Facial Recognition

advertisement
GROEP GEGEVENSBESCHERMING ARTIKEL 29
00727/12/NL
WP 192
Advies 02/2012 over gezichtsherkenning bij online- en mobiele diensten
Goedgekeurd op 22 maart 2012
De Groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Zij is een onafhankelijk Europees adviesorgaan inzake
gegevensbescherming en de persoonlijke levenssfeer. Haar taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en artikel 15 van
Richtlijn 2002/58/EG.
Het secretariaat wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie) van het directoraat-generaal Justitie van de
Europese Commissie, 1049 Brussel, België, kamer MO-59 02/013.
Website: http://ec.europa.eu/justice/data-protection/index_en.htm
1. Inleiding
De beschikbaarheid en de nauwkeurigheid van gezichtsherkenningstechnologie zijn de
afgelopen jaren sterk toegenomen. Deze technologie is bovendien geïntegreerd in online- en
mobiele diensten om de identificatie, authenticatie/verificatie of categorisering van personen
mogelijk te maken. Gezichtsherkenning was ooit het domein van de sciencefiction, maar
wordt nu gebruikt door zowel de overheid als particuliere organisaties. Voorbeelden van het
gebruik ervan zien we in sociale netwerken en bij fabrikanten van smartphones.
De mogelijkheid om automatisch gegevens te verkrijgen en in een digitale afbeelding een
gezicht te herkennen is al eerder door de Groep Artikel 29 aangekaart in haar werkdocument
over biometrie (WP 80) en haar onlangs gepubliceerde advies 3/2012 over ontwikkelingen in
biometrische technologieën (WP 193). Gezichtsherkenning maakt deel uit van het terrein
biometrie, aangezien de technologie in veel gevallen voldoende gegevens oplevert om een
persoon uniek te kunnen identificeren.
In advies 3/2012 wordt opgemerkt:
“biometrische technologieën maken het mogelijk personen geautomatiseerd te
volgen, te traceren of te profileren en hebben daardoor een sterke potentiële
impact op de persoonlijke levenssfeer en het recht op gegevensbescherming”.
Dit is met name het geval wanneer gezichtsherkenning wordt gebruikt bij online- en mobiele
diensten: afbeeldingen van een persoon kunnen worden gemaakt (soms zonder dat de
betrokkene dat beseft) en doorgegeven naar een server elders om verder te worden verwerkt.
Onlinediensten, die vaak eigendom zijn van en geëxploiteerd worden door particuliere
organisaties, hebben enorme beeldverzamelingen opgebouwd die door de betrokkenen zelf
zijn geüpload. Soms zijn deze afbeeldingen ook onrechtmatig verkregen door andere
openbaar toegankelijke sites, zoals van zoekmachinecaches, af te schrapen. Gebruikers
kunnen foto’s maken met kleine mobiele apparaten waarin een camera met hoge resolutie is
ingebouwd, en deze direct, via een altijd beschikbare verbinding, naar onlinediensten
doorsturen. Gebruikers kunnen die afbeeldingen dan delen met anderen of door middel van
identificatie, authenticatie/verificatie of categorisering extra informatie verkrijgen over de
bekende of onbekende persoon die voor hen staat.
Gezichtsherkenning bij online- en mobiele diensten verdient daarom specifieke aandacht van
de Groep artikel 29 vanwege de vragen op het gebied van gegevensbescherming die deze
technologie doet rijzen.
In dit advies wordt het rechtskader bekeken en worden passende aanbevelingen geformuleerd
voor het gebruik van gezichtsherkenningstechnologieën in de context van online- en mobiele
diensten. Het advies is gericht tot Europese en nationale wetgevende instanties,
verantwoordelijken voor de verwerking en gebruikers van deze technologieën. Het is niet de
bedoeling om in dit advies de in advies 3/2012 bedoelde beginselen nogmaals te beschrijven,
maar er wordt uitsluitend gekeken naar de implicaties ervan in het kader van online- en
mobiele diensten.
1
2. Definities
Gezichtsherkenning is geen nieuwe technologie, en er bestaan dan ook meerdere definities en
interpretaties ervan. Het is daarom nuttig om een duidelijke definitie te geven van de
technologie waarop dit advies betrekking heeft.
