Deepfakes in relatie tot de AVG

In eerdere blogs schreven wij al over hoe deepfakes kunnen worden herkend en bespraken wij de inzet van juridische wapens tegen voice deepfakes. Sindsdien zijn er op dit gebied verschillende ontwikkelingen geweest. Zo publiceerden onderzoekers van Tilburg Universiteit begin 2022 op verzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) een rapport over de aard, omvang en schade van deepfakes. Bovendien heeft eind vorig jaar een ruime meerderheid in de Tweede Kamer een motie van de VVD voor een verbod van gebruik van deepfaketechnologie ondertekend. Deze ontwikkelingen geven aanleiding om deepfakes in relatie tot de Algemene verordening gegevensbescherming (AVG) opnieuw onder de loep te nemen.

Deepfakes: hoe zit het ook alweer?

Deepfakes zijn gemanipuleerde beeld- en/of audiofragmenten die, door middel van kunstmatige intelligentie, in enkele minuten kunnen worden gemaakt en nauwelijks van echt zijn te onderscheiden. Deepfakes kunnen op verschillende manieren worden ingezet voor positieve doeleinden. Zo werd voor een campagne om wereldwijde aandacht te vragen voor Malaria een deepfakevideo van David Beckham gemaakt. De oorspronkelijke toespraak is in het Engels, maar door middel van deepfaketechnologie kon de video in acht verschillende talen worden nagesynchroniseerd. 

Naast de positieve kanten zijn er ook risico’s. Eind vorig jaar heeft presentatrice Welmoed Sijtsma in het programma ‘Welmoed en de sexfakes’ de duistere zijde van deepfakes aangekaart. In het programma ging de presentatrice op zoek naar de man die een deepnude (een pornografische deepfake) van haar maakte. Ook kunnen deepfakes maatschappelijk gevolgen hebben. Denk hierbij aan het vertrouwen in de media, een trend die nu al zichtbaar is en versterkt kan worden door het gebruik van deepfakes. Op dit moment bestaat de vrees dat het voor burgers, journalisten en rechters in de toekomst steeds lastiger te verifiëren wordt wat nep is en wat niet. Verwacht wordt zelfs dat binnen enkele jaren het merendeel van de online content gemanipuleerd is.

Verwerking van (biometrische) persoonsgegevens

Verreweg de meeste deepfakes kunnen worden aangemerkt als persoonsgegevens in de zin van de AVG. Daarnaast kunnen deepfakes worden aangemerkt als een biometrisch persoonsgegeven. Op grond van de AVG zijn dit persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon, waardoor authenticatie of identificatie van een persoon mogelijk is. Deepfakes vallen hieronder omdat beeld- en/of geluidsmateriaal van een persoon wordt verwerkt. Voor de verwerking van biometrische persoonsgegevens geldt in principe een verwerkingsverbod onder de AVG. Dit verwerkingsverbod kan worden opgeheven als er een wettelijke uitzondering is op het verwerken van persoonsgegevens, en de verwerking gebaseerd kan worden op één van de zes grondslagen voor het verwerken van persoonsgegevens. Wanneer er een deepfake wordt gemaakt zonder dergelijke uitzondering en/of deugdelijke grondslag, is dat in strijd met de AVG. De geportretteerde kan dan juridisch tegen deze verwerking optreden.

Overige obstakels

De AVG kent daarnaast nog verschillende obstakels voor het maken en verspreiden van deepfakes. Zo dient de maker van de deepfake de geportretteerde op de hoogte te stellen wanneer hij of zij in een deepfake figureert. Ook dient rekening te worden gehouden met het doelbindingsbeginsel. Dit houdt in dat gegevens in principe alleen voor het doel waarvoor ze oorspronkelijk zijn verzameld, verwerkt mogen worden. In de meeste gevallen zullen voor het vervaardigen van deepfakes data worden gebruikt die oorspronkelijk voor een ander doel waren bestemd. Daarnaast stellen de onderzoekers van Tilburg Universiteit de vraag of deepfakes niet verboden zijn op grond van het datakwaliteitsbeginsel. Dit houdt in dat de persoonsgegevens juist en actueel zijn. Deepfakes zijn dat per definitie niet. Tot slot dient met verschillende rechten van de geportretteerde rekening gehouden te worden, zoals het recht op rectificatie en het recht om vergeten te worden.

Handhaving

Uit het WODC-onderzoek is gebleken dat het kernprobleem van deepfakes niet de wetgeving zelf is, maar de handhaving daarvan. De race tussen het creëren van deepfakes en het detecteren en voorkomen ervan zal in de toekomst steeds heviger worden. Deepfakes zullen zich blijven evolueren waardoor het steeds moeilijker wordt om deepfakes van authentieke content te onderscheiden. Ook wordt het voor de gemiddelde persoon steeds makkelijker om zelf deepfakes te maken en kunnen gepubliceerde deepfakes eenvoudig worden gekopieerd en verspreid. Daarnaast is handhaving van de AVG een taak van de Autoriteit Persoonsgegevens, die met capaciteitsproblemen te kampen heeft.

Om de handhaving te kunnen versterken, werkt het kabinet aan een inventarisatie van de mogelijkheden om hier sneller en beter op in te spelen. Een van de suggesties uit het WODC-onderzoek is om het produceren, aanbieden, gebruiken en in bezit hebben van deepfaketechnologie te verbieden voor de consumentenmarkt. Het kabinet zou voor het kerstreces vorig jaar met een beleidsreactie komen, waarin wordt ingegaan op de opvolging van het onderzoek. Op het moment van schrijven is deze reactie nog niet openbaar. Het is daarom goed om deze ontwikkelingen in de gaten te blijven houden.

Terug naar overzicht