© CC0 (via Unsplash)

Terwijl digitale gezichtsherkenning een hoge vlucht neemt en steeds effectiever wordt, zijn er vrijwel geen regels voor. Wat al die diensten met onze gezichten doen: Joost mag het weten. Overheden laten de zaak op zijn beloop. Intussen grijpen de grote techbedrijven hun kans en veroveren een aandeel in het eID, ons nieuwe digitale persoonsbewijs. Wie waakt er eigenlijk over onze privacy?

Het is verbazingwekkend maar waar: elk menselijk gezicht is uniek, zoals een vingerafdruk of een DNA-profiel. Terwijl ik dit schrijf, zijn er 7.758.839.596 gezichten op de wereld. En al die gezichten zijn in kaart te brengen met een handjevol datapunten. Een afbeelding van pakweg 25 bij 35 pixels, meer heeft een computer niet nodig. Het verschil met vingerafdrukken en DNA is dat het ongemerkt ‘afnemen’ van gezichtskenmerken veel makkelijker is. Met een goede camera kun je al van honderden meters afstand de benodigde data verzamelen.

Een team van Bits of Freedom (BOF) deed dat onlangs. Bij de Dam in Amsterdam, aan de gevel van Hotel Krasnapolsky, heeft Webcam.nl een high-definition webcam hangen die live beelden van het verkeer en de voorbijgangers streamt. Met behulp van eenvoudige gezichtsherkenningssoftware zoals je die nu voor weinig geld bij Amazon en Microsoft kunt kopen, scande een proefpersoon van BOF haar gezicht. Vervolgens ging zij in het blikveld van die webcam staan, vergeleek de beelden en hopla: een match.

 Theoretisch is het nu mogelijk om door het leven te gaan zonder identiteitsbewijs, terwijl er toch voortdurend gecontroleerd wordt wie je bent

Webcam.nl reduceerde vervolgens de resolutie van het beeld op de site, waardoor dit nu waarschijnlijk niet meer zou lukken, maar zo eenvoudig is het dus om gezichten te verzamelen. Om een reservoir van duizenden, honderdduizenden, miljoenen unieke gezichten aan te leggen. Als jouw gezicht daarbij zit en je wordt gezocht, dan weten ze dat je toen-en-toen op de Dam was. Als er in die omgeving meer camera’s zijn die je gespot hebben, dan kunnen ze nagaan hoe je liep; van waar naar waar en wanneer. Misschien is er wel een beeld dat je een voordeur binnengaat. Dan weten ze waar je verblijft. Van vrijwel iedereen die actief is op het internet, nu ongeveer de halve wereldbevolking, staat een portret online. Een bedrijf genaamd Clearview AI verzamelt al die gezichten in een database, 3 miljard hebben ze er inmiddels, u en ik zitten er waarschijnlijk ook in, en overheidsdiensten mogen daar tegen betaling in grasduinen.

Software voor facial recognition (FR) wordt steeds beter. Bij het vergelijken van een foto van iemands gezicht met een portretfoto van diezelfde persoon in een database (‘one to many’) was de gemiddelde foutmarge in 2014 nog 4 procent, inmiddels nog maar 0,2 procent. Dat is 1 miss op 500 hits. Zelfs sommige eeneiige tweelingen (0,35 procent van de bevolking) worden al van elkaar onderscheiden. Theoretisch is het nu mogelijk om door het leven te gaan zonder identiteitsbewijs, terwijl er toch voortdurend gecontroleerd wordt wie je bent, zonder dat je er iets van merkt. Je identiteitsbewijs is je gezicht. 

Wie een FR-systeem wil misleiden, moet zijn gezicht vrij grondig camoufleren – denk aan David Bowie als Ziggy Stardust. Er is al een beeldend kunstenaar die zich heeft toegelegd op het maken van maskers om onherkenbaar te zijn voor FR-systemen. De markt voor FR ontwikkelt zich al even snel en groeit elk jaar met ongeveer 15 procent per jaar. De geschatte opbrengst van FR-toepassingen zal rond 2024 ongeveer 7 miljard dollar per jaar bedragen.

