GROEP GEGEVENSBESCHERMING ARTIKEL 29 00727/12/NL WP 192 Advies 02/2012 over gezichtsherkenning bij online- en mobiele diensten Goedgekeurd op 22 maart 2012 De Groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Zij is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer. Haar taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie) van het directoraat-generaal Justitie van de Europese Commissie, 1049 Brussel, België, kamer MO-59 02/013. Website: http://ec.europa.eu/justice/data-protection/index_en.htm 1. Inleiding De beschikbaarheid en de nauwkeurigheid van gezichtsherkenningstechnologie zijn de afgelopen jaren sterk toegenomen. Deze technologie is bovendien geïntegreerd in online- en mobiele diensten om de identificatie, authenticatie/verificatie of categorisering van personen mogelijk te maken. Gezichtsherkenning was ooit het domein van de sciencefiction, maar wordt nu gebruikt door zowel de overheid als particuliere organisaties. Voorbeelden van het gebruik ervan zien we in sociale netwerken en bij fabrikanten van smartphones. De mogelijkheid om automatisch gegevens te verkrijgen en in een digitale afbeelding een gezicht te herkennen is al eerder door de Groep Artikel 29 aangekaart in haar werkdocument over biometrie (WP 80) en haar onlangs gepubliceerde advies 3/2012 over ontwikkelingen in biometrische technologieën (WP 193). Gezichtsherkenning maakt deel uit van het terrein biometrie, aangezien de technologie in veel gevallen voldoende gegevens oplevert om een persoon uniek te kunnen identificeren. In advies 3/2012 wordt opgemerkt: “biometrische technologieën maken het mogelijk personen geautomatiseerd te volgen, te traceren of te profileren en hebben daardoor een sterke potentiële impact op de persoonlijke levenssfeer en het recht op gegevensbescherming”. Dit is met name het geval wanneer gezichtsherkenning wordt gebruikt bij online- en mobiele diensten: afbeeldingen van een persoon kunnen worden gemaakt (soms zonder dat de betrokkene dat beseft) en doorgegeven naar een server elders om verder te worden verwerkt. Onlinediensten, die vaak eigendom zijn van en geëxploiteerd worden door particuliere organisaties, hebben enorme beeldverzamelingen opgebouwd die door de betrokkenen zelf zijn geüpload. Soms zijn deze afbeeldingen ook onrechtmatig verkregen door andere openbaar toegankelijke sites, zoals van zoekmachinecaches, af te schrapen. Gebruikers kunnen foto’s maken met kleine mobiele apparaten waarin een camera met hoge resolutie is ingebouwd, en deze direct, via een altijd beschikbare verbinding, naar onlinediensten doorsturen. Gebruikers kunnen die afbeeldingen dan delen met anderen of door middel van identificatie, authenticatie/verificatie of categorisering extra informatie verkrijgen over de bekende of onbekende persoon die voor hen staat. Gezichtsherkenning bij online- en mobiele diensten verdient daarom specifieke aandacht van de Groep artikel 29 vanwege de vragen op het gebied van gegevensbescherming die deze technologie doet rijzen. In dit advies wordt het rechtskader bekeken en worden passende aanbevelingen geformuleerd voor het gebruik van gezichtsherkenningstechnologieën in de context van online- en mobiele diensten. Het advies is gericht tot Europese en nationale wetgevende instanties, verantwoordelijken voor de verwerking en gebruikers van deze technologieën. Het is niet de bedoeling om in dit advies de in advies 3/2012 bedoelde beginselen nogmaals te beschrijven, maar er wordt uitsluitend gekeken naar de implicaties ervan in het kader van online- en mobiele diensten. 