Gezichtsherkenningstechnologie wordt steeds meer gebruikt, vooral in China en Singapore. In de Verenigde Staten daarentegen wordt het nogal controversieel geacht. Frankrijk is klaar om het eerste Europese land te worden dat gezichtsherkenningstechnologie gebruikt om burgers een "veilige digitale identiteit" te geven - of ze het willen of niet.
Gezichtsherkenningstechnologie wordt door de Europese Unie zo ongeveer
als een
instrument van de toekomst
gezien (om de burgers goed in de gaten te houden), maar in de
Verenigde Staten wordt het op zijn minst mild controversieel geacht.
Bepaalde federale agentschappen (zoals de DHS) dringen aan op
wijdverspreide inzet, zelfs terwijl congresleden vragen stellen over
de nauwkeurigheid en betrouwbaarheid van de technologie. Ondertussen
worden
verboden op gezichtsherkenning ingevoerd,
op stads- en staatsniveau, waaruit blijkt dat er in de VS geen
landelijke consensus bestaat dat de technologie betrouwbaar, nuttig of
niet-indringend is.
Burgers en privacygroepen hebben vergelijkbare zorgen in Frankrijk,
maar de Franse overheid maakt dat blijkbaar geen ene shit uit. In naam
van "veiligheid" voegt de Macron-regering
gezichtsherkenningstechnologie toe aan haar nationale ID-programma
Dat meldt
Helene Fouquet op Bloomberg.
Frankrijk lijkt dus het eerste Europese land te worden dat
gezichtsherkenningstechnologie gebruikt om burgers een "veilige
digitale identiteit" te geven - of de bevolking het wil of niet.
De regering van president Jupiter Emmanuel Macron
zegt dat het de Staat efficiënter wil maken en voert plannen door om
in november, dus volgende maand al, een ID-programma uit te rollen,
genaamd Alicem, en dat
is eerder dan het eerder gestelde doel van invoering met de Kerst.
Deze stap van het ministerie van Binnenlandse Zaken wordt al voor de
rechtbank aangevochten door privacygroep
La Quadrature du Net.
Helaas belet deze rechtsgang niet de uitrol van de Android-app van de
Franse overheid, wat de enige manier is voor inwoners om een digitale
ID aan te maken die kan worden gebruikt voor toegang tot
overheidsdiensten.
Een ID wordt gemaakt via een eenmalige registratie die werkt door de
foto van een gebruiker in zijn biometrische paspoort te vergelijken
met een selfie-opname die met de app is gemaakt, en die uitdrukkingen,
bewegingen en invalshoeken vastlegt. De telefoon en het paspoort
communiceren via hun ingebouwde chips.
Omdat deze digitale ID vooralsnog niet verplicht bezit is (staat
te lezen op de site
security.nl), hebben tegenstanders erop gewezen dat deze
praktijk in strijd is met de
volgens de GDPR geldende bepalingen
voor het verzamelen van consensuele gegevens. Maar dat is verre van
het enige probleem. Gezichtsherkenningstechnologie werkt nog steeds
niet zo goed als de voorstanders beweren, wat ertoe zal leiden dat
bewoners ofwel niet in staat zijn om een ID te maken die de overheid
accepteert ofwel mogelijk beschuldigd worden van ID-fraude als de
overheidskant van de technologie denkt dat het iemand anders is.
En dan is er de beveiliging van het programma zelf. Het wordt
verondersteld om Franse burgers "veiliger" te maken, maar de regering
heeft tot op heden bij niemand de indruk kunnen wekken dat haar
bewering van "hoogste, staatsniveau" veiligheid juist is. Het eigen
gecodeerde berichtenplatform werd in
minder dan twee uur
ontmanteld door een beveiligingsonderzoeker, waardoor de onderzoeker
naar believen accounts kon aanmaken en gevoelige gegevens van
bestaande accounts kon verzamelen. Kort daarna werd door de overheid
een premieregeling voor het vinden van bugs in dat programma uitgerold,
maar er is geen premie voor bugs uitgekeerd of een uitnodiging om de
beveiliging op "staatsniveau" van de nieuwste app van de overheid te
testen gedaan- een app die door ongeveer 100% van de inwoners van het
land zal (moeten) worden gebruikt.
