De Nederlandse Autoriteit Persoonsgegevens (AP) heeft een boete van € 30,5 miljoen ($ 33,7 miljoen) opgelegd aan gezichtsherkenningsbedrijf Clearview AI wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie (EU) door een ‘illegale database met miljarden foto’s van gezichten’ op te bouwen, waaronder die van Nederlandse burgers.
“Gezichtsherkenning is een zeer indringende technologie die je niet zomaar op iedereen ter wereld kunt loslaten”, aldus Aleid Wolfsen, voorzitter van de DPA, in een persbericht.
“Als er een foto van je op internet staat – en geldt dat niet voor ons allemaal? – dan kun je in de database van Clearview terechtkomen en gevolgd worden. Dit is geen doemscenario uit een enge film. En het is ook niet iets dat alleen in China kan.”
Clearview AI is in verschillende landen in de problemen gekomen vanwege regelgeving, zoals in het Verenigd Koninkrijk, Australië, Frankrijk en Italië. De reden hiervoor is dat het bedrijf openbare informatie van het internet verzamelt om een enorme database samen te stellen met meer dan 50 miljard foto’s van gezichten van mensen.
Aan de personen die op basis van deze beelden worden geïdentificeerd, wordt een unieke biometrische code toegekend. Deze code wordt vervolgens opgenomen in de inlichtingen- en onderzoeksdiensten die aan rechtshandhavingsklanten worden aangeboden om ‘verdachten, verdachte personen en slachtoffers snel te identificeren en zo misdaden op te lossen en te voorkomen’.
De Nederlandse Autoriteit Persoonsgegevens beschuldigt Clearview ervan gezichtsgegevens van gebruikers te verzamelen zonder hun toestemming of medeweten. Ook stelt de Autoriteit Persoonsgegevens dat het bedrijf de mensen in de database ‘onvoldoende’ informeert over hoe hun gegevens worden gebruikt en dat het geen mogelijkheid biedt om op verzoek toegang te krijgen tot hun gegevens.
Momenteel biedt Clearview alleen inwoners van zes Amerikaanse staten – Californië, Colorado, Connecticut, Oregon, Utah en Virginia – de mogelijkheid om toegang te krijgen tot profilering, deze te verwijderen en zich af te melden voor profilering.
Ook werd beweerd dat het in New York gevestigde bedrijf de overtredingen niet heeft stopgezet, zelfs niet na het onderzoek, en gaf het de opdracht om ze met onmiddellijke ingang te stoppen, anders riskeerde het een extra boete van € 5,1 miljoen ($ 5,6 miljoen). Bovendien verbiedt de uitspraak Nederlandse bedrijven om de diensten van Clearview te gebruiken.
“We gaan nu onderzoeken of we het management van het bedrijf persoonlijk aansprakelijk kunnen stellen en hen een boete kunnen opleggen voor het aansturen van deze overtredingen”, aldus Wolfsen.
“Die aansprakelijkheid bestaat al als bestuurders weten dat de AVG wordt overtreden, de bevoegdheid hebben om dat te stoppen, maar dat nalaten en op die manier bewust die overtredingen accepteren.”
In een verklaring die werd gedeeld met persbureau Associated Press, zei Clearview dat het niet onder de EU-regelgeving voor gegevensbescherming valt, omdat het geen vestiging in Nederland of de EU heeft. Het bedrijf beschreef het besluit bovendien als “onrechtmatig”.
In juni schikte het bedrijf een rechtszaak die was aangespannen in de Amerikaanse staat Illinois over schendingen van de privacy van gezichtsherkenning, door eisers een belang van 23% in de toekomstige waarde te geven, in plaats van een traditionele uitbetaling. Het bedrijf gaf echter geen enkel vergrijp toe.