Laat ik de relevante informatie daar
zelf maar eens uithalen (de link naar die PDF staat overigens onderaan
https://www.henschotermeer.nl/):
Toegangssysteem Henschotermeer
Wij zijn als bedrijf ons terdege bewust van de privacy gevoelige informatie welke wij tot onze beschikking krijgen. Het bedrijf dat het door ons gebruikte gezichtsherkenningssysteem heeft ontwikkeld is zich daar ook terdege bewust van. De camera’s die hiervoor gebruikt worden functioneren enerzijds als bewakingscamera’s waarvan de beelden maximaal 14 dagen bewaard worden en alleen zullen worden gebruikt als er zich calamiteiten voordoen of er zaken plaatsvinden die het terugkijken van beelden noodzakelijk achten. Dit is gerechtvaardigd omdat de bewakingsbeelden volledig losgekoppeld zijn van het gezichtsherkenningssysteem.
Daarnaast is het door nieuwe technieken toe te passen gelukt om met dezelfde camera’s een kaartloos toegangssysteem te realiseren met gezichtsherkenning welke volledig in overeenstemming is met de privacy wetgeving die sinds 14 april 2016 van kracht is en welke 25 mei 2018 aangescherpt is.
Alle privacy gevoelige informatie wordt voor verwerking direct omgezet naar onherkenbare getallen. Tevens is het zo dat alle informatie, welke nodig is om dat ene unieke getal te berekenen, in zijn geheel niet worden bewaard. Dit maakt het onmogelijk om gezichtsherkenningsgegevens uit het systeem te ontvreemden omdat deze gewoon weg niet aanwezig zijn!
Dus mocht u zich afvragen, ‘wordt er voor de gezichtsherkenning een foto gemaakt en opgeslagen?’, dan kunnen wij u geruststellen dat dit niet het geval is!
Dat laatste is dus sowieso gelogen, want er pal boven staat dat beelden (gemaakt met deze
toegangscontrole camera's) maximaal 14 dagen worden bewaard. Waarbij dat "maximaal" ook niet waar is, want bewakingsbeelden worden
minimaal 14 dagen bewaard:
De camerabeelden worden maximaal 14 dagen bewaard voordat ze automatisch worden gewist, tenzij er een calamiteit heeft plaatsgevonden. In dat geval worden de beelden gewist wanneer ze niet meer nodig zijn in het kader van de calamiteit.
Een "calamiteit" klinkt als iets dat zelden voorkomt, zoals een neerstortend vliegtuig of grote bosbrand. Ik ga er gemakshalve vanuit dat er
veel meer omstandigheden zijn waaronder beelden worden bewaard (dat beelden uit
bewakingscamera's worden bewaard na misdrijven begrijp ik - maar als je teveel bagatelliseert geloof ik niets meer).
Kortom, de beelden gemaakt met de gezichtsherkinningscamera's (waar je vermoedelijk je gezicht enige tijd voor moet stilhouden) worden gewoon minstens 14 dagen bewaard, naast de gezichtsherkenningsgegevens (waarvan het mij niet duidelijk is hoe lang
die worden bewaard).
Het privacy statement gaat verder met:
Er worden een aantal unieke punten van uw gezicht gemeten en omgezet naar een unieke code welke niet terug te leiden is naar enige persoonlijke informatie. Hierdoor blijft uw privacy gewaarborgd maar tevens wordt hierdoor uw gezicht uit duizenden herkend en zal u toegang tot het Henschotermeer verleend worden.
Als met bepaalde gegevens een gezicht uit duizenden wordt herkend, kan dit m.i. niet anders dan betekenen dat er sprake is van biometrisch identificerende gegevens. En hoe beter het systeem is in het onderscheiden tussen enerzijds echte (levende) gezichten en anderzijds foto's, maskers of tweelingen, hoe meer
tevens sprake is van authenticatie.
Of je dergelijke gegevens een "unieke code", "onherkenbare getallen" of een matrix noemt, maakt niks uit (alle gegevens in computers zijn immers in een X aantal bytes uit te drukken).
Uit
https://demonitor.kro-ncrv.nl/artikelen/je-gezicht-gebruiken-als-toegangskaartje-hoe-werkt-dat-eigenlijk:
‘Ik snap heel goed dat mensen zich zorgen maken,’ zegt Frans Penninx, eigenaar van de firma Elpar, die de toegangspoortjes gaat installeren. ‘Alleen mensen hebben niet in de gaten dat het achterlaten van een adres of telefoonnummer vele malen privacygevoeliger is dan de gegevens die wij van bezoekers opslaan.’
Onzin. Los van dat je, voor zover ik weet en hoop, geen identiteitsfraude kunt plegen met de kennis van een adres of telefoonnummer, was er een tijd dat we deze informatie gewoon in het telefoonboek lieten zetten (en daar nog voor betaalden ook). De reden dat we dat niet meer doen is dat die gegevens steeds meer werden misbruikt, en dat heeft alles met privacy te maken. Echter bij biometrische gegevens zijn de mogelijkheden voor misbruik veel groter en kan de schade veel groter zijn (dan bijv. de ongewenste telefoontjes van destijds).
Verder uit "De Monitor":
Hij legt uit: ’Onze camera haalt, op het moment dat jij ervoor staat, veertig punten uit jouw gezicht en verbindt aan die punten een getal.’ Dat getal, vertelt Penninx, ‘wordt vervolgens direct met behulp van een sleutel omgerekend naar weer een ander nummer.’
Dit nummer, 64 karakters lang, is vervolgens het enige dat door het bedrijf wordt opgeslagen. “Het klinkt een beetje cru,” zegt Penninx, ‘maar iedere bezoeker wordt dus simpelweg een nummer.
Laten we ervan uitgaan dat meneer Penninx bedoelt dat het nummer 64
cijfers lang is; dan past daar een gigantisch getal in. Of een matrix bestaande uit 16 getallen van 0 t/m 9999. Om het tot de verbeelding te laten spreken: één van die getallen zou de afstand tussen de pupillen kunnen zijn, waarbij de grootst denkbare afstand overeenkomt met 9999 en de kleinst denkbare afstand met 0. Zo'n systeem is vergelijkbaar met iemand die met een meetlat nauwkeurig allerlei afstanden in gezichten opmeet.
Als "met behulp van een sleutel omgerekend naar weer een ander nummer" betekent dat er wordt versleuteld, dan zal
ook die sleutel bewaard moeten worden. Want dat "nummer van 64 karakters" is niet "hard", onderdelen ervan zullen bij elke gezichtsherkenning ietsje wijzigen. Je kunt het dus niet hashen (want hashfuncties laten de output enorm wijzigen als er ook maar iets in de input een klein beetje verandert).
Zelfs als deze gegevens verder nergens aan gekoppeld zouden worden, vormen ze een risico op het moment dat je ze correleert met gegevens uit een
ander systeem dat dezelfde wijze van opslaan heeft, of indien je het algoritme kent (en dat hou je nooit geheim) en gegevens opgenomen met verschillende systemen mogelijk kunt converteren naar een overeenkomstig formaat. Hoe meer van dit soort systemen, hoe eenvoudiger het wordt om te zien dat persoon X op datum D1 op locatie A geweest is, en op datum D2 op locatie B.
Dit kan ook met camerabeelden zul je misschien denken. Maar het griezelige aan gezichtsherkeningssystemen is dat er geen mensen meer nodig zijn om dit vast te stellen; computers kunnen vroeger of later precies vertellen wanneer jij waar was. En misschien is dat niet voor iedereen een probleem, maar dat is het wel voor bijv. militairen (zie
https://www.security.nl/posting/569135/Defensie+blokkeert+sport-apps+op+werktelefoons+na+datalek) en wellicht ook voor badmeesters die door hufters zijn bedreigd (niet alleen "the good guys" zijn in dit soort gegevens geïnteresseerd).
Zodra, wellicht na meer dan 1 lek, bij aanvallers bekend is dat bij persoon X een uniek gezichtsherkenningsgetal N hoort, heb je maar 1 systeem dat gezichtsherkenningsgetal N accepteert (in plaats van het gezicht zelf, vergelijkbaar met pass-the-hash dus) om identiteitsfraude te plegen. Ik ben ervan overtuigd dat dit, vroeger of later, gaat gebeuren. Want wij mensen zijn veel te goedgelovig voor verhalen van mensen als meneer Penninx, en ik sluit zelfs niet uit dat meneer Penninx niet doorheeft welke risico's hij met zijn systemen introduceert.
Bovendien, verzekert Penninx, worden er geen namen of andere persoonsgegevens aan de codes gekoppeld. ‘We kunnen uit een gezicht wel een getal herleiden, maar uit een getal geen gezicht. Wij weten dus ook niet wie de bezoekers precies zijn,’ zegt Penninx.
Linksom of rechtsom wil je weten of het gezicht voor de camera heeft betaald. In het privacy-gunstigste geval bevat elk record in de database uitsluitend gezichtsherkenningsgegevens van 1 persoon die 's ochtends bij binnenkomst heeft betaald, en wordt de database na sluitingstijd direct geleegd (ik hoop op zodanige wijze dat de gegevens niet zijn terug te halen).
Voor mensen op de camping of abonnementen wordt dit lastiger, want die willen niet elke dag betalen. Je zou dan een "betaald tot" datum in elk record (met de gezichtsherkenningsgegevens van de betreffende persoon) kunnen opslaan, en de gegevens van personen die de dag erna ook nog naar binnen mogen,
niet wissen na sluitingstijd.
In mijn ervaring is er echter altijd sprake van function-creep: het is o zo handig om meer gegevens op te slaan. Zoals datum en tijd. En leeftijd. En voor je het weet gaat alles wat de exploitant van de Henschotermeer en meneer Penninx van Elpar beweren, steeds meer richting ordinair liegen.
Eveneens uit het privacy statement:
De camerabeelden zouden mogelijk kunnen worden opgeslagen op servers die zich buiten het bereik van ons bedrijf bevinden.
Op deze minstens 14 dagen bewaarde beelden is te zien wanneer jij voor de
gezichtsherkenningscamera stilstond (dat is iets anders dan langs een bewakingscamera lopen, alhoewel beelden
daarvan ook steeds beter worden met de jaren). Als deze
gezichtsherkenningscamerabeelden in verkeerde handen vallen, hebben de aanvallers de database met "unieke getallen" trouwens niet eens meer nodig; met de kennis van het algoritme kunnen ze de gezichtsherkenning zelf op hun gemakje overdoen. De stelling uit hetzelfde privacystatement, betreffende het "bij een calamiteit" langer dan 14 dagen bewaren van die beelden: "is gerechtvaardigd omdat de bewakingsbeelden volledig losgekoppeld zijn van het gezichtsherkenningssysteem" - kan dus ook de prullenbak in. Het is nog erger dan ik vermoedde...