1 2. Definities Gezichtsherkenning is geen nieuwe technologie, en er bestaan dan ook meerdere definities en interpretaties ervan. Het is daarom nuttig om een duidelijke definitie te geven van de technologie waarop dit advies betrekking heeft. Digitale afbeelding: Een digitale afbeelding is een weergave van een tweedimensionale afbeelding in digitale vorm. Recente ontwikkelingen van de gezichtsherkenningstechnologie vereisen echter dat ook driedimensionale afbeeldingen beschikbaar zijn, naast statische en bewegende beelden (d.w.z. foto’s, opgenomen video en livevideo). Gezichtsherkenning: gezichtsherkenning is de automatische verwerking van een digitale afbeelding van het gezicht van een persoon ten behoeve van de identificatie, authenticatie/verificatie of categorisering1 van die persoon. Het proces van gezichtsherkenning zelf bestaat uit een aantal discrete subprocessen: a) beeldopname: het opnemen van het gezicht van een persoon en het omzetten daarvan in een digitale vorm (digitale afbeelding). In een online- en mobiele dienst kan de afbeelding zijn opgenomen in een ander systeem, bijvoorbeeld wanneer een foto wordt gemaakt met een digitale camera en dan naar een onlinedienst wordt overgezet; b) gezichtsdetectie: het detecteren van de aanwezigheid van een gezicht op een digitale afbeelding en het afbakenen van het gebied waar dat gezicht zich bevindt; c) normalisatie: het effenen van variaties tussen gedetecteerde gezichtsdelen, bijvoorbeeld door middel van conversie naar standaardafmetingen, rotatie of aanpassing van de kleurverdeling; d) kenmerkextractie: het isoleren en produceren van herhaalbare en distinctieve interpretaties van de digitale afbeelding van een persoon. Voor kenmerkextractie wordt een holistische methode2 of een op kenmerken gebaseerde3 methode toegepast, of een combinatie daarvan4. De hoofdkenmerken kunnen met het oog op latere vergelijking worden opgeslagen in een referentietemplate5; e) vastlegging: indien een persoon voor het eerst in contact komt met het gezichtsherkenningssysteem, kan de afbeelding en/of de referentietemplate met het oog op latere vergelijking worden opgeslagen; f) 1 2 3 4 5 vergelijking: het meten van de overeenkomsten tussen een verzameling kenmerken (de opname) met een verzameling kenmerken die eerder in het systeem is vastgelegd. De belangrijkste doeleinden van de vergelijking zijn identificatie en authenticatie/verificatie. Een derde doel van vergelijking is categorisering, dat wil Identificatie, authenticatie/verificatie en categorisering worden gedefinieerd in advies 3/2012. Holistische kenmerkextractie: een mathematische weergave van de gehele afbeelding, zoals die resulteert uit een principalecomponentenanalyse. Kenmerkextractie op basis van de kenmerken: identificatie van de locatie van specifieke gezichtskenmerken zoals ogen, neus en mond. Ook wel hybride kenmerkextractie genoemd. Template wordt in advies 3/2012 als volgt gedefinieerd: “hoofdkenmerken die zijn geëxtraheerd uit de onverwerkte biometrische gegevens (bijvoorbeeld uit een afbeelding afkomstige gezichtsmetingen) en opgeslagen voor latere verwerking, in plaats van de onverwerkte gegevens zelf”. 2 zeggen het extraheren van kenmerken uit een afbeelding van een persoon om die persoon in te delen in een of meer brede categorieën (bijvoorbeeld leeftijd, geslacht, kleur van de kleding, enz.). Een vastleggingsproces is voor een categoriseringssysteem niet noodzakelijk. 3. Voorbeelden van gezichtsherkenning bij online- en mobiele diensten Gezichtsherkenning kan in het kader van online- en mobiele diensten op een aantal verschillende manieren en voor allerlei doeleinden worden toegepast. In dit advies concentreert de Groep artikel 29 zich op enkele voorbeelden waarmee zij de juridische analyse illustreert en die betrekking hebben op het gebruik voor identificatie, authenticatie/verificatie en categorisering. 