De Nederlandse politie heeft een gezichtendatabase waar meer dan 1,3 miljoen mensen in staan. Tienduizenden van hen staan daar wellicht onterecht in, bijvoorbeeld omdat ze door de rechter zijn vrijgesproken van een misdrijf. Daarnaast staat de rechtmatigheid van de database ter discussie, omdat de politie nooit de privacyrisico’s in kaart heeft gebracht.Dat blijkt uit onderzoek van NU.nl.
De politie gebruikt sinds 2016 een systeem dat CATCH heet. Dit is een gezichtendatabase die beelden van beveiligingscamera’s kan vergelijken met profielfoto’s die in de database zijn opgenomen. Als deze vergelijking een match oplevert, heeft de politie een naam bij een verdachte en kan een onderzoek worden ingesteld.
De foto’s uit CATCH zijn voor een groot deel afkomstig uit een andere database, die door de Justitiële Informatiedienst (Justid) van het ministerie van Justitie en Veiligheid wordt beheerd. Men belandt in deze database als ze verdacht worden van zware strafbare feiten. Als ze niet langer verdacht zijn, er geen hoger beroep is ingesteld en er geen andere zaken tegen hen lopen, moeten hun foto’s worden verwijderd.
Het opschonen van de database van Justid verloopt allesbehalve vlekkeloos. Tussen 2010 (toen de wet die de oprichting van het persoonsregister van Justid regelt van kracht was) en 2019 bepaalde de rechter dat 71.000 mensen uit de database van het ministerie van Justitie en Veiligheid moesten worden verwijderd. In deze periode werd met 106.000 mensen een schikking getroffen.
Toch ligt het aantal verwijderingsverzoeken aanzienlijk lager. In de afgelopen negen jaar behandelde Justid slechts 16.200 zaken. Daarvan werd 92,8 procent goedgekeurd.
Doordat de afhandeling van verwijderingsverzoeken zo lang op zich laat wachten, zijn tienduizenden Nederlanders ten onrechte opgenomen in de gezichtendatabase van CATCH. Het is tevens onzeker of foto’s, na goedkeuring van Justid, alleen uit het persoonsregister van het ministerie zijn verwijderd, of ook uit de database van CATCH. John Riemen, hoofd van het Centrum voor Biometrie van de politie, vertelt tegenover NU.nl dat hier intern al rekening was gehouden. Volgens hem is het ‘bijna onmogelijk’ om de CATCH-database op orde te houden.
Dat tienduizenden Nederlanders mogelijk onterecht zijn opgenomen in CATCH, is verontrustend. Daar komt bovenop dat de database mogelijk onrechtmatig is. Sinds de inwerkingtreding van CATCH in 2016, heeft de politie nooit formeel de privacyrisico’s van het systeem in kaart gebracht. Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018, is het verplicht om zo’n onderzoek vooraf in te stellen.
Dat roept de vraag op of CATCH wel legaal is. “De overheid moet wel een legitieme reden hebben om op grote schaal dit soort gevoelige gegevens op te slaan. Het moet niet andersom zijn. Dan kom je in een controlestaat terecht”, vertelt Joris van Hoboken, onderzoeker informatierecht aan de Universiteit van Amsterdam en hoogleraar aan de Vrije Universiteit Brussel.
Hij stelt dat de kans dat er iets misgaat groter is naarmate de database groter is. “Bijvoorbeeld dat de politie een verkeerde match maakt en ’s ochtends je deur intrapt. Dat je wordt verdacht van dingen die je niet gedaan hebt. Dat maakt het heel ingrijpend.”
In een reactie laat de politie aan NU.nl weten dat de verplichting om privacyrisico’s in kaart te brengen pas sinds 2019 bestaat, twee jaar nadat CATCH was ingevoerd. Het systeem krijgt bovendien een opvolger, dan worden de privacyrisico’s wel in kaart gebracht. Daarnaast onderzoek de politie momenteel ‘weesgevallen’: biometrische gegevens waar geen lopende zaak bij gevonden kan worden.
Om het probleem structureel op te lossen, moet er een betere informatie-uitwisseling komen tussen de systemen van Justid, de politie en het Openbaar Ministerie. Verder vertelt het ministerie van Justitie en Veiligheid dat er een ‘grootschalige handmatige beoordeling’ gaat plaatsvinden. Op deze manier wil het departement gegevens opsporen die ten onrechte in het persoonsregister en de CATCH-database zijn opgenomen.
Tot slot wordt er gewerkt aan een nieuwe wet die beter aansluit op de praktijk. De huidige regels zijn in de ogen van het ministerie te complex en onduidelijk.
Gezichtsherkenning is enerzijds een mooie technologie, omdat het opsporingsinstanties helpt om verdachten sneller te identificeren, op te sporen en te berechten. Anderzijds staat de technologie ter discussie, omdat het discriminatie, massasurveillance en etnisch profileren mogelijk in de hand werkt. Zo maakten Russische mensenrechtenadvocaten zich vorige maand nog grote zorgen dat de politie van Moskou gezichtsherkenning inzet om burgers, die onderweg waren naar een protestactie, preventief vast te zetten.
In de Verenigde Staten speelt de discussie over gezichtsherkenningstechnologie al langer. IBM, Amazon en Microsoft vroegen de regering om wet- en regelgeving te implementeren die misbruik moet voorkomen. Tot die tijd leggen zij de verkoop van gezichtsherkenningssoftware aan Amerikaanse politiedepartementen aan banden.
Ook in ons land wordt de discussie over beveiligingscamera’s met gezichtsherkenning volop gevoerd. In oktober vorig jaar waarschuwde de Autoriteit Persoonsgegevens dat er strenge regels gelden voor camera’s met gezichtsherkenning. Dergelijke hulpmiddelen zijn in beginsel verboden. Er zijn twee uitzonderingen waarop ze wel zijn toegestaan: als degenen die gefilmd worden nadrukkelijk toestemming hebben gegeven, en als ze voor beveiligings- en authenticatiedoeleinden worden gebruikt die een ‘zwaarwegend algemeen belang’ dienen. In december werd de filiaalhouder van een supermarktketen op de vingers getikt door de toezichthouder voor het gebruik van camera’s met gezichtsherkenningstechnologie.
