Gezichtsherkenning en privacy, gaat dat samen? Een Nederlands bedrijf zegt van wel. Maar de angst voor de impact van deze technologie blijft. "Mooi dat partijen hun best doen, maar ze creëren ook nieuw risico."
Gezichtsherkenning is bezig aan een razendsnelle opmars. In China is betalen met je gezicht de normaalste zaak van de wereld en sinds deze week kan dat ook in de metro van Moskou. Wereldwijd werken bedrijven aan toepassingen van deze technologie. De meest gestelde vraag daarbij is: hoe zit het met privacy?
Met je gezicht naar binnen
Al jaren waarschuwen experts en leiders uit de techsector voor gezichtsherkenning. De technologie is volgens hen zo krachtig dat kwaadwillende regimes of organisaties er de perfecte surveillance van alles en iedereen mee kunnen realiseren. En bedrijven als Google en IBM pleitten voor betere wetgeving, of zelfs een totale stop op gezichtsherkenning.
Maar die kwam er niet. Landen als China, Rusland en Israel gingen er juist voortvarend mee aan de slag. En nu de toepassing er eenmaal is, zien ook commerciële partijen mogelijkheden. Herkend worden op het moment dat je dat zelf wil, heeft ook voordelen: pasjes, pincodes en tickets zijn niet meer nodig. Je komt binnen met je gezicht.
Bekijk ook
Strenge voorwaarden
Volgens de huidige privacywetgeving in Nederland en Europa is gezichtsherkenning als techniek niet verboden, maar wel gebonden aan strenge voorwaarden. Het mag, als er een groot veiligheidsbelang mee is gediend - het meest genoemde voorbeeld is een kerncentrale die zo de identiteit van medewerkers kan checken.
Het mag ook als er sprake is van een transparante toepassing met expliciete toestemming van de gebruiker, zonder verplichtingen. Gezichtsherkenning gebruiken op je telefoon, waarbij je zelf de controle houdt over je gegevens mag daarom bijvoorbeeld wel.
Streepjescode van je gezicht
Het bedrijf 20face in Twente werkt met zelf ontwikkelde software aan toepassingen voor gezichtsherkenning die, volgens het bedrijf, wel privacy-proof zijn. "Wij willen en kunnen voldoen aan alle privacyregels, omdat de gebruiker zelf het beheer houdt over de gezichtskenmerken", zegt CEO Dick Fens.
Hoe dat werkt? Op basis van een foto die je instuurt maakt het bedrijf een versleutelde code van jouw biometrische gezichtskenmerken; een soort streepjescode van je gezicht. Die wordt opgeslagen in een digitale kluis. Jij kunt zelf bepalen wie de code mag inzetten. Bijvoorbeeld je werkgever die jou toegang geeft tot het kantoor, of je sportschool.
Altijd een alternatief
Technoloog Victor Klos van de Autoriteit Persoonsgegevens kan niet ingaan op specifieke bedrijven maar wil wel de regels van gezichtsherkenning toelichten. "Als je zo'n techniek invoert moet je niet alleen zorgen dat de gebruiker precies weet wat er gebeurt met zijn gegevens, je moet ook altijd de keuze bieden."
Het kan volgens Klos niet zo zijn dat als jouw werkgever op gezichtsherkenning overstapt en jij daar bezwaar tegen maakt, je onder druk wordt gezet om toch akkoord te gaan. Er moet altijd een toegankelijk alternatief zijn, zoals een pasje of code.
Bekijk ook
Wachten op een keurmerk
Fens van 20face zegt dat ze daar rekening mee houden. "In alle toepassingen geven we duidelijk aan: bij dit poortje is er gezichtsherkenning, bij dat poortje niet. Of: bij deze bel wordt je automatisch herkend en hier krijg je de receptie." Fens wil graag aan alle privacyregels voldoen en zijn bedrijf desnoods van a tot z laten doorlichten.
"We zijn ook bezig met een ethische raad van toezicht die ons controleert. Er is alleen op dit moment nog geen bedrijf dat deze toepassing kan certificeren. De Autoriteit Persoonsgegevens kan dit niet, terwijl een soort keurmerk voor de consument wel handig zou zijn. Wij zitten daar met smart op te wachten.
Aantrekkelijk voor hackers
De autoriteit Persoonsgegevens laat weten dat zo'n certificatieproces er wel aankomt, maar dat er inderdaad nog geen bedrijf is dat aan alle eisen voldoet om dat uit te voeren. "Bovendien," zegt technoloog Klos, "het is mooi dat partijen hun best doen om deze techniek 'veilig' aan te bieden, maar stel dat dat bij één partij lukt, dan creëren ze een nieuw risico."
Het centraal opslaan van biometrische gegevens - al dan niet gekoppeld aan identiteitsbewijzen - is namelijk een aantrekkelijk doelwit voor hackers, weet Klos. "Dat zou dus een reden kunnen zijn om dit niet te willen."
De deur open voor China
Maar volgens 20face-CEO Dick Fens wordt met zijn systeem juist alles decentraal geregeld. "Het enige wat wij opslaan van onze gebruikers zijn een e-mailadres en een versleutelde code. Dat zit allemaal in een beveiligde kluis. Zelfs als die kluis gehackt wordt kan de hacker weinig met de gegevens, omdat ze versleuteld zijn."
Volgens Fens is het te vergelijken met de situatie die er 10 jaar gelden was met betalen via internet. "Ook daar waren er allerlei aanbieders en was er behoefte aan een transparante en veilige methode. Daar is een Nederlands bedrijf als Adyen ingestapt. Net als hen willen wij aan de hoogste Nederlandse privacyeisen voldoen. Als dat niet gefaciliteerd wordt en er wordt niks geregeld dan zet je de deur open voor Chinese, Amerikaanse en Israëlische partijen, waar je minder zicht op hebt. En die weinig op hebben met de Europese privacyregels."
Bekijk ook
Vragen? Stel ze!
Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.