SafeAI Pro

Gezichtsherkenningstechnologie: de Kmart-zaak

Door Katya Kamlovskaya
AI-geletterdheid gezichtsherkenning

Vandaag las ik het onderzoeksrapport over het Australische Kmart, een retailgigant die twee jaar lang gezichtsherkenningstechnologie (FRT) op ALLE klanten heeft gebruikt zonder toestemming. Wat gebeurt er als nobele bedoelingen botsen met een gebrek aan deugdelijk bestuur?

Is dit al eerder gebeurd?

Ja! In 2024 werd ontdekt dat Bunnings, een grote doe-het-zelfwinkelketen, ook FRT in hun winkels gebruikte, hetzelfde verhaal - andere redenen. Voor Bunnings ging het om het voorkomen van agressie van klanten tegenover het personeel. Het winkelmanagement werd verzocht een uitleg te publiceren over hoe de technologie precies werkt - wat ze deden.

Uitleg over gezichtsherkenning van Bunnings (Bron: https://www.bunnings.com.au/about-us/facial-recognition-technology)

Kmart gebruikte de technologie om retourfraude te bestrijden - zaken als het retourneren van gestolen artikelen of het omwisselen van streepjescodes, een serieus probleem: alleen al in de VS was in 2024 ongeveer 15% van de retourzendingen frauduleus, wat miljarden kostte.

Waarom oordeelde de Privacycommissaris dat dit niet in orde was?

Ondanks de goede redenen achter de beslissing om de technologie in te zetten, oordeelde de Privacycommissaris dat Kmart de privacywet had overtreden (in Australië is er geen specifieke AI-wetgeving, dus de bestaande wetten worden toegepast). “Alleen omdat een technologie nuttig of handig kan zijn, betekent niet dat het gebruik ervan gerechtvaardigd is”, zei ze, en bracht het onderwerp proportionaliteit ter sprake: het voordeel van het gebruik van een technologie moet duidelijk en overweldigend opwegen tegen de privacyrisico’s die het met zich meebrengt. “Gezichtsafdrukken” die de winkel verzamelde, zelfs als ze niet langer dan een seconde werden opgeslagen, werden gebruikt voor matching, wat een foto van persoonlijke naar gevoelige informatie verandert - een zeer belangrijk onderscheid.

Het systeem scande iedereen die binnenkwam en verzamelde biometrische gegevens van honderdduizenden mensen, niet alleen van de weinige kwaadwillenden. Maar het was niet erg goed in zijn werk: de hoeveelheid voorkomen fraude was minuscuul in vergelijking met het totale probleem. Het enorme privacyrisico voor elke klant woog niet op tegen de zeer beperkte voordelen.

Belangrijk is dat het bedrijf nooit de minder privacy-invasieve alternatieven, zoals betere training van het personeel of strengere retourbeleidsregels, goed heeft onderzocht. De commissaris benadrukte dat het bedrijf geen alternatief hoefde te vinden dat even effectief was in het voorkomen van fraude. In plaats daarvan moesten ze alleen aantonen dat ze andere, minder privacy-invasieve methoden naar behoren hadden overwogen en verworpen. Het bedrijf slaagde hier niet in.

Tot slot, hoewel het bedrijf een “bijgewerkte” Kennisgeving van Toegangsvoorwaarden bij de ingang van de winkel had opgehangen, waarin stond dat de winkel “24-uurs cameratoezicht had, inclusief gezichtsherkenningstechnologie”, gebruikten veel winkels de technologie al maanden voordat deze kennisgeving werd opgehangen, wat betekent dat een groot aantal klanten zich niet bewust was van het gebruik van de technologie toen ze binnenkwamen. Het privacybeleid, dat meer dan een jaar na de start van de pilot van kracht was, vermeldde gezichtsherkenning helemaal niet.

Dit gaat niet over het aan de schandpaal nagelen van bedrijven. Noch Bunnings, noch Kmart kregen een boete. Het is een herinnering voor alle organisaties: transparantie, noodzaak en proportionaliteit zijn de belangrijkste overwegingen bij het inzetten van gezichtsherkenningssystemen zoals dit.

Wat zijn uw gedachten hierover? Moeten bedrijven het recht hebben om FRT te gebruiken om hun bedrijf te beschermen, zelfs als dit de privacy van elke klant beïnvloedt?