Digitale afbeelding: Een digitale afbeelding is een weergave van een tweedimensionale
afbeelding in digitale vorm. Recente ontwikkelingen van de gezichtsherkenningstechnologie
vereisen echter dat ook driedimensionale afbeeldingen beschikbaar zijn, naast statische en
bewegende beelden (d.w.z. foto’s, opgenomen video en livevideo).
Gezichtsherkenning: gezichtsherkenning is de automatische verwerking van een digitale
afbeelding van het gezicht van een persoon ten behoeve van de identificatie,
authenticatie/verificatie of categorisering1 van die persoon. Het proces van
gezichtsherkenning zelf bestaat uit een aantal discrete subprocessen:
a) beeldopname: het opnemen van het gezicht van een persoon en het omzetten
daarvan in een digitale vorm (digitale afbeelding). In een online- en mobiele dienst
kan de afbeelding zijn opgenomen in een ander systeem, bijvoorbeeld wanneer een
foto wordt gemaakt met een digitale camera en dan naar een onlinedienst wordt
overgezet;
b) gezichtsdetectie: het detecteren van de aanwezigheid van een gezicht op een
digitale afbeelding en het afbakenen van het gebied waar dat gezicht zich bevindt;
c) normalisatie: het effenen van variaties tussen gedetecteerde gezichtsdelen,
bijvoorbeeld door middel van conversie naar standaardafmetingen, rotatie of
aanpassing van de kleurverdeling;
d) kenmerkextractie: het isoleren en produceren van herhaalbare en distinctieve
interpretaties van de digitale afbeelding van een persoon. Voor kenmerkextractie
wordt een holistische methode2 of een op kenmerken gebaseerde3 methode
toegepast, of een combinatie daarvan4. De hoofdkenmerken kunnen met het oog op
latere vergelijking worden opgeslagen in een referentietemplate5;
e) vastlegging: indien een persoon voor het eerst in contact komt met het
gezichtsherkenningssysteem, kan de afbeelding en/of de referentietemplate met het
oog op latere vergelijking worden opgeslagen;
f)
1
2
3
4
5
vergelijking: het meten van de overeenkomsten tussen een verzameling
kenmerken (de opname) met een verzameling kenmerken die eerder in het systeem
is vastgelegd. De belangrijkste doeleinden van de vergelijking zijn identificatie en
authenticatie/verificatie. Een derde doel van vergelijking is categorisering, dat wil
Identificatie, authenticatie/verificatie en categorisering worden gedefinieerd in advies 3/2012.
Holistische kenmerkextractie: een mathematische weergave van de gehele afbeelding, zoals die resulteert
uit een principalecomponentenanalyse.
Kenmerkextractie op basis van de kenmerken: identificatie van de locatie van specifieke gezichtskenmerken
zoals ogen, neus en mond.
Ook wel hybride kenmerkextractie genoemd.
Template wordt in advies 3/2012 als volgt gedefinieerd: “hoofdkenmerken die zijn geëxtraheerd uit de
onverwerkte biometrische gegevens (bijvoorbeeld uit een afbeelding afkomstige gezichtsmetingen) en
opgeslagen voor latere verwerking, in plaats van de onverwerkte gegevens zelf”.
2
zeggen het extraheren van kenmerken uit een afbeelding van een persoon om die
persoon in te delen in een of meer brede categorieën (bijvoorbeeld leeftijd,
geslacht, kleur van de kleding, enz.). Een vastleggingsproces is voor een
categoriseringssysteem niet noodzakelijk.
3. Voorbeelden van gezichtsherkenning bij online- en mobiele
diensten
Gezichtsherkenning kan in het kader van online- en mobiele diensten op een aantal
verschillende manieren en voor allerlei doeleinden worden toegepast. In dit advies
concentreert de Groep artikel 29 zich op enkele voorbeelden waarmee zij de juridische
analyse illustreert en die betrekking hebben op het gebruik voor identificatie,
authenticatie/verificatie en categorisering.
3.1.
