De Australische en Britse privacytoezichthouders zijn een gezamenlijk onderzoek gestart naar het gezichtsherkenningsbedrijf Clearview. Klanten van het bedrijf kunnen iemands foto uploaden, waarna Clearview die vergelijkt met foto's die het van het internet heeft verzameld. Vervolgens krijgen klanten die foto's te zien en de website waar ze zijn gevonden.
Clearview verzamelde foto's van Facebook, LinkedIn en andere websites en socialmediaplatformen voor het trainen van een gezichtsherkenningssysteem. Dit systeem bevat een database die drie miljard verzamelde afbeeldingen zou bevatten. De Australische Information Commissioner (OAIC) en de Britse Information Commissioner's Office (ICO) onderzoeken nu hoe Clearview persoonlijke informatie van personen verwerkt, waarbij de nadruk ligt op het "scrapen" van data en biometrische gegevens van het internet.
Volgens de privacytoezichthouders onderstreept het onderzoek de noodzaak van gezamenlijke handhavingssamenwerking om de persoonlijke data van Australische en Britse burgers in een "geglobaliseerde dataomgeving" te beschermen.
Deze week maakte staatssecretaris Knops van Binnenlandse Zaken nog bekend dat honderden Nederlandse overheidsinstanties geen gebruik maken of hebben gemaakt van de diensten van Clearview.
Alles bij de bron; Security
Na de VS denkt ook Nederland aan forensisch gebruik van dna-profielen uit publieke databanken. Het gebruik van publieke dna-databanken bij het achterhalen van de identiteit van onbekende verdachten heeft voor een golf van opwinding in de forensische wereld gezorgd, maar is ook controversieel want het roept verschillende ethische en maatschappelijke vragen op.
De zogenoemde recreatieve genetica, of ‘pret-dna-test’, heeft in de afgelopen jaren een grote vlucht genomen. Inmiddels zitten miljoenen dna-profielen in dergelijke databanken. Deze profielen en de bijbehorende informatie zijn nu dus ook relevant geworden voor de opsporing.
Het principe van deze opsporingsmethode is eigenlijk simpel. Als iemands dna-profiel in een publiek toegankelijke dna-databank zit, met naam en toenaam, dan zit niet alleen het dna-profiel van deze persoon in de databank, maar in feite ook van alle eerste- en tweedegraads familieleden, en soms ook (afhankelijk van de uitgebreidheid van de test) van alle derdegraads-familieleden.
Momenteel wordt door de minister van Justitie en Veiligheid verkend of we deze technologie willen en kunnen implementeren in de Nederlandse opsporing. De grootste hobbel bij deze toepassing wordt juist gevormd door de maatschappelijke en ethische aspecten ervan.
Een van de issues die voortdurend naar voren wordt gebracht is de kwestie van ‘informed consent’ (‘geïnformeerde toestemming’). De waarde van de databank bij forensisch onderzoek is dat die onmiddellijk naar verwanten leidt die zelf geen weet hebben van het feit dat zij in een opsporing ingesloten zijn. Met andere woorden, zonder dat die persoon of zijn familieleden zich daarvan bewust zijn, wordt het informed consent dat door de persoon in kwestie verleend wordt, eigenlijk ook het informed consent van zijn familie gemaakt...
...Het moge duidelijk zijn dat de huidige commerciële dna-databanken niet onder toezicht van Justitie staan. Bij gebruik van die data voor de opsporing is er dus spraken van een ‘repurposing’ van persoonlijke gegeven; die worden gebruikt voor een ander doel dan waar zij voor bedoeld waren. Burgers die geïnteresseerd zijn in hun persoonlijke afkomst of in hun genetische gesteldheid, kunnen onmogelijk overzien wat een opsporingsonderzoek betekent en wat het voor praktische consequenties kan hebben voor het leven van hun verwanten. In plaats van het ‘informed consent’ als strohalm te nemen om de privacy van burgers te schenden, dient de overheid, misschien juist in deze tijden, de burger tegen zichzelf te beschermen.
Alles bij de bron; NRC [long-read]
John Crombez heeft een wetsvoorstel klaar om standaard een DNA-staal af te nemen bij slachtoffers van seksueel geweld. Ook zonder dat die slachtoffers een klacht indienen, zou een staal worden afgenomen.
Nu is het nog aan een magistraat van justitie om een DNA-staal te vorderen als er een onderzoek loopt naar een aanranding of een verkrachting. Maar Crombez wil dat zo’n staal standaard wordt afgenomen, tenminste als het slachtoffer schriftelijk toestemt. Ook kan een magistraat wel nog een staal weigeren, maar dan moet er een goede reden worden gegeven. “Het doel van de wet is dat er veel meer daders van verkrachting worden gevat en veroordeeld.”
