Roblox wil door middel van gezichtsherkenning de leeftijd van mijn kind verifiëren en gebruikt daarvoor scansoftware via Persona. In hoeverre is het illegaal om die scan-software te misleiden met bijvoorbeeld een AI image of, lo-tech, een masker of iets dergelijks?
Sommigen denken hierbij aan valsheid in geschrifte (art. 225 Strafrecht), maar dat gaat hier niet op. Afbeeldingen (foto’s of video) zijn geen ‘geschriften’ in de zin van de wet. Daar moet het echt gaan om communicatie met tekens of symbolen. Een afbeelding kan zulke tekens bevatten, zoals bij een foto van een geschreven brief. Maar een foto van een gezicht is geen geschrift.
Sinds enige tijd is er een apart artikel (231a Sr) over valse biometrische kenmerken. Lid 1 hiervan stelt strafbaar het vervalsen van biometrische persoonsgegevens met als doel je eigen identiteit te verbergen (‘verhelen’) of die van een ander te misbruiken. Dat is hier niet aan de orde, maar lid 2 vult aan:
Met dezelfde straf wordt gestraft hij die in gevallen waarin biometrische kenmerken of biometrische persoonsgegevens worden gebruikt voor het vaststellen van iemands identiteit, opzettelijk gebruik maakt van valse of vervalste biometrische kenmerken of biometrische persoonsgegevens als waren deze echt en onvervalst met het oogmerk om zijn identiteit te verhelen of de identiteit van een ander te misbruiken of opzettelijk gebruik maakt van biometrische kenmerken of biometrische persoonsgegevens van een ander met het oogmerk om de verdenking van een strafbaar feit op de ander of niet op hem te doen ontstaan.Wie dus biometrie vervalst om zo een identificatie te misleiden, óók als het alleen om je eigen kenmerken gaat, kan dus strafbaar zijn onder dit artikel. Onder ‘vervalsen’ kunnen ingewikkelde chirurgische ingrepen vallen, maar een masker of een AI-beeldmanipulatie in de context van video-scanning valt er wat mij betreft ook duidelijk onder.
Het probleem zit hem voor mij in “vaststellen van identiteit”. Het vaststellen hoe oud je bent, staat los van wat je paspoortnaam is. Roblox biedt bijvoorbeeld de optie om leeftijdverificatie met AI te doen zónder voorafgaand een identiteitsbewijs te hoeven zien. De beeldherkenning analyseert dan grofweg hoe oud je bent.
Nergens in de wetsgeschiedenis is uitgewerkt of naast ‘identiteit’ ook een leeftijdscontrole hier onder zou moeten vallen. Dat zou m.i. ook niet helemaal logisch zijn: het primaire doel was kunnen aanpakken van omzeilen van biometrische identificatie, bijvoorbeeld door je vingerafdrukken te manipuleren of plastische chirurgie zodat je niet meer lijkt op je politiefoto. Ik denk dus niet dat het strafbaar is om een leeftijdsverificatie zónder tevens identiteitscontrole te misleiden.
Natuurlijk is het wel in strijd met de gebruiksvoorwaarden, en kan een aanbieder zoals Roblox je account blokkeren wegens schending daarvan, mocht het uitkomen.
Arnoud
Wat jij aanhaalt is strafrecht.
Het lijkt me dat een game platform dat de leeftijd van zijn gebruikers wil vaststellen om te besluiten of ze toegang mogen krijgen bij uitstek een kwestie van burgerlijk recht is. Ik heb moeite met het strafrecht hierop toepassen.
Dat net is als (vroeger?) een 17 jarige die een discotheek probeert binnen te komen die een minimumleeftijd van 18 jaar hanteert. Soms lukt het, soms niet, en in beide gevallen is er niets ergs gebeurd.
Als die 17-jarige dat probeert met een identiteitsbewijs waar de foto van zijn grote broer op zit, dan is dat toch gewoon vervalsing van een identiteitsbewijs? Dat is een strafbaar feit.
Wat mij betreft (maar misschien houd ik er rare ideeen op na) dient een identiteitsbewijs om je identiteit te bewijzen ten opzichte van de overheid en anderen die wettelijk een identiteit dienen te verificeren.
Dat het ID-bewijs breder gebruikt wordt is waar, en het laten zien is ook vaak de gemakkelijkste weg, maar er is in veel situaties geen wettelijk recht om het te eisen, dat gaat meestal op basis van gebruiksvoorwaarden of huisregels.
Als er geen recht is om te eisen, is er ook geen plicht om een echt document te tonen, dan mag je best liegen door middel van een nagemaakt of geleend document. Zolang je die nagemaakte of geleende ID kaart niet gebruikt voor dingen waarvoor de wet het gebruik vereist, maar alleen voor dingen waar het gebruik vrijwillig is, is er volgens mij geen vervalsing in strafrechtelijke zin.
Een winkel of horeca-gelegenheid mag wettelijk alleen alcohol verkopen aan 18-jarigen en ouder. Is dat in jouw opinie een terechte reden om naar een identiteitsbewijs te vragen? (En als consequentie misbruik strafbaar te stellen.)
Een vergelijkbare redenering is op te zetten wanneer er een wettelijke leeftijdsgrens voor (a)”sociale netwerken” wordt ingevoerd.
Ik weet het heel eerlijk niet, ik ken de wetgeving daaromtrent niet goed genoeg.
Ik zou denken dat indien de verkoper een resultaatsverplichting heeft om te zorgen dat een minderjarige geen alcohol koopt, dan ‘ja’
Indien de verkoper slechts een inspanningsverplichting heeft (dus zijn best moet doen, maar geen 100% resultaat hoeft te boeken) om te zorgen dat een minderjarige geen alcohol koopt, dan eerder ‘nee’.
Dat je leeftijdchecks kunt en wilt omzeilen is nu eenmaal een fact of life, al sinds vele eeuwen. Het neigt naar politiestaat om dit 100% af te dekken (of zelfs om dit maar 100% te WILLEN afdekken).
Dat klopt. Maar ook dan geldt de overweging: wie moet die leeftijdsgrens afdwingen? Moet dat op basis van resultaat of inspanning? En hoe redelijk is het om daarbij 100% correctheid te eisen?
Misschien ben ik een oude vent met achterhaalde ideeen, maar als iemand zich in twintig bochten gaat wringen om toch maar toegang te krijgen, dan is dat bewijs dat zhij er goed over nagedacht heeft dat die toegang al die extra moeite waard is, en bewijs (wel, voldoende bewijs in ieder geval) dat zhij er bewust mee omgaat en wat mij betreft die toegang mag hebben.
Toegang geven aan een dergelijk persooon zal minder schadelijk zijn dan toegang voor iemand die een jaar ouder is maar volledig onvoorbereid.
Eigenlijk komt het neer op: die misleidingsmaneuvres zijn een toelatingsexamen.
Het verbod staat in de alcoholwet.
Er rust op de verkoper een serieuze resultaatverplichting, bij overtreding worden (bestuurlijke) boetes uitgedeeld. Tja, dit is Nederland waar uitvoerders streven naar 100% correcte uitvoering. Aan de andere kant zetten deze wettelijke regels ook sociale normen en zou men als burgers collectief moeten inzien dat er een waarde zit in het respecteren van deze norm.Mijn rechtsgevoel zegt: ook als er geen plicht is om een overheids-ID te laten zien, mag het vrijwillig getoonde overheids-ID niet vervalst zijn. Je moet op die dingen kunnen vertrouwen. Als ik zeg “ik ben 18+, kijk maar op mijn paspoort” dan behoort dat een sluitende bewijsketen te zijn. Dat is de kracht van het paspoort – de overheid zegt dat ik diegene ben en op die datum geboren is.
Je krijgt dan het grensgeval dat een organisatie zegt “wij kiezen vrijwillig voor identificatie met overheids-ID” terwijl de wet zo’n identificatie niet verplicht. Dan zeg jij, dan mag je een vals paspoort laten zien want ze konden je niet dwingen. Net zoals je mag liegen dat je niet zwanger bent bij je sollicitatie. Maar voor mij is dat te ver: het ondergraaft de vertrouwensfunctie. Paspoorten zijn echt, vervalsen is strafbaar. Dan moet je zeggen: het is behalve in gevallen X en Y verboden om naar een overheids-ID te vragen voor verificatie van naam of leeftijd.
Ik zie jouw punt wel. Een vals ID ondergraaft inderdaad de vertrouwensfunctie.
Maar wiens schuld is dat? Diegene die te pas en te onpas (vooral dat laatste) een zelf-bepaald willekeurig criterium oplegt, en ook nog eens zelfstandig besluit dat alleen iets wat eruit ziet als een overheidsdocument voldoet? Of degene die graag de andere partij wil pleasen en dan maar iets fabriceert waarmee die andere partij tevreden is.
Stel dat ik een document laat zien van een exotisch land met een afwijkend alfabet. Hoe gaat een of andere uitzendkracht bepalen of dat echt is of niet? Misschien is het wel een biblitheekkaart, wie weet?
Stel dat ik een bijster slechte namaak laat zien (bijvoorbeeld: geboortedatum 30 februari), en die voldoet. Mag ik dan afleiden dat ze zelf niet echt geloven in controle, maar het gewoon doen ‘voor de buhne’?
Het vertrouwen in het document, met name de speciale status van het document, wordt net zo goed onderuit gehaald door diegenen die het voor ieder wissewasje vragen, als door diegenen die een aangepaste versie maken om minder last te hebben van zeurpieten.
In 2015 werd een journalist veroordeeld voor het tonen van een nep-identiteitskaart, een volledig niet bestaand “lichtbildausweis” met pasfoto. Dat is dan de vrij fundamentele vraag: is dat nep, als je het zelf gemaakt hebt en niet doet of het van de overheid is.
Relevant voor deze discussie is dat de rechter zegt: het gaat om de bewijsfunctie, die ondergraaf je met fantasie- of nepbewijzen. Daaruit haal ik, het is niet relevant of de ander om bewijs mag vragen. Als jij dat doet, moet dat bewijs echt zijn. Zeg maar, of het nou een kassabon van de Albert Heijn is bij je declaratie of een paspoort bij de leeftijdscontrole.
Interessante link.
Maar die journalist probeerde fysiek de 2e kamer binnen te komen. Dat is wel serieus iets anders dan online toegang tot een game-platform (waar de discussie mee begonnen is), of een nachtclub die eist dat je bewijst dat je minimaal 25 jaar oud bent.
Er zal toch ergens een limiet zijn aan de strafbaarheid van valse documenten tonen.
Neem de niet-echte grenscontroles die een groep burgers vorig jaar aan de Gronings-Duitse grens hadden opgezet. Stel dat je daar een fantasie ID-document toonde aan een burger die zich voordeed als grensbeambte. Ik kan me eigenlijk niet voorstellen dat de politierechter dan tot hetzelfde besluit gekomen zou zijn.
Vertrouwen in het ID-document gaat hand-in-hand met een bijzondere status van het ID-document. Als iedereen voor iedere zelfbedachte pietluttigheid aan een ander dat document-met-een-bijzondere-status mag vragen, en die ander mag niet liegen door een fantasiedocument te tonen, dan hol je die bijzondere status uit. Dat is even ernstig als vertrouwen in de juistheid van de inhoud ondergraven.
Ik zou er inderdaad heel veel voor voelen om het vragen naar officiële identiteitsbewijzen te verbieden, tenzij er door de overheid een plicht daartoe is opgelegd. In de online wereld voel ik veel meer voor het invoeren van attestatie-functies, die niets anders doen dan, met de autoriteit van een overheid bijvoorbeeld zeggen: de persoon die deze sessie heeft gestart is ouder dan 18 jaar — maar dan wel op een manier dat zowel de overheid als de partij die om attestatie vraagt verder helemaal niets te weten komen, en zelfs voor deze functie zou ik willen dat zo’n derde partij daarvoor eerst gescreend moet zijn, zodat ook dat niet te pas en te onpas ingevoerd wordt.
Ik ben het inhoudelijk met je eens, maar hoe stel je je een leeftijdsattestatie voor bij een persoon die aan de kassa van de supermarkt een paar biertjes wil afrekenen? Ik heb er geen probleem mee om in dat geval even mijn rijbewijs te tonen, want de supermarkt legt daar verder geen gegevens van vast.
Wat mij betreft ligt het privacy probleem bij toezichthouders die “bewijs” vragen van leeftijdsverificatie, waardoor verkopers en dienstenaanbieders zich “gedwongen” voelen om foto’s of nummers van identiteitsbewijzen op te slaan.
Ook daar kan die dubbelblinde attestatie werken, als die de vorm heeft van een app op je telefoon of smartwatch, die een QR laat zien, die we winkelier kan scannen, waarop een lampje groen of rood wordt, oid, zoals toen de Covid app.
Maar inderdaad, in de klassieke fysieke wereld is even dat ID laten zien geen probleem, maar dan is de verleiding weer groot om er een kopie van te maken, dat zou dan niet mogen.
(Misschien een speciale coating er op aanbrengen die zwart wordt als de lamp van een kopieermachine er op schijnt…)
Je wilt bij een attestatie ook een verificatie van de identiteit, bijvoorbeeld via een pasfoto zodat de kassamedewerker die kan vergelijken. (En dan is het beter dat die door de attestant getoond wordt bij de medewerker.)
Ik zie hier weer andere privacyproblemen opdoemen.
Nee, die is daarvoor niet nodig. Je hoeft niet de naam van de persoon te weten om die sterke drank te mogen verkopen, alleen dat die persoon ouder is dan 18 jaar.
Natuurlijk is die foto nodig. Hoe voorkom je anders dat iemand van 17 even de telefoon of smartwatch van zijn oudere broer met toestemming leent of even meeneemt om de QR code te laten zien? Of wordt die oudere persoon dan schuldig omdat er geen wachtwoord op zijn device staat.
Ik weet even niet meer hoe dat in de Coronaperiode ging. Stond er niet iets op de QR pagina (of in de QR code) dat vergeleken moest worden?
PS: Wat verwacht je dat een autoverhuurbedrijf zou moeten gaan doen als ze geen officieel document mogen vragen?
In een fysieke situatie kan gewoon even een ID getoond worden en kan de koppeling gemaakt worden zonder dat er verder iets wordt opgeslagen.
En ja, als ouderen gaan meewerken aan het omzeilen van leeftijdsgrenzen, dan bereik je grens aan wat er te handhaven valt. Dat moeten we gewoon accepteren.
Eens dat de naam van de persoon niet nodig is, maar wel een manier om te verifiëren dat de attestatie bij de persoon hoort die de QR code toont. Het zou anders te makkelijk zijn om de QR code van een ander te gebruiken. Je zou in plaats van een pasfoto ook voor vingerafdruk of irisscan kunnen kiezen.
Wat is de status als ik in plaats van een AI filter gewoon een grote fresnellens (die op hetzelfde principe werkt als een lachspiegel) tussen mijn gezicht en de camera hou, waardoor de verhoudingen iets veranderen en de software mij ouder inschat? Het gaat me wat ver om zoiets een vervalsing te noemen…
Waarom, omdat het een goedkoop hulpmiddel is? Een plaksnor uit de feestwinkel en twee streepjes schminck is ook niet duur.
Mijn gevoel is dat we dit niet strafbaar achten omdat de impact zo klein is. Als de vraagsteller de Marechaussee wilde misleiden bij een vlucht op Schiphol, hadden we dan hetzelfde gedacht?
Waarom, omdat het een goedkoop hulpmiddel is? Een plaksnor uit de feestwinkel en twee streepjes schminck is ook niet duur.
Mijn gevoel is dat we dit niet strafbaar achten omdat de impact zo klein is. Als de vraagsteller de Marechaussee wilde misleiden bij een vlucht op Schiphol, hadden we dan hetzelfde gedacht?
Rijkelijk laat, maar toch nog even een vraag over de moeilijkheid: waarop is de zinsnede “… met het oogmerk om de verdenking van een strafbaar feit op de ander of niet op hem te doen ontstaan.” precies van toepassing?
Ik ben geen jurist, ik weet niet hoe (gebrek aan) komma’s precies gelezen moet worden, maar ik heb twee mogelijke interpretaties:
Zinsnede van toepassing op alle handelingen: het hele artikel is niet van toepassing als het niet gaat om identificering om de verdenking van een strafbaar feit op de goede persoon te laten rusten.
Zinsnede alleen van toepassing op het gebruik van de biometrische kenmerken van een ander; maar waarom de wetgever er dan voor gekozen heeft dat hier wél relevant is of de identificering voor de verdenking van een strafbaar feit plaatsvindt, en niet als je slechts je eigen kenmerken onherkenbaar maakt, is me een raadsel.
Als het 1. is, lijkt me dit artikel niet van toepassing, want het is (voor zover ik weet) toch (nog) geen strafbaar feit om jezelf voor te doen als een andere leeftijd om de terms & conditions van Roblox te omzeilen danwel als te jong persoon op zo’n platform actief te zijn?