U bent hier
Privacy
X herstelt probleem met automatisch aanpassen van url's met Twitter.com
AT&T waarschuwt 51 miljoen klanten voor datalek met persoonsgegevens
E-maildienst Tuta blokkeerde door update ip-adres van honderden gebruikers
DNB test via red teaming cybersecurity kleinere banken en verzekeraars
Proton neemt versleutelde notitie-app Standard Notes over
WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s
Git repositories datacompressietool XZ weer beschikbaar op GitHub
NSC wil opheldering over dalend aantal bankkantoren in Nederland
Microsoft beschrijft oorzaak eigen kwetsbaarheden via CWE-standaard
Kleine browsers melden toename marktaandeel door DMA-keuzescherm
IMF: cyberaanvallen kunnen financiële en economische stabiliteit bedreigen
Microsoft verhelpt twee actief aangevallen zerodaylekken in Windows
LG dicht kwetsbaarheden waardoor televisies op afstand zijn over te nemen
Pakje sigaretten kopen? Eerst even je gezicht scannen, mag dat?
Wie een pakje sigaretten koopt, komt op steeds meer plekken in Nederland een gezichtsscanner tegen. Dat las ik bij RTL Nieuws onlangs. De scanner schat je leeftijd (25+ of niet) en laat je dan sigaretten kopen (of niet). Enkele rokende lezers stelden me vervolgens de vraag: mag dat eigenlijk wel, inzet van biometrie voor zo’n profileringsdoel? En vooral: wat zegt de aankomende AI Act?
De AI Act is definitief maar nog niet aangenomen (in mijn nieuwe boek lees je alle details). Dat zal in mei gebeuren. Daarna is er twee jaar overgangsrecht, hoewel de zogeheten verboden praktijken al over zes maanden moeten stoppen. En in die lijst (artikel 5) staan de nodige biometrische toepassingen:
- Emotieherkenning op het werk en in het onderwijs, behalve indien noodzakelijk voor veiligheid of medische redenen (art. 5(1)(f)).
- Biometrische categorisatie op bijzondere persoonsgegevens, zoals het afleiden van etnische afkomst of seksuele voorkeur (art. 5(1)(g)).
- Real-time biometrie op afstand in de openbare ruimte voor wetshandhaving (art. 5(1)(h)))
Diverse toepassingen van biometrie zijn als hoogrisico aangemerkt. De AI Act is daar formeel in; iets is hoogrisico als het op de lijst (Annex III) staat, je hoeft geen eigen inschatting te maken van hoe hoog of hoe ernstig het in jouw geval is. Pas je onder een tekst? Dan ben je hoogrisico.
De eerste toepassing is biometrie op afstand. De AI Act gebruikt hierbij niet een criterium uitgedrukt in meters, maar of je meerdere mensen tegelijkertijd scant (overweging 17, artikel 3 lid 41), met “typisch op afstand” als optionele toevoeging.
De tweede toepassing is emotieherkenning (dus niet op werk of school). Dit is niet van toepassing, want leeftijd is geen emotie.
Blijft over biometrische categorisatie op basis van gevoelige of beschermde kenmerken. Dit komt goed in de buurt: de categorieën zijn dan “25 jaar of ouder” versus “jonger dan 25”, en dit gebeurt op basis van gezichtskenmerken die goed ‘gevoelig’ kunnen zijn. Daarmee moet de leverancier aan een hele berg compliance-verplichtingen voldoen.
Die 25 jaar is overigens gekozen om de foutmarge naar 2% terug te dringen: het verschil zien tussen 17 en 19 is te subtiel kennelijk.
Waar ik vooral mee zit: de gezichtsscan duurt zo te zien op het filmpje minstens zo lang als een ID-kaartscan. (De leverancier spreekt van “rap” maar ik zie echt het tijdsverschil niet.) Je ID moet je altijd kunnen laten zien. Wat is dan precies nog het praktische voordeel van deze AI oplossing ten opzichte van altijd ID laten zien?
Arnoud
Het bericht Pakje sigaretten kopen? Eerst even je gezicht scannen, mag dat? verscheen eerst op Ius Mentis.
Rijksrecherche houdt ambtenaar aan voor verkopen van kentekeninformatie
AP: 26.000 datalekmeldingen vorig jaar, maar slachtoffers vaak niet ingelicht
AP waarschuwt: risico’s cyberaanvallen vaak veel te laag ingeschat
Te veel organisaties in Nederland die worden getroffen door een cyberaanval, laten na om mensen te waarschuwen dat hun gegevens in verkeerde handen zijn gevallen. Organisaties schatten de risico’s van de aanval namelijk vaak – in 7 van de 10 gevallen – te laag in. Met als gevolg dat de mensen van wie er persoonlijke gegevens zijn gelekt, zich niet kunnen wapenen tegen mogelijke oplichting of andere misdrijven van cybercriminelen.