Minister: festivals mogen gezichtsherkenning onder voorwaarden inzetten

Festivals mogen gezichtsherkenning onder voorwaarden inzetten, zo las ik bij Security.nl. Dat blijkt uit recente antwoorden van de minister op Kamercommissievragen: gezichtsherkenning mag echter niet lichtzinnig worden ingezet en moet streng worden gereguleerd, aldus de minister. Mooie woorden, maar het levert in de praktijk geen noemenswaardige verbetering op van de situatie.

In december stuurde de minister een brief over dit onderwerp, met daarin uitleg over gezichtsherkenning door de politie. Dat riep vragen op:

In de voor dit debat geagendeerde Kamerbrief1 over de inzet van gezichtsherkenningstechnologie in de openbare ruimte en door de politie staat «dat gezichtsherkenningstechnologie ingezet zou kunnen worden in een «gecontroleerde omgeving», welke weliswaar behoort tot de openbare ruimte, maar waarbinnen alle betrokken onomwonden en geïnformeerd toestemming hebben gegeven.» Deze zin vormde voor het lid Bouchallikh (GroenLinks) aanleiding om mij te vragen wat er wordt bedoeld met een «gecontroleerde omgeving».
De betreffende zin ging echter niet over de politie, maar juist over private partijen die in zo’n “gecontroleerde omgeving” gezichtsherkenning zouden willen inzetten. Daarover legde de minister toen uit:
Een voorbeeld van een gecontroleerde omgeving kan zich voordoen bij een festival, als de organisator de toegang regelt door middel van gezichtsherkenning. Daarbij is het echter wel noodzakelijk dat een waardig analoog alternatief worden geboden, zodat mensen geen nadelige consequenties ondervinden van het niet verlenen van toestemming.
De huidige antwoorden geven aan dat het toch niet helemaal duidelijk was: de vervolgvragen spraken over “impliciete toestemming aan de politie voor gezichtsherkenning”. Maar het gaat dus nogmaals om private partijen. Wanneer mogen die nou bij de toegang tot zo’n festival of andere “gecontroleerde omgeving” gezichtsherkenning toepassen? Momenteel zegt de wet (artikel 29 UAVG) daarover niet meer dan dat het “noodzakelijk is voor authenticatie of beveiligingsdoeleinden”. Dat wordt anders als de geplande wijziging doorgevoerd is:
In het wijzigingsvoorstel van de UAVG wordt expliciet opgenomen dat de uitzonderingsgrond van artikel 29 alleen kan worden toegepast wanneer dat nodig is voor een zwaarwegend algemeen belang (toetsing van proportionaliteit en subsidiariteit). Met deze dubbele noodzakelijkheidstoets (noodzakelijk voor de authenticatie of beveiligingsdoeleinden én noodzakelijk omwille van een zwaarwegend algemeen belang) geeft de UAVG beter invulling aan de eis van artikel 9, tweede lid, onderdeel g, van de AVG. 
Dit is zo’n zin die voor juristen een heerlijke kluif is maar waar anderen met de nodige moeite tegenaan kijken. Het komt erop neer dat deze tekst erbij gezet wordt:
omwille van beveiligingsdoeleinden en slechts voor zover dit noodzakelijk is vanwege een zwaarwegend algemeen belang van rechtmatige toegang tot bepaalde plaatsen, gebouwen, diensten, producten, informatiesystemen of werkprocessystemen
Daarmee is gebruik voor bijvoorbeeld prikklokken (wie begint/eindigt wanneer met werken) niet meer mogelijk, omdat dat niet een van de genoemde belangen is. Biometrie voor toegang tot een zwaar beveiligd computersysteem mag nog wel, net als toegang tot een “gecontroleerde omgeving”. Alleen moet dat dus noodzakelijk zijn vanuit een zwaarwegend algemeen belang, niet alleen maar “ze doen dat in Frankrijk ook” of “dit was goedkoper dan een extra beveiliger”.

Prima verhaal, dat dan alleen weer helemaal onderuit gaat omdat iemand het nodig vond zijn of haar kennis van de AVG te etaleren door te beginnen over uitdrukkelijke toestemming als uitzonderingsgrond. Ik zou het héél fijn vinden als iedereen ophield toestemming als grondslag aan te dragen (behalve bij nieuwsbrieven): die grondslag werkt niet en je kunt er niet op bouwen. De simpele reden: toestemming is altijd intrekbaar, dus ook 1 seconde na het verlenen. En je mag daar geen negatieve consequenties aan verbieden, zoals het weg moeten gaan van het festival. Uit de brief:

Dat betekent dat de bezoeker van het festival niet onder druk mag worden gezet om toestemming te verlenen en geen nadeel mag ondervinden van het niet verlenen van toestemming. In dit voorbeeld betekent dit dat de bezoeker van het festival ook een analoge toegangsmogelijkheid moet worden geboden.
Helaas gaat de brief niet in op het intrekken, wat dus het grote pijnpunt is. Als je de gezichtsherkenning alleen bij de toegang inzet (hier is mijn kaartje, bliep dat is mijn gezicht, die horen bij elkaar) dan is intrekken inderdaad niet heel zinnig. Maar als je dan ook een niet-biometrie toegangspoort moet regelen én moet zorgen dat die net zo efficiënt is, dan zie ik de meerwaarde niet echt van de biometrie. En als er geen meerwaarde van is, dan is er dus geen duidelijke noodzaak. Dus waarom zou je dan nog biometrie gebruiken?