Gezichtsherkenning als middel voor identificatie
Voorbeeld 1: Een socialenetwerkdienst6 laat gebruikers een digitale afbeelding aan hun
profiel toevoegen. Bovendien kunnen gebruikers afbeeldingen uploaden om deze met andere
al dan niet geregistreerde gebruikers te delen. Geregistreerde gebruikers kunnen op de door
hen geüploade afbeeldingen andere personen (al dan niet geregistreerde gebruikers)
handmatig identificeren en van een label voorzien. Zulke labels kunnen worden bekeken door
degene die ze heeft aangemaakt en worden gedeeld met een groep vrienden of met alle
geregistreerde of niet- geregistreerde gebruikers. De socialenetwerkdienst kan met behulp
van de gelabelde afbeeldingen voor elke geregistreerde gebruiker een referentietemplate
creëren, en door middel van een gezichtsherkenningssysteem voor elke nieuwe geüploade
afbeelding automatisch een of meer labels voorstellen.
Afbeeldingen van personen die door gebruikers voor iedereen toegankelijk zijn gemaakt,
kunnen vervolgens door een internetzoekmachine worden bekeken en gecachet. De
zoekmachine kan streven naar verbetering van de zoekfunctie door de gebruikers een
afbeelding van een persoon te laten uploaden en als resultaat sterk daarop lijkende
afbeeldingen te tonen. Ook kan een link worden verstrekt naar de profielpagina bij een
socialenetwerkdienst. De zoekafbeelding kan rechtstreeks met de camera van een smartphone
worden gemaakt.
3.2.
Gezichtsherkenning als middel voor authenticatie/verificatie
Voorbeeld 2: Een gezichtsherkenningssysteem wordt gebruikt in plaats van een
gebruikersnaam/wachtwoordcombinatie om toegang te verlenen tot een online- of mobiele
dienst of apparaat. Bij de vastlegging wordt met een in het apparaat ingebouwde camera een
foto gemaakt van een geautoriseerde gebruiker van het apparaat en een referentietemplate
gecreëerd, die op het apparaat of elders door de onlinedienst kunnen worden opgeslagen. Om
toegang te krijgen tot de dienst of het apparaat, wordt opnieuw een foto gemaakt van de
persoon die toegang wil krijgen, en vergeleken met de referentiefoto. De toegang wordt
verleend als het systeem een positieve match constateert.
6
Socialenetwerkdiensten worden in advies 5/2009 ruwweg omschreven als “online communicatieplatforms
waarop personen kunnen deelnemen aan netwerken van gelijkgezinde gebruikers of dergelijke netwerken
kunnen opzetten”.
3
3.3.
Gezichtsherkenning als middel voor categorisering
Voorbeeld 3: de in voorbeeld 1 beschreven socialenetwerkdienst kan de toegang tot de
afbeeldingenbibliotheek in licentie geven aan een derde die een onlinedienst voor
gezichtsherkenning exploiteert. Met behulp van die dienst kunnen de klanten van de derde
gezichtsherkenningstechnologie in andere producten opnemen. Met deze functie kunnen
vanuit die andere producten afbeeldingen van personen worden doorgegeven, waarop
gezichten kunnen worden herkend en gecategoriseerd volgens tevoren vastgestelde criteria,
zoals mogelijke leeftijd, geslacht en stemming.
Voorbeeld 4: Een spelconsole maakt gebruik van een systeem voor sturing met gebaren, dat
bewegingen van de gebruiker detecteert om het spel te sturen. De camera van het
stuursysteem deelt afbeeldingen van personen met een gezichtsherkenningssysteem, dat de
mogelijke leeftijd, het geslacht en de stemming van de spelers voorspelt. Dergelijke
gegevens, maar ook gegevens die van andere multimodale factoren afkomstig zijn, kunnen
dan het spelverloop beïnvloeden en de gebruikerservaring verbeteren, of de omgeving
aanpassen aan het voorspelde profiel van de gebruiker. Ook zouden gebruikers met behulp
van een systeem kunnen worden gecategoriseerd, om bijvoorbeeld toegang te verlenen of te
weigeren tot materiaal dat voor personen van bepaalde leeftijdsgroepen ongeschikt is, of om
in de spelomgeving gerichte reclame te tonen.
4. Rechtskader
Het rechtskader wat gezichtsherkenning betreft wordt gevormd door de richtlijn
gegevensbescherming (95/46/EG), die tegen deze achtergrond is besproken in advies 3/2012.
Het is niet de bedoeling om hier meer dan een overzicht te geven van het rechtskader in de
context van gezichtherkenning bij online- en mobiele diensten op basis van de voorbeelden in
hoofdstuk 3. In advies 3/2012 worden meer voorbeelden gezichtsherkenning besproken.
4.1.
Digitale afbeeldingen als persoonsgegeven
Als een digitale afbeelding duidelijk zichtbaar het gezicht van een persoon toont, zodanig dat
die persoon kan worden geïdentificeerd, wordt die afbeelding als persoonsgegeven
aangemerkt. Of dat het geval is, hangt af van een aantal factoren, zoals de kwaliteit van de
afbeelding of het gezichtspunt. Afbeeldingen van situaties waarop personen in de verte te
zien zijn of gezichten zijn vervaagd, zullen in de meeste gevallen waarschijnlijk niet als
persoonsgegevens worden aangemerkt. Digitale afbeeldingen kunnen overigens
persoonsgegevens bevatten betreffende meer dan een persoon (in voorbeeld 4 kunnen
meerdere spelers in beeld zijn) en de aanwezigheid van anderen op een foto kan impliceren
dat er een relatie bestaat.
In advies 4/2007 over het begrip persoonsgegeven wordt erop gewezen dat er eveneens
sprake is van persoonsgegevens als gegevens betrekking hebben op “de kenmerken of het
gedrag van een persoon of indien dergelijke informatie wordt gebruikt om de wijze waarop
die persoon wordt behandeld of beoordeeld te bepalen of te beïnvloeden”.
Een op basis van een afbeelding van een persoon gecreëerde referentietemplate is per
definitie ook een persoonsgegeven, aangezien die template onderscheidende kenmerken van
het gezicht van de persoon bevat, en vervolgens wordt gekoppeld aan de persoon en
opgeslagen als referentie voor latere vergelijking met het oog op identificatie en
authenticatie/verificatie.
4
Een template of een reeks onderscheidende kenmerken die uitsluitend in een
categoriseringssysteem wordt gebruikt, bevat doorgaans niet voldoende informatie om een
persoon te identificeren, maar slechts voldoende om die persoon in een categorie in te delen
(bijvoorbeeld man/vrouw). Er is in dat geval geen sprake van persoonsgegevens, mits de
template (of het resultaat) niet wordt geassocieerd met de record, het profiel of de
oorspronkelijke afbeelding van een persoon, die wel als persoonsgegevens worden
aangemerkt.
Aangezien digitale afbeeldingen van personen en templates betrekking hebben op
“biologische eigenschappen, gedragsaspecten, fysiologische kenmerken, leefgewoonten of
herhaalbare handelingen, waarbij die kenmerken en/of handelingen zowel uniek voor de
betreffende persoon als meetbaar zijn7”, moeten ze als biometrische gegevens worden
aangemerkt.
4.2.
Digitale afbeeldingen als speciale categorie persoonsgegeven
Digitale afbeeldingen van personen kunnen in sommige specifieke gevallen als een speciale
categorie persoonsgegeven worden aangemerkt8. In het specifieke geval dat digitale
afbeeldingen van personen of templates verder worden verwerkt om er speciale
gegevenscategorieën uit af te leiden, moeten zij zeker tot deze categorie worden gerekend,
bijvoorbeeld als zij bedoeld zijn om te worden gebruikt om informatie betreffende de
etnische afkomst, de godsdienst of de gezondheid te verkrijgen.
4.3.
Verwerking
van
persoonsgegevens
gezichtsherkenningssysteem
in
het
kader
van
een
Gezichtsherkenning bestaat, zoals eerder omschreven, uit een aantal geautomatiseerde
verwerkingsfasen. Gezichtsherkenning is dus een geautomatiseerde vorm van verwerking van
persoonsgegevens, waaronder biometrische gegevens.
Gezichtsherkenningssystemen kunnen door het gebruik van biometrische gegevens in
bepaalde lidstaten ook onderworpen zijn aan andere wet- of regelgeving, zoals aan een
verplichting tot voorafgaande toestemming of aan het arbeidsrecht. Het gebruik van biometrie
in de arbeidssfeer wordt in advies 3/2012 nader bekeken.
4.4.
