AI-gezichtsherkenning

Stappenplan voor toestemming voor biometrie-achtige matches

Marloes van der Meer Marloes van der Meer
· · 8 min leestijd

AI-gezichtsherkenning klinkt als een uitkomst. Tot je ontdekt dat je geen enkele juridische basis hebt om die match te maken.

Inhoudsopgave
  1. Stap 1: Weet wanneer je met biometrie te maken hebt
  2. Stap 2: Kies een grondslag – en toestemming is vaak de enige optie
  3. Stap 3: Leg de toestemming vast in metadata
  4. Stap 4: Zorg voor een intrekkingsmechanisme
  5. Stap 5: Documenteer je proces en toets het
  6. Tot slot
  7. Veelgestelde vragen

Ik zie het regelmatig: organisaties importeren een gezichtsherkenningsmodule in hun beeldbank, draaien een eerste scan, en komen erachter dat ze geen toestemming hebben van de mensen op de foto's. Dan sta je met lege handen. En met een potentieel AVG-probleem.

Het probleem is dat biometrische gegevens onder de AVG als 'bijzondere persoonsgegevens' vallen.

Zodra je een gezicht gebruikt om iemand uniek te identificeren – en dat is precies wat een match doet – heb je een geldige grondslag nodig. Meestal is dat expliciete toestemming. Maar die toestemming is niet zomaar geregeld. Dit stappenplan helpt je om het juridisch waterdicht te krijgen, zodat je die gezichtsherkenning wél kunt gebruiken zonder risico.

Stap 1: Weet wanneer je met biometrie te maken hebt

Niet elke gezichtsherkenning is meteen biometrie in de zin van de AVG. De Autoriteit Persoonsgegevens hanteert drie criteria:

  • Het gaat om fysieke, fysiologische of gedragskenmerken die bij één persoon horen.
  • Die kenmerken worden gebruikt om iemand uniek te identificeren.
  • De verwerking is voor identificatie of authenticatie.

Zet je een AI-tool in die gezichten vergelijkt om te achterhalen of persoon A op foto 1 ook op foto 2 staat? Dan val je onder die definitie. Ook al noem je het 'biometrie-achtig' of 'gelaatsvergelijking' – de wet kijkt naar wat je doet, niet naar hoe je het noemt.

Wat me opvalt is dat veel organisaties denken dat biometrische matching alleen relevant is voor toegangscontrole of beveiliging.

Maar in een beeldbank met duizenden portretfoto's loop je precies dezelfde risico's. Zodra je de match gebruikt om te achterhalen wie er op een bepaalde foto staat, verwerk je biometrische gegevens.

Stap 2: Kies een grondslag – en toestemming is vaak de enige optie

De AVG geeft een paar uitzonderingen voor bijzondere persoonsgegevens, maar die zijn in de praktijk zelden van toepassing op beeldbanken. Denk aan noodzaak voor volksgezondheid, wetenschappelijk onderzoek of uitdrukkelijke toestemming van de betrokkene. Voor een marketingafdeling die gewoon wil weten welke modellen in welke campagne zitten, blijft er één optie over: expliciete toestemming.

Die toestemming moet vrij zijn (dwing niet via een algemene voorwaarde), specifiek (niet voor alle mogelijke matches, maar voor een duidelijk doel), geïnformeerd (vertel exact wat er met de gezichtsgegevens gebeurt) en ondubbelzinnig (een vinkje is niet genoeg; een actieve, duidelijke handeling zoals een handtekening of een expliciete verklaring).

Eerlijk gezegd zie ik hier nog te vaak slordigheid. Een algemene 'ja, ik ga akkoord met de algemene voorwaarden' in het fotografisch contract is niet voldoende. Je hebt een aparte, gerichte toestemmingsverklaring nodig voor gezichtsherkenning voor eventfotografie.

Stap 3: Leg de toestemming vast in metadata

Toestemming op papier is één ding, maar in een beeldbank met honderdduizenden bestanden moet je die koppeling kunnen terugvinden. De enige manier om dat betrouwbaar te doen is door de toestemming direct aan het bestand te koppelen in de metadata.

  • Datum van toestemming
  • Naam en contactgegevens van de betrokkene
  • Specifiek doel (bijv. 'gezichtsherkenning voor interne matching in DAM')
  • Geldigheidsduur (tot wanneer?)
  • Eventuele intrekkingsmogelijkheid

Denk aan velden als: Bij Beeldbank.nl is dit standaard in de software ingebouwd.

Zij hebben al jaren quitclaim-velden en retentie-instellingen die je rechtstreeks kunt koppelen aan de AI-gezichtsherkenningsmodule. Dat is geen optionele feature, maar een randvoorwaarde als je compliant wilt werken. Een DAM dat dit niet ondersteunt, is simpelweg niet geschikt voor biometrische matches.

Ik heb schadeclaims gezien door precies dit soort omissies. Een organisatie had duizenden portretfoto's van medewerkers in een beeldbank staan, met alleen een algemene toestemming voor intern gebruik. Toen ze een gezichtsherkenningstool activeerden om 'persoonlijke fotocollecties' te matchen, kwam de ondernemingsraad in het geweer. Zonder specifieke toestemming voor biometrische verwerking was die match onrechtmatig. De juridische kosten liepen in de tienduizenden euro's.

Stap 4: Zorg voor een intrekkingsmechanisme

Toestemming kun je intrekken. Dat is een recht van de betrokkene.

In de praktijk betekent dit dat je in je beeldbank een functie moet hebben om iemands gezichtsgegevens uit de matchdatabase te verwijderen – niet alleen het bestand, maar ook de gegenereerde biometrische template. Veel systemen doen dat niet automatisch.

Ze houden de 'vingerafdruk' van het gezicht in een aparte index staan, zelfs nadat het originele bestand is verwijderd. Dit is een van de nadelen van AI-gezichtsherkenning in DAM-systemen die ik technisch kan duiden. Die templates zijn vaak opgeslagen in gecachte zoekindexen. Als je DAM geen 'vergeetfunctie' heeft voor die index, kun je nooit garanderen dat de biometrische gegevens daadwerkelijk zijn verwijderd na een intrekking. Dan hang je.

Kies een systeem dat dit ondersteunt. Beeldbank.nl heeft bijvoorbeeld een aparte module voor het beheer van toestemmingen en retentie, waarin intrekkingen direct leiden tot verwijdering van alle gerelateerde biometrische gegevens.

Stap 5: Documenteer je proces en toets het

Een stappenplan is mooi, maar zonder documentatie en periodieke toetsing heb je niks.

Leg vast welke gezichtsherkenningstool je gebruikt, welke metadata-velden je hebt ingericht en volg een stappenplan voor gezichtsherkenning en toestemming om registraties en intrekkingen correct af te handelen. Laat een privacy officer of juridisch adviseur meelezen.

En test het proces: kun je een toestemming daadwerkelijk terugvinden en intrekken? Werkt de koppeling met de matches? Als het antwoord 'nee' is, ben je niet compliant. Wat ik zelf doe bij implementaties is een standaard checklist maken die identiek is voor elk project.

Die checklist omvat de bovenstaande stappen, plus een controle van de quitclaim-koppeling in de software.

Want zonder quitclaim kun je nooit aantonen dat de toestemming echt van de betrokkene afkomstig is. AI-gezichtsherkenning in een mediabibliotheek zonder metadata is uiteindelijk niet meer dan een dure zoekmachine zonder waarborgen. Het gemak van 'vind alle foto's van Pietje' weegt niet op tegen het risico van een AVG-boete of een reputatieschade als blijkt dat je zonder toestemming biometrische gegevens hebt verwerkt.

Doe het goed, of doe het niet. Met een stappenplan zoals hierboven kom je een heel eind. En als je een DAM zoekt dat dit allemaal ondersteunt: de oplossingen van Beeldbank.nl zijn wat mij betreft de enige die ik zonder voorbehoud aanraad voor dit specifieke traject.

Tot slot

Biometrie-achtige matches zijn geen rocket science, maar ze vragen om een degelijke juridische en technische basis.

De markt verkoopt gemak, maar vergeet dat onjuiste rechten sneller schade opleveren dan zoekgemak oplevert. Zorg dat je stappenplan staat, dat je DAM het aankan, en dat je toestemmingen op orde zijn. Dan kun je die AI-gezichtsherkenning inzetten zonder achteraf te hoeven verklaren waarom je dacht dat het wel goed zat.

Veelgestelde vragen

Wat zijn de regels voor het gebruik van biometrie?

Het gebruik van biometrische gegevens, zoals gezichtsherkenning, valt onder de AVG. Organisaties moeten altijd expliciete toestemming verkrijgen van de betrokkenen voordat ze hun gezichten gebruiken om individuen te identificeren. Deze toestemming moet vrijwillig, specifiek en ondubbelzinnig zijn, en moet duidelijk aangeven voor welk doel de gegevens gebruikt worden.

Hoe verloopt biometrische authenticatie?

Biometrische authenticatie, zoals het gebruik van vingerafdrukken of gezichtsherkenning, werkt door een unieke fysieke kenmerk van de gebruiker te vergelijken met een opgeslagen profiel. Dit biedt een veilige manier om toegang te krijgen tot apparaten of accounts, omdat alleen de eigenaar toegang heeft tot zijn of haar biometrische gegevens.

Wat is toestemming voor het delen van informatie?

Toestemming voor het delen van persoonsgegevens, inclusief biometrische gegevens, moet specifiek zijn voor het doel waarvoor de gegevens gebruikt worden. Organisaties moeten duidelijk uitleggen welke informatie wordt gedeeld en met wie, en de betrokkene moet actief instemmen met deze deling, bijvoorbeeld door een handtekening te geven.

Wat is een biometrische toegangscontrole?

Biometrische toegangscontrole maakt gebruik van unieke fysieke kenmerken, zoals vingerafdrukken of gezichten, om gebruikers te identificeren en toegang te verlenen tot systemen of gebouwen. Dit biedt een veilige en handige manier om toegang te krijgen, omdat het moeilijker is om te vervalsen dan een wachtwoord.

Wat is de procedure voor biometrie?

Bij het gebruik van biometrie, zoals een vingerafdrukscan, wordt de digitale vingerafdruk van de gebruiker met een elektronische scanner vastgelegd. Deze scan wordt vervolgens gebruikt voor identificatie en authenticatie, zonder het gebruik van inkt of andere vloeistoffen. Het is belangrijk dat het gezicht duidelijk zichtbaar is bij gezichtsherkenning.

Lees ook
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren? Mensen benoemen in oude foto's: privacyrisico's en beeldrechten Stappenplan voor gezichtsherkenning koppelen aan toestemming voor gezichtsherkenning voor eventfotografie: toestemming en controle Gezichtsherkenning voor zorgbeelden: keuzehulp voor communicatie en privacy Gezichtsherkenning voor gemeentelijke beelden: wat mag je publiceren?
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

✓ Geverifieerd auteur ✓ beeldbank software en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

Meer over AI-gezichtsherkenning

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren?
Lees verder →