Bedrijven worden gedwongen te worstelen met het raadsel van de naleving van gezichtsherkenning

Mijn gezicht of het jouwe?

Door het toenemende gebruik van gezichtsherkenningstechnologieën worden bedrijven geconfronteerd met een ernstig raadsel op het gebied van privacy en naleving van de regelgeving.

Gezichtsherkenningstechnologie kan worden gebruikt om de identiteit van een persoon te identificeren of te bevestigen met behulp van zijn gezicht. De technologie identificeert en meet gezichtskenmerken in een afbeelding of video voordat de informatie wordt vergeleken met een database met bekende gezichten om een ​​match te vinden.

Openbare ruimtes

Gezichtsherkenningstechnologie kan worden gebruikt met CCTV voor de openbare veiligheid, vooral rond luchthavens en treinstations. Toch zijn er implementaties in zowel de US  en  Europa zijn soms controversieel geweest.

Gezichtsherkenning in ongecontroleerde omgevingen is onbetrouwbaar, betogen voorstanders van privacy.

Naast potentiële bedreigingen voor de individuele privacy als gevolg van massasurveillance met gezichtsherkenning, bestaat er ook bezorgdheid dat de technologie in de context van openbare ruimtes zou kunnen leiden tot gendervooroordelen en raciale profilering – niet in de laatste plaats omdat sommige algoritmen meer vertonen valse positieven tegen gekleurde mensen.

De Europese Unie heeft drie jaar eerder snel een moratorium op gezichtsherkenning in de openbare ruimte voorgesteld het idee verlaten.

Het gebruik van de technologie bij grenscontroles zoals luchthavens of binnen beveiligde faciliteiten om strikte toegangscontroles af te dwingen is daarentegen veel betrouwbaarder. Goed ontworpen biometrie voor gezichtsherkenning kan ook worden gebruikt als authenticatiemechanisme voor logische systemen of toepassingen.

De EU's Algemene Verordening Gegevensbescherming (AVG) legt strikte eisen op aan de verwerking van biometrische gegevens, waaronder toestemming, transparantie, doelbinding en privacy-impactbeoordeling (ter bescherming tegen mission creep), naast regels voor het bewaren en minimaliseren van gegevens.

Veilige authenticatie

Reguliere bedrijven vertrouwen steeds vaker op gezichtsherkenning om de toegang tot fysieke ruimtes te controleren of gebruikers te authenticeren via ID-verificatiediensten. Deze kunnen aansluiten bij de naleving van de AVG, maar eerst worden zorgvuldige gegevensbeschermingseffectbeoordelingen uitgevoerd waarbij rekening wordt gehouden met privacy- en nalevingsvereisten.

“Gezien de snelle technologische vooruitgang moeten bedrijven wendbaar blijven, niet alleen bij de adoptie, maar ook bij het begrijpen van de daaraan verbonden risico’s.” Dave Holloway, CMO bij ISMS.online, gaf commentaar.

Acuity Law-partner Declan Goodwin voegde hieraan toe: “Ik heb voorbeelden gezien waarbij leveranciers van gezichtsherkenningssoftware/hardware systemen aan bedrijven hebben verkocht zonder dat de koper eerst volledig aan de nalevingsvereisten heeft gedacht. 

“Zodra de compliance-eisen zijn uitgewerkt, heeft de koper zich gerealiseerd dat hij het gekochte systeem niet op een conforme manier kan implementeren of gebrekkig is.”

Goodwin legt uit: “Er is bijvoorbeeld toestemming van werknemers vereist voordat het systeem kan worden gebruikt om werknemers in en uit te klokken. Deze toestemming kan op elk moment worden ingetrokken, waardoor de voordelen van de nieuwe technologie zeer beperkt zijn. De ICO probeert te helpen gegevensbeheerders met dergelijke technologie via hun [recente] raadpleging over ontwerprichtlijnen voor biometrische gegevens. '

Compliance-frameworks bieden een blauwdruk

Alex Wilkins, directeur en dataprivacy-expert bij ProCompliance, vertelde ISMS.online dat “frameworks en standaarden, waaronder ISO 27001, ISO 27701 en NIST CSF, een cruciale rol spelen bij het helpen van bedrijven om zichzelf te positioneren om compliance te bereiken” bij het uitrollen van gezichtsherkenning technologieën.

Bijvoorbeeld, de ISO 27001-norm biedt een systematische aanpak voor het beheren en beschermen van gevoelige informatie, inclusief gegevens die worden gebruikt door gezichtsherkenningstechnologie. “Het implementeren van ISO 27001 kan bedrijven helpen risico’s te identificeren, controles uit te voeren en een robuust informatiebeveiligingsbeheersysteem (ISMS) te creëren”, aldus Wilkins.

