met foto’s van geautoriseerde personen te misleiden.
Een uitdaging blijft de Autoriteit Persoonsgegevens. Van der Veen: “we hebben veel geld geïnvesteerd in juridisch advies en zijn er nu zeker van dat alle AVG-proof is. Toch blijft de AP moeilijk doen. Nu weer omdat camera’s mogelijk ook mensen vastleggen die niet in de database staan en die dus geen toestemming hebben gegeven voor verwerking van hun gezicht. Maar ook daar gaan we wel uitkomen. Je hebt bij innovatie nu eenmaal mensen nodig die hun nek durven uit te steken, dus laten wij dat nu maar doen. We zijn daar al heel ver mee gekomen.”