Het begon nog relatief klein toen Europese privacywaakhonden een pleidooi hielden voor een algemeen verbod op gezichtsherkenning. Ook andere realtime-biometrie in de openbare ruimte zou niet moeten worden toegestaan. De waakhonden, verenigd in de European Data Protection Board (EDPB), wijzen daarmee op de keerzijde van een belangrijke technologische ontwikkeling.
Dit blijkt uit hun reactie op een wetsvoorstel van de Europese Commissie over kunstmatige intelligentie (ai). Ook ai-systemen die burgers indelen op basis van bijvoorbeeld etniciteit, geslacht of seksuele voorkeur zijn volgens de EDPB een gevaar. Behalve de EDPB vindt ook de Europese toezichthouder EDPS dat de risico’s van gezichtsherkenning te groot zijn om de techniek toe te staan in de openbare ruimte. Dit geldt ook voor vergelijkbare technieken, zoals stemherkenning en bewegingsherkenning.
EU-uitspraak Facebook
De toon was gezet, zeker op Europees niveau werd flink doorgepakt op het privacyvraagstuk. Dit had overigens wel een nationaal tintje, want de Autoriteit Persoonsgegevens (AP) kan in urgente situaties grote technologiebedrijven zoals Google en Facebook vervolgen, zelfs als de nationale data-waakhond niet hun leidende regelgever is. Ook in lokale kwesties, waarbij uitsluitend Nederlanders zijn getroffen, bestaat die mogelijkheid.
Een recente uitspraak van het Europese Hof van Justitie bevestigt dat de AP als nationale toezichthoudende autoriteit onder bepaalde voorwaarden haar bevoegdheid kan uitoefenen om een vermeende inbreuk op de privacywetgeving voor een rechtelijke instantie van een lidstaat te brengen. De rechter bevestigt daarmee wat in de AVG staat en volgt dezelfde lijn als de AP al doet in haar toezicht. Voor lopende zaken van de AP heeft het vonnis dus geen gevolgen.
Doorgifte data naar VS
De uitspraak van het Europese Hof van Justitie heeft directe gevolgen voor de doorgifte van data naar met name Amerikaanse bedrijven. Het EDPB, dat net al aan bod kwam over de gezichtsherkenning, geeft het bedrijfsleven namelijk meer duidelijkheid over de doorgifte van data naar landen zoals de VS, waar anders over privacy wordt gedacht. Deze European Data Protection Board heeft daarvoor een aantal aanbevelingen aangepast. Sinds het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak, was over de doorgifte van data grote onzekerheid ontstaan.
Eerdere aanbevelingen zijn op een aantal punten gewijzigd. De adviezen zijn praktischer van aard geworden. Zo raadt de EDPB bedrijven aan om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land en deze mee te wegen in de beoordeling of doorgifte mogelijk is en onder welke voorwaarden. Zo is het raadzaam die partij te vragen of zij weleens te maken heeft gehad met bijvoorbeeld een inlichtingendienst die persoonsgegevens vorderde.
De Europese organisatie voor databescherming geeft nu ook voorbeelden van maatregelen die een bedrijf kan nemen om te voorkomen dat Amerikaanse veiligheidsdiensten toegang krijgen tot persoonsgegevens van Europeanen. Volgens de Amerikaanse wet (Foreign Intelligence Surveillance Act, red.) hebben die diensten het recht om personen van buiten de VS te surveilleren en hun data op te vragen.
Ernstige bezwaren
Die doorgifte van data kan ook plaatsvinden via de cloud. Dat is dan ook de reden dat twintig Nederlandse cybersecuritywetenschappers ernstige bezwaren hebben tegen de uitbesteding van e-mail en andere ict-diensten aan grote Amerikaanse cloudproviders. Volgens de groep van de meeste hoogleraren moeten de universiteitsbesturen goed over een dergelijke overstap nadenken.
In een brandbrief wijzen de wetenschappers, verenigd binnen de Academic Cyber Security Society (Accss), op de vele gevaren en nadelen. Grootste risico is dat als je eenmaal bent overgeleverd aan Big Tech, het bijna onmogelijk wordt van hen af te komen. Universiteitsbesturen en -raden krijgen daarom het advies om een strategische visie te ontwikkelen voordat definitieve stappen worden gezet.
De wetenschappers verbazen zich erover dat universiteitsbesturen besluiten het onderhoud van ict-diensten uit te besteden aan Amerikaanse cloudgiganten. Fijntjes wijzen ze op de oproep die rectoren van de Nederlandse universiteiten in december 2019 deden om de afhankelijkheid van Amerikaanse techbedrijven te verminderen. ‘Blijkbaar verliest het strategische langetermijndenken het van operationele korte-termijnproblemen’, schamperen de cybersecurity-hoogleraren.