AI Act uitgelegd: verbod op ‘real-time’ biometrische identificatie op afstand in openbare ruimten (9/10)

Steeds vaker komen burgers in aanraking met biometrische identificatie. Biometrische identificatie is het proces van identificatie van een natuurlijk persoon op basis van biometrische gegevens. Dit zijn “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd.”[1] Met biometrische gegevens is het mogelijk een specifiek persoon eenduidig en uniek te identificeren, bijvoorbeeld door een vingerafdruk, iris- of netvliesscan, stem- en gezichtsherkenning of de afstand tussen ogen.

Wij merken op dat biometrische identificatie iets anders is dan biometrische verificatie. Bij biometrische verificatie wordt ook gebruik gemaakt van biometrische gegevens, maar is slechts sprake van een één-op-één vergelijking. Bij biometrische identificatie wordt daarentegen een profiel vergeleken met meerdere profielen in een database. Denk bij biometrische verificatie aan het ontgrendelen van je smartphone door middel van gezichtsherkenning of je vingerafdruk: je smartphone gaat enkel aan wanneer de vingerafdruk die wordt gepresenteerd overeenkomt met het door jou opgegeven profiel.

Omdat biometrische gegevens uniek zijn, leveren ze hoge risico’s op voor de privacy van personen. Mensen kunnen immers hun wachtwoord wijzigingen als het wachtwoord is betrokken bij een datalek, maar dat geldt niet voor een vingerafdruk. De verwerking van biometrische gegevens is daarom in eerste instantie verboden, tenzij één van de limitatief opgesomde uitzonderingsgronden opgaat.[2]

Als gevolg van het bovenstaande, verbiedt de AI Act het gebruik van bepaalde vormen van biomedische identificatie. Niet alle biomedische identificatie is verboden; slechts ‘real-time’ systemen voor biometrische identificatie op afstand in voor het publiek toegankelijke ruimten voor handhavingsdoeleinden. Een hele mond vol. Dergelijke systemen worden in de AI Act aangeduid als Remote Biometric Identification (“RBI”) systemen. Het gaat hierbij dus om biometrische identificatie die op afstand én op het moment zelf (real-time) in het openbaar plaatsvindt. Denk hierbij aan camera’s op een treinstation die gezichten van voorbijgangers scannen en onmiddellijk vergelijken met een politiedatabase om te zien of iemand wordt gezocht.

Het verbod is van toepassing als aan elk van de volgende voorwaarden is voldaan:

1. het AI-systeem moet een RBI-systeem zijn;
2. de activiteit die wordt verricht moet het ‘gebruik’ van dat systeem omvatten;
3. het gebruik moet zich op dat moment (in real time) afspelen;
4. het gebruik moet plaatsvinden in het publiek toegankelijke, openbare ruimte;
5. het gebruik moet zijn gericht op handhaving.

Wij merken op dat de AI Act – anders dan bij de andere verboden – uitsluitend het gebruik van dergelijke real-time RBI-systemen verbiedt. Het in de handel brengen of in gebruik stellen van de real-time RBI-systemen is niet verboden. Wel zijn hierop de regels voor AI-systemen met een hoog risico van toepassing.^[3] Wij merken op dat bij real-time RBI-systemen enkel sprake is van biometrische identificatie en niet van biometrische verificatie. Biometrische verificatie is minder ingrijpend en wordt onder de AI Act niet verboden, maar moet uiteraard wel betrouwbaar en veilig zijn.

De AI Act noemt slechts drie omstandigheden, waarin het verbod niet opgaat. Dit is het geval als het gebruik strikt noodzakelijk is voor één van de volgende doelstellingen:

1. het gericht opsporen van specifieke slachtoffers van ontvoering, mensenhandel of seksuele uitbuiting van personen, evenals het opsporen van vermiste personen;
2. het voorkomen van een specifieke, substantiële en onmiddellijke dreiging voor het leven of de fysieke veiligheid van natuurlijke personen, of een daadwerkelijke en actuele of daadwerkelijke en voorzienbare dreiging van een terroristische aanslag;
3. het lokaliseren of identificeren van een persoon die wordt verdacht van het plegen van een strafbaar feit, met het oog op het uitvoeren van een strafrechtelijk onderzoek of een vervolging, of het ten uitvoer leggen van een strafrechtelijke sanctie voor de in bijlage II genoemde strafbare feiten, die in de betrokken lidstaat worden bestraft met een vrijheidsstraf of een detentiemaatregel met een maximale duur van ten minste vier jaar.

Enkel in die gevallen is het toegestaan real-time RBI-systemen in te zetten en bovendien gelden er dan nog aanvullende voorwaarden, zoals het verkrijgen van voorafgaande toestemming die wordt verleend door een gerechtelijke instantie of een onafhankelijke administratieve instantie. 

Het is van belang dat u zo snel mogelijk vaststelt dat zich binnen uw organisatie geen verboden AI-praktijken voordoen. Is daar wel sprake van, dan kan dit worden beboet met forse geldboetes die kunnen oplopen tot 35 miljoen euro of 7 % van de totale omzet. Het feit dat op dit moment nog geen aangewezen toezichthouder voor de verboden AI-praktijken is, betekent niet dat er nog niets tegen kan worden gedaan. De verboden zijn immers rechtstreeks van toepassing sinds 2 februari 2025 en een overtreding van de AI Act betreft dan ook een onrechtmatige daad. Burgers of ondernemingen die daardoor schade leiden, kunnen aldus op dit moment al een procedure starten.

Kortom, het voldoen aan de AI Act vraagt om een gestructureerde aanpak binnen uw organisatie. Wij helpen u graag door AI-systemen binnen uw organisatie in kaart te brengen, te classificeren en de reeds bestaande verplichtingen met u uit te voeren. Dit doen wij samen met een externe partner en dit doen wij in drie stappen: een kennissessie, een AI-scan en vervolgens de implementatie. Daarmee hebben wij al geanticipeerd op de stappen die nu ook door de AP worden voorgeschreven.

Heeft uw organisatie hulp nodig bij het uitvoeren van deze stappen, dan biedt het Holla AI-team aldus de AI-scan aan. Heeft u hierover vragen? Neem dan contact met ons op. Wij helpen u graag verder en houd onze website in de gaten voor de andere artikelen uit onze blogreeks.