De gevaren van Clearview AI
Al jaren waarschuwen experts en belangenorganisaties voor de gevaren van Clearview AI. Terwijl andere landen druk bezig waren met handhaven, of juist stoppen met handhaven, bleef Nederland achter; tot nu!
Wat is Clearview AI?
Clearview AI biedt gezichtsherkenningsdiensten aan opsporingsdiensten aan. Deze gezichtsherkenning is gebaseerd op een database van meer dan 50 miljard publiek toegankelijke afbeeldingen. Denk daarbij aan alle afbeeldingen die men heeft geplaatst op Instagram, LinkedIn, Facebook, enzovoorts. Dit doen zij door middel van ‘scraping’. Met toegang tot deze database is iedereen die een foto op internet heeft staan te herkennen. Dit betekent dat iedere persoon met toegang tot deze database iedereen aan de hand van een foto kan identificeren. Handig? Ja. Een extreme inbreuk op de privacy van vrijwel iedereen die gebruik maakt van het internet? Ook ja.
Wat is er gebeurd?
In 2020 bleek uit een onderzoek van Buzzfeed dat in minstens 27 landen overheden of politiemachten klant waren bij Clearview. Ook de Nederlandse politie zou tussen de 51 en 100 zoekopdrachten hebben uitgevoerd in de database van Clearview. Dit was genoeg aanleiding voor Bits of Freedom om in 2023 een klacht in te dienen bij de Autoriteit persoonsgegevens. De AP heeft na onderzoek besloten dat Clearview de AVG op twee punten heeft overtreden: de database is gebaseerd op biometrische gegevens (mag niet) en de database is onvoldoende transparant door, onder andere, het niet meewerken aan inzageverzoeken. De AP heeft besloten Clearview een boete op te leggen van €30,5 miljoen en dwangsommen met een maximum van €5 miljoen.
Frankrijk, Italië, Griekenland
Nederland is niet de eerste die een boete oplegt aan het controversiële techbedrijf. Ook Frankrijk, Italië en Griekenland hebben al AVG-sancties opgelegd, elk ter hoogte van €20 miljoen. Clearview lijkt alleen niet van plan te zijn deze boetes te gaan betalen. Aan Techcrunch heeft een Clearview-vertegenwoordiger inmiddels laten weten dat “Clearview AI does not have a place of business in the Netherlands or the EU, it does not have any customers in the Netherlands or the EU, and does not undertake any activities that would otherwise mean it is subject to the GDPR”. Artikel 3 AVG stelt echter dat het voor het toepassingsgebied niet uitmaakt waar de gegevens worden verwerkt, maar is het van belang wiens gegevens worden verwerkt. Uit het onderzoek is gebleken dat er ook gegevens van Nederlanders verwerkt zijn. Het argument van Clearview gaat dus niet op. Overigens heeft Clearview ook de boetes die in 2022 zijn opgelegd door Frankrijk, Italië en Griekenland nog niet betaald.
Persoonlijke aansprakelijkheid
De juridische strijd tussen Clearview en Europese toezichthouders lijkt zich te verdiepen. Verschillende Europese landen, waaronder Nederland, blijven aandringen op het naleven van de AVG en het betalen van de opgelegde boetes, ondanks de afwijzende houding van Clearview. Een van de vervolgstappen die de AP gaat zetten is het onderzoeken van de persoonlijke aansprakelijkheid van de leidinggevenden van Clearview. Dit zou betekenen dat niet alleen het bedrijf, maar ook individuele bestuurders persoonlijk verantwoordelijk gehouden kunnen worden voor het schenden van privacywetten.
De vraag blijft echter of deze druk effectief zal zijn. Clearview heeft tot nu toe weinig tot geen bereidheid getoond om te voldoen aan de Europese regelgeving. Toch onderstrepen experts het belang van deze juridische stappen als een manier om bedrijven die de AVG overtreden ter verantwoording te roepen en om het recht op privacy van Europese burgers te waarborgen. De komende tijd zal duidelijk worden of Clearview onder deze druk bezwijkt of doorgaat met het negeren van de sancties en regelgeving in de EU.
AI-verordening
De praktijken van Clearview zullen met ingang van 2 februari 2025 ook verboden zijn op grond van de AI-verordening. Op grond van de vorige maand inwerking getreden AI-verordening is het aanleggen van een databank voor gezichtsherkenning door middel van scraping en het gebruik hiervan door rechtshandhaving immers strikt verboden. Alleen bij grote uitzondering en wanneer het strikt noodzakelijk is mag biometrische identificatie door rechtshandhaving worden gebruikt. Zie hiervoor artikel 5 lid 1 sub e en h AI-verordening. Het verbod op dit soort gebruik van AI gaat op 2 februari 2025 in.
Vragen?
Heeft u hierover vragen? Neemt u dan gerust contact op met Natascha van Duuren, Partner | Advocaat IT, Privacy & Cybersecurity.
Nieuwsbrief
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om u in te schrijven voor de nieuwsbrief!