De praktijk laat zien dat met name overheden in biometrie het ideale middel zien om individuen op te sporen. Dat zegt directeur Max Snijder van de European Biometrics Group in een interview met Computable. 'Biometrische gegevens worden als zoeksleutel gebruikt in combinatie met allerlei andere bronnen, zoals sociale netwerken, mobiele toepassingen, paspoort-administraties en grenscontrole. Daarbij verliest het individu de greep op het proces, behalve als die in een burka gaat rondlopen.'
Wat vindt u van de proef van het Rotterdamse openbaarvervoerbedrijf RET om reizigers met een OV-verbod te herkennen aan de hand van gezichtsherkenning? Denkt u dat het mogelijk is een goede ‘afstelling' van het systeem te vinden, zodat er niet te veel false positives en false negatives zijn?
In principe moet dat kunnen, maar het zal voornamelijk afhangen van hoeveel men in het project will investeren. Alle details moeten kloppen. Één zwakke schakel en er ontstaan direct problemen die direct invloed hebben op de operatie. En die laat niet veel ruimte voor het opvangen van fouten. De vraag is ook welke verbetering je wilt en kunt bereiken ten opzichte van de huidige situatie. Daar zal je eerst duidelijke en realistische uitgangspunten voor moeten formuleren, waar iedereen achter staat.
Wat vindt u van de toepassing van gezichtsherkenning voor opsporingsdoeleinden, zoals RET nu doet?
Als je een OV-verbod introduceert zul je het moeten kunnen handhaven. Daarvoor kan gezichtsherkenning een goed hulpmiddel zijn. Maar het systeem zal altijd fouten blijven maken, waardoor een handmatig proces nodig blijft. Dat kan centraal of op het voertuig. De keuze daarvoor hangt af van wat men vindt dat er moet gebeuren (en hoe snel) als er een herkenning plaatsvindt.
Bent u het eens met Bruce Schneier, die zegt: 'Het probleem [van het gebruik van gezichtsherkenning voor opsporingsdoeleinden door de overheid, red] heeft minder met het systeem te maken, maar meer met de manier waarop het systeem wordt gebruikt. Dat gaat ervan uit dat iemand schuldig is, totdat het tegendeel is bewezen.'
De personen in de database zijn in een eerder stadium schuldig bevonden aan het overtreden van bepaalde regels. Het proces van beschuldigen en veroordelen, dat een verantwoordelijkheid van de vervoersmaatschappij is, moet integer en transparant zijn. Mensen moeten niet ten onrechte een OV-verbod krijgen. Belangrijk is dat het systeem niet toegankelijk wordt gemaakt voor derden. Bijvoorbeeld voor de politie, die wellicht de camerabeelden danwel de lijst van personen met een OV-verbod zou willen raadplegen voor andere doeleinden. Denk aan het volgen van veelplegers, het zoeken of volgen van bepaalde personen. Dat zou het systeem een verlengstuk van de politie maken, waarmee het primaire doel voorbij wordt gestreeft.
Wat vindt u van de stelling dat biometrie wel voor authenticatie kan worden gebruikt, maar niet voor opsporingsdoeleinden?
Een mooie stelling, omdat het uitgaat van het individu en het leveren van een bepaalde service in ruil voor het beschikbaarstellen van de biometrische gegevens. Echter, de praktijk laat zien dat met name overheden in biometrie het ideale middel zien om te gebruiken voor het ontdekken van identiteit. Biometrische gegevens worden als zoeksleutel gebruikt in combinatie met allerlei andere bronnen, zoals sociale netwerken, mobiele toepassingen, paspoort-administraties en grenscontrole. Dit heet ‘identity engineering', zeker in de VS een populaire bezigheid van publieke en particuliere inlichtingendiensten. Daarbij verliest het individu de greep op het proces, behalve als die in een burka gaat rondlopen.
Het antwoord op de stelling van Bruce Schneier is niet begrepen door Max Snijder of hij heeft het handig weten te omzeilen. Het antwoord dat er al iemand schuldig bevonden is en vervolgens daar verder over uit te wijden gaat volkomen voorbij aan de stelling van Schneier: het gezichtsherkenningsysteem heeft jou herkend als iemand met een OV-verbod en dus ben je schuldig, tenzij je kunt aantonen dat het systeem jou ten onrechte deze identiteit heeft toegekend.
Verder is het ook te verklaren dat er verschil zit tussen het gebruik van biometrie voor authenticatie en voor opsporingsdoeleinden.
Bij authenticatie ben je al geïdentificeerd. De biometrie wordt dan gebruikt ter verificatie van die identiteit. In een database wordt gezocht naar één ingang/record, controleren en klaar. Het worst case scenario is dat de identiteit niet kan worden vastgesteld en een geautoriseerd iemand ten onrechte geen toegang krijgt. Een false negative.
Bij opsporingsdoeleinden wordt biometrie gebruikt voor het vaststellen van de identiteit. In een database wordt gezocht naar een (best wel groot) aantal varianten en er kunnen nul, één of meer identiteiten matchen. Bij meerdere matches zoek je de identiteit die de beste match geeft, en je hebt een identiteit bepaald. Er is een redelijke mate van waarschijnlijkheid dat die identiteit juist bepaald is, maar dat is niet 100.0% zeker. Het worst case scenario is hier dat iemand op basis van een onjuist bepaalde identiteit ten onrechte geen toegang krijgt tot het OV (fals positive) of iemand met een OV-verbod juist wel (false negative).
Bruce Schneier stelde onlangs dat de foutkans bij biometrische identificatie op zijn gunstigst 1% is. Laten we eens veronderstellen dat we dat vandaag met nieuwe technieken hebben teruggebracht tot 0.01% (met kort Googlen vond ik 0.22% als best geclaimde resultaat). Dat betekent dat verwacht mag worden dat de identiteit van 1 op de 10000 reizigers in het Rotterdamse openbaar vervoer onjuist wordt vastgesteld. Als je weet dat, volgens de website van RET, 600.000 reizigers dagelijks gebruik maken van het openbaar vervoer in Rotterdam, is het een eenvoudig sommetje om uit te rekenen dat RET dagelijks met 60 valse alarmen te maken gaat krijgen. Als dan na een week op twee iemand instapt met een OV-verbod, dan kan ik mij best voorstellen dat de bestuurder of conducteur zegt: “Nee,niet weer he?Loopt u maar gewoon door meneer.”.
Kortom, een plan dat veel kost en weinig oplevert. Een slecht plan dus.
Waarom Max Snijder dit allemaal niet heeft uitgelegd is mij ook wel duidelijk. Bezoek de website van European Biometrics Group maar eens en stel vast dat Max zijn geld verdient aan biometrische oplossingen.
Technologie X is DE oplossing voor veel bedrijven, zegt de heer … van het bedrijf …. dat gespecialiseerd is in technologie X.
INHOUDELIJKE artikelen in deze trant (vul voor X maar een willekeurige technologie in) kan ik niet al te serieus nemen.
Weer zo’n mooi weer artikel van iemand die z’n geld verdiend met de techniek waar hij zo enthousiast over is.
Biometrie in de praktijk gebruiken is onbetrouwbaar, wettelijk omstreden en duur. Dus wordt er heel veel moeite gestoken om die factoren te marginaliseren door belanghebbende partijen.
Overigens is het nu al redelijk normaal dat opsporingsdiensten privacy wetten overtreden en gegevens langer bewaren dan strikt noodzakelijk. Die zou je dan ook nog eens toegang geven tot biometrische gegevens?
Of ze vragen aan hun Amerikaanse collega’s die dankzij de Patriot Act nu al nagenoeg alle gegevens van de Nederlandse burgers hebben.