Alles bij de bron; VRTNieuws
Michelle Bachelet, hoge commissaris voor de mensenrechten bij de Verenigde Naties (VN), roept overheden op om gezichtsherkenningssoftware voorlopig niet te gebruiken bij demonstraties. Dit zou de rechten van demonstranten schenden.
Bachelet vreest dat overheden in met name de Verenigde Staten software voor gezichtsherkenning inzetten om demonstranten te identificeren of hun gezichten in databases vast te leggen. Peggy Hicks, directeur van de afdeling voor mensenrechten binnen de VN, waarschuwt dat dit een zorgwekkende ontwikkeling is. Zeker omdat bewezen is dat de software fouten kan maken. Mensen zouden zo ten onrechte gearresteerd of vervolgd kunnen worden.
De VN maakt zich overigens niet alleen zorgen over gezichtsherkenning. In veel landen wordt tijdens betogingen ook het internetverkeer gemonitord. Sociale media-accounts van demonstranten worden gehackt of blijvend gevolgd door inlichtingendiensten. Verder wordt technologie ontwikkeld om strijd te kunnen leveren met betogers. Volgens Bachelet kan dit ertoe leiden dat mensen niet langer aan betogingen zullen durven deel te nemen, uit angst voor problemen met de overheid of het verliezen van hun baan.
Alles bij de bron; BeveilNieuws
Politici en privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. In hoeverre worden we hiermee in Nederland al in de gaten gehouden? Een verkenning langs winkels, voetbalclubs, gemeenten en Schiphol....
...Herkenningsvormen via slimme camera’s
Gezichtsherkenning; Gebruikt punten op het gezicht en hun verhouding tot elkaar om de kans te berekenen dat twee gezichten op beeld dezelfde zijn. Hierbinnen zijn drie vormen: verificatie (twee gezichten worden met elkaar vergeleken, bijvoorbeeld bij grenscontrole), identificatie (gezicht wordt vergeleken met een dataset, bijvoorbeeld bij het Catch-systeem van de politie) en surveillance (alle gezichten worden vergeleken met grote dataset).
Emotieherkenning; Lijkt op gezichtsherkenning, maar vergelijkt de data niet met andere gezichten, maar welke emotie het meest bij de vastgelegde gezichtsuitdrukking past. Deze techniek is in de praktijk allesbehalve bewezen.
Silhouetherkenning; Gebruikt onder meer postuur en kleding om te bepalen of personen op twee beelden waarschijnlijk dezelfde zijn. Minder precies dan gezichtsherkenning.
Nummerbordherkenning; Leest nummerborden en vergelijkt ze met andere nummerborden in de database. Bijvoorbeeld om oude dieselauto’s in steden te weren.
Gedragsherkenning; Analyseert het gedrag van personen in openbare gebieden. Bij verdachte gedragingen of agressie kan het systeem alarm slaan.
Alles bij de bron; Volkskrant
Deze week heropende Brussels Airport. Een heropening in mineur, want er viel nog weinig volk te bespeuren. Wat wél opviel: er was een extra controlepoort: de temperatuurmeter.
U zegt? Een privébedrijf dat uw medische toestand wil controleren, dat kan toch niet? U heeft uiteraard gelijk. Brussels Airport - en dus eender welk privaat bedrijf, want er zijn er nog veel meer temperatuursloebers op de markt - mág helemaal niet uw temperatuur controleren bij een bezoek aan de luchthaven (en dus zeker niet wanneer technologie gelinkt wordt aan de meting zelf).
De Gegevensbeschermingsautoriteit (de vernieuwde privacycommissie) liet woensdag in een persbericht weten dat zij met enige onrust het nieuws vernam van Brussels Airport in de pers. Men stelt een onderzoek in en ik citeer: “voor de GBA bestaat er momenteel geen wettelijke basis om met geavanceerde digitale technologieën de temperatuur te meten van personen die het luchthavengebouw willen betreden. Ze nam contact op met de luchthaven om dit systeem en de juridische onderbouwing ervan beter te begrijpen”.
Het vergaat de GBA tegenwoordig wel meer dat ze geconfronteerd wordt met mogelijke privacyschandalen in de media. En ze verdient een pluim voor haar activistische instelling de laatste weken en maanden.
De activistische instelling daargelaten, het boeit bedrijven meestal niet al te erg wat privacyjuristen of zelfs de GBA van hun projecten denken. Het algehele gevoel bij bedrijven is dat privacy nu maar eens eindelijk stevig moet wijken voor de gezondheid van hun werknemers, klanten en leveranciers. Misschien hebben zij wel gelijk, en zijn wij fout in onze zoektocht naar meer privacy, naar bescherming van rechten en vrijheden voor élke burger.
Dat privébedrijven onze medische toestand niet te weten komen, lijkt me daarentegen ook wel vitaal. Moet uw werkgever straks weten dat u het een beetje warm heeft? Moeten luchthavens straks dokters optrommelen om u lijfelijk te onderzoeken van kop tot teen wanneer u de temperatuursurveillance niet met succes doorstaat? Mag een verzekeringskantoor straks haar klanten verplichten om een temperatuurmeter in te brengen, in een plaats naar keuze?
Temperatuurmeters zijn niet voldoende. Steden zoals Oostende, Knokke, maar evengoed meer democratisch binnenlands gelegen steden zoals Gent en andere implementeren nu een nieuwe vorm van controle: crowd control camera’s. De technologie varieert maar komt in wezen altijd op hetzelfde neer: een algoritme - een wiskundig model - berekent op basis van videobeelden hoeveel volk er door de straten flaneert, en wanneer de politie dan wel de brandweer moet oprukken om al dan niet spreekwoordelijke brandjes te blussen.
De vraag is of camera’s nu daadwerkelijk echt op elke hoek van de straat thuishoren, en hoe permanent dan wel tijdelijk deze crowd control camera’s wel echt zijn. Met COVID-19 is het echter erg onduidelijk: een tweede, potentieel derde, golf zit er altijd aan te komen. En is het niet dit vieze virus, dan wel een andere boude bacterie of volgend virus dat de noodzaak kan legitimeren om deze camera’s aan te houden.
Het is niet altijd even makkelijk om privacy te laten rijmen met onze gezondheid. Zo zag ik onlangs iemand klagen op Twitter dat zijn poetsbedrijf niet aan hem wou doorgeven of zijn poetshulp positief werd getest voor COVID-19, of net niet. Begrijpelijk, maar er is strikte privacywetgeving voor iets.
Misschien moeten we de emoties van burgemeesters en bedrijfsleiders ook op die manier bekijken: de meesten onder hen zullen privacy als ‘begrip’ wel waardevol vinden, maar ruilen toch telkens keer op keer comfort, veiligheid, milieu en dus nu ook gezondheid voor dat blijkbaar moeilijk concreet te maken ‘privacy.
Het grote probleem daarbij valt te voorspellen: als we privacy beschouwen als een spaarpot met 100 wisselcenten, en elke keer als we iets verkiezen boven onze privacy dus zo’n cent uitgeven, - u als wiskundig getalenteerde lezer heeft vast al het resultaat geraden -, dan houden we op een bepaald moment, jawel, een armzalige lege pot over.
En dan, vrees ik, wordt privacy wel heel snel een praktisch begrip, én vooral: gemis.
Alles bij de bron; VRTNieuws [long-read]
China legt een gigantische database aan met daarin het DNA van alle 700 miljoen Chinese mannen en jongens. Al sinds 2017 is de politie er bezig om van iedereen - vrijwillig, zegt de overheid - een DNA-staal te nemen.
De databank is volgens Peking nodig om de criminaliteit beter te kunnen bestrijden en daders sneller te kunnen vatten. Waarnemers beschouwen het vooral als een nieuwe stap in het nu al indrukwekkend hightech controleapparaat dat de Chinese overheid bouwt om zijn inwoners in de gaten te houden.
Peking krijgt daarbij hulp uit Amerikaanse hoek. Het bedrijf Thermo Fisher uit Massachusetts heeft een miljoenendeal met de Chinese overheid gesloten om een grote hoeveelheid DNA-testkits te leveren aan de Chinese politie om de testen te doen. Verschillende Amerikaanse politici hebben het bedrijf daarover geïnterpelleerd, maar volgens Thermo Fisher is er niets illegaals aan de verkoop.
Mensenrechtenbewegingen roeren zich intussen ook in het debat. Ze vrezen dat China via die DNA-database de etnische en religieuze minderheden nog strakker onder controle zal proberen te krijgen.
Alles bij de bron; Nieuwsblad [Thnx-2-Luc]
De Franse privacytoezichthouder CNIL heeft een waarschuwing gegeven voor de inzet van slimme camera's bij de bestrijding van corona, aangezien een aantal van dergelijke systemen niet aan de AVG voldoen. Ook is de toezichthouder kritisch over het gebruik van thermische camera's om de temperatuur van personen te meten.
De openbare ruimte is een plek waar veel individuele vrijheden worden uitgeoefend. "Het beschermen van anonimiteit in openbare ruimtes is een essentieel onderdeel voor het uitoefenen van deze vrijheden. Het filmen van personen in deze ruimtes introduceert risico's voor hun fundamentele rechten en vrijheden", aldus CNIL.
Wanneer camera's ongecontroleerd worden uitgerold kan er bij burgers een gevoel van surveillance ontstaan. Daarnaast kan het burgers gewend doen raken aan de aanwezigheid van inbreukmakende technologieën en zorgt het voor meer surveillance, wat het functioneren van de democratische samenleving kan ondermijnen. Burgers die weten dat ze worden gefilmd kunnen ook hun gedrag aanpassen...
...Wanneer deze apparaten geautomatiseerd persoonlijke data verwerken gebeurt dit meestal zonder toestemming van de betrokken personen. Om toch te kunnen worden gebruikt moet in dit geval de proportionaliteit van de maatregel worden aangetoond, alsmede aanvullende waarborgen genomen. CNIL doet dan ook een oproep om dergelijke camera's niet zomaar in openbare ruimtes te plaatsen. Onlangs bleek dat in de Franse badplaats Cannes camera's waren getest bij markten, bushaltes en in bussen die monitorden of mensen wel mondmaskers droegen en voldoende afstand van elkaar hielden.
Alles bij de bron; Security
Microsoft zou hebben geprobeerd om gezichtsherkenningstechnologie te verkopen aan de Amerikaanse opsporingsdienst Drug Enforcement Administration (DEA). De American Civil Liverties Union (ACLU) heeft e-mails openbaar gemaakt waarin is te lezen dat Microsoft daar in het verleden verschillende pogingen toe heeft gedaan.
Vorige week beloofden verschillende techbedrijven om geen gezichtsherkenningstechniek aan de politie in de Verenigde Staten te verkopen. Ook Microsoft maakte vorige week donderdag bekend zich daaraan te houden, zolang er geen duidelijke wetgeving voor is.
Nu blijkt uit de e-mails dat Microsoft tussen september 2017 en november 2018 meerdere pogingen heeft gedaan om gezichtsherkenningstechniek aan de DEA te verkopen.
Alles bij de bron; NU
Er zijn al enkele jaren supermarkten bezig met het tijdig herkennen van (bekende) winkeldieven, zodat deze uit de winkel kunnen worden geweerd. Een handig middel daarbij is gezichtsherkenning. Daarbij worden camera’s in de supermarkt opgehangen die niet alleen gebeurtenissen vastleggen, maar ook via biometrische gegevens personen kunnen herkennen. Als dit systeem wordt gekoppeld aan een register van bekende winkeldieven, al dan niet in combinatie met andere winkels of supermarkten in de buurt, kan tijdig een signaal worden afgegeven als een bekende dief de winkel betreedt.
Aan dit systeem kleven echter de nodige bezwaren, waaronder de privacy van de klanten.
Recentelijk heeft de toezichthouder, de Autoriteit Persoonsgegevens, een brief gestuurd aan het CBL (ter verdere verspreiding onder haar leden) waarin zij ingaat op deze manier van diefstalbeperking. De AP maakt het duidelijk dat er in haar optiek heel weinig (lees: geen) mogelijkheden bestaan dat een supermarkt gezichtsherkenning toepast in zijn winkels. Het belang van de beveiliging van de winkels is daarvoor niet groot genoeg. Ter vergelijking: dat is wel zo bij een kerncentrale, vindt de AP.
De brief lijkt een teken te zijn dat de AP gezichtsherkenning (van klanten) in het vizier heeft, dus hier mogelijk verder op gaat letten.
De AP is een toezichthouder met een behoorlijke dosis bewijsdrang, wat leidt tot een ‘shoot first, ask questions later’-praktijk van handhaving. Regelmatig worden flinke boetes opgelegd voor het overtreden van de AVG. Hoewel de boetebedragen per boete zullen verschillen, kan de AP een boete opleggen tot wel 4 procent van de omzet. Met dergelijke boetes in het vooruitzicht, moet je afwegen of dat het waard is ten opzichte van de verloren omzet van de winkeldiefstal.
Mogelijk kan de Autoriteit Persoonsgegevens hier op hoger niveau, bijvoorbeeld via het CBL, van worden overtuigd.
Alles bij de bron; Distrifood