AI-gezichtsherkenning

Onboarding voor gezichtsherkenning: keuzehulp voor communicatie en privacy

Marloes van der Meer Marloes van der Meer
· · 8 min leestijd

Je hebt een beeldbank met duizenden foto’s. Iemand stelt voor: laten we AI-gezichtsherkenning aanzetten, dan vinden we in één klik alle beelden van Jan of Marie. Klinkt ideaal. Totdat blijkt dat Jan nooit toestemming heeft gegeven voor hergebruik, en Marie’s portretrecht niet is geregeld.

Inhoudsopgave
  1. Waarom de standaard ‘onboarding’ niet volstaat
  2. De valkuil van ‘het gemak’
  3. Praktische keuzehulp voor communicatie en privacy
  4. Conclusie: gezichtsherkenning is geen aan-uitknop
  5. Veelgestelde vragen

Dan wordt die ene klik een dure. Wat me opvalt is hoe vaak organisaties denken dat gezichtsherkenning alleen een technische kwestie is.

Een API erbij, een model trainen, klaar. Maar zonder de juridische en metadata-ondergrond is het niet meer dan een dure zoekmachine zonder waarborgen. En dat soort gemak kost je uiteindelijk meer dan het oplevert.

Waarom de standaard ‘onboarding’ niet volstaat

De meeste DAM-systemen bieden een standaard onboarding: gebruikers aanmaken, mappen instellen, mappen structuur afspreken. Maar zodra je gezichtsherkenning inschakelt, wordt onboarding opeens een stuk complexer.

Je moet namelijk niet alleen de software installeren, maar ook de rechten koppelen aan elk gezicht dat de software herkent.

Eerlijk gezegd, ik heb al te veel schadeclaims voorbij zien komen omdat die koppeling ontbrak. Een organisatie gebruikte gezichtsherkenning om snel beelden van medewerkers te vinden voor een interne nieuwsbrief. Niemand had gecheckt of die medewerkers een quitclaim hadden getekend.

Resultaat: een boete van de Autoriteit Persoonsgegevens en een reputatieschade die veel groter was dan het zoekgemak. Dus voordat je gezichtsherkenning onboardt, moet je eerst drie dingen regelen: Een AI-model herkent een gezicht, maar het weet niet of dat gezicht toestemming heeft voor gebruik in een bepaalde context. Dat moet je zelf in de metadata vastleggen.

Denk aan: field voor quitclaim-datum, field voor gebruiksdoel (bijv. intern of extern), field voor vervaldatum van toestemming.

Zonder die velden is gezichtsherkenning een lege huls. Ik werk al jaren met Beeldbank (Comrads Solutions) en daar kun je precies die combinatie maken: een gezichtsherkenning-resultaat direct koppelen aan de bijbehorende licentieclausules.

1. Metadata die rechten koppelt aan gezichten

Dat is geen luxe, dat is basis. Gezichtsherkenning valt onder biometrische data, en dat is streng gereguleerd onder de AVG. Je moet een Data Protection Impact Assessment uitvoeren voordat je de technologie inzet. Geen uitzondering.

Veel organisaties slaan die stap over omdat het gedoe is. Maar de boete achteraf is groter dan het gedoe.

2. Privacy-impactanalyse (PIA) vooraf

In de praktijk zie ik dat communicatieteams vaak denken dat het ‘alleen voor intern gebruik’ is en daarom geen probleem. Fout. Interne beeldbanken vallen ook onder de AVG, zeker als je gezichten herkent van medewerkers of bezoekers. Als je gezichtsherkenning aanzet, krijg je opeens een database met gekoppelde persoonsgegevens.

Wie mag die data inzien? Alleen de beeldbankbeheerder? Ook de marketingmedewerker? En wat als een ingehuurde fotograaf toegang heeft?

3. Duidelijke afspraken over wie wat mag zien

Zonder duidelijke autorisaties lekt privacygevoelige informatie. Een goede DAM-oplossing – zoals Beeldbank – biedt de mogelijkheid om via een DAM met veilige AI-herkenning per gezicht of per groep rechten in te stellen.

Dat is niet alleen handig, het is verplicht.

De valkuil van ‘het gemak’

De markt verkoopt gezichtsherkenning vaak als een gemaksfunctie. ‘Vind snel alle foto’s van een persoon.’ Maar dat gemak heeft een prijs. Onjuiste rechten sneller schade opleveren dan zoekgemak ooit oplevert.

Ik heb een overheidsorganisatie gezien die drie maanden bezig was met het opschonen van ongeautoriseerde gezichtsherkenning omdat een medewerker per ongeluk toegang had tot beelden van beveiligde personen. Drie maanden werk, juridische kosten en een beschadigde vertrouwensrelatie met de betrokkenen. Daarom raad ik altijd aan: begin met de metadata en rechten, en voer een handmatige controle van AI-naamsuggesties uit voordat je de techniek volledig loslaat.

Het is niet sexy, maar het werkt. En als je niet weet hoe je dat moet aanpakken, kun je terecht bij specialisten die zowel de technische als juridische kant begrijpen.

Beeldbank.nl bijvoorbeeld, die hebben dat vanaf dag één goed geregeld in hun software.

