Nederland experimenteert met gezichtsherkenning: privacyrisico’s vergen keuzes in wetgeving

Een slimme deurbel met gezichtsherkenning; je aanmelden met je gezicht in plaats van een toegangskaartje; en nu misschien wel gezichtsherkenning inzetten om individuen te identificeren die in contact zijn geweest met door covid-19 besmette personen? Gezichtsherkenning heeft ingrijpende gevolgen voor onze privacy. De wetgever kan de risico’s beperken, maar moet daarvoor nu reguleringskeuzes maken, stellen rechtswetenschappers van Tilburg University. Ze stelden een rapport op voor het WODC dat op 20 april 2020 is verschenen.

In Nederland wordt gezichtsherkenningstechnologie nog slechts mondjesmaat uitgeprobeerd en ingezet door burgers en bedrijven. Tegelijk zijn de toepassingen die wereldwijd worden ontwikkeld en de privacyrisico’s die ermee gepaard gaan reëel en ingrijpend. Dit roept de vraag op of de huidige wet- en regelgeving voldoende is om de privacy te beschermen en hoe privacy-inbreuken nu en in de nabije toekomst kunnen worden voorkomen of beperkt.

Kansen en keuzes

Kiest de wetgever ervoor risico’s zoveel mogelijk te vermijden, laat deze duizend bloemen bloeien of wil deze liever op casus-basis tot een aanpak komen? Hierover moet helderheid komen voordat de wetgever privacyrisico’s kan afwegen tegen de kansen die de technologie mogelijk biedt. Afhankelijk van zo''n expliciete afweging kan de regelgeving al dan niet worden aangescherpt. Mogelijkheden daarvoor zijn onder meer een totaalverbod, voorafgaande goedkeuring, een gedragscode en certificering, of gedogen.

De Tilburgse wetenschappers geven handvatten aan overheden en politici om gefundeerde keuzes te maken in de regulering. Zo wordt er onderscheid gemaakt tussen verschillende sectoren en toepassingen. Een app die slechtzienden helpt om mensen waar te nemen is iets anders dan inspelen op emoties van klanten door middel van gezichtsherkenning. Door helder onderscheid te maken in doeleinden ten behoeve van zorgverlening, beveiliging, commercie en recreatie kan op systematische en transparante wijze gedegen keuzes gemaakt worden, aldus het rapport.

Risico’s ingrijpend

Bij die keuzes moet wel rekening worden gehouden met een aantal, mogelijk ingrijpende, privacy-inbreuken. Zo werkt de technologie meestal op basis van beelddata waarvoor de afgebeelde personen geen toestemming hebben gegeven. Burgers kunnen slecht inschatten wat er met hun data gebeurt en als bepaalde partijen over veel data beschikken en andere niet, ontstaat er machtsongelijkheid.

De inzet van gezichtsherkenningstechnologie kan er bovendien toe leiden dat mensen hun gedrag aan gaan passen, bijvoorbeeld door bepaalde plaatsen niet meer te bezoeken of zich onopvallender te gedragen. En wie er als burger voor kiest gezichtsherkenningstechnologie te vermijden, zal misschien genoegen moeten nemen met uitgeklede alternatieven.

Een niet te onderschatten probleem is dat er ook een bias kan zitten in de trainingsdata van de software, waardoor bepaalde groepen kunnen worden gediscrimineerd doordat ze onjuist of niet herkend worden. Tenslotte bestaat altijd de mogelijkheid dat de overheid beslag legt op data van bedrijven die niet met dat doel verzameld zijn.

Gezichtsherkenningstechnologie in relaties tussen burgers en bedrijven is nog geen voldongen feit in Nederland; het is gezichtsherkenning “op het eerste gezicht”. We moeten onszelf dan ook nu de vraag stellen hoe we met deze technologie willen omgaan in onze democratische rechtsstaat, stellen de onderzoekers. Het rapport beoogt hiervoor het startschot te geven.