ISO 27701  biedt een privacy-uitbreiding op ISO 27001 die expliciet ingaat op privacybeheer.

Bedrijven die gezichtsherkenningstechnologie gebruiken om ervoor te zorgen dat ze met persoonlijke gegevens omgaan in overeenstemming met de privacyregelgeving, zoals de AVG.

“Hoewel NIST CSF niet specifiek is voor gezichtsherkenning, is het een alomvattend raamwerk voor het beheersen van cyberveiligheidsrisico’s”, concludeerde Wilkins.

Matt Lewis, technisch onderzoeksdirecteur bij NCC Group, heeft onderzoek gedaan naar de impact van gezichtsherkenningstechnologie en de implicaties ervan op de privacy voor bedrijven.

Gezichtsherkenningsrisico's en controverses

Er zijn verschillende controverses geweest met betrekking tot gezichtsherkenningstechnologie.

In februari 2023 kondigde Madison Square Garden aan dat het het gebruik van gezichtsherkenningstechnologie op zijn locaties zou verbieden na een reactie van activisten en klanten die bezwaar maakten tegen massale surveillance op de locatie.

In 2022 werd onthuld dat Clearview AI een database van meer dan drie miljard gezichtsbeelden had verzameld zonder de toestemming van de afgebeelde personen. De Britse Information Commissioner's Office heeft het gezichtsherkenningsbedrijf een boete van ruim £ 7.5 miljoen opgelegd wegens het overtreden van de privacywetten.

Naleving en gezichtsherkenning

Hoewel zorgen over misbruik van gezichtsherkenning serieus moeten worden genomen, kan de technologie nuttige toepassingen hebben.

Duidelijkheid, een specialist op het gebied van financiële compliance, verwerkt jaarlijks ongeveer $6 miljard aan grensoverschrijdende betalingen en gebruikt gezichtsherkenningstechnologie voor zekerheid en compliance.

De technologie biedt financiële inclusie aan uitgesloten regio's en leden van de samenleving die historisch gezien zijn uitgesloten van financiële diensten, aldus Clarency.

“Bij een groot deel van onze transacties zijn regio’s betrokken die banken grotendeels uitsluiten”, vertelde Jem Shaw, hoofd communicatie bij Clarency, aan ISMS.online. “De gezichtsherkenning maakt deel uit van een verbeterd due diligence-programma waarmee we in dergelijke regio’s compliant kunnen handelen. 

Clarency maakt routinematig een identiteitsbewijs met foto en, in sommige gevallen, een live video van betrokken tegenpartijen voor identiteitsverificatie.

“De proefpersonen accepteren deze vereiste graag, omdat het hen in staat stelt legale, veilige en conforme zaken te doen die anders onmogelijk zouden zijn”, voegde Shaw eraan toe.

Clarency maakt ook gebruik van gezichtsherkenningstechnologie voor overmakingen naar huis en contante betalingen.

“Wij bieden een methode om contant geld te traceren vanaf de binnenkomst tot aan de digitalisering ervan, zodat het vervolgens naar de ontvanger wordt verzonden”, legt Shaw uit. “Dit wordt aangedreven door gezichtsherkenning op het betaalpunt.”

Regelgeving voor de naleving van de bankregels, die doorgaans voorschrijft dat gegevens minimaal zes jaar moeten worden bewaard, zijn in strijd met de eisen van de AVG. Clarency maakt gebruik van datakluistechnologie om deze ogenschijnlijk tegenstrijdige vereisten met elkaar te verzoenen.

“We kunnen informatie in de kluis laten verlopen, verwijderen of wijzigen volgens de AVG-vereisten”, legt Shaw uit. “Mocht een individu verzoeken om persoonsgegevens te wissen, dan kunnen wij dat onmiddellijk doen. De toegang kan met onbeperkte granulariteit worden gecontroleerd, tot aan individuen, organisaties, vervaldata, aantal views, enzovoort tot in het oneindige.”

 Gezichtsherkenningstechnologie “werpt allerlei vragen op over de vraag of deze technologie fundamentele privacyrechten zou kunnen ondermijnen en hoe deze onder controle kan worden gehouden”, aldus Natalie Cramp, hoofddirecteur van data science consultancy Profusion.

 Cramp vervolgde: “Gezichtsherkenningstechnologie biedt echter veel voordelen – van het verbeteren van beveiligingsmaatregelen, het verbeteren van digitale ervaringen en het beschermen van bedrijven tegen diefstal tot zelfs het helpen vinden van vermiste mensen.”

 Rebecca Harper, hoofd cybersecurityanalyse bij ISMS.online, concludeerde: “Gezichtsherkenning heeft zijn voordelen, maar zoals bij elk hulpmiddel gaat het erom hoe je het gebruikt. Compliance mag geen bijzaak zijn.”