NOS Nieuws•
-
Billie Slagboom
redacteur economie
-
Cathérine Minczeles
redacteur Economie
-
Billie Slagboom
redacteur economie
-
Cathérine Minczeles
redacteur Economie
Één ogenschijnlijk onschuldig vakantiekiekje op sociale media of een aanpassing van een profielfoto kan zomaar voldoende zijn om opgenomen te worden in een enorme, illegale AI-database.
Vanochtend legde de Autoriteit Persoonsgegevens (AP) een boete van ruim 30 miljoen euro op aan het omstreden gezichtsherkenningsbedrijf Clearview AI, dat zo’n database heeft met miljarden foto’s van gezichten. Toch is het Amerikaanse bedrijf relatief onbekend. Vijf vragen over de miljoenenboete voor Clearview.
Wat voor bedrijf is het?
Clearview werd in 2016 opgericht door de Australische techondernemer Hoan Ton-That en de Amerikaanse politicus Richard Schwartz. Ze zeggen met de software te willen bijdragen aan een veiligere samenleving.
Clearview ‘schraapt’ foto’s en video’s van openbare bronnen op het internet, zoals nieuwswebsites en sociale media. De database met deze foto’s wordt gebruikt als zoekmachine, waarin een afbeelding van iemand geüpload kan worden. Vervolgens koppelt de gezichtsherkenningssoftware de foto via kunstmatige intelligentie (AI) bijvoorbeeld aan beveiligingsbeelden of andere foto’s die van diegene online staan.
Hoewel sociale media zoals Facebook gebruikers verbieden om afbeeldingen van hun platformen te halen, doet Clearview dat toch. Onder meer inlichtingen- en opsporingsdiensten maken gebruik van de zoekapplicatie.
Zit mijn foto ook in de database? En is dat erg?
Die kans is heel groot. De database van Clearview omvat namelijk zo’n vijftig miljard foto’s. Het gaat hierbij enkel om openbare foto’s, maar deskundigen benadrukken dat dit niet betekent dat het altijd foto’s zijn waarbij toestemming is gegeven voor publicatie. Zo kan een vriend of kennis een foto plaatsen zonder toestemming of kan iemand op de achtergrond staan van een vakantiefoto van een compleet onbekende.
Met die foto’s wordt een soort vingerafdruk van een gezicht gemaakt. Daarbij wordt onder meer gekeken naar de verhouding tussen ogen en neus, waardoor de persoon zowel lachend als sip te herkennen is op een foto. “Clearview maakt de foto’s die je online plaatst beschikbaar voor hele andere doeleinden”, legt Sarah Eskens uit, universitair docent recht en technologie, verbonden aan de Vrije Universiteit Amsterdam. “Veel mensen zullen het niet fijn vinden dat hun foto voor gezichtsherkenning wordt gebruikt en dat ze met een foto wereldwijd traceerbaar zijn.”
Volgens Eskens kunnen opsporingsdiensten de software gebruiken om criminelen te vinden, “maar ook bijvoorbeeld mensen die aan protesten deelnemen waar de overheid niet blij mee is”.
Wordt de software ook in Nederland gebruikt?
In 2020 schreef Buzzfeed News over een gelekte klantenlijst, waaruit zou blijken dat Nederlandse overheidsorganisaties en politiekorpsen ook gebruikmaken van Clearview.
Zowel de politie als voormalig justitieminister Grapperhaus ontkende dit. “Het gebruik van Clearview is niet verenigbaar met de wet en zou in strijd zijn met onze grondrechten”, schreef Grapperhaus aan de Tweede Kamer in 2021. Ook de Europese politiesamenwerking, Europol, zegt geen gebruik te maken van de gezichtsherkenningssoftware.
De technologie is sowieso wel gebruikt in landen als België, Finland en Zweden. In de Verenigde Staten wordt de applicatie veelvuldig gebruikt door onder meer de FBI en andere opsporingsdiensten.
Kan ik uit de database gehaald worden?
Normaliter zou het op basis van de Europese privacywet AVG mogelijk moeten zijn om een verzoek in te dienen om foto’s uit zo’n database te laten verwijderen. Maar Clearview vindt dus niet dat het bedrijf onder deze wet valt.
Privacyorganisatie Bits of Freedom kreeg een aantal jaar geleden nog wel een reactie toen een van van hun personeelsleden vroeg met welke foto’s ze in de database stond. “Maar de afgelopen tijd reageren ze niet meer op dat soort verzoeken,” zegt een woordvoerder.
Mag dit zomaar?
Nee, een bedrijf mag niet zonder toestemming foto’s opnemen in een database, zeggen deskundigen. Dit staat ook in de Europese privacywet, de AVG, en om die reden kreeg het bedrijf vandaag een miljoenenboete.
Maar Clearview vindt zelf dat het niet onder die wet valt, stelde het bedrijf tegenover persbureau AP: “Clearview AI heeft geen bedrijfsactiviteit of klanten in Nederland of in de EU, en doet niets wat zou betekenen dat het onder deze wet valt”.
De Autoriteit Persoonsgegevens schat de kans groot in dat Clearview de boete niet gaat betalen. “Boetes dwingen techbedrijven meestal niet voldoende om zich anders te gedragen”, zegt universitair docent Eskens.
Kan de AP nog iets anders doen dan boetes opleggen?
De privacywaakhond wil kijken of het ook op persoonlijk niveau achter de bestuurders van Clearview aan kan gaan. “Hiermee nemen ze waarschijnlijk voorbeeld aan de arrestatie van de Telegram-topman Doerov”, zegt Eskens, doelend op de Russische techmagnaat die eind vorige maand in Parijs werd gearresteerd.
Volgens de Franse media stond de 39-jarige Rus op een Franse opsporingslijst en werd hij aangehouden, omdat Telegram niet of nauwelijks informatie deelt over zijn gebruikers en te weinig moderatoren inzet waardoor criminelen vrij spel hebben.
In het geval van de Clearview-bestuurders zal het om een boete gaan, omdat de overtredingen van hun bedrijf niet onder het strafrecht vallen. Daar wordt op Europees niveau wel aan gewerkt.