Tag: betrouwbaarheid

About betrouwbaarheid

Subscribe Feeds

EU test nepwetenschappelijke leugendetector bij grenscontroles

Geplaatst op in Regulering, 16 reacties

Wat bizar: in Griekenland, Hongarije en Letland begint een test van de Europese Unie met een leugendetector bij de grenscontrole, las ik bij Tweakers. Het iBorderCtrl-systeem analyseert ‘microgezichtsuitdrukkingen’ van reizigers om te controleren of ze de waarheid vertellen. Niet alleen is deze test gebaseerd op onderzoek waarbij slechts 32 vrijwilligers betrokken waren als proefpersonen, er is ook geen wetenschappelijke onderbouwing dat microexpressies überhaupt iets zeggen over leugenachtigheid. Maar ja, er zit een Artificial Intelligence in en uiteindelijk zegt het systeem alleen maar dat iemand verder moet worden gecontroleerd, dus niets aan de hand toch? Nou, dus wel.

In de kern komt het erop neer dat je als potentiële bezoeker online een aanvraag doet om de EU in te mogen. Je uploadt dan een foto van je paspoort en doet een intake met een virtuele douanebeambte in jouw taal, waarbij je wordt gefilmd met je eigen webcam. Software bij de douane analyseert die beelden (van 640×480 pixels bij 30 frames per seconde) op ‘microexpressies’, zeer kleine veranderingen in het gelaat die worden gekoppeld aan emotionele reacties. Een Machine Learning model (“een AI”) trekt daar statistische gegevens uit en legt deze langs een berg met proefpersoondata om zo te bepalen of je waarschijnlijk een leugenaar bent. Je komt dan in aanmerking voor extra controle.

Bedoeling van het systeem is natuurlijk om de douanebeambten aan de grens te ontlasten. Als een AI kan filteren op de verdachte personen, dan kan de douane daar haar aandacht op richten en de ‘gewone’ bezoekers doorlaten. Dat concept (dat ik eerder besprak) ondersteunt slechts de werkprocessen, en is daarmee juridisch geen probleem.

Het is ook niet verboden onder de AVG (die ook geldt bij grenscontroles, omdat hij geldt voor alle verwerkingen die in Europa gebeuren, en de dienst van het pre-screenen gebeurt in Europa). Weliswaar mag een computer geen besluiten nemen, maar een aanwijzing of iemand gecontroleerd moet worden, telt niet als besluitvorming in de zin van de AVG. Deze actie raakt je niet “in aanzienlijke mate”, zoals de wettelijke formulering is.

Inhoudelijk is dit natuurlijk behoorlijk problematisch. Natuurlijk is het geen robot die je bij de grens tegenhoudt. Er gaat een rood lampje branden bij de menselijke douanecontroleur, maar die moet vervolgens nog wel iets van bewijs te voorschijn krijgen. Alleen, in mijn ervaring is er altijd wel iets als je goed zoekt, in bureaucratische en voor gebruikers onbekende situaties. Zeker wanneer de controleur het onderzoek in gaat met “er is iets aan de hand”. Je krijgt dan een heel andere insteek van het gesprek en de doorzoeking dan bij een “Persoon geselecteerd voor willekeurige controle”. Dat vind ik ernstig.

In het paper van het onderzoek lees ik dat de insteek is dat van 32 participanten datasets op basis van beelddata werden gemaakt (die fameuze micro-expressies); een webcam van 640×480 pixels op 30 fps, elk frame is een data-vector. Koppel de beelden aan een vraag (“Wat zit er in uw koffer” of “Wat is de naam van iemand die uw verhaal kan bevestigen”) en je hebt je dataset. Het lijkt een standaard neural network met 20 verborgen lagen, waarbij inderdaad accuratesse van 76% werd gerapporteerd op de test-set. Nou is dat al niet hoog, maar het is dus gebaseerd op twee-en-dertig mensen. Dat vind ik bizar weinig. Ik ken natuurlijk de training voor douanebeambten niet, maar ik mag hopen dat die meer dan 32 trainingssituaties krijgen voordat ze ‘los’ mogen aan de grens?

Vervolgens vind ik deze Powerpoint (met wat zorgelijke dingen, zoals dat in de lijst van risicofacturen op slide 16 mensen hun Twitter(???) genoemd wordt. En wat ik volledig mis is hoe het systeem uitlegt waarom je in de verhoogdrisicorij terecht gekomen bent, een AVG eis. Ik denk dat ze denken dat dat niet hoeft omdat het systeem rule-based is, maar dat is onterecht.

Daar komt dan bij dat microexpressies helemaal niets zeggen, aldus UvA-professor Bruno Verschuere. Dus zelfs als je wel een representatief model hebt, dan slaat het aan op features die niets zeggen over de werkelijkheid. Effectief heb je daarmee een hele dure (4,5 miljoen Euro) random nummer generator gebouwd, maar met de pretentie dat het iets zegt dat het lampje rood werd. Dat lijkt me bepaald niet de bedoeling.

Arnoud

Hoe betekenisvol is een digitale handtekening onder een PDF?

Geplaatst op in Ondernemingsvrijheid, 14 reacties

Een lezer vroeg me:

Recent stuurde een zakenpartner me een contract om te tekenen via Digisign. In de mail van Digisign las ik “Deze e-mail bevat een veilige koppeling naar DocuSign. Deel deze e-mail, link of toegangscode niet met anderen. … Het is veilig en juridisch bindend.” Dat vind ik raar, als die link bij iemand anders komt dan kan hij in mijn naam tekenen. Hoe veilig is dat? Waarom is dit juridisch bindend?

Het komt inderdaad wat erg stellig over zo, met die tekst. Er zijn genoeg theoretische situaties te bedenken waarin hier misbruik van kan worden gemaakt, zonder dat je met zekerheid kunt vaststellen of het de beoogde contractspartner / tekenbevoegde persoon was die de digitale handtekening zette. Daarmee is formeel dus geen zekerheid dat de handtekening ‘echt’ is.

Echter, de wet is wat flexibeler. De regels over digitale handtekeningen kennen een zogeheten eenvoudige variant, waarbij het van de omstandigheden afhangt of een handtekening betrouwbaar genoeg is. Dat is waar men hier op meelift. Er is hier weinig authenticatie, maar het argument is dan dat er ook weinig nodig is gezien de situatie.

De situatie waarin je een tool als deze inzet, is immers dat je hebt onderhandeld en het eens bent geworden over een tekst. Je stuurt dan de finale tekst via Digisign naar je contractspartner en vraagt hem te tekenen. Dat is een formeel momentje en mag dus geen verrassing zijn. Ik vind het moeilijk om in die situatie een reëel scenario te bedenken waarin de handtekening wordt misbruikt.

Zo ongeveer het enige scenario is dat partij A er stiekem een rare clausule in stopt, en een collega bij partij B omkoopt om in de mailbox van A’s contractspartner de link te klikken en de handtekening te zetten. Dat kan, maar is achteraf op te sporen. Immers, die rare clausule zat nooit in de eerdere drafts en het is in onderhandelingen uitgesloten dat je zonder redline iets toevoegt en het dan een finale versie voor handtekening noemt. Daar zal dus altijd een luchtje aan kleven.

Het kan natuurlijk op zich wel dat iemand bij B in de mail zit en via de link de handtekening zet. Ik zou dat in principe toch echt het risico van B zien. Als je iemand je zaken laat waarnemen bij ziekte of vakantie, dan komen zijn acties voor jouw (bedrijf zijn) rekening. Dus nee, ik zie in de praktijk hier geen risico met die handtekening.

Arnoud