Het gebruik van gezichtsherkenning is niet meer weg te denken uit de huidige maatschappij. Denk aan het opsporen van vermiste of gezochte personen, het ontgrendelen van een mobiele telefoon en het automatisch herkennen van personen in foto’s op sociale media. De toepassingen van gezichtsherkenningstechnologie worden steeds geavanceerder. Enerzijds biedt dit meer mogelijkheden en voordelen, maar tegelijkertijd nemen hierdoor ook de risico’s toe. Het gebruik van gezichtsherkenning kan nadelige gevolgen hebben zoals schending van privacyrechten en de kans op discriminatie. Om die reden heeft de Global Privacy Assembly (GPA) een nieuwe resolutie aangenomen waarin een normenkader wordt geschetst voor gebruik van gezichtsherkenning op een behoorlijke manier. De Autoriteit Persoonsgegevens is een van de co-sponsoren van deze resolutie.
De GPA is een internationale bijeenkomst voor meer dan 130 nationale privacytoezichthouders. Sinds 1979 komt de GPA jaarlijks samen om kennis op het gebied van gegevensbescherming en privacy uit te wisselen. Binnen de GPA bestaan verschillende werkgroepen waarin overleg plaatsvindt over bepaalde onderwerpen.
De resolutie komt voort uit een resolutie die in 2020 is aangenomen. Daarin werd de behoefte aan duidelijke en consistente wereldwijde normen ten aanzien van gezichtsherkenning erkend en werd het ontwikkelen van deze normen opgedragen aan de International Enforcement Cooperation Working Group en de Ethics and Data Protection in Artificial Intelligence Working Group. Deze werkgroepen hebben samen de nieuwe resolutie opgesteld.
De resolutie omschrijft gezichtsherkenning als een methode waarbij het beeld van het gezicht van een persoon met software geanalyseerd wordt en vergeleken wordt met eerder verzamelde biometrische gegevens. In de resolutie wordt onderscheid gemaakt tussen het gebruik van gezichtsherkenning voor verificatie en identificatie. Verificatie houdt in dat een vergelijking wordt gemaakt tussen twee afbeeldingen om de identiteit van een persoon te verifiëren. Bij identificatie wordt het gezicht van een individu vergeleken met een database met gezichten.
In de resolutie komen zes principes aan bod die in acht moeten worden genomen bij het gebruik van gezichtsherkenning. Allereerst moeten organisaties die gebruikmaken van gezichtsherkenning een duidelijke wettelijke grondslag hebben voor het verzamelen en gebruiken van biometrische gegevens. Daarnaast moeten deze organisaties de redelijkheid, noodzakelijkheid en proportionaliteit van hun gebruik van gezichtsherkenning kunnen aantonen.
Het derde principe houdt in dat organisaties in het bijzonder bescherming moeten bieden tegen inbreuken op mensenrechten. Organisaties moeten er namelijk in het algemeen van uitgaan dat gezichtsherkenningstechnologie het recht op privacy van individuen kan aantasten. Wanneer gezichtsherkenning wordt gebruikt voor verificatie moet (waar mogelijk) een alternatief worden geboden dat niet op biometrie berust. De personen die daar gebruik van willen maken mogen hier geen nadelige gevolgen van ondervinden.
Het gebruik van gezichtsherkenning moet transparant zijn voor betrokkenen. Dit houdt in dat organisaties een informatieplicht hebben met betrekking tot de activiteiten waarvoor zij de technologie gebruiken en moeten aangeven hoe betrokken hun rechten ten aanzien hiervan kunnen uitoefenen. Hierbij moet ook rekening gehouden worden met jongeren en kwetsbare personen.
Organisaties moeten duidelijk beleid opstellen ter verantwoording van het gebruik van gezichtsherkenning en in staat zijn de effectiviteit van dit beleid aan te tonen. Ten slotte moeten bij het gebruik van gezichtsherkenning alle principes met betrekking tot gegevensbescherming in acht worden genomen, zoals privacy by design, doelspecificatie, dataminimalisatie, bewaartermijnen en verwijdering van gegevens, waarborgen en de kwaliteit van gegevens.
De resolutie van de GPA stelt terechte en belangrijke aandachtspunten aan de orde. Het is echter de vraag in hoeverre de genoemde principes iets toevoegen aan het reeds bestaande (juridisch) kader omtrent gezichtsherkenning, eens te meer omdat de GPA is opgericht om kennis uit te wisselen en een ontmoetingsplaats te bieden voor nationale autoriteiten. De resoluties zijn voornamelijk bedoeld als beginpunt en aanmoediging tot het treffen van nationale maatregelen. Het is dan ook niet duidelijk in hoeverre de nationale autoriteiten daadwerkelijk gevolg geven aan bovengenoemde resolutie.
Daarnaast zijn er meer instanties die zich buigen over het gebruik van deze controversiële technologie en hier publicaties over uitbrengen, zoals de richtlijnen voor de inzet van gezichtsherkenning door politie en justitie van de European Data Protection Board. Ook werd al eerder de door de Europese Commissie voorgestelde AI-verordening gepubliceerd. Bovendien volgen uit de AVG en de specifieke eisen die daarin worden gesteld aan het verwerken van biometrische gegevens min of meer dezelfde principes als uit de resolutie en is er dus niet veel nieuws onder de zon.
Hoewel de GPA met de resolutie dus een duidelijk standpunt inneemt, is het nog maar de vraag wat de privacytoezichthouders hier zelf mee gaan doen. Door de vrij algemene insteek en door het ontbreken van een duidelijk plan voor implementatie van de resolutie bestaat de kans dat het blijft bij dit document en dit geen concreet gevolg krijgt. Het is dan ook aannemelijker dat de (Europese) richtlijnen en verordeningen eerder als leidraad voor nationale toezichthouders zullen fungeren dan de resolutie van de GPA, maar dit zal de toekomst uitwijzen.
Meer weten over pricacy? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.