Inzet van Live Facial Recognition en naleving van de gegevensbescherming

Op papier is het gebruik van Live Facial Recognition (LFR, live gezichtsherkenning) op basis van AI voor veiligheid en handhaving een uitstekend idee. Het verbetert de nauwkeurigheid, maakt het makkelijker om overtreders te identificeren, beschermt bedrijven en vermindert criminaliteit. Alles bij elkaar biedt het een enorm potentieel voor het identificeren van daders, detecteren van bedreigingen en toegangscontrole. 

Maar desondanks deze voordelen brengt LFR-technologie ook significante uitdagingen met zich mee op het gebied van gegevensbescherming en naleving, waar bedrijven mee aan de slag moeten voordat ze gebruik maken van deze technologie. 

In deze blog duiken we in de uitdagingen van LFR-implementatie en naleving van de gegevensbescherming. Met behulp van een scenario uit het nachtleven, leggen we uit hoe bedrijven deze uitdagingen het hoofd kunnen bieden en tegelijkertijd het maximale uit de voordelen van de technologie kunnen halen wat betreft veiligheid en beveiliging. 

Beveiligingsuitdagingen het hoofd bieden met LFR in een avondeconomie

Het nachtleven betekent enkele unieke uitdagingen voor het beveiligingsbeheer. Clubs, bars en andere gelegenheden hebben vaak moeite met het identificeren van personen die geband zijn of die een veiligheidsrisico inhouden. Meestal baseert men zich sterk op het menselijk geheugen, dat, zeker in lastige omstandigheden zoals in slecht verlichte, drukke omgevingen, gevoelig is voor het maken van fouten. 

Daar komt LFR-technologie mooi van pas. Door het combineren van LFR-software met bodycams (Body Worn Video of BWV), kunnen beveiligers snel en nauwkeurig potentiële bedreigingen opsporen. Maar deze technologie komt met zijn eigen unieke set privacykwesties met betrekking tot gegevensbescherming. 

De belangrijkste uitdagingen van LFR-inzet in de avondeconomie

• Suboptimale omstandigheden – een belangrijke uitdaging bij het inzetten van LFR in het nachtleven is dat de omstandigheden vaak verre van ideaal zijn. Het vastleggen van meerdere gezichten in een slecht verlichte, drukke en dynamische omgeving kan invloed hebben op de nauwkeurigheid en betrouwbaarheid van de technologie. 
• Perceptie van het publiek – onder het publiek is er een algemene terughoudendheid aangaande gezichtsherkenningstechnologie, wat kan leiden tot afkeer bij de inzet ervan en zo kan dit potentieel een effectieve implementatie van LFR-systemen belemmeren. 
• Verzamelen van te veel gegevens – traditionele CCTV-systemen die gebruik maken van LFR verzamelen vaak meer gegevens dan noodzakelijk, waardoor er zorgen ontstaan over inbreuk op de privacy, zoals bijkomende inbreuk en de principes van gegevensminimalisering. 
• Bewaren van de gegevens – het opslaan van gezichtsherkenningsgegevens voor langere periodes kan de gegevensbeschermingsregelgeving schenden en het risico op een datalek en uitdagingen bij het gebruik ervan vergroten. 

Wat is de oplossing?

Het goede nieuws is dat organisaties deze uitdagingen het hoofd kunnen bieden door een uitgebreide gegevensbeschermingsstrategie te ontwikkelen. Een strategie waarbij beveiliging en privacykwesties zorgvuldig worden afgewogen aan de hand van de volgende belangrijke praktijken: 

1. Transparantie en betrokkenheid van het publiek

Wees open en eerlijk over uw inzet van gezichtsherkenningstechnologie met iedereen die ervan op de hoogte dient te zijn. Schrijf een persbericht uit, houd een publieke consultatie en plan webinars in. Bied duidelijke informatie in de vorm van privacyverklaringen voor betrokkenen met informatie over het gebruik van de technologie, het doeleinde en de bijbehorende maatregelen. Zo bouwt u vertrouwen op en voorkomt u zorgen en bemerkingen vanuit het publiek. 

2. Gericht verzamelen van gegevens

In vergelijking met traditionele CCTV hebben BWV-camera’s een veel beperkter en nauwer inzetprofiel en daarom een smaller gezichtsveld. Dit voorkomt dat er veel te veel data worden verzameld, wat betekent dat er minder sprake is van bijkomende inbreuk en verstoring van de gegevensbeschermingsrechten van individuen die niet op een specifieke ‘watchlist’ staan. Daarnaast kunnen BWV-camera’s, wanneer zij correct worden ingezet, organisaties ook helpen om zich te houden aan het principe van gegevensminimalisering.

3. Efficiënte gegevensverwerking en -verwijdering

Het snel verwerken van de gegevens en het nagenoeg direct verwijderen van beelden die niet relevant zijn voor de vastgestelde ‘watchlist’ kan afrekenen met zorgen rondom buitensporig gegevensbehoud. Doordat alleen relevante gegevens worden bewaard, worden de risico’s omtrent gegevensbescherming ook minder. 

