37.000 illegale gezichtsscans in Antwerpen

Deze week hadden we in de podcast aandacht voor de Antwerp 10 miles, waar men kennelijk zonder expliciete toestemming de gezichten van 37.000 mensen door gezichtsherkenningssoftware haalt. Dit kwam voor het eerst voorbij op Twitter, waar iemand zich toch vragen stelde bij het gemak waarmee men gezichtsherkenning toepaste in de context van een loopwedstrijd.

Kort uitgelegd: na afloop van de Antwerp 10 Miles kunnen deelnemers op een website een selfie laten nemen en uploaden, waarna onmiddellijk een overzicht verschijnt van alle foto’s die van de deelnemer genomen zijn. Het feit dat die foto’s meteen getoond worden maakt één ding duidelijk: alle foto’s zijn van tevoren al door een gezichtsherkenningsalgoritme gehaald. 

Als je mensen geautomatiseerd gaat herkennen aan de hand van fysieke kenmerken, maak je biometrische persoonsgegevens. Aan dit soort gegevens hangt serieuze risico’s wanneer die verkeerd gebruikt zouden worden. De GDPR is over het maken of gebruiken van biometrische gegevens dan ook zeer duidelijk: dat mag enkel wanneer er uitdrukkelijke toestemming is gegeven. Dit betekent onder meer dat het opnemen van de volgende zin “door deel te nemen aan dit event gaat u ermee akkoord dat uw gezicht zal worden verwerkt door ons gezichtsherkenningsalgoritme” zeker niet voldoende is. 

Afgebeeld: gebrek aan GDPR kennis

De FAQ van de partner van de 10 Miles die verantwoordelijk is voor de foto’s en de gezichtsherkenning, Sportograf, laat een stuitend gebrek aan GDPR kennis zien. Aan de ene kant benoemt Sportograf zelf dat de herkenningssoftware onder de GDPR definitie van biometrische gegevens valt, maar tegelijkertijd lijkt men zich niet bewust van het feit dat een dergelijk gebruik van persoonsgegevens expliciete toestemming van iemand vraagt. Ondanks, zoals men zelf aanhaalt, de afstemming met vele DPO’s van alle event organizers. 

Saillant detail: de mogelijkheid tot het uploaden van de selfie om de gezichtsherkenning te laten uitvoeren, houdt ook nog eens een flink privacyrisico in voor alle 37.000 deelnemers. Het idee zal ongetwijfeld zijn dat men op die manier er voor zorgt dat je enkel je eigen foto’s kunt opzoeken, maar er is geen enkele validatie of het wel om een echte selfie gaat! Het eenvoudig voor de camera houden van een foto die van internet is geplukt leidt al tot gezichtsherkenning, zoals we voor de podcast al testten met foto’s van enkele BV’s. 

Misschien is het illegaal verwerken van 37.000 gezichtsherkenningsprofielen wel een onderzoekje waard, GBA?

Update 26/05/2023: mogelijk puur toeval, maar na de aandacht die wij genereerden over de gezichtsherkenning op de foto’s en hoe makkelijk je iemand anders kon opzoeken, is de website herzien. JE privacy is ERG belangrijk en je kunt nu niet langer een foto van iemand laten zien om toegang te krijgen tot alle foto’s maar moet je eerst identificeren. Voorbeeld:

Afgebeeld: een geleerde les.