Arnoud

 

23 reacties

  1. Maar die niet-biometrie toegangspoort kan nooit even efficient zijn als de biometrische. Bij de biometrische kan je in theorie gewoon doorlopen, bij de niet-biometrische moet je stoppen en een kaartje (plus ID?) aan een medewerker laten zien. Een paar seconden vertraging is het minste.

      1. Nee totaal niet gelezen, alleen de kop. Op het moment dat er gediscussieerd word over gezichts herkenning door de overheid heb ik meteen in mijn achterhoofd het Chinese beeld wat de meesten van ons hebben. (Wat overigens bewezen, totaal niet klopt, maar ander discussie) En ik denk dat ik jouw niet uit hoef te leggen dat het gewoon weer een proefballonnetje is om het ‘volk’ er aan te laten wennen. Je ziet aan alles waar ze naar toe willen.

        En deze discussie helpt ze daarbij

        .

  2. Opvallend is dat er in de Kamerstukken nergens het risico op een datalek staat beschreven. Er is nu net een massaal datalek geweest met namen, telefoonnummers en e-mailadressen van miljoenen Nederlanders. Moet je je voorstellen als dat gebeurt met biometrie. Overigens kan dat ook interessant zijn voor statelijke actoren elders in de wereld en vooral buiten de EU.

    Maar ook zonder datalek gebeuren er dingen die je misschien niet vooraf verwacht. Er is een buitenlands bedrijf dat massaal foto’s van gezichten heeft verzameld die op het internet stonden gepubliceerd en die foto’s van de juiste metadata heeft voorzien. Die database wordt naar ik begrijp verhandeld en ook gekocht door divers politiediensten. Je kunt dus ergens op de wereld rondlopen in een land waar je met een camera wordt geïdentificeerd via je gezicht, zonder dat je ooit een foto met gezicht om die reden online hebt gepubliceerd. Veel bedrijven verplichten dat zelfs.

    Daarnaast leert de geschiedenis dat er een risico is op function creep. Het begint met een databank waar je DNA wordt geanalyseerd voor stamboomonderzoek zodat je weet of je van de Noormannen afstamt en het eindigt met de politie die je wil horen omdat uit DNA analyse van je familieleden (die DNA hebben opgestuurd voor dat grappige stamboomonderzoek) blijkt dat jij misschien de dader bent van een ernstig misdrijf en of je even wilt uitleggen waar je op een bepaald datum was 30 jaar geleden. Maar geen vrees, je hebt vast een goed alibi en de politie heeft nooit last van tunnelvisie.

  3. Het ontgaat mij wat het doel is van gezichtsherkenning op een festival. Dat werkt als toegangsverlening toch alleen als ik van te voren mijn gezicht (in een database) beschikbaar heb gesteld?

          1. en de deur gaat gewoon niet open als ie nee zegt. “Ahh toe nou!” “Computer zegt nee.”

            En is dat maatschappelijk wenselijk, of niet? (je schrijft het alsof het een voordeel is, terwijl ik uit vorige blogs begrepen heb dat je tegen ‘computer says no’ bent)

            1. Ik probeerde zuiver beschrijvend te zijn, dit is hoe het werkt en een sterke enforcement van “je mag niet naar binnen” is een doel van dit soort systemen. Portieren kun je ompraten of aan de kant duwen, bij een dichte deur is dat lastiger.

              Specifiek hier vind ik “computer says no” niet zo’n probleem, de uitleg is simpel: je lijkt niet genoeg op de foto van de besteling. En de oplossing ook, ga naar poortje 16 waar een ervaren portier het handmatig controleert. Dus nou ja ik denk dat het dan wel kan.

              1. Het probleem is dat we hier met drie verschillende niveaus zitten.

                Op zich is het als principe redelijk om te stellen dat iedereen (vergeet even eventuele leeftijdseisen) met een toegangsbewijs naar binnen mag. Dit is het bovenste niveau.

                Nu is het in het verleden onwenselijk gebleken dat er zwarte handel in toegangsbewijzen is, dus is daar een oplossing voor gekomen die het toegangsbewijs koppelt aan een biometrisch kenmerk van de koper zodat er handmatige gezichtsherkenning kan gebeuren. Dit is het middelste niveau.

                Deze handmatige gezichtsherkenning is natuurlijk eigenlijk ongewenst, overkill, oneigenlijk gebruik van biometrische kenmerken en draagt slechts indirekt bij aan het doel (tegengaan van zwarte handel). Het geeft ook nog eens een hele hoop vals-positieven waar dan weer uitzonderingsscenario’s voor bedacht moeten worden[Immers: er zijn vele goede redenen waarom je een kaartje voor een ander zou kopen, zelfs zonder dat die ander dat weet, bijv als kado/verrassing], en introduceert dus een hoop hoepels om door te springen voor iets wat een volledig onschuldige activiteit is.

                Kortom: het is maar zo-zo effectief en heeft best wel negatieve gevolgen. Om die reden, om het principe uit het bovenste niveau te respecteren, moet je dus eigenlijk terughoudend controleren. Bij een twijfelachtige herkenning, of bij een geloofwaardig verhaal waarom de persoon met het kaartje niet lijkt op de opgeslagen foto, zou je die moeten binnenlaten, anders ga je tegen het principe uit het bovenste niveau in.

                (vergeet niet: Het doel is niet om te controleren wie er binnenkomt, het is immers geen geheime militaire bijeenkomst, en het doel is ook niet om slachtoffers van kaartjeshandel strafrechtelijk te vervolgen, het doel is slechts om zwarte handel onaantrekkelijk te maken, en daarbij kun je je best veroorloven dat 10% van de mensen met een dubieus kaartje er toch inkomt. Je hoeft niet alle middelen in te zetten om iedereen die misschien niet alle adminsitratie in orde heeft aan te pakken om toch je doel te behalen)

                En nu komt er het onderste niveau bij: geautomatiseerde gezichtsherkenning als manier waarop je het middelste niveau uitvoert.

                Gezien de terughoudendheid die gewenst is bij het middelste niveau is ‘computer says no’ juist in dit geval onwenselijk. Waarom moet je eerlijke mensen waarvan de foto misschien maar matig klopt, of die een gezicht hebben waar de computer moeite mee heeft (denk aan het verhaal met de studenten met de donkere huidskleur), uitzonderen, afzonderen van hun vrienden, stress geven en vernederen door ze naar een speciale toegangspoort voor lastige gevallen te sturen?

                Het is begrijpelijk dat de organisatie zwarte handel wil tegengaan, maar door het stap voor stap te presenteren als redelijke stappen, vergeet men gemakkelijk dat het uiteindelijke middel dat ze willen gebruiken raakt aan de grondrechten.

  4. Het is wachten op de eerste voetbalclub die hiervoor zich beroept op het zwaarwegend algemeen belang om te zorgen dat sommige personen NIET binnen komen.

    (hier is mijn kaartje, bliep dat is mijn gezicht, die horen bij elkaar)

    Hoe gaat dat dan in de praktijk? Moet je dan een pasfoto gaan uploaden op de site van TicketMaster ? Hmm, wacht. Het zal over twee jaar wel hetzelfde gaan als tegenwoordig bij de banken, waarbij je verplicht een APP moet gebruiken, waarmee je jezelf en je ID fotografeert. Feit is dat ik zonder APP in elk geval vorig jaar al geen toegang kon krijgen tot de computerspellenbeurs Gamescom in Keulen (en dus moest afhaken), dus we kunnen wel zien waar het allemaal naar toe gaat.

    1. Het gaat om legitiem belang of gerechtvaardigd belang, artikel 6 lid 1 sub f AVG. Dat is een ander dan algemeen belang, dat staat onder sub e. Een gerechtvaardigd belang kan ook een commercieel of privé belang zijn, zoals controle van wie er naar je festival mag. Het is wellicht ook te stoppen onder uitvoering overeenkomst (sub b) maar daar zit een zware noodzakelijkheidstoets aan vast, is het objectief gezien onvermijdelijk dat dit moet gebeuren om de overeenkomst na te komen.

  5. Ik meen destijds gelezen te hebben dat juist de vraag of een uitsluitend commercieel belang op zichzelf een gerechtvaardigd belang in de zin van artikel 6(1) aanhef en onder f van de AVG kan zijn niet is beantwoord. Heb ik iets gemist?

    1. In de uitspraak van de RvS staat dat letterlijk

      De vraag of een uitsluitend commercieel belang op zichzelf een gerechtvaardigd belang in de zin van artikel 6, eerste lid, aanhef en onder f, van de AVG kan zijn, hoeft daarom niet te worden beantwoord.
      Echter, de zin daarna suggereert dat het antwoord ‘nee’ verkeerd is:
      De AP heeft ten onrechte bij de beoordeling van de eerste voorwaarde de door VoetbalTV gestelde belangen, zoals hiervoor onder 7.2 [moet zijn 7.3] weergegeven, niet meegewogen.
      Want in 7.3 staat een trits belangen die VoetbalTV had benoemd. Dat is volgens mij alleen te lezen als “je moet alle genoemde belangen in samenhang beoordelen”.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.