4. Zorgvuldig opgestelde watchlists

Het zorgvuldig beheren van een referentiedatabase van beeldmateriaal dat gebruikt wordt voor het matchen kan helpen om het bereik van de gegevensbescherming te limiteren. Ook zorgt het ervoor dat de gelimiteerde gegevens verwerkt worden en dat de nauwkeurigheid van potentiële matches groter is.

De waarde van Data Protection Impact Assessments (DPIA’s)

Voordat u gezichtsherkenningstechnologie gaat inzetten, dient u een volledig en gedetailleerd Data Protection Impact Assessment (DPIA) uit te voeren. Dit helpt bij het identificeren en verkleinen van de risico’s die gepaard gaan met het verwerken van persoonsgegevens, waaronder een speciale categorie gegevens zoals biometrische informatie. 

De belangrijkste elementen van een DPIA zijn o.a.:

• Gegevens over de aard, het bereik, de context en het doeleinde van de gegevensverzameling 

• Een assessment van de noodzaak en proportionaliteit van uw gegevensverwerking 

• Vaststellen van de risico’s en nemen van de vereiste maatregelen om ze te verkleinen 

• Gesprekken met relevante stakeholders waaronder de interne afdelingen, derde partijen zoals het bedrijf waar de LFR-technologie wordt ingezet als de privacygroepen en betrokkenen zelf 

Voor mij is de DPIA de hoeksteen van elke inzet van LFR-technologie. Als je het goed doet, reken je direct af met potentiële gegevensbeschermingskwesties waar je anders later tegenaan zou lopen. Het geheim? Verplaats jezelf in iedereen die ermee te maken krijgt – met name de individuele betrokkenen en vraag jezelf af hoe jij je zou voelen, en welke vragen je zou stellen, als jouw persoonsgegevens op deze manier verwerkt zouden worden.

Paul Collier, LFR-specialist, The DPO Centre 

Doe het fair en zorg voor compliance

Om ervoor te zorgen dat de LFR-systemen effectief en fair zijn en zich houden aan de compliancenormen, dient u organisatie ook het volgende te doen: 

• Grondig testen – test uw LRF-systemen uitgebreid, en betrek er derde partijen bij om de nauwkeurigheid en potentiële bias te beoordelen 

• Tijdig communiceren – geef het aan met borden en maak gebruik van unieke methoden zoals QR-codes die doorlinken naar de privacyverklaring en andere online en offline communicatiemethoden om mensen ervan op de hoogte te stellen waarom, wanneer, hoe en waar u gebruik maakt van gezichtsherkenningstechnologie. 

• Regelmatig evalueren – beoordeel regelmatig de prestaties, nauwkeurigheid en naleving van de gegevensbeschermingsregelgeving van uw LFR-systeem, inclusief het opnieuw erbij pakken van uw DPIA 

• Zet een toegankelijke klachtenprocedure op – bied duidelijke kanalen via welke individuen hun zorgen kunnen uiten of hun gegevensbeschermingsrechten kunnen uitoefenen. 

De toekomst van LFR-technologie en gegevensbescherming

Aangezien LFR-technologie in ontwikkeling is en nog op nieuwe manieren toegepast zal gaan worden, is het hebben van solide gegevensbeschermingsprocessen en -procedures belangrijker dan ooit. Organisaties moeten op de hoogte blijven van de nieuwe regels, of deze nu in de EU of het VK  door de AVG of GDPR aangedreven worden, of in de VS door de CCPA. 

Door de beveiligingsvereisten zorgvuldig af te wegen tegen de gegevensbeschermingsrechten, kunnen organisaties volop profiteren van de voordelen van LFR-technologie en tegelijkertijd de gegevensbeschermingswetgeving naleven. In de toekomst zal het verantwoordelijk inzetten van dergelijke technologieën – in welke sector dan ook – de sleutel zijn om het vertrouwen van het publiek te winnen en op lange termijn succesvol te zijn. 

Belangrijkste punten

1. Transparantie is van cruciaal belang – ga vroeg in het proces het gesprek aan met de betrokkenen en bied duidelijke informatie over het gebruik van LFR-technologie. 

2. Minimaliseer het verzamelen van overbodige gegevens – gerichte technologieën zoals BWV-camera’s voorkomen dat u een buitensporige hoeveelheid gegevens verzamelt. 

3. Beheer de gegevens efficiënt – zorg ervoor dat u de gegevens snel verwerkt en dat u gegevens die niet matchen snel verwijdert. 

4. Beoordeel het systeem regelmatig – door DPIA’s uit te voeren en periodiek uw LFR-systemen te evalueren. 

Lees voor een voorbeeld van LFR-inzet in de praktijk onze Reveal Media casestudy. 

Lees voor een beter begrip van een aantal van de belangrijkste kwesties omtrent LFR-technologie en BWV-camera’s dit interview met DPO-specialist Paul Collier, door het Nederlands Genootschap Functionarissen Gegevensbescherming.  

Neem contact op met ons team als u benieuwd bent hoe wij u kunnen helpen bij het inzetten van LFR-technologie en uw naleving van de gegevensbeschermingswetten kunnen ondersteunen. 

Misschien gemist… 

• Checklist gegevensbescherming voor fusies en overnames 
• Leadgeneratie en de AVG: is uw compliance op orde? 
• Naleving van de AI Act: Wat u moet weten 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming