De AI Act uitgelegd: verbod op ongerichte ‘scraping’ van gezichtsafbeeldingen (6/10)

Informatie kan overal vandaan komen. Bij scraping wordt door een AI-tool, bijvoorbeeld een web crawler of bot, informatie van verschillende platformen als het ware geschraapt om op die manier een enorme hoeveelheid informatie te verzamelen. Dit scrapen gebeurt bij verschillende platforms, bij openbare bronnen maar ook bijvoorbeeld via opgehangen camera’s (CCTV’S).[1] Het gevaar bij het scrapen door AI is dat AI dynamisch reageert. Dat wil zeggen, AI is een tool die zelf in staat is verbanden te leggen en content te detecteren zonder dat daarvoor een expliciete opdracht is gegeven. Daarnaast is niet uitgesloten dat AI ook gegevens van het dark web schraapt.[2] Nadat al deze informatie van het internet is geschraapt worden databanken aangelegd waar alle gevonden informatie wordt bewaard. Bij het scrapen van gezichtsafbeeldingen krijg je dus een databank vol met gezichtsafbeeldingen.

Een ieder zal direct inzien dat het uiterst ongewenst is. Zelfs voor de groep "maakt mij niet uit, ik heb niks te verbergen". Een databank vol gezichtsafbeeldingen leidt onherroepelijk tot risico’s op het gebied van privacy en gegevensbescherming. Een praktijkvoorbeeld laat zich zien bij het Amerikaanse bedrijf Clearview waar door de Autoriteit Persoonsgegevens in 2024 een boete werd opgelegd voor het illegaal verzamelen gezichtsafbeeldingen van onder andere Nederlanders.

 Clearview heeft een gigantische databank met gezichtsafbeeldingen aangelegd door het scrapen van internet. Deze afbeeldingen zet zij vervolgens om in biometrische codes per gezicht, en zo zijn personen te herkennen. Die afbeeldingen zijn zonder toestemming van de personen zelf in de databank terecht gekomen. Deze afbeeldingen werden vervolgens aan derden aangeboden om de identiteit van personen vast te kunnen stellen.

Dergelijke systemen zijn onder de AI Act verboden, aldus artikel 5 lid 1 sub e. Om het verbod te kunnen toepassen moet aan de volgende cumulatieve voorwaarden worden voldaan:

1. het moet gaan om het in de handel brengen, in gebruik stellen of gebruiken van een AI-systeem;
2. het systeem heeft het doel databanken met gezichtsherkenning aan te leggen of uit te breiden;
3. de database wordt gevuld met behulp van AI-instrumenten voor ongericht schrapen;
4. de beelden zijn afkomstig van het internet of CCTV-beelden.[3]

Het verbod geldt zowel voor aanbieders als gebruikers van AI-systemen, elk binnen hun eigen verantwoordelijkheid en bereik. Het verbod geldt enkel voor het gebruik van AI-systemen die gezichtsafbeeldingen ongericht schrapen. AI-systemen die gericht gezichtsafbeeldingen schrapen kunnen niet op grond van dit artikel worden verboden.

Een gezichtsherkenningsdatabank is een databank die, logischerwijs, een database aan gezichten bevat. Deze databank is vervolgens in staat om gezichten van externe video of foto te vergelijken met de gezichten die zijn opgeslagen in de databank. Zodra de databank overeenkomsten waarneemt, meldt het AI-systeem dit aan de gebruiker.[4]

Ongericht scrapen kan worden vergeleken met een stofzuiger. Alle informatie die de tool tegenkomt neemt deze mee, zonder zich specifiek te richten op het doel van het scrapen. In de context van de databank met gezichtsafbeeldingen houdt dit in dat de tool zich niet focust op één individu of een gespecificeerde groep individuen.[5]

Als een scrapingtool de opdracht krijgt om alleen afbeeldingen of video's te verzamelen waarