Bedrijf achter gezichtsherkenning voetbalclub NEC wil veel meer: ‘Zorg en vliegvelden’

“Dit is de toekomst”, voorspelt Rob van Rinsum, directeur van FastID, het bedrijf achter de techniek bij NEC. “Supporters verbazen zich erover hoe snel en makkelijk het gaat.”

Na een proef is de techniek inmiddels uitgerold in de hele Goffert, het stadion van NEC. Mensen kunnen ervoor kiezen of ze met hun gezicht binnen willen komen. Ongeveer een kwart kiest hiervoor zegt Van Rinsum trots vanuit zijn kantoor in Den Haag. Andere fans kunnen via de app van FastID hun paspoort koppelen en gaan via een QR-code naar binnen. “Het draait bij ons niet alleen om gezichtsherkenning hoor. We willen de leidende partij worden op het gebied van digitale identificatie.”

Boekhoorn 

Toch trekt het bedrijf de aandacht door het gebruikmaken van gezichtsherkenning. Dat deze techniek uitgerekend in Nijmegen toegepast wordt, komt door de steenrijke NEC-fan Marcel Boekhoorn. Hij steekt geld in de club en is grootaandeelhouder van de start-up FastID. Hij en Van Rinsum zien voetbalstadions niet als het eindstation. Die laatste heeft het ook over hotels, vliegvelden en zorginstellingen. 

“Ons systeem is op het gebied van privacy veel veiliger dan andere methoden”, zegt Van Rinsum. Hij legt uit dat supporters zich via hun app aanmelden en dat gegevens vervolgens versleuteld worden. 

Decentraal

“Dus omgezet in een oneindige reeks getallen waar niemand wat mee kan. Het is de bedoeling dat de gegevens binnenkort volledig decentraal opgeslagen worden, waardoor hackers helemaal niets kunnen beginnen. Alle gegevens staan dan namelijk op de telefoon van de fan. Daar doen we nu proeven mee”, vervolgt hij.

Van Rinsum benadrukt dat zijn bedrijf niet bij de gegevens kan, aangezien FastID geen servers heeft waar persoonlijke data worden opgeslagen en de ‘klant’ van FastID de zorgplicht draagt. “NEC weet wel meer van je, maar dat is logisch, want ook zonder FastID moeten fans hun gegevens delen met de club.” 

“En ik kan je verzekeren dat dit een stuk veiliger is dan je paspoort afgeven aan wildvreemden. Zoals in een hotel of bij andere voetbalclubs”, stelt Van Rinsum. 

‘Juridisch-technisch klopt het’

“De techniek achter FastID ziet er vanuit juridisch perspectief goed uit”, zegt Menno Weij, een privacyjurist op het gebied van IT. Hij zegt dat dit soort initiatieven juist de veiligheid beter kunnen waarborgen en vindt de Autoriteit Persoonsgegevens soms wat te streng in de leer. 

Hij zegt dat FastID zich zeker op het gebied van data-opslag onderscheidt van andere gezichtsherkenningsbedrijven. Hij doelt op Clearview, dat eerder door de AP beboet werd omdat het Amerikaanse bedrijf een database met miljarden foto’s van gezichten (ook van Nederlanders) had aangelegd. 

Reactie supportersvereniging NEC

Het is niet voor niets dat Van Rinsum het eerder had over hotels en andere stadions. Hij heeft grote ambities met zijn bedrijf dat nu zeven vaste werknemers heeft. Hij zegt dat het systeem niet alleen ‘de wedstrijdbeleving’ beter maakt, maar ook supportersgeweld in de kiem kan smoren. Hij hoopt daarom dat andere voetbalclubs aanhaken.

Vliegvelden 

Verder praat hij honderduit over vliegvelden. “Het boarden kan bijvoorbeeld veel sneller. Prettig voor de reizigers, maar ook voor maatschappijen en vliegvelden. Nu moeten er nog grondstewards naar verschillende gates. Dat is op grotere luchthavens een hele logistieke puzzel die bovendien meer geld kost.”

Van Rinsum heeft het expliciet over boarden en niet over douanezaken. “Dat is qua regelgeving nu nog niet haalbaar voor ons”, zegt de man die sinds de afgelopen zomer met de scepter zwaait bij FastID. “Het doel is nu groeien en kijken waar kansen liggen.”

Proeven op vliegveld Berlijn Brandenburg en testen in het lab van Schiphol laten zien dat er interesse is in de techniek van het bedrijf.

Naast vliegvelden ziet Van Rinsum dat er ook vanuit andere hoeken vraag is naar de toepassingen van FastID. Op het gebied van personeelsbeleid bijvoorbeeld. “Dat mensen via hun gezicht systemen of gebouwen in kunnen in plaats van via authenticators of pasjes.”

Fraude in zorg 

Het meest opgetogen wordt Van Rinsum als het gaat over de zorg. “Er is in die sector veel fraude. Diefstal, werknemers zonder diploma’s. Gezichtsherkenning kan er bijvoorbeeld voor zorgen dat alleen maar gekwalificeerd personeel bij sleutel- en medicijnkastjes kan.” 

Dat niet iedereen het enthousiasme van Van Rinsum deelt, merkt hij zelf ook. “Biometrische gegevens roepen veel weerstand op. Mensen vinden biometrie eng.”

Angst voor biometrie 

Niet onterecht denkt Yong Yong Hu, promovenda  op het gebied van digitale authenticatie aan de Radboud Universiteit. Zij wijst erop dat biometrische gegevens (lichamelijke kenmerken zoals gezicht en vingerafdrukken) niet vervangbaar zijn. “Het is niet mogelijk om zomaar een ander gezicht te nemen. Het is ook niet nodig om overal biometrie voor te gebruiken. Er zijn genoeg alternatieven.” 

“Gezichtsherkenning is in de meeste gevallen niet toegestaan en dat is niet voor niets”, schrijft een woordvoerder van de Autoriteit Persoonsgegevens (AP). 

Eisen Autoriteit Persoonsgegevens 

In principe is in slechts drie gevallen gezichtsherkenning toegestaan, schrijft de AP. 

1. Als de gezichtsherkenning alleen een persoonlijk of huishoudelijk doel heeft, zoals het ontgrendelen van een telefoon.
2. Als de gezichtsherkenning noodzakelijk is voor authenticatie of beveiliging. Die noodzaak is er niet snel. Het moet gaan om een zwaarwegend algemeen belang. Bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.
3. Als degene van wie je het gezicht scant, daarvoor uitdrukkelijk toestemming geeft.

“Als er eenmaal zo’n gezichtsscan van jou gemaakt is, ben je de controle kwijt. Je kunt dan overal geïdentificeerd en gevolgd worden. Je gezicht is uniek en kun je niet zomaar even ruilen voor een ander exemplaar”, vervolgt de AP, die meldt dat het gebruik van gezichtsherkenning in de meeste gevallen verboden is. 

Veiligheidstoets

De waakhond legt uit dat als er een ‘hoog privacyrisico’ is er een ‘data protection impact assessment (DPIA)’ uitgevoerd moet worden. Hierdoor worden de risico’s in kaart gebracht. Ook kan er advies worden gevraagd aan de AP. FastID zegt geen contact met de AP te hebben gehad, maar dat er wel een DPIA is uitgevoerd. 

Het eerste wordt bevestigd door de waakhond. “De AP kent de situatie bij NEC niet, dus kan geen oordeel geven over de vraag of de inzet van gezichtsherkenning door NEC aan de wet voldoet.” De AP ziet dat er ‘in verschillende sectoren’ veel initiatieven zijn om gezichtsherkenning in te zetten “De AP houdt dat nauw in de gaten.

Ook in zwembaden en campings wordt gebruikgemaakt van gezichtsherkenning, zoals hieronder te zien is. De tekst gaat door onder de video. 

Ook hoogleraar Tom van Engers (UvA), een expert op het gebied van recht en kunstmatige intelligentie, is voorzichtig. Hij zegt dat naast wettelijke grondslag, dat kan toestemming van in dit geval de supporter zijn, ook gerechtvaardigd belang, proportionaliteit en ‘maatschappelijk risico’ van belang zijn. “Het is uiteindelijk aan de rechter om hierover te oordelen.”

Hij zegt wel dat het gebruik van biometrische gegevens in andere landen een stuk gebruikelijker is. Het gaat om bijvoorbeeld de Verenigde Staten, China en Singapore. “Naast het voor een gerechtvaardigd doel verzamelen en verwerken van deze persoonsgegevens moet ook goed worden gekeken naar waar, hoe en hoelang deze gegevens worden opgeslagen.”

Niets waterdicht 

Wat betreft FastID kunnen Van Engers en Yu hier niet over oordelen. Die laatste zegt wel dat het decentraal opslaan van persoonsgegevens een stuk veiliger is. “Maar niets is waterdicht.” 

Want de goede intenties ten spijt, wat als FastID in handen komt van een andere partij en/of zo groot wordt dat (biometrische) gegevens van talloze mensen via het bedrijf lopen? “Ik hoop dat we zo groot worden”, zegt Van Rinsum gekscherend. “Zonder gekheid. Terechte vraag, zover is het nog lang niet. Ik kan alleen zeggen hoe het nu is: we willen zo weinig mogelijk van je weten.”