Welkom in de nieuwe naadloze wereld

Bij de World Travel and Tourism Council (WTTC)dromen ze van een wereld waarin je gezicht je paspoort is, van luchthavens zonder rijen, waar je incheckt alsof je op de tram stapt, van de geweldige groei van het aantal vliegbewegingen die dat gaat opleveren, en de miljoenen nieuwe banen voor de transport- en toerismesector. 

Eric Smit plaatste onlangs op FTM een paar gevoelige kanttekeningen bij het ideële karakter van de mondiale Rotaryclub World Economic Forum (WEF) in Davos, en precies diezelfde argwaan bekruipt je bij hun project Known Traveler Digital Identity (KTDI). Het vertoont een opmerkelijke gelijkenis met die natte droom van de WTTC: een systeem waarbij ‘gekende’ reizigers zich vlot, soepel en zonder oponthoud door het luchtruim kunnen bewegen, dankzij wereldwijd gekoppelde databases voor gezichtsherkenning, terwijl reizigers zonder die speciale status, bijvoorbeeld omdat zij gezocht worden voor een plofkraak, uit een verdacht land komen, nog een parkeerboete moeten betalen of gewoon minder vaak vliegen, ouderwets in de rij mogen staan.

Combineer een volkstelling of verkiezingsregistratie met het vastleggen van gezichten en je hebt een FR-database van je volledige bevolking

KTDI is een joint venture van het WEF met onder andere Schiphol, het ministerie van Justitie en Veiligheid, Homeland Security, Interpol, Hilton, Visa en Google. Een consumentenorganisatie of privacywaakhond als Bits of Freedom zit niet aan tafel. Welkom in de nieuwe naadloze wereld van Peter Stuyvesant. Known traveler, het klinkt bijna zo lekker als frequent flyer, of een van die andere jetset-privileges die in Davos-kringen op waarde geschat worden. Het belonen van veelvliegers, hoe on-2020. 

Zoals bekend: Beijing gebruikt FR om de Oeigoeren en demonstranten in Hong Kong te identificeren en als onderdeel van het social credit-systeem waarmee de gewone bevolking in het gareel wordt gehouden. Combineer een volkstelling of verkiezingsregistratie met het vastleggen van gezichten en je hebt een FR-database van je volledige bevolking.

‘Bijzondere persoonsgegevens’

Er begint nu een backlash tegen gezichtsherkenning op gang te komen. San Francisco, bakermat van de tech-revolutie, voerde onlangs een verbod op FR in, buurstad Oakland volgde, diverse andere Amerikaanse steden staakten FR-projecten en een groep van veertig muziekfestivals stelde een verbod op de technologie in. In Nederland berichtte NRC Handelsblad de afgelopen weken over de opmars van FR (onder andere over dat onderzoek van BOF) en waarschuwde voor de gevolgen. D66 stelde onlangs voor om gezichtsherkenning in Nederland voorlopig te verbieden. 

Die maatregelen zijn terecht, maar fungeren hooguit als noodverband, als rem op een razendsnelle, ongecontroleerde proliferatie van FR-systemen. Het verzamelen en verhandelen van dit soort data is een miljardenindustrie geworden, die vrijwel niet gereguleerd is. Plat gezegd: we doen maar wat. Of de camera’s van Webcam.nl gebruikt worden om gezichten te verzamelen, en wat er vervolgens met die data gebeurt – Joost mag het weten.

Biometrische data behoren tot de ‘bijzondere persoonsgegevens’, die je volgens de Europese privacywetgeving (AVG) niet zomaar mag verzamelen, maar fabrikanten en gebruikers houden zich daar vaak niet aan. ‘Bij onze webcams hangen bordjes die mensen attenderen op het cameratoezicht,’ zegt de eigenaar van Webcam.nl in NRC. Althans, dat adviseert hij zijn klanten; of ze het doen, en hoe, moeten ze zelf weten. Dat is het niveau waarop onze digitale privacy nu wordt gewaarborgd: zo’n geel waarschuwingsbord bij een pas gedweild toilet, of helemaal niets. 

