De politie maakte vorig jaar veel vaker gebruik van gezichtsherkenningssoftware dan in 2022, meldde Security.nl vorige week. Dat blijkt uit de jaarcijfers van herkensysteem Centrale Automatische TeChnologie voor Herkenning van personen (CATCH). Het riep bij diverse lezers vragen op, mag dat nog wel nu de AI Act eraan komt in februari?
Het persbericht van de politie legt uit:
Er is een database met strafrechtafbeeldingen – foto’s die politiemensen van aangehouden verdachten en veroordeelden maken – en een voor vreemdelingenafbeeldingen. Als omstanders of slachtoffers beelden hebben gemaakt van bijvoorbeeld oplichters aan de deur of een straatmishandeling, dan kunnen deze worden vergeleken met de foto’s in CATCH. Immers heeft een verdachte vaak al eerder strafbare feiten gepleegd.De AI Act is afgelopen zomer wet geworden, en treedt gefaseerd in werking. Op 2 februari zullen een aantal gebruiksvormen van AI verboden worden, en dat is relevant want eentje daarvan gaat over biometrie bij de politie (art. 5.1(h) AIA):
het gebruik van systemen voor biometrische identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving, tenzij en voor zover een dergelijk gebruik strikt noodzakelijk is voor [gericht zoeken naar slachtoffers/vermisten, verijdelen van aanslagen of de lokalisatie of identificatie van een persoon die ervan wordt verdacht een [ernstig] strafbaar feit te hebben gepleegd.]Het CATCH systeem zoals hier beschreven gaat echter niet over biometrie op afstand in real time, maar over wat de AI Act “biometrische verificatie” noemt:
de geautomatiseerde één-op-éénverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens;Het systeem werkt immers op achterafbasis, een foto van het verleden wordt vergeleken met opgeslagen gegevens. Het verbod betreft real-time scannen van ‘iedereen’ in een bepaalde openbare ruimte om zo live te kunnen reageren als je iemand herkent. Dat zijn twee heel verschillende dingen.
Dat het niet onder de AI Act verboden is, wil natuurlijk niet zeggen dat het nietzomaar wel mag. Sterker nog, in Nederland hebben we de omgekeerde regel – bij zulke diep de privacy rakende technieken moet er een wet zijn die zegt dat het wél mag, en hoe. En die wet lijkt te ontbreken, zoals Bits of Freedom al in maart aankaartte.
De minister ziet dat anders, overigens. Daarbij werd opgemerkt dat dit zou worden herzien als de AI Act definitief was. Alleen zegt die dus helemaal niets over de risico’s van biometrische verificatie, dus de bal komt direct weer terug bij de AVG en de Wet politiegegevens.
Arnoud