Een politie-onderzoeker in Spanje probeert een misdaad op te lossen, maar ze heeft alleen een afbeelding van het gezicht van een verdachte, vastgelegd door een nabijgelegen beveiligingscamera. De Europese politie heeft al lang toegang tot vingerafdruk- en DNA-databases in de 27 landen van de Europese Unie en, in bepaalde gevallen, de Verenigde Staten. Maar binnenkort kan die onderzoeker misschien ook een netwerk van databases met gezichten doorzoeken die zich over heel Europa en de VS uitstrekken.

Volgens gelekte interne documenten van de Europese Unie zou de EU binnenkort een netwerk van nationale databases voor gezichtsherkenning van de politie kunnen opzetten. Een rapport opgesteld door de nationale politiediensten van 10 EU-lidstaten, onder leiding van Oostenrijk, roept op tot de invoering van EU-wetgeving om dergelijke databanken in elke lidstaat in te voeren en onderling te verbinden. Het rapport, dat de titel The Intercept heeft verkregen van een Europese functionaris die zich zorgen maakt over de ontwikkeling van het netwerk, is in november 2019 onder EU- en nationale ambtenaren verspreid. Als eerdere regelingen voor het delen van gegevens een leidraad zijn, zal het nieuwe gezichtsherkenningsnetwerk waarschijnlijk worden verbonden met vergelijkbare databases in de VS, waardoor privacyonderzoekers het een massale transatlantische consolidatie van biometrische gegevens noemen.

Het rapport is opgesteld als onderdeel van discussies over de uitbreiding van het Prüm-systeem, een EU-breed initiatief dat DNA-, vingerafdruk- en voertuigregistratiedatabases met elkaar verbindt voor wederzijds zoeken. Een soortgelijk systeem bestaat tussen de VS en elk land dat deel uitmaakt van het Visa Waiver-programma, dat de meerderheid van de EU-landen omvat; bilaterale overeenkomsten geven Amerikaanse en Europese agentschappen toegang tot elkaars vingerafdruk- en DNA-databases.

“Dit betreft op nationaal niveau en op Europees niveau, vooral omdat sommige EU-landen neigen naar meer autoritaire regeringen.”

Hoewel nieuwe wetgeving naar aanleiding van de aanbeveling van het rapport nog niet op tafel ligt, zijn de voorbereidende werkzaamheden aan de gang. Uit informatie die de Europese Commissie afgelopen november aan het Europees Parlement heeft verstrekt, blijkt dat bijna 700.000 euro naar een onderzoek van adviesbureau Deloitte gaat over mogelijke wijzigingen in het Prüm-systeem, waarbij een deel van het werk kijkt naar gezichtsherkenningstechnologie. De Europese Commissie heeft ook afzonderlijk 500.000 euro betaald aan een consortium van openbare instanties onder leiding van het Estonian Forensic Science Institute om “de huidige situatie van gezichtsherkenning in strafrechtelijke onderzoeken in alle EU-lidstaten in kaart te brengen” met als doel: de mogelijke uitwisseling van gezichtsgegevens, “volgens een projectpresentatie die naar nationale vertegenwoordigers in Brussel werd gestuurd.

“Dit betreft op nationaal niveau en op Europees niveau, vooral omdat sommige EU-landen neigen naar meer autoritaire regeringen,” zei Edin Omanovic, belangenbehartiger voor Privacy International. Omanovic maakt zich zorgen over het gebruik van een pan-Europese gezichtsdatabase voor “politiek gemotiveerde surveillance” en niet alleen voor standaard politiewerk. De mogelijkheid van doordringende, ongerechtvaardigde of illegale surveillance is een van de vele kritieken op de technologie voor gezichtsherkenning. Een andere is dat het notoir onnauwkeurig is, vooral voor mensen van kleur.

De EU heeft de afgelopen jaren grote stappen gezet om een ​​groot aantal migratie- en beveiligingsdatabases met elkaar te verbinden. Nieuwe wetgeving die afgelopen april is aangenomen, heeft een database opgezet met de vingerafdrukken, gezichtsafbeeldingen en andere persoonlijke gegevens van maximaal 300 miljoen niet-EU-onderdanen, waarbij gegevens uit vijf afzonderlijke systemen worden samengevoegd. Volgens het rapport van 10 politiediensten stelden de consultants van Deloitte voor hetzelfde te doen met gezichtsfoto’s van de politie, maar het idee kreeg unanieme tegenstand van wetshandhavingsambtenaren.