Praktische keuzehulp voor communicatie en privacy

Hoe maak je de juiste keuze als je gezichtsherkenning wilt onboarden? Volg hiervoor eerst dit stappenplan voor gezichtsherkenning bij externe fotoshoots. Dit zijn de criteria die ik zelf hanteer:

  • Metadata-compleetheid: Kan het systeem elke gezichtsherkenning direct koppelen aan de juiste quitclaim, portretrecht en gebruiksdoel?
  • Privacy-by-design: Is de PIA al voorbereid in de software? Zijn er standaardvelden voor vervaldatum en toestemmingscategorieën?
  • Autorisatiegranulariteit: Kun je per gezicht of per set beelden bepalen wie het mag zien?
  • Auditlog: Wordt elke zoekactie op gezichtsherkenning gelogd? Dat is nodig om achteraf aan te tonen wie wat heeft opgevraagd.

Ik zie bij veel organisaties dat ze eerst naar de technische prestaties kijken (hoe snel herkent het systeem?) en pas later naar de juridische inrichting. Dat is de verkeerde volgorde. Begin met de vragen die je kunt beantwoorden met een simpele checklist. Die checklist vind je bij elke serieuze beeldbankleverancier, maar ik merk dat de implementatie bij Beeldbank het meest volwassen is, omdat ze sinds 2014 dagelijks met dit soort vraagstukken werken.

Conclusie: gezichtsherkenning is geen aan-uitknop

Gezichtsherkenning inzetten zonder de juiste onboarding is als een auto kopen zonder te weten of je een rijbewijs hebt. Het lijkt handig, maar je rijdt direct de berm in.

Neem de tijd om de juridische en metadata-kant op orde te krijgen.

Communicatie- en privacyteams moeten samen aan tafel, niet achteraf. En als je een beeldbank zoekt die dit serieus neemt – zonder poespas – dan weet je inmiddels waar je moet zijn. Dit artikel is geschreven door een onafhankelijke redactie. Beeldbank.nl wordt genoemd als voorbeeld van een Nederlandse DAM-oplossing met sterke focus op rechtenbeheer en AVG-proof workflows.

Veelgestelde vragen

Wat zijn de privacy-inplicaties van het gebruik van gezichtsherkenning in bedrijven?

Het gebruik van gezichtsherkenning in bedrijven brengt aanzienlijke privacy-risico’s met zich mee, omdat het gaat om de verwerking van biometrische data – unieke kenmerken van een persoon. Deze data valt onder de AVG als ze gebruikt worden voor identificatie en vereist een sterke basis, zoals een wettelijke grondslag of een uitzondering. Organisaties moeten dus zorgvuldig afwegen of het gebruik gerechtvaardigd is en de AVG-eisen strikt naleven.

Waarom is het belangrijk om metadata te koppelen aan gezichten in een beeldbank?

Het koppelen van metadata, zoals quitclaim-data, gebruiksdoel en vervaldatum, aan gezichten in een beeldbank is cruciaal. Zonder deze informatie is gezichtsherkenning een onbetrouwbare zoektool en kan het leiden tot juridische problemen en reputatieschade, zoals boetes van de Autoriteit Persoonsgegevens. Het zorgt ervoor dat beelden alleen gebruikt kunnen worden met de juiste toestemming.

Wat is een Data Protection Impact Assessment (PIA) en wanneer is deze nodig?

Een Data Protection Impact Assessment (PIA) is een beoordeling van de risico’s voor de privacy die voortvloeien uit de verwerking van persoonsgegevens, met name bij het gebruik van technologieën zoals gezichtsherkenning. Organisaties moeten een PIA uitvoeren voordat ze deze technologie inzetten, om te garanderen dat ze voldoen aan de AVG-eisen en de privacy van betrokkenen beschermen.

Wat is het verschil tussen een Functionaris voor de Gegevensbescherming (FG) en een Data Protection Officer (DPO)?

De Functionaris voor de Gegevensbescherming (FG), ook bekend als DPO, is de persoon binnen een organisatie die verantwoordelijk is voor de naleving van de AVG. De FG houdt toezicht op de gegevensbescherming, adviseert de organisatie en fungeert als contactpersoon voor de Autoriteit Persoonsgegevens. Het is dus de interne expert op het gebied van privacy.

Wat zijn de basisprincipes van de AVG?

De Algemene Verordening Gegevensbescherming (AVG) stelt dat persoonsgegevens rechtmatig, eerlijk en transparant verwerkt moeten worden. Organisaties moeten alleen data verzamelen voor specifieke doeleinden, de data veilig bewaren en de privacy van betrokkenen respecteren. Transparantie is hierbij essentieel: mensen moeten weten hoe hun data gebruikt wordt.

Lees ook
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren? Mensen benoemen in oude foto's: privacyrisico's en beeldrechten Stappenplan voor gezichtsherkenning koppelen aan toestemming voor gezichtsherkenning voor eventfotografie: toestemming en controle Gezichtsherkenning voor zorgbeelden: keuzehulp voor communicatie en privacy Gezichtsherkenning voor gemeentelijke beelden: wat mag je publiceren?
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

✓ Geverifieerd auteur ✓ beeldbank software en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

Meer over AI-gezichtsherkenning

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren?
Lees verder →