Dát is het probleem, niet het bestaan van die technologie op zich. Er zijn nu al systemen die op afstand je hartslag kunnen ‘lezen’, kennelijk ook een uniek persoonskenmerk. Er zijn optische systemen, gekoppeld aan AI, die op afstand je iris of je vingerafdruk kunnen lezen, of zelfs aan een klein stukje huid genoeg hebben om je te herkennen. Er is een lasersysteem in de maak dat je kan identificeren op grond van je loopje – zonder dat je het weet. Nu wij vrijwel allemaal een smartphone bij ons dragen kunnen we eenvoudig geïdentificeerd worden aan de hand van het MAC-adres dat zo’n telefoon permanent uitzendt. Al dat verbieden van FR-systemen heeft dus eigenlijk niet zoveel zin. Veel belangrijker is dat we gaan reguleren hoe we dit soort technologie willen gebruiken: wie welke informatie ermee verzamelt en wat zij ermee mogen doen.

Innovatie als lokkertje, groei als doel

Het is de vraag of de Nederlandse politiek voldoende doordrongen is van die urgentie. De aanpak van het nieuwe DigiD is in dat opzicht weinig hoopgevend. Ons bestaande digitale persoonsbewijs is verouderd, vindt de regering, dus er moet een nieuw systeem komen (het eID), dat moeilijker te kraken valt. De overheid heeft zich door de tech-industrie laten wijsmaken dat zij dat niet alleen kan, en er een legitimatiesysteem moet komen waar ook grote internetpartijen gebruik van kunnen maken. Straks is er niet één officieel legitimatiebewijs waarmee ik kan inloggen bij de Belastingdienst, de jeugdzorg of de Reclassering, maar kan het ook met m’n Apple-, Amazon-, Google- of Facebook-account. Dan weten die bedrijven dus wat voor zaken ik doe met mijn overheid. 

Dankzij PSD2, in 2018 ingevoerd, kunnen marktpartijen nu toegang krijgen tot onze bankgegevens en betaaldiensten gaan aanbieden

Hetzelfde gebeurde op Europees niveau met het betalingsverkeer. Dankzij de PSD2-wet, in 2018 ingevoerd, kunnen marktpartijen nu toegang krijgen tot onze bankgegevens en betaaldiensten gaan aanbieden. Google, Apple, Facebook en Amazon zijn daar al druk mee bezig, en zullen het bestaande creditcard-stelsel op termijn waarschijnlijk volledig verdringen. Een weliswaar private maar zwaar gereguleerde industrie, het bankwezen, maakt plaats voor de nauwelijks gereguleerde tech-sector. Vier bedrijven, die bij elkaar om de hoek zitten, wereldwijd opereren en, Apple uitgezonderd, een dubieuze staat van dienst hebben als het gaat om privacy.

Het argument waarmee politici telkens weer worden overgehaald tot het uit handen geven van dit soort voorzieningen is ‘innovatie’. Dat klinkt gezond en dynamisch, maar als er één sector is waar de afgelopen jaren steeds minder innovatie plaatsvindt, is het juist de tech-industrie. De supermonopolisten die daar de dienst uitmaken hóeven niet meer zo nodig te innoveren. Waar zou de consument heen moeten? ‘Innovatie’ is gaandeweg steeds meer een eufemisme geworden voor ‘groei’. Voor echte innovatie moet je bij kleine startups zijn, in de korte tijd voordat ze door Big Tech worden opgeslokt. Hetzelfde met dit eID: deelname in ons nieuwe digitale legitimatiebewijs is voor de techbedrijven gewoon een mogelijkheid tot groei.

Eind deze maand wordt dit slechte voorstel in de Tweede Kamer behandeld. En hier https://goed-id.org kun je Kamerleden oproepen er niet mee akkoord te gaan. Het wordt tijd dat de politiek zich wat minder laat afbluffen door de lobby van de grote techbedrijven en wat duidelijker kiest voor publieke waarden en het belang van de burger.

Deel dit artikel, je vrienden lezen het dan gratis

Over de auteur

Jan Kuitenbrouwer

Gevolgd door 782 leden

Journalist, schrijver en presentator. Auteur van het boek 'Datadictatuur, hoe de mens het internet de baas blijft'.

Dit artikel zit in het dossier

Datadictatuur

Gevolgd door 2113 leden

2018 was het jaar van de Grote Internet Ontnuchtering. Voor het eerst zagen we de techindustrie met haar datahonger als een G...

Volg dossier