3.1. Gezichtsherkenning als middel voor identificatie Voorbeeld 1: Een socialenetwerkdienst6 laat gebruikers een digitale afbeelding aan hun profiel toevoegen. Bovendien kunnen gebruikers afbeeldingen uploaden om deze met andere al dan niet geregistreerde gebruikers te delen. Geregistreerde gebruikers kunnen op de door hen geüploade afbeeldingen andere personen (al dan niet geregistreerde gebruikers) handmatig identificeren en van een label voorzien. Zulke labels kunnen worden bekeken door degene die ze heeft aangemaakt en worden gedeeld met een groep vrienden of met alle geregistreerde of niet- geregistreerde gebruikers. De socialenetwerkdienst kan met behulp van de gelabelde afbeeldingen voor elke geregistreerde gebruiker een referentietemplate creëren, en door middel van een gezichtsherkenningssysteem voor elke nieuwe geüploade afbeelding automatisch een of meer labels voorstellen. Afbeeldingen van personen die door gebruikers voor iedereen toegankelijk zijn gemaakt, kunnen vervolgens door een internetzoekmachine worden bekeken en gecachet. De zoekmachine kan streven naar verbetering van de zoekfunctie door de gebruikers een afbeelding van een persoon te laten uploaden en als resultaat sterk daarop lijkende afbeeldingen te tonen. Ook kan een link worden verstrekt naar de profielpagina bij een socialenetwerkdienst. De zoekafbeelding kan rechtstreeks met de camera van een smartphone worden gemaakt. 3.2. Gezichtsherkenning als middel voor authenticatie/verificatie Voorbeeld 2: Een gezichtsherkenningssysteem wordt gebruikt in plaats van een gebruikersnaam/wachtwoordcombinatie om toegang te verlenen tot een online- of mobiele dienst of apparaat. Bij de vastlegging wordt met een in het apparaat ingebouwde camera een foto gemaakt van een geautoriseerde gebruiker van het apparaat en een referentietemplate gecreëerd, die op het apparaat of elders door de onlinedienst kunnen worden opgeslagen. Om toegang te krijgen tot de dienst of het apparaat, wordt opnieuw een foto gemaakt van de persoon die toegang wil krijgen, en vergeleken met de referentiefoto. De toegang wordt verleend als het systeem een positieve match constateert. 6 Socialenetwerkdiensten worden in advies 5/2009 ruwweg omschreven als “online communicatieplatforms waarop personen kunnen deelnemen aan netwerken van gelijkgezinde gebruikers of dergelijke netwerken kunnen opzetten”. 3 3.3. Gezichtsherkenning als middel voor categorisering Voorbeeld 3: de in voorbeeld 1 beschreven socialenetwerkdienst kan de toegang tot de afbeeldingenbibliotheek in licentie geven aan een derde die een onlinedienst voor gezichtsherkenning exploiteert. Met behulp van die dienst kunnen de klanten van de derde gezichtsherkenningstechnologie in andere producten opnemen. Met deze functie kunnen vanuit die andere producten afbeeldingen van personen worden doorgegeven, waarop gezichten kunnen worden herkend en gecategoriseerd volgens tevoren vastgestelde criteria, zoals mogelijke leeftijd, geslacht en stemming. Voorbeeld 4: Een spelconsole maakt gebruik van een systeem voor sturing met gebaren, dat bewegingen van de gebruiker detecteert om het spel te sturen. De camera van het stuursysteem deelt afbeeldingen van personen met een gezichtsherkenningssysteem, dat de mogelijke leeftijd, het geslacht en de stemming van de spelers voorspelt. Dergelijke gegevens, maar ook gegevens die van andere multimodale factoren afkomstig zijn, kunnen dan het spelverloop beïnvloeden en de gebruikerservaring verbeteren, of de omgeving aanpassen aan het voorspelde profiel van de gebruiker. Ook zouden gebruikers met behulp van een systeem kunnen worden gecategoriseerd, om bijvoorbeeld toegang te verlenen of te weigeren tot materiaal dat voor personen van bepaalde leeftijdsgroepen ongeschikt is, of om in de spelomgeving gerichte reclame te tonen. 4. Rechtskader Het rechtskader wat gezichtsherkenning betreft wordt gevormd door de richtlijn gegevensbescherming (95/46/EG), die tegen deze achtergrond is besproken in advies 3/2012. Het is niet de bedoeling om hier meer dan een overzicht te geven van het rechtskader in de context van gezichtherkenning bij online- en mobiele diensten op basis van de voorbeelden in hoofdstuk 3. In advies 3/2012 worden meer voorbeelden gezichtsherkenning besproken. 