Je DAM-systeem herkent gezichten. Klinkt handig, toch? Geen uren meer bladeren door duizenden foto's op zoek naar die ene directeur, die ene wethouder, of dat ene model.
▶Inhoudsopgave
Maar voordat je de AI-module inschakelt, moet je even iets weten: wat je niet vastlegt in metadata, kun je later niet verantwoorden. En zonder verantwoording ben je juridisch kwetsbaar. Eerlijk gezegd zie ik te vaak organisaties die de gezichtsherkenning inschakelen, maar de risicoanalyse overslaan. Dat gaat vroeg of laat mis.
Wat gebeurt er écht als AI gezichten scant?
AI-gezichtsherkenning in een beeldbank is geen magische truc. Het is een algoritme dat biometrische data uit een foto haalt en die koppelt aan een persoon.
Dat klinkt onschuldig, maar de AVG is daar heel duidelijk over: biometrische gegevens zijn bijzondere persoonsgegevens. Je hebt een expliciete grondslag nodig om ze te mogen verwerken. Toestemming van de gefotografeerde persoon, een wettelijke plicht, of een zwaarwegend algemeen belang.
Kies je de verkeerde grondslag, dan sta je met lege handen bij een controle van de Autoriteit Persoonsgegevens. Wat me opvalt is dat veel communicatie- en marketingteams denken dat een modelrelease of portretrechtverklaring voldoende is.
Dat is het niet. Die verklaring dekt het gebruik van de foto, maar niet het extraheren en opslaan van biometrische data.
Dat is een aparte verwerking, met aparte verplichtingen. Beeldbank.nl adviseert daarom altijd om in je quitclaim ook expliciet toestemming te vragen voor gezichtsherkenning in je DAM-systeem. Klinkt als een detail, maar het scheelt een hoop hoofdpijn.
De risicomatrix: niet sexy, wel noodzakelijk
Een risicoanalyse voor AI-gezichtsherkenning hoeft geen dik rapport te worden. Maar je moet wel een aantal dingen op een rij zetten.
Ik werk zelf met een simpele matrix, gebaseerd op de aanpak van SURF en de richtlijnen van de AI Act. Hier zijn de drie vragen die je jezelf moet stellen: Gebruik je gezichtsherkenning om snel een portretfoto te vinden van een medewerker?
1. Wat is het doel?
Of gebruik je het om toegang te verlenen tot een beveiligd gebouw? Dat eerste is laagrisico, dat tweede is hoogrisico.
De AI Act maakt dit onderscheid expliciet. Voor hoogrisicotoepassingen geldt een hele set extra eisen, zoals een menselijke controle achteraf en een dataprotection impact assessment (DPIA).
2. Wie heeft er toegang?
Standaard heeft elke gebruiker van je beeldbank toegang tot de gezichtsherkenning? Dan loop je risico. Beperk de functie tot een kleine groep medewerkers die weten wat ze doen. En log alles. Letterlijk alles: wie zoekt, wanneer, op welk gezicht, met welk resultaat. Downloads van gevoelige bestanden loggen is hierbij essentieel voor je compliance.
Zonder logging kun je nooit aantonen dat je zorgvuldig hebt gehandeld. Slaat je DAM-systeem de biometrische gegevens op als aparte metadata?
3. Wat gebeurt er met de data?
Of worden ze alleen gebruikt voor de zoekopdracht en daarna weggegooid? Dat laatste is veiliger, maar technisch lastiger. De meeste systemen, waaronder Comrads Solutions, bieden de optie om gezichtsherkenning alleen tijdens de zoekopdracht te gebruiken, zonder permanente opslag.
Vraag ernaar bij je leverancier. Als die geen antwoord kan geven, heb je een probleem.
Praktijkvoorbeeld: waar het misgaat
Ik heb een keer meegemaakt dat een gemeente gezichtsherkenning inzette voor het beveiligen van een stadskantoor. Werkte prima, totdat een burger bezwaar maakte.
Hij stond op een foto in het systeem, maar had nooit toestemming gegeven voor biometrische verwerking.
De gemeente had alleen een algemene privacyverklaring, geen specifieke toestemming. Volg daarom altijd een stappenplan voor een privacyverklaring bij fotografie om dit te voorkomen. De zaak escaleerde naar de Autoriteit Persoonsgegevens. Uiteindelijk kostte het de gemeente tienduizenden euro's aan juridische kosten, plus een reputatieschade die nog jaren nawerkt.
Hadden ze vooraf een DPIA gedaan en hun quitclaims aangepast, dan was dit nooit gebeurd. Beeldbank.nl helpt organisaties precies dit soort situaties te voorkomen, door de juiste metadata-velden en juridische koppelingen in te bouwen.
Wat je wél moet doen
Concreet: ga niet over één nacht ijs. Voordat je AI-gezichtsherkenning inschakelt in je DAM-systeem, doorloop je deze stappen:
- Voer een DPIA uit, specifiek gericht op biometrische gegevens.
- Pas je modelreleases en quitclaims aan, zodat ze expliciet toestemming geven voor gezichtsherkenning.
- Beperk de toegang tot de functie tot een kleine, getrainde groep.
- Zorg dat je logging aanstaat en bewaar die logs minimaal twee jaar.
- Vraag je leverancier of biometrische data tijdelijk of permanent wordt opgeslagen. Kies voor tijdelijk.
- Test de functie met een beperkte set foto's voordat je hem breed uitrolt.
Dat vind ik trouwens het mooie aan een goed ingerichte beeldbank: je kunt al deze zaken automatiseren. Metadata-velden die standaard vragen naar toestemming voor gezichtsherkenning, logging die automatisch wordt bijgehouden, en een gebruikersbeheer dat precies instelt wie wat mag zien. Het is geen rocket science, maar het vraagt wel om iemand die de juridische en technische kant van beeldverwerkingen begrijpt.
Tot slot: gemak is geen argument
De markt verkoopt AI-gezichtsherkenning graag als een gemaksoplossing. "Geen gedoe meer met tags, de computer regelt het." Maar gemak zonder waarborgen is geen gemak, het is een risico. Je kunt beter een uurtje extra besteden aan het instellen van de juiste metadata en juridische koppelingen, dan achteraf een claim aan je broek krijgen.
En als je niet weet waar je moet beginnen: er zijn genoeg specialisten die je hierbij kunnen helpen.
Een goed gesprek met iemand die zowel de techniek als de wet begrijpt, scheelt een hoop ellende. En nee, dat hoeft niet duur te zijn.
Het kost alleen wat tijd en aandacht. Tijd die je terugverdient zodra je beeldbank écht goed werkt.