Desalniettemin beveelt het rapport aan om de gezichtsdatabases van alle EU-lidstaten te koppelen, wat hetzelfde praktische effect lijkt te hebben. In een ander intern EU-politierapport – dit van een werkgroep over Prüm die de uitwisseling van rijbewijsgegevens bekeek – merkt de politie op dat “een netwerk van onderling verbonden nationale registers kan worden beschouwd als een virtueel Europees register”.

Voor de politie zijn de voordelen van gekoppelde databases voor gezichtsherkenning duidelijk. Het door Oostenrijk geleide rapport beschouwt de technologie als een “zeer geschikt” biometrisch hulpmiddel voor het identificeren van onbekende verdachten en suggereert dat de databases “zo snel mogelijk” moeten worden aangemaakt en gekoppeld. Het erkent ook de noodzaak van gegevensbeschermingswaarborgen, zoals menselijke verificatie van geautomatiseerde overeenkomsten, maar privacy-experts beweren dat het creëren van een dergelijk systeem de eerste stap is naar een grotere uitwisseling en koppeling van gegevens wanneer dergelijke controles ontoereikend zijn.

Europese stappen om de gezichtsherkenningsgegevens van de politie te consolideren, lijken sterk op soortgelijke inspanningen in de VS, zei Neema Singh Guliani, senior juridisch adviseur bij de American Civil Liberties Union. Veel Amerikaanse wetshandhavingsinstanties werken vanuit ‘fusiecentra’, waar ze zich op dezelfde locatie bevinden en gegevens kunnen delen. Als je een overeenkomst voor het delen van informatie hebt met de FBI of het Department of Homeland Security, zei Guliani, “bestaat er een risico dat de informatie functioneel wordt gedeeld met extra niveaus van Amerikaanse rechtshandhaving.”

“Het roept veel vragen op,” voegde ze eraan toe. “Hoe de politie gezichtsherkenning gebruikt en afbeeldingen verzamelt, evenals in de VS met betrekking tot de gepaste procedure en de uitdrukking van het eerste amendement. Gezien de bestaande relaties voor het delen van informatie, is het zeer waarschijnlijk dat de VS toegang zou willen hebben tot die informatie.”

Al in 2004 pleitte de Amerikaanse ambassade in Brussel voor een relatie met de EU die ‘uitgebreide uitwisseling en het delen van alle vormen van gegevens mogelijk maakte, inclusief persoonlijke gegevens’. In de afgelopen jaren zijn de inspanningen voor dat doel geïntensiveerd. Volgens een rapport van het Government Accountability Office is het ministerie van Binnenlandse Veiligheid in 2015 begonnen met de implementatie van de overeenkomsten voor het delen van gegevens die vereist zijn voor de landen van het Visa Waiver-programma. Dit omvatte de FBI die hulp aan andere staten verleende om de nodige computernetwerken op te zetten.

Oostenrijk, om een ​​voorbeeld te nemen, begon in oktober 2017 vingerafdrukken te controleren met de criminele vingerafdrukdatabases van de FBI, verklaarde Reinhard Schmid, een hoge ambtenaar bij de Oostenrijkse inlichtingendienst. Sindsdien zijn ongeveer 12.000 afdrukken van individuen gecontroleerd, wat heeft geleid tot 150 overeenkomsten. “Ongeveer 20 van deze geïdentificeerde personen werden onderzocht en verdacht van lidmaatschap van terroristische organisaties,” terwijl in 56 gevallen mensen hadden geprobeerd een valse identiteit te gebruiken, zei Schmid.

“Hun logica is hier: ‘Als ik een ernstig misdrijf heb en ik wil iemands foto tegen een database laten draaien, waarom zou ik dit dan niet mogen hebben?'” Zei Guliani. Toch voegde ze eraan toe dat de implicaties voor de privacy enorm waren. “Als je eenmaal toegang hebt, kun je uiteindelijk bijna iedereen identificeren, waar dan ook.”

Het rapport van 10 politiediensten roept Europol, het EU-agentschap voor het delen van politie-informatie en inlichtingen, op om een ​​rol te spelen bij het uitwisselen van gezichtsherkenning en andere biometrische gegevens met niet-EU-landen. Dit sluit aan bij aanbevelingen van Europese regeringen zelf: in een verklaring van juli 2018 werd de Commissie opgeroepen om te overwegen “het toepassingsgebied” van het Prüm-netwerk te verbreden en Europol het voortouw te laten nemen bij het delen van gegevens met derde landen.

De FBI en Europol hebben niet gereageerd op vragen over overeenkomsten voor het delen van gegevens tussen de EU en de VS. Een woordvoerder van de Europese Commissie erkende het vooruitzicht om gezichtsherkenningsgegevens aan het Prüm-netwerk toe te voegen, maar weigerde er nader op in te gaan.

Bronnen:

The Intercept