4.1. Digitale afbeeldingen als persoonsgegeven Als een digitale afbeelding duidelijk zichtbaar het gezicht van een persoon toont, zodanig dat die persoon kan worden geïdentificeerd, wordt die afbeelding als persoonsgegeven aangemerkt. Of dat het geval is, hangt af van een aantal factoren, zoals de kwaliteit van de afbeelding of het gezichtspunt. Afbeeldingen van situaties waarop personen in de verte te zien zijn of gezichten zijn vervaagd, zullen in de meeste gevallen waarschijnlijk niet als persoonsgegevens worden aangemerkt. Digitale afbeeldingen kunnen overigens persoonsgegevens bevatten betreffende meer dan een persoon (in voorbeeld 4 kunnen meerdere spelers in beeld zijn) en de aanwezigheid van anderen op een foto kan impliceren dat er een relatie bestaat. In advies 4/2007 over het begrip persoonsgegeven wordt erop gewezen dat er eveneens sprake is van persoonsgegevens als gegevens betrekking hebben op “de kenmerken of het gedrag van een persoon of indien dergelijke informatie wordt gebruikt om de wijze waarop die persoon wordt behandeld of beoordeeld te bepalen of te beïnvloeden”. Een op basis van een afbeelding van een persoon gecreëerde referentietemplate is per definitie ook een persoonsgegeven, aangezien die template onderscheidende kenmerken van het gezicht van de persoon bevat, en vervolgens wordt gekoppeld aan de persoon en opgeslagen als referentie voor latere vergelijking met het oog op identificatie en authenticatie/verificatie. 4 Een template of een reeks onderscheidende kenmerken die uitsluitend in een categoriseringssysteem wordt gebruikt, bevat doorgaans niet voldoende informatie om een persoon te identificeren, maar slechts voldoende om die persoon in een categorie in te delen (bijvoorbeeld man/vrouw). Er is in dat geval geen sprake van persoonsgegevens, mits de template (of het resultaat) niet wordt geassocieerd met de record, het profiel of de oorspronkelijke afbeelding van een persoon, die wel als persoonsgegevens worden aangemerkt. Aangezien digitale afbeeldingen van personen en templates betrekking hebben op “biologische eigenschappen, gedragsaspecten, fysiologische kenmerken, leefgewoonten of herhaalbare handelingen, waarbij die kenmerken en/of handelingen zowel uniek voor de betreffende persoon als meetbaar zijn7”, moeten ze als biometrische gegevens worden aangemerkt. 4.2. Digitale afbeeldingen als speciale categorie persoonsgegeven Digitale afbeeldingen van personen kunnen in sommige specifieke gevallen als een speciale categorie persoonsgegeven worden aangemerkt8. In het specifieke geval dat digitale afbeeldingen van personen of templates verder worden verwerkt om er speciale gegevenscategorieën uit af te leiden, moeten zij zeker tot deze categorie worden gerekend, bijvoorbeeld als zij bedoeld zijn om te worden gebruikt om informatie betreffende de etnische afkomst, de godsdienst of de gezondheid te verkrijgen. 4.3. Verwerking van persoonsgegevens gezichtsherkenningssysteem in het kader van een Gezichtsherkenning bestaat, zoals eerder omschreven, uit een aantal geautomatiseerde verwerkingsfasen. Gezichtsherkenning is dus een geautomatiseerde vorm van verwerking van persoonsgegevens, waaronder biometrische gegevens. Gezichtsherkenningssystemen kunnen door het gebruik van biometrische gegevens in bepaalde lidstaten ook onderworpen zijn aan andere wet- of regelgeving, zoals aan een verplichting tot voorafgaande toestemming of aan het arbeidsrecht. Het gebruik van biometrie in de arbeidssfeer wordt in advies 3/2012 nader bekeken. 4.4. Voor de verwerking verantwoordelijke In de situaties die in de voorbeelden zijn opgevoerd, zal de voor de verwerking verantwoordelijke doorgaans de eigenaar van de website, de verlener van de onlinedienst of de exploitant van de mobiele toepassing zijn die gezichtsherkenning toepast, aangezien deze het doel van en/of de middelen voor de verwerking vaststelt9. In dit verband geldt ook de conclusie “Aanbieders van sociale netwerkdiensten zijn voor de verwerking verantwoordelijken in de zin van de richtlijn gegevensbescherming”, die in advies 5/2009 over online sociale netwerken is opgenomen. 7 8 9 Definitie van biometrische gegevens in advies 3/2012. In een aantal landen worden digitale afbeeldingen van een gezicht volgens de jurisprudentie als een speciale gegevenscategorie aangemerkt (Hoge Raad der Nederlanden 23 maart 2010, LJN BK6331). Zie advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”. 5 4.5. Rechtsgrondslag In Richtlijn 95/46/EG zijn de voorwaarden vastgesteld waaraan bij de verwerking van persoonsgegevens moet worden voldaan. Die houden in dat de verwerking in de eerste plaats moet voldoen aan de eisen betreffende gegevenskwaliteit (artikel 6). In dit geval moet de verwerking van digitale afbeeldingen van personen dus “ter zake dienend” en “niet bovenmatig” zijn voor het doel, namelijk gezichtsherkenning. Bovendien mag de verwerking alleen plaatsvinden als aan een van de criteria van artikel 7 is voldaan. Gezien de bijzondere risico’s die aan biometrische gegevens zijn verbonden, moet vóór de aanvang van de verwerking van een digitale afbeelding met het oog op gezichtsherkenning de op informatie berustende toestemming van de betrokkene zijn verkregen. In sommige gevallen kan het echter zijn dat de voor de verwerking verantwoordelijke eerst enkele met gezichtsherkenning samenhangende verwerkingshandelingen moet verrichten om te beoordelen of de betrokkene al dan niet zijn juridisch geldige toestemming heeft gegeven voor de verwerking. Voor deze initiële verwerking (beeldopname, gezichtsdetectie, vergelijking, enz.) kan er dan een afzonderlijke rechtsgrondslag zijn, namelijk het gerechtvaardigde belang van de voor de verwerking verantwoordelijke om de voorschriften betreffende gegevensverwerking na te leven. De in deze stadia verwerkte gegevens mogen slechts worden gebruikt voor het strikt beperkte doel van verificatie van de toestemming van de betrokkene en dienen dan ook onmiddellijk daarna te worden gewist. In voorbeeld 1 heeft de voor de verwerking verantwoordelijke beslist dat gezichtsherkenning, kenmerkextractie en vergelijking moeten worden toegepast op alle nieuwe afbeeldingen die geregistreerde gebruikers van de socialenetwerkdienst uploaden. Slechts bij geregistreerde gebruikers voor wie in de identificatiedatabase een referentietemplate is vastgelegd, zullen de nieuwe afbeeldingen bij de vergelijking een match opleveren en zal automatisch een label worden voorgesteld. Als de toestemming van de betrokkene de enig mogelijke legitieme grondslag voor elke vorm van verwerking zou zijn, zou de hele dienst worden geblokkeerd, aangezien er bijvoorbeeld geen toestemming kan worden verkregen van niet-geregistreerde gebruikers van wie de persoonsgegevens zijn verwerkt in de fase van gezichtsdetectie en kenmerkextractie. Zonder gezichtsherkenning zou het bovendien niet mogelijk zijn om onderscheid te maken tussen de gezichten van geregistreerde gebruikers die toestemming hebben gegeven en de gezichten van geregistreerde gebruikers die dat niet hebben gedaan. Pas nadat identificatie (of non-identificatie) heeft plaatsgevonden, kan de voor de verwerking verantwoordelijke nagaan of hij al dan niet de vereiste toestemming heeft voor een specifieke vorm van verwerking. Voordat geregistreerde gebruikers een afbeelding uploaden naar de socialenetwerkdienst, moet duidelijk worden gemaakt dat op die afbeeldingen gezichtsherkenning zal worden toegepast. Wat nog belangrijker is: de geregistreerde gebruikers moet bovendien de mogelijkheid worden geboden om al dan niet toestemming te geven voor de vastlegging van hun referentietemplate in de identificatiedatabase. Voor niet-geregistreerde gebruikers en voor geregistreerde gebruikers die niet in de verwerking hebben toegestemd, zal dus niet automatisch hun naam als label worden voorgesteld, omdat afbeeldingen waarop zij voorkomen niet tot een positieve match zullen leiden. De toestemming van de uploader van de afbeelding mag niet worden gezien als een legitieme grond voor de verwerking van persoonsgegevens van andere personen die op de afbeelding voorkomen. De voor de verwerking verantwoordelijke kan zich beroepen op een andere rechtsgrondslag voor de verwerking in de tussenliggende stadia (gezichtsdetectie, normalisatie en vergelijking), zoals het gerechtvaardigde belang van de voor de verwerking verantwoordelijke, mits er voldoende beperkingen en controlemiddelen zijn om de 6 grondrechten en fundamentele vrijheden van andere betrokkenen dan de uploader te beschermen. Dergelijke controlemiddelen moeten er onder meer voor zorgen dat de gegevens die uit de verwerking resulteren niet worden bewaard bij een negatieve match (alle templates en daarmee samenhangende gegevens moeten dus veilig worden verwijderd). De voor de verwerking verantwoordelijke kan de gebruikers ook instrumenten aanbieden waarmee uploaders de gezichten van personen waarvoor de referentiedatabase geen match bevat, kunnen vervagen. Een template van een persoon mag slechts in een identificatiedatabase worden vastgelegd (waardoor een matchresultaat en vervolgens labelsuggesties mogelijk worden) met de op informatie berustende toestemming van de betrokkene. In voorbeeld 2 is er bij het vastleggingsproces een duidelijke mogelijkheid om de toestemming te verkrijgen van de persoon die toegang mag krijgen tot het apparaat. Die toestemming is slechts geldig als er een alternatief en even veilig toegangscontrolesysteem is, zoals een krachtig wachtwoord. Deze alternatieve privacyvriendelijke optie moet als standaard zijn ingesteld. Als een gebruiker voor een op het apparaat aangesloten camera gaat zitten met het uitdrukkelijke doel om er toegang toe te krijgen, kunnen we aannemen dat die gebruiker toestemming geeft voor het verwerken van de gezichtsgegevens die voor de authenticatie benodigd zijn, ook als die persoon geen geautoriseerde gebruiker is van het apparaat. De gebruiker moet echter voldoende zijn geïnformeerd om een geldige toestemming tot stand te brengen. De in voorbeeld 3 bedoelde uitbreiding van het gebruik van de fotobibliotheek van een socialenetwerkdienst is een duidelijk voorbeeld van een inbreuk op het doelbindingsprincipe. Voor een dergelijke functie kan worden ingevoerd, moet de betrokkene dus duidelijk worden meegedeeld dat de beeldgegevens zullen worden verwerkt en moet hij daarvoor uitdrukkelijk toestemming verlenen. Dat geldt ook voor de in voorbeeld 1 beschreven zoekmachine. De door de zoekmachine verkregen afbeeldingen werden namelijk getoond om te worden bekeken en niet om door een gezichtsherkenningssysteem te worden verwerkt. De exploitant van de zoekmachine zou van alle betrokkenen toestemming moeten verkrijgen voor de vastlegging in het tweede gezichtsherkenningssysteem. Dat zou ook voor voorbeeld 4 het geval zijn, aangezien de gebruiker mogelijk niet verwacht dat de voor de sturing met gebaren gemaakte afbeeldingen verder worden verwerkt. Als de voor de verwerking verantwoordelijke om toestemming vraagt voor de langere termijn (voor langere tijd of voor meer dan één spel) moet de gebruiker er regelmatig aan worden herinnerd dat het systeem actief is, en moet het standaard worden uitgeschakeld. In advies 15/2011 over de definitie van toestemming worden de kwaliteit, toegankelijkheid en zichtbaarheid van informatie betreffende de verwerking van persoonsgegevens besproken. In het advies staat: “De informatie moet rechtstreeks aan de betrokkene worden verstrekt. Het volstaat niet om de informatie ergens ‘beschikbaar’ te maken.” Informatie over de gezichtsherkenningsfunctie van een online- of mobiele dienst mag dus niet ergens worden verborgen, maar moet op een eenvoudig toegankelijke en begrijpelijke manier worden aangeboden. Er moet dus ook op worden toegezien dat de werking van de camera’s niet verborgen blijft. Bij de implementatie van gezichtsherkenningstechnologie moet de voor de verwerking verantwoordelijke rekening houden met de redelijke privacyverwachting van het publiek en een passende oplossing vinden. Uit het feit dat de gebruiker te kennen heeft gegeven dat hij de algemene gebruiksvoorwaarden van de dienst aanvaardt, mag niet worden afgeleid dat hij ook toestemt 7 in de vastlegging van zijn beeldgegevens, tenzij hij mag verwachten dat gezichtsherkenning een onderdeel is van het primaire doel van de dienst. De reden hiervoor is dat de vastlegging in de meeste gevallen een aanvullende functie is en niet rechtstreeks samenhangt met de werking van de online- of mobiele dienst. De gebruiker verwacht niet noodzakelijk dat het gebruik van de dienst met een dergelijke functie gepaard gaat. Ofwel bij de registratie, ofwel in een later stadium, afhankelijk van wanneer de functie wordt geïntroduceerd, moet de gebruiker dus uitdrukkelijk in de gelegenheid worden gesteld om toestemming te geven. De toestemming is slechts geldig als aan de gebruiker passende informatie over de gegevensverwerking is verstrekt. De gebruikers moeten hun toestemming te allen tijde op eenvoudige wijze kunnen intrekken. Wanneer de toestemming is ingetrokken, moet de verwerking met het oog op gezichtsherkenning onmiddellijk stoppen. 5. Specifieke risico’s en aanbevelingen De privacyrisico’s van een gezichtsherkenningssysteem zijn geheel afhankelijk van de soort verwerking en het doel of de doelen ervan. Bepaalde risico’s zijn echter in specifieke fasen van de gezichtsherkenning relevanter. In het volgende gedeelte worden de grootste risico’s besproken en aanbevelingen gedaan voor goede werkmethoden. 5.1. Onrechtmatige verwerking met het oog op gezichtsherkenning In een onlinesituatie kan de voor de verwerking verantwoordelijke op velerlei manieren afbeeldingen verkrijgen: de gebruikers van de online- of mobiele dienst, hun vrienden en collega’s of derden kunnen bijvoorbeeld afbeeldingen aanbieden. Op die afbeeldingen kan het gezicht van de gebruiker zelf staan en/of dat van andere al dan niet geregistreerde gebruikers, of de afbeelding kan zijn verkregen zonder medeweten van de betrokkene. Hoe de afbeeldingen ook zijn verkregen, er moet een rechtsgrondslag zijn voor de verwerking ervan. Aanbeveling 1: als de voor de verwerking verantwoordelijke de afbeelding rechtstreeks verkrijgt (zoals in de voorbeelden 2 en 4), moet hij erop toezien dat de betrokkenen voor de verwerving op geldige wijze hun toestemming hebben gegeven en voldoende duidelijk aangeven wanneer de camera actief is met het oog op gezichtsherkenning. Aanbeveling 2: als personen digitale afbeeldingen opnemen en deze uploaden naar een online- of mobiele dienst met het oog op gezichtsherkenning, moet de voor de verwerking verantwoordelijke nagaan of de uploader van de afbeeldingen heeft toegestemd in de verwerking van de afbeeldingen met het oog op gezichtsherkenning. Aanbeveling 3: als een voor de verwerking verantwoordelijke van derden digitale afbeeldingen van personen verkrijgt (bijvoorbeeld door deze te kopiëren van een website of aan te kopen bij een andere voor de verwerking verantwoordelijke), moet hij zorgvuldig nagaan wat de bron is en de context waarin de oorspronkelijke afbeeldingen werden verworven, en deze alleen verwerken als de betrokkenen daarbij voor die verwerking toestemming hadden gegeven. Aanbeveling 4: voor de verwerking verantwoordelijken moeten erop toezien dat digitale afbeeldingen en templates alleen worden gebruikt voor het opgegeven doel waarvoor zij ter beschikking zijn gesteld. De voor de verwerking verantwoordelijke moet technische controlemiddelen inzetten om het risico te verminderen dat digitale afbeeldingen door derden worden verwerkt voor doeleinden waarin de gebruiker niet 8 heeft toegestemd. De voor de verwerking verantwoordelijke moet de gebruiker middelen geven om de zichtbaarheid van door hem geüploade afbeeldingen te regelen, waarbij de standaardinstelling zo moet zijn dat de toegang voor derden beperkt is. Aanbeveling 5: de voor de verwerking verantwoordelijke moet erop toezien dat digitale afbeeldingen van personen die geen geregistreerde gebruiker van de dienst zijn of anderszins niet in verwerking hebben toegestemd, slechts worden verwerkt indien de voor de verwerking verantwoordelijke daarbij een gerechtvaardigd belang heeft. In de situatie van voorbeeld 1 dient hij bij een negatieve match bijvoorbeeld alle verwerking te stoppen en alle gegevens te wissen. Inbreuk op de beveiliging tijdens de gegevensdoorgifte Bij online- en mobiele diensten is het waarschijnlijk dat er tussen de beeldverwerving en de overige fasen van de verwerking gegevens worden doorgegeven (bijvoorbeeld het uploaden van een afbeelding vanaf de camera naar een website met het oog op kenmerkextractie en vergelijking). Aanbeveling 6: de voor de verwerking verantwoordelijke moet passende maatregelen nemen om de veiligheid van de gegevensdoorgifte te waarborgen. Dat kan onder meer betekenen dat de communicatiekanalen of de verkregen afbeeldingen moeten worden versleuteld. Indien mogelijk moet, met name wat authenticatie/verificatie betreft, lokale verwerking de voorkeur krijgen. 5.2. Gezichtsdetectie, normalisatie, kenmerkextractie Minimalisering van de gegevensverwerking Templates die door een gezichtsherkenningssysteem worden gegenereerd, kunnen meer gegevens bevatten dan nodig is voor het opgegeven doel. Aanbeveling 7: de voor de verweking verantwoordelijke moet erop toezien dat de gegevens die uit een digitale afbeelding zijn verkregen om een template te genereren, niet “bovenmatig” zijn en slechts de informatie bevatten die voor het opgegeven doel noodzakelijk zijn, zodat verdere verwerking wordt vermeden. Templates mogen niet overdraagbaar zijn tussen verschillende gezichtsherkenningssystemen. Inbreuk op de beveiliging bij de gegevensopslag Voor identificatie en authenticatie/verificatie moet het template waarschijnlijk worden opgeslagen met het oog op vergelijking in een later stadium. Aanbeveling 8: de voor de verwerking verantwoordelijke moet de meest geschikte locatie voor de opslag van de gegevens in overweging nemen. Opslag kan onder meer plaatsvinden op het apparaat van de gebruiker of binnen de systemen van de voor de verwerking verantwoordelijke. Deze moet passende maatregelen nemen om de veiligheid van de opgeslagen gegevens te waarborgen. Daartoe kan de template worden versleuteld. Het moet onmogelijk zijn voor onbevoegden om toegang te krijgen tot de template of de opslagruimte. Met name bij gezichtsherkenning met het oog op verificatie kunnen biometrische encryptietechnieken worden gebruikt. Bij dergelijke technieken wordt de cryptografische sleutel rechtstreeks gebonden aan de biometrische gegevens en slechts gerecreëerd indien bij de verificatie het juiste biometrische 9 specimen wordt aangeboden; afbeeldingen of templates worden hierbij niet opgeslagen (er is dus sprake van een soort “niet-traceerbare biometrie”). Toegang voor de betrokkene Aanbeveling 9: de voor de verwerking verantwoordelijke moet de betrokkene passende instrumenten bieden om zijn recht van toegang uit te oefenen, in voorkomend geval zowel tot de oorspronkelijke afbeeldingen als tot de bij de gezichtsherkenning gegenereerde templates. Gedaan te Brussel, 22 maart 2012 Voor de Groep De voorzitter Jacob KOHNSTAMM 10