Volgens de Franse overheid zal de potentiële schade wordt beperkt door
de aard van de vangst en de vrijgave van de gegevensverzameling. Zodra
een ID is aangemaakt, zal de overheid (blijkbaar) de verzamelde
gegevens verwijderen en zal alles wat lokaal door de app op het
apparaat van de gebruiker is opgeslagen verdwijnen nadat de
registratie is voltooid en de app is verwijderd.
Maar sommige gegevens worden nog steeds ergens opgeslagen, zodat
burgers hun nieuwe digitale ID's kunnen gebruiken om toegang te
krijgen tot overheidsdiensten, hoewel de overheid blijft volhouden dat
biometrische informatie van Alicem niet naar andere overheidsdatabases
zal worden gelinkt.
Zelfs als alles wat de Franse regering beweert waar is, zal deze
uitrol - een gebeurtenis die plaatsvond zonder dit in het openbaar
kenbaar te maken en bewoners geen enkele mogelijkheid biedt om zich af
te melden - het voor de overheid gemakkelijker worden om meer
indringende gezichtsherkenningsprogramma's te introduceren. Als dit
digitale ID-programma soepel werkt en doet wat wordt beweerd, zal het
in de toekomst de weerstand tegen gebruik door de overheid van
biometrisch scannen en volgen verminderen. Immers, als iets eenmaal
goed werkte tijdens een minimale, gecontroleerde uitrol, kan het weer
werken als er meer op het spel staat en er minder controles
plaatsvinden op het verzamelen en bewaren van biometrische informatie.
Surveillance door de overheid is (nog steeds) een groot punt van zorg,
maar helaas zorgt gemakzucht en ongeïnteresseerdheid ervoor dat weinig
mensen het verwerpelijk vinden.
Tot slot nog een aantal kritische kanttekeningen:
Ten eerste vereist het dat iedereen een eigen smartphone heeft. De
Franse overheid sleept haar burgers aan de haren mee naar de eeuw van
de informatievoorziening en -beheersing. Wee de burger die zo arm is
dat die geen smartphone heeft - of wil. En dan moet het ook nog een
Android-smartphone zijn. Sorry, iPhone- en Huaweigebruikers!
Ten tweede gaat het systeem ervan uit dat het gezicht van personen
nooit zal veranderen. De leeftijd, het oplopen van letsel, het
veranderen van het uiterlijk - kapsel, snor baard -, gemakeshalve
wordt verondersteld dat er voldoende nuttige datapunten zijn om echt
uniek te zijn onder de wereldbevolking. Wat ons inziens een illusie
lijkt. En wat te denken van identieke tweelingen?
Komt nog wat anders bij: als iemand een app uit de Google Play Store
wilt installeren, die ook akkoord moet gaan met de servicevoorwaarden
van Google Play (https://play.google.com/about/play-terms/index.html)
alsmede de servicevoorwaarden van Google (https : //policies.google.com/terms).
Dat betekent ook dat het overtreden van de gebruiksvoorwaarden van
derden (in dit geval die van Google) ervoor kan zorgen dat Franse
burgers permanent worden verbannen uit de Play Store en dus geen
toestemming krijgen om een federaal verplicht ID te krijgen - vanwege
een contractuele schending van een privéovereenkomst tussen de burger
en een commerciële entiteit.
Dus de Franse overheid stelt dus de servicevoorwaarden van Google
verplicht voor al haar burgers.
Het verleden leert dat het niet lang duurt vooraleer er een lange
lijst met beveiligingslekken op het darkweb te vinden is waarop de
accountnamen + wachtwoorden (of hash-bestanden) van gestolen ID's
staan. Wat eerder bij andere systemen is gebeurd zal uiteindelijk ook
gebeuren met dit biometrische systeem. Hoe lang duurt het voordat
iemand erachter komt hoe een gestolen biometrisch bestand moet worden
ingevoerd in een app die een gezicht moet scannen en in plaats daarvan
het gestolen bestand in het vergelijkingsgedeelte van het
beveiligingssysteem invoert? Op dat moment is de echte accounthouder
genaaid omdat die niet zomaar van gezicht kan veranderen alsof er een
gestolen wachtwoord kunnen aangepast.