Voor de verwerking verantwoordelijke
In de situaties die in de voorbeelden zijn opgevoerd, zal de voor de verwerking
verantwoordelijke doorgaans de eigenaar van de website, de verlener van de onlinedienst of
de exploitant van de mobiele toepassing zijn die gezichtsherkenning toepast, aangezien deze
het doel van en/of de middelen voor de verwerking vaststelt9. In dit verband geldt ook de
conclusie “Aanbieders van sociale netwerkdiensten zijn voor de verwerking
verantwoordelijken in de zin van de richtlijn gegevensbescherming”, die in advies 5/2009
over online sociale netwerken is opgenomen.
7
8
9
Definitie van biometrische gegevens in advies 3/2012.
In een aantal landen worden digitale afbeeldingen van een gezicht volgens de jurisprudentie als een speciale
gegevenscategorie aangemerkt (Hoge Raad der Nederlanden 23 maart 2010, LJN BK6331).
Zie advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”.
5
4.5.
Rechtsgrondslag
In Richtlijn 95/46/EG zijn de voorwaarden vastgesteld waaraan bij de verwerking van
persoonsgegevens moet worden voldaan. Die houden in dat de verwerking in de eerste plaats
moet voldoen aan de eisen betreffende gegevenskwaliteit (artikel 6). In dit geval moet de
verwerking van digitale afbeeldingen van personen dus “ter zake dienend” en “niet
bovenmatig” zijn voor het doel, namelijk gezichtsherkenning. Bovendien mag de verwerking
alleen plaatsvinden als aan een van de criteria van artikel 7 is voldaan.
Gezien de bijzondere risico’s die aan biometrische gegevens zijn verbonden, moet vóór de
aanvang van de verwerking van een digitale afbeelding met het oog op gezichtsherkenning de
op informatie berustende toestemming van de betrokkene zijn verkregen. In sommige
gevallen kan het echter zijn dat de voor de verwerking verantwoordelijke eerst enkele met
gezichtsherkenning samenhangende verwerkingshandelingen moet verrichten om te
beoordelen of de betrokkene al dan niet zijn juridisch geldige toestemming heeft gegeven
voor de verwerking. Voor deze initiële verwerking (beeldopname, gezichtsdetectie,
vergelijking, enz.) kan er dan een afzonderlijke rechtsgrondslag zijn, namelijk het
gerechtvaardigde belang van de voor de verwerking verantwoordelijke om de voorschriften
betreffende gegevensverwerking na te leven. De in deze stadia verwerkte gegevens mogen
slechts worden gebruikt voor het strikt beperkte doel van verificatie van de toestemming van
de betrokkene en dienen dan ook onmiddellijk daarna te worden gewist.
In voorbeeld 1 heeft de voor de verwerking verantwoordelijke beslist dat gezichtsherkenning,
kenmerkextractie en vergelijking moeten worden toegepast op alle nieuwe afbeeldingen die
geregistreerde gebruikers van de socialenetwerkdienst uploaden. Slechts bij geregistreerde
gebruikers voor wie in de identificatiedatabase een referentietemplate is vastgelegd, zullen de
nieuwe afbeeldingen bij de vergelijking een match opleveren en zal automatisch een label
worden voorgesteld. Als de toestemming van de betrokkene de enig mogelijke legitieme
grondslag voor elke vorm van verwerking zou zijn, zou de hele dienst worden geblokkeerd,
aangezien er bijvoorbeeld geen toestemming kan worden verkregen van niet-geregistreerde
gebruikers van wie de persoonsgegevens zijn verwerkt in de fase van gezichtsdetectie en
kenmerkextractie. Zonder gezichtsherkenning zou het bovendien niet mogelijk zijn om
onderscheid te maken tussen de gezichten van geregistreerde gebruikers die toestemming
hebben gegeven en de gezichten van geregistreerde gebruikers die dat niet hebben gedaan.
Pas nadat identificatie (of non-identificatie) heeft plaatsgevonden, kan de voor de verwerking
verantwoordelijke nagaan of hij al dan niet de vereiste toestemming heeft voor een specifieke
vorm van verwerking.
Voordat geregistreerde gebruikers een afbeelding uploaden naar de socialenetwerkdienst,
moet duidelijk worden gemaakt dat op die afbeeldingen gezichtsherkenning zal worden
toegepast. Wat nog belangrijker is: de geregistreerde gebruikers moet bovendien de
mogelijkheid worden geboden om al dan niet toestemming te geven voor de vastlegging van
hun referentietemplate in de identificatiedatabase. Voor niet-geregistreerde gebruikers en
voor geregistreerde gebruikers die niet in de verwerking hebben toegestemd, zal dus niet
automatisch hun naam als label worden voorgesteld, omdat afbeeldingen waarop zij
voorkomen niet tot een positieve match zullen leiden.
De toestemming van de uploader van de afbeelding mag niet worden gezien als een legitieme
grond voor de verwerking van persoonsgegevens van andere personen die op de afbeelding
voorkomen. De voor de verwerking verantwoordelijke kan zich beroepen op een andere
rechtsgrondslag voor de verwerking in de tussenliggende stadia (gezichtsdetectie,
normalisatie en vergelijking), zoals het gerechtvaardigde belang van de voor de verwerking
verantwoordelijke, mits er voldoende beperkingen en controlemiddelen zijn om de
6
grondrechten en fundamentele vrijheden van andere betrokkenen dan de uploader te
beschermen. Dergelijke controlemiddelen moeten er onder meer voor zorgen dat de gegevens
die uit de verwerking resulteren niet worden bewaard bij een negatieve match (alle templates
en daarmee samenhangende gegevens moeten dus veilig worden verwijderd). De voor de
verwerking verantwoordelijke kan de gebruikers ook instrumenten aanbieden waarmee
uploaders de gezichten van personen waarvoor de referentiedatabase geen match bevat,
kunnen vervagen. Een template van een persoon mag slechts in een identificatiedatabase
worden vastgelegd (waardoor een matchresultaat en vervolgens labelsuggesties mogelijk
worden) met de op informatie berustende toestemming van de betrokkene.
In voorbeeld 2 is er bij het vastleggingsproces een duidelijke mogelijkheid om de
toestemming te verkrijgen van de persoon die toegang mag krijgen tot het apparaat. Die
toestemming is slechts geldig als er een alternatief en even veilig toegangscontrolesysteem is,
zoals een krachtig wachtwoord. Deze alternatieve privacyvriendelijke optie moet als
standaard zijn ingesteld. Als een gebruiker voor een op het apparaat aangesloten camera gaat
zitten met het uitdrukkelijke doel om er toegang toe te krijgen, kunnen we aannemen dat die
gebruiker toestemming geeft voor het verwerken van de gezichtsgegevens die voor de
authenticatie benodigd zijn, ook als die persoon geen geautoriseerde gebruiker is van het
apparaat. De gebruiker moet echter voldoende zijn geïnformeerd om een geldige
toestemming tot stand te brengen.
De in voorbeeld 3 bedoelde uitbreiding van het gebruik van de fotobibliotheek van een
socialenetwerkdienst is een duidelijk voorbeeld van een inbreuk op het doelbindingsprincipe.
Voor een dergelijke functie kan worden ingevoerd, moet de betrokkene dus duidelijk worden
meegedeeld dat de beeldgegevens zullen worden verwerkt en moet hij daarvoor uitdrukkelijk
toestemming verlenen. Dat geldt ook voor de in voorbeeld 1 beschreven zoekmachine. De
door de zoekmachine verkregen afbeeldingen werden namelijk getoond om te worden
bekeken en niet om door een gezichtsherkenningssysteem te worden verwerkt. De exploitant
van de zoekmachine zou van alle betrokkenen toestemming moeten verkrijgen voor de
vastlegging in het tweede gezichtsherkenningssysteem.
Dat zou ook voor voorbeeld 4 het geval zijn, aangezien de gebruiker mogelijk niet verwacht
dat de voor de sturing met gebaren gemaakte afbeeldingen verder worden verwerkt. Als de
voor de verwerking verantwoordelijke om toestemming vraagt voor de langere termijn (voor
langere tijd of voor meer dan één spel) moet de gebruiker er regelmatig aan worden
herinnerd dat het systeem actief is, en moet het standaard worden uitgeschakeld.
In advies 15/2011 over de definitie van toestemming worden de kwaliteit, toegankelijkheid
en zichtbaarheid van informatie betreffende de verwerking van persoonsgegevens besproken.
In het advies staat:
“De informatie moet rechtstreeks aan de betrokkene worden verstrekt. Het
volstaat niet om de informatie ergens ‘beschikbaar’ te maken.”
Informatie over de gezichtsherkenningsfunctie van een online- of mobiele dienst mag dus niet
ergens worden verborgen, maar moet op een eenvoudig toegankelijke en begrijpelijke manier
worden aangeboden. Er moet dus ook op worden toegezien dat de werking van de camera’s
niet verborgen blijft. Bij de implementatie van gezichtsherkenningstechnologie moet de voor
de verwerking verantwoordelijke rekening houden met de redelijke privacyverwachting van
het publiek en een passende oplossing vinden.
Uit het feit dat de gebruiker te kennen heeft gegeven dat hij de algemene
gebruiksvoorwaarden van de dienst aanvaardt, mag niet worden afgeleid dat hij ook toestemt
7
in de vastlegging van zijn beeldgegevens, tenzij hij mag verwachten dat gezichtsherkenning
een onderdeel is van het primaire doel van de dienst. De reden hiervoor is dat de vastlegging
in de meeste gevallen een aanvullende functie is en niet rechtstreeks samenhangt met de
werking van de online- of mobiele dienst. De gebruiker verwacht niet noodzakelijk dat het
gebruik van de dienst met een dergelijke functie gepaard gaat. Ofwel bij de registratie, ofwel
in een later stadium, afhankelijk van wanneer de functie wordt geïntroduceerd, moet de
gebruiker dus uitdrukkelijk in de gelegenheid worden gesteld om toestemming te geven.
De toestemming is slechts geldig als aan de gebruiker passende informatie over de
gegevensverwerking is verstrekt. De gebruikers moeten hun toestemming te allen tijde op
eenvoudige wijze kunnen intrekken. Wanneer de toestemming is ingetrokken, moet de
verwerking met het oog op gezichtsherkenning onmiddellijk stoppen.
5. Specifieke risico’s en aanbevelingen
De privacyrisico’s van een gezichtsherkenningssysteem zijn geheel afhankelijk van de soort
verwerking en het doel of de doelen ervan. Bepaalde risico’s zijn echter in specifieke fasen
van de gezichtsherkenning relevanter. In het volgende gedeelte worden de grootste risico’s
besproken en aanbevelingen gedaan voor goede werkmethoden.
5.1.
Onrechtmatige verwerking met het oog op gezichtsherkenning
In een onlinesituatie kan de voor de verwerking verantwoordelijke op velerlei manieren
afbeeldingen verkrijgen: de gebruikers van de online- of mobiele dienst, hun vrienden en
collega’s of derden kunnen bijvoorbeeld afbeeldingen aanbieden. Op die afbeeldingen kan
het gezicht van de gebruiker zelf staan en/of dat van andere al dan niet geregistreerde
gebruikers, of de afbeelding kan zijn verkregen zonder medeweten van de betrokkene. Hoe
de afbeeldingen ook zijn verkregen, er moet een rechtsgrondslag zijn voor de verwerking
ervan.
Aanbeveling 1: als de voor de verwerking verantwoordelijke de afbeelding rechtstreeks
verkrijgt (zoals in de voorbeelden 2 en 4), moet hij erop toezien dat de betrokkenen
voor de verwerving op geldige wijze hun toestemming hebben gegeven en voldoende
duidelijk aangeven wanneer de camera actief is met het oog op gezichtsherkenning.
Aanbeveling 2: als personen digitale afbeeldingen opnemen en deze uploaden naar een
online- of mobiele dienst met het oog op gezichtsherkenning, moet de voor de
verwerking verantwoordelijke nagaan of de uploader van de afbeeldingen heeft
toegestemd in de verwerking van de afbeeldingen met het oog op gezichtsherkenning.
Aanbeveling 3: als een voor de verwerking verantwoordelijke van derden digitale
afbeeldingen van personen verkrijgt (bijvoorbeeld door deze te kopiëren van een
website of aan te kopen bij een andere voor de verwerking verantwoordelijke), moet hij
zorgvuldig nagaan wat de bron is en de context waarin de oorspronkelijke afbeeldingen
werden verworven, en deze alleen verwerken als de betrokkenen daarbij voor die
verwerking toestemming hadden gegeven.
Aanbeveling 4: voor de verwerking verantwoordelijken moeten erop toezien dat digitale
afbeeldingen en templates alleen worden gebruikt voor het opgegeven doel waarvoor
zij ter beschikking zijn gesteld. De voor de verwerking verantwoordelijke moet
technische controlemiddelen inzetten om het risico te verminderen dat digitale
afbeeldingen door derden worden verwerkt voor doeleinden waarin de gebruiker niet
8
heeft toegestemd. De voor de verwerking verantwoordelijke moet de gebruiker
middelen geven om de zichtbaarheid van door hem geüploade afbeeldingen te regelen,
waarbij de standaardinstelling zo moet zijn dat de toegang voor derden beperkt is.
Aanbeveling 5: de voor de verwerking verantwoordelijke moet erop toezien dat digitale
afbeeldingen van personen die geen geregistreerde gebruiker van de dienst zijn of
anderszins niet in verwerking hebben toegestemd, slechts worden verwerkt indien de
voor de verwerking verantwoordelijke daarbij een gerechtvaardigd belang heeft. In de
situatie van voorbeeld 1 dient hij bij een negatieve match bijvoorbeeld alle verwerking
te stoppen en alle gegevens te wissen.
Inbreuk op de beveiliging tijdens de gegevensdoorgifte
Bij online- en mobiele diensten is het waarschijnlijk dat er tussen de beeldverwerving en de
overige fasen van de verwerking gegevens worden doorgegeven (bijvoorbeeld het uploaden
van een afbeelding vanaf de camera naar een website met het oog op kenmerkextractie en
vergelijking).
Aanbeveling 6: de voor de verwerking verantwoordelijke moet passende maatregelen
nemen om de veiligheid van de gegevensdoorgifte te waarborgen. Dat kan onder meer
betekenen dat de communicatiekanalen of de verkregen afbeeldingen moeten worden
versleuteld. Indien mogelijk moet, met name wat authenticatie/verificatie betreft, lokale
verwerking de voorkeur krijgen.
5.2.
Gezichtsdetectie, normalisatie, kenmerkextractie
Minimalisering van de gegevensverwerking
Templates die door een gezichtsherkenningssysteem worden gegenereerd, kunnen meer
gegevens bevatten dan nodig is voor het opgegeven doel.
Aanbeveling 7: de voor de verweking verantwoordelijke moet erop toezien dat de gegevens
die uit een digitale afbeelding zijn verkregen om een template te genereren, niet
“bovenmatig” zijn en slechts de informatie bevatten die voor het opgegeven doel
noodzakelijk zijn, zodat verdere verwerking wordt vermeden. Templates mogen niet
overdraagbaar zijn tussen verschillende gezichtsherkenningssystemen.
Inbreuk op de beveiliging bij de gegevensopslag
Voor identificatie en authenticatie/verificatie moet het template waarschijnlijk worden
opgeslagen met het oog op vergelijking in een later stadium.
Aanbeveling 8: de voor de verwerking verantwoordelijke moet de meest geschikte locatie
voor de opslag van de gegevens in overweging nemen. Opslag kan onder meer
plaatsvinden op het apparaat van de gebruiker of binnen de systemen van de voor de
verwerking verantwoordelijke. Deze moet passende maatregelen nemen om de
veiligheid van de opgeslagen gegevens te waarborgen. Daartoe kan de template worden
versleuteld. Het moet onmogelijk zijn voor onbevoegden om toegang te krijgen tot de
template of de opslagruimte. Met name bij gezichtsherkenning met het oog op
verificatie kunnen biometrische encryptietechnieken worden gebruikt. Bij dergelijke
technieken wordt de cryptografische sleutel rechtstreeks gebonden aan de biometrische
gegevens en slechts gerecreëerd indien bij de verificatie het juiste biometrische
9
specimen wordt aangeboden; afbeeldingen of templates worden hierbij niet opgeslagen
(er is dus sprake van een soort “niet-traceerbare biometrie”).
Toegang voor de betrokkene
Aanbeveling 9: de voor de verwerking verantwoordelijke moet de betrokkene passende
instrumenten bieden om zijn recht van toegang uit te oefenen, in voorkomend geval
zowel tot de oorspronkelijke afbeeldingen als tot de bij de gezichtsherkenning
gegenereerde templates.
Gedaan te Brussel, 22 maart 2012
Voor de Groep
De voorzitter
Jacob KOHNSTAMM
10
Download