IV. Afkortingenlijst
6 Richtlijnen voor de Belgische wetgever
6.3 Specifieke vereisten en waarborgen
6.3.3 Bijkomende richtlijnen
Uit het onderzoek gevoerd in deze masterproef werd vastgesteld dat een aantal zaken met betrekking tot het gebruik van gezichtsherkenningstechnologie niet goed geregeld waren. Daarom zal hieronder verduidelijkt worden hoe dit wel beter zou kunnen.
Ten eerste werd vastgesteld in hoofdstuk 4 dat er niets voorzien was voor groepsprofileringen, terwijl ook bij collectieve besluitvormingen betrokkenen aanzienlijk kunnen getroffen worden. Het algemeen verbod met de voorziene uitzonderingen zou kunnen doorgetrokken worden naar collectieve besluitvorming. Geautomatiseerde besluitvorming komt alsmaar meer voor dus het is belangrijk om ook dit te regelen. 364
Ten tweede moet verduidelijkt worden wat politiediensten mogen doen met gezichtsherkenningstechnologie. Hoofdstuk 5.2.1 ‘Publieke sector’ kwam tot de vaststelling dat er onvoldoende waarborgen waren voorzien voor de opslag van biometrische gezichtsafbeeldingen en templates. Ze mochten namelijk volgens de Wet op het Politieambt ofwel niet opgeslagen worden ofwel enkel op een ongestructureerde manier opgeslagen worden.
In de hypothese van dit hoofdstuk, waarbij de Belgische wetgever beslist om gezichtsherkenningstechnologie toe te laten, moeten bijkomende waarborgen worden genomen om 362 EUROPEAN COMMISSION, White Paper, On Artificial Intelligence – A European approach to excellence and
trust, Brussels, European Commission, 2020, 17.
363 CONSULTATIVE COMMITTEE OF THE CONVENTION 108, Guidelines on artificial intelligence and data
protection, Strasbourg, Council of Europe, 2019,3.
364 F. COUDERT, “When video cameras watch and screen: Privacy implications of pattern recognition technologies”, CLSR 2010, 382.
76 in overeenstemming te zijn met artikel 8 EVRM. Dit is bijvoorbeeld het veilig opslaan van de gegevens in een technische gegevensbank en verzekeren dat de biometrische gegevens werkelijk enkel gebruikt worden voor de ondubbelzinnige identificatie en niet voor andere doeleinden, zoals LFR. Indien de Belgische wetgever toch beslist om LFR toe te laten, moet dit nog altijd uitzonderlijk blijven.
Tot slot, ook al beslist de betrokkene zelf om onderworpen te zijn aan gezichtsherkenningstechnologie is de betrokkene vaak niet goed op de hoogte van wat er precies gebeurt met de gegevens. Het vereist vaak technologische kennis om de logica te begrijpen van artificiële intelligentie, deep learning, en gezichtsherkenningstechnologie. Dit maakt het allemaal niet zo transparant. De wetgever moet hierbij inventief zijn en een oplossing vinden opdat verwerkingsverantwoordelijken dit ook op een begrijpelijke manier kunnen overbrengen aan de betrokkenen. Elke verwerkingsverantwoordelijke zal immers met deze uitdaging geconfronteerd worden. Hulp van de wetgever is dus niet overbodig.
6.4 Q
UALITY OF LAWBepaalde elementen moeten telkens vermeld worden in de wetgeving om te kunnen spreken over quality of law. De wetgeving moet namelijk voldoen aan de principes van een rechtsstaat (rule of law), toegankelijk en voorzienbaar zijn.
De wetgeving rond gezichtsherkenningstechnologie zou toegankelijk moeten zijn. Het gebruik van biometrische gegevens voor identificatiedoeleinden krijgt meer en meer aandacht in de media en geeft de indruk aan de bevolking dat deze toepassingen zomaar mogen, terwijl het nog altijd in principe verboden is volgens artikel 9 AVG.365 Daarom is het nuttig om, de wetgeving daarrond niet alleen te
publiceren in het Belgische Staatsblad, maar ook op een andere manier kenbaar te maken aan het algemeen publiek. Dit kan een manier zijn om de gewone burgers te beschermen en hen extra aandachtig te doen omgaan met gezichtsherkenning. De website van de federale overheidsdienst justitie heeft bijvoorbeeld een pagina over bescherming van persoonsgegevens en de wetgeving daarrond.366 Hetzelfde zou kunnen worden gedaan met de verwerking van biometrische gegevens met
gezichtsherkenningstechnologie. Een andere mogelijkheid is het verspreiden van brochures.
In hoofdstuk 5.2.1 werd geconcludeerd dat de quality of law in de Camerawet redelijk beperkt is. Dit zou kunnen opgelost worden door duidelijk aan te geven welke gebruikers van bewakingscamera’s geregeld zijn in een bijzondere wetgeving en uitgesloten zijn van het toepassingsgebied van de Camerawet. Zo kan de betrokkene goed inschatten welke autoriteiten onderworpen zijn aan deze regels. Vervolgens waren de voorwaarden voor de toepassing van camera’s niet altijd objectief. De plaatsen waar bewakingscamera’s mogen geplaatst worden werd duidelijk geregeld, maar vaak kon dit louter op initiatief van de verwerkingsverantwoordelijke of na een positief advies van de Gemeenteraad. Een geschikte objectieve voorwaarde zou zijn om het positief advies afhankelijk te stellen van criteria waaraan moet voldaan zijn, zoals kans op diefstal. Ten laatste, werd de duur van de maatregel nergens aangegeven. De enige aanwijzing was de duur van het positief advies. Ondanks dat het de bedoeling is van bewakingscamera’s om voortdurend te filmen, kan een aanwijzing gegeven worden van de duur van een positief advies.
365 GBA, strategisch plan 2020-2025, s.l., Gegevensbeschermingsautoriteit, 2020,
www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/GBA_Strategisch_Plan_28 012020.pdf,25.
77
6.5 N
ALEVING EN HANDHAVINGHet heeft geen zin om passende waarborgen op te leggen indien ze niet kunnen afgedwongen worden of de naleving ervan niet kan gecontroleerd worden. Volgens het witboek van de Europese Commissie is een objectieve, voorafgaande conformiteitsbeoordeling van de AI-toepassing wel aangeraden om te controleren of de verplichte wettelijke vereisten nageleefd werden door de onderneming. Deze beoordeling zou gemaakt moeten worden door de toezichthoudende autoriteiten via testen, inspecties of een systeem van certificering.367
De AVG voorziet de mogelijkheid voor lidstaten om een certificeringsmechanisme in te voeren voor gegevensbescherming. Deze certificatie zou aantonen dat de verwerkingsverantwoordelijken in overeenstemming met de AVG verwerken.368 Momenteel is dit systeem echter nog in werking in
België.369
De GBA is van plan in de volgende jaren een Inspectiedienst op te richten die verwerkingsverantwoordelijken helpen met het tot stand brengen van betere gegevensbescherming. Daarnaast zou de Inspectiedienst ook terugkomende praktijken en knelpunten vaststellen en signaleren.370
Niet alle verplichtingen kunnen echter op die manier gecontroleerd worden. De informatieverplichting aan de betrokkene kan niet altijd gecontroleerd worden. Ook is een dergelijke momentopname niet ideaal aangezien de AI-systemen evolueren naarmate ze meer ervaring hebben. Daarom is ook toezicht achteraf vereist en regelmatige controle naarmate de AI evolueert.371
6.6 T
OEKOMSTPERSPECTIEVENDe gegevensbeschermingsautoriteit heeft in haar Strategisch Plan 2020-2025 alvast het gebruik van kunstmatige intelligentie en biometrische gegevens, zoals gezichtsherkenning als prioriteit gesteld.372
De GBA zal ook proberen antwoorden te geven op de vraag in hoeverre het legaal is om foto’s of video’s te publiceren waarop betrokkenen herkenbaar op zijn. Het gebruik van biometrische gegevens voor identificatiedoeleinden komt in alsmaar meer sectoren voor. Daarom is het volgens de GBA ook
367 EUROPEAN COMMISSION, White Paper, On Artificial Intelligence – A European approach to excellence and
trust, Brussels, European Commission, 2020, 23-24.
368 Art. 42 AVG.
369 MICHALSONS, GDPR certified: How to obtain GDPR certification, 2019, www.michalsons.com/blog/gdpr-
certified-how-to-obtain-gdpr-certification/37008.
370 GBA, strategisch plan 2020-2025, s.l., Gegevensbeschermingsautoriteit, 2020,
www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/GBA_Strategisch_Plan_28 012020.pdf,27.
371 EUROPEAN COMMISSION, White Paper, On Artificial Intelligence – A European approach to excellence and
trust, Brussels, European Commission, 2020, 23-24.
372 GBA, strategisch plan 2020-2025, s.l., Gegevensbeschermingsautoriteit, 2020,
www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/GBA_Strategisch_Plan_28 012020.pdf,21.
78 nuttig om het publiek te sensibiliseren over het onderwerp en op de hoogte te brengen van wat mag en wat niet mag.373
Ook de Europese Commissie heeft in zijn witboek over Artificiële Intelligentie (AI) plannen aangekondigd om een groot debat te starten over welke specifieke omstandigheden het gebruik van gezichtsherkenningstechnologie zouden verantwoorden en de daarbij horende waarborgen. Dit is om de onzekerheden over het gebruik van gezichtsherkenningstechnologie op openbare plaatsen te verduidelijken en versnippering in de interne markt te voorkomen.374 Het gebrek aan duidelijke
richtlijnen op Europees niveau zou namelijk kunnen leiden tot verschillende wetgevingen in de verschillende lidstaten. Dit zou de rechtszekerheid en de marktuitbreiding van ondernemingen tegenwerken.
In de huidige Covid-19 pandemie kunnen ingrijpendere technologieën zoals gezichtsherkenningstechnologie in een bepaalde mate gerechtvaardigd zijn ter bescherming van de burgers. Zo kunnen bijkomende bevoegdheden toegekend worden aan de politie die meer indringen in het privéleven. Het gevaar hierbij is dat het gebruik van gezichtsherkenningstechnologie in even grote mate blijft na de crisissituatie en niet terug ingeperkt wordt na de crisis tot wat noodzakelijk is. Het gedrag van de politie tegenover de bevolking kan ook tijdens deze crisis ook een grote impact hebben op eventueel toekomstig gebruik van gezichtsherkenningstechnologie. Indien de politie zich consistent, eerlijk en aanmoedigend gedraagt, in plaats van dwingend en hardhandig, dan zal de bevolking sneller het gebruik van gezichtsherkenningstechnologie aanvaarden. Ook al zal de politie zelden effectief moeten teruggrijpen naar gezichtsherkenningstechnologie, omwille van het vertrouwen en het goed naleven van de lockdown. Wanneer er echter geen vertrouwen is in de overheid en geen bereidheid om de maatregelen na te leven, zal de politie meer genoodzaakt zijn om terug te grijpen naar indringende middelen zoals gezichtsherkenningstechnologie, om de mensen te dwingen de maatregelen na te leven. Dit zal leiden tot een negatieve reactie waardoor de politie nog indringender zal ingrijpen en de handhaving alsmaar verhogen. De situatie na deze crisis hangt dus sterk af van hoe de politie omgaat met zijn nieuwe indringende bevoegdheden.375
Tot slot kunnen onafhankelijke denktanks ook een belangrijke bijdrage leveren aan de wetgevende vooruitgang op het gebied van gezichtsherkenning. Hoewel ze gedeeltelijk bevooroordeeld zijn, kunnen bepaalde forums of denktanks belangrijke elementen leveren door zich te steunen op de snelle technologische vooruitgang in de sector (fpf.org) of op de behoeften van burgers (https://edri.org/).
6.7 C
ONCLUSIEOm ervoor te zorgen dat een eventueel toekomstig regelgevend kader voor gezichtsherkenningstechnologie in overeenstemming is met artikel 8 EVRM en rechtszekerheid verzekert, moet de Belgische wetgever ten eerste kiezen voor een gediversifieerde aanpak, waarbij
373 GBA, strategisch plan 2020-2025, s.l., Gegevensbeschermingsautoriteit, 2020,
www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/GBA_Strategisch_Plan_28 012020.pdf,25.
374 EUROPEAN COMMISSION, White Paper, On Artificial Intelligence – A European approach to excellence and
trust, Brussels, European Commission, 2020, 22.
375 LSE, Public support for Live Facial Recognition and implications for COVID-9 policing, 2020,
79 alle verschillende toepassingen afzonderlijke worden gereguleerd. Sommige toepassingen met een hoger risico kunnen op die manier worden onderworpen aan strengere regels zoals voorafgaande goedkeuring van de toezichthoudende overheid.
Ten tweede, moet de wetgever een redelijk evenwicht vinden tussen de belangen van de samenleving en de belangen van de betrokkenen, rekening houdend met alle elementen. Bij gezichtsherkenningstechnologie is vooral de soort toepassing van belang, de manier waarop de gezichtsafbeeldingen worden genomen, de ernst en waarschijnlijkheid van de risico’s verbonden aan de technologie, de impact op de machtsverhouding tussen overheid en burger en ten slotte de noodzakelijkheid van de technologie in de maatschappij. Deze afweging is van belang om te weten. Ten derde, zijn er een aantal specifieke vereisten en waarborgen die moeten geregeld worden specifiek aan toepassingen van artificiële intelligentie. Deze werden afgeleid uit de richtlijn van de Europese Commissie en van de Raad van Europa. De vereisten verschillen naargelang het gaat om een AI toepassing met een hoog risico of niet. De bedoeling hiervan is vooral om rechtszekerheid te creëren voor de actoren die aan de hand gezichtsherkenningstechnologie gegevens verwerken.
Ten vierde moet het toekomstig wetgevend kader voldoen aan de quality of law. Dit kan nog verbeterd worden door het publiek bewuster te maken om aandacht om te gaan met gezichtsherkenningstechnologie. Verder, moet een geschikte manier gezocht worden om de naleving van deze wetgeving te handhaven. Controle en inspectie op één enkele tijdstip is onvoldoende, aangezien de technologie evolueert met de tijd en op die manier niet alle verplichtingen kunnen gecontroleerd worden.
Tot slot, zijn zowel de Belgische gegevensbeschermingsautoriteit als de Europese Commissie van plan om in de toekomst aandacht te schenken aan gezichtsherkenningstechnologie. Er zijn dus veel veranderingen op komst op dit vlak. De huidige Covid-19 pandemie en hoe rechtshandhavende autoriteiten in noodsituaties omspringen met toegekend ingrijpende bevoegdheden, spelen ook een grote rol in hoeverre gezichtsherkenningstechnologie in de toekomst zal gebruikt worden.
80
7 SLOTBESCHOUWINGEN
Het toenemend gebruik van gezichtsherkenningstechnologie noodzaakt een onderzoek naar de impact van de wetgeving. In dit onderzoek is gezocht naar een antwoord op de volgende onderzoeksvraag onderzocht: Welke gegevensbeschermingsrechtelijke impact heeft gebruik van gezichtsherkenningstechnologie in de publieke en de private sector?
Om dit te onderzoeken werd eerst een verklaring gegeven aan de begrippen ‘recht op privacy en gegevensbescherming’ en ‘gezichtsherkenningstechnologie’. Het recht op privacy en gegevensbescherming zijn onderscheiden rechten die vaak door elkaar worden gehaald in de rechtspraak. Het recht op privacy functioneert als een algemeen verbod op inmenging en het recht op gegevensbescherming beoogt op een actieve manier persoonsgegevens te bescherming. Beiden worden gewaarborgd in artikel 8 EVRM.
Daarna werd geantwoord op de volgende deelvraag: Welke wetgeving is van toepassing op het gebruik van gezichtsherkenningstechnologie. Op internationaal niveau werd de verwerking van persoonsgegevens in de publieke en de private sector voor het eerst geregeld door de Raad van Europa in het Verdrag 108. Op Europees niveau regelt de Algemene Verordening Gegevensbescherming de verwerkingen uitgevoerd door de private sector en regelt de Richtlijn politie en justitie de verwerkingen gevoerd door rechtshandhavende autoriteiten. Ten slotte, heeft België deze verordening en richtlijn omgezet en verder uitgevoerd in de Kaderwet van 30 juli 2018, de Camerawet en de Wet op het politieambt. De Camerawet regelt het gebruik van bewakingscamera’s met als doel strafbare feiten te onderzoeken. De Wet op het politieambt regelt cameragebruik door politieambtenaren.
De derde deelvraag onderzoekt welke rechten en verplichtingen rusten op respectievelijk de private en de publieke sector wanneer ze gezichtsherkenningstechnologie gebruiken. De private sector mag gezichtsdetectie uitvoeren mits het respecteren van de verwerkingsbeginselen en het steunen op een rechtmatigheidsgrond. Gezichtsidentificatie is in beginsel verboden, tenzij beroep wordt gedaan op een uitzondering. De meest voorkomende uitzondering en rechtmatigheidsgrond is de toestemming van de betrokkene. De publieke sector mag bij het voorkomen, onderzoeken en opsporen van strafbare feiten en bij de tenuitvoerlegging van straffen gezichtsdetectie uitoefenen, terwijl gezichtsidentificatie enkel is toegestaan voor politiediensten op voorwaarde dat de biometrische gegevens niet of op een ongestructureerde wijze opgeslagen worden. Andere rechtshandhavende autoriteiten mogen wel biometrische gezichtsafbeeldingen en templates opslaan.
De vierde deelvraag is de volgende: Voldoet de toepasselijke wetgeving aan artikel 8 EVRM. Hierbij werd evaluerend te werk gegaan. Volgens artikel 8 EVRM moet de overheid enerzijds zich onthouden van enige inmenging in het privéleven van de burgers (negatieve verplichting) en anderzijds beschermen tegen inmenging door burgers onderling of door private bedrijven (positieve verplichting). Een inmenging in artikel 8 EVRM is gerechtvaardigd indien de maatregel een wettelijke grondslag heeft die beantwoordt aan de quality of law, indien een legitiem doel nagestreefd wordt en indien de maatregel noodzakelijk is in een democratische samenleving. Om na te gaan of de positieve verplichting is nageleefd, gaat het EHRM enkel na of er voldoende waarborgen voorzien zijn ter bescherming van de rechten van de betrokkene en er een redelijk evenwicht is tussen de belangen van de samenleving en de belangen van de betrokkene.
81 Uit dit onderzoek blijkt dat de toepassing van gezichtsdetectie door politiediensten niet subsidiair is en gezichtsidentificatie niet proportioneel is met het nagestreefd legitiem doel. De Kaderwet laat immers gezichtsherkenning toe zonder te regelen hoe de biometrische gegevens opgeslagen moeten worden wanneer ze verwerkt zijn met behulp van gezichtsherkenningstechnologie. De toepassing door andere rechtshandhavende autoriteiten wordt geregeld door de Camerawet, die niet voldeed aan alle vereisten van quality of law. Ten slotte, voorzag de Kaderwet van 30 juli 2018 wel in voldoende waarborgen om de burger te beschermen tegen inmenging van zijn privacy in de horizontale verhouding. Aan de positieve verplichting werd dus voldaan.
De vijfde en laatste deelvraag is: Welke richtlijnen zou de toekomstige wetgever kunnen volgen om in overeenstemming te blijven met artikel 8 EVRM en om te zorgen voor meer rechtszekerheid, indien beslist wordt om gezichtsherkenningstechnologie verder te reguleren. Ten eerste, moet de Belgische wetgever kiezen voor een gediversifieerde aanpak, waarbij alle verschillende toepassingen afzonderlijk worden gereguleerd. Sommige toepassingen kunnen op die manier worden onderworpen aan strengere regels zoals voorafgaande goedkeuring van de toezichthoudende overheid. Ten tweede, moet de wetgever een redelijk evenwicht vinden rekening houdend met alle elementen. Bij gezichtsherkenningstechnologie is vooral de soort toepassing van belang, de manier waarop de gezichtsafbeeldingen worden genomen, de ernst en waarschijnlijkheid van de risico’s verbonden aan de technologie, de impact op de machtsverhouding tussen overheid en burger en ten slotte de noodzakelijkheid van de technologie in de maatschappij. Ten derde, zijn er een aantal specifieke vereisten en waarborgen die moeten geregeld worden in verband met toepassingen van artificiële intelligentie. Ten vierde moet het toekomstig wetgevend kader voldoen aan de quality of law. Verder, moet een geschikte manier gezocht worden om de naleving van deze wetgeving te handhaven. Tot slot, zijn zowel de Belgische gegevensbeschermingsautoriteit als de Europese Commissie van plan om in de toekomst aandacht te schenken aan gezichtsherkenningstechnologie. Er zijn dus veel veranderingen op komst op dit vlak.
Ter beantwoording van de centrale onderzoeksvraag kunnen we stellen dat gezichtsidentificatie in de private sector nog altijd uitzonderlijk moet blijven. In de publieke sector leidt het gebruik van gezichtsherkenningstechnologie door politiediensten tot veel rechtsonzekerheid. Dit kan verholpen worden door concrete regels uit te vaardigen voor elke soort toepassing van gezichtsherkenningstechnologie.
82
8 BRONVERMELDING
8.1 W
ETGEVING EN OFFICIËLE DOCUMENTEN 8.1.1 Raad van Europa8.1.1.1 Verdragen
─ Convention for the Protection of Human Rights and Fundamental Freedoms of 4 November 1950, CETS, nr. 005.
─ Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981, CETS, nr. 108.
─ Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 10 October 2018, CETS, nr. 223.
8.1.1.2 Aanbevelingen
─
CONSULTATIVE COMMITTEE OF THE CONVENTION 108, Practical guide on the use of personal data in the police sector, Strasbourg, Council of Europe, 2018, 24.─ COE, Guide on Article 8 of the European Convention on Human Rights, 2019, www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf, 129.
8.1.2 Europese Unie
8.1.2.1 Primaire rechtsbronnen
─ Handvest van de grondrechten van de Europese Unie, Pb.L. 26 oktober 2012, afl. 326, 391- 407.
8.1.2.2 Secundaire rechtsbronnen
─ Verord.EP en Raad nr. 2016/679, 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, Pb.L. 4 mei 2016, afl. 119, 1.
─ Verord.EP en Raad nr. 2019/1896, 13 november 2019 betreffende de Europese grens- en kustwacht en tot intrekking van Verordening (EU) nr. 1052/2013 en Verordening (EU) 2016/1624, Pb.L. 14 november 2019, afl. 295, 1.
─ Richtl.EP en Raad nr. 2016/680, 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad, Pb.L. 4 mei 2016, afl. 119, 89.
83 8.1.2.3 Andere officiële documenten
A. Europese Commissie
─ CONSULTATIVE COMMITTEE OF THE CONVENTION 108, Guidelines on artificial intelligence and data protection, Strasbourg, Council of Europe, 2019, 4 p
─ EUROPEAN COMMISSION, White Paper, On Artificial Intelligence – A European approach to excellence and trust, Brussels, European Commission, 2020, 27 p.
B. European Union Agency for Fundamental Rights
─ FRA, Facial recognition technology: fundamental rights considerations in the context of law enforcement, Vienna, European Union Agency for Fundamental Rights, 2019, 36 p.
─ FRA, COUNCIL OF EUROPE and EDPS, Handbook on European data protection law, Luxemburg, Publications Office of the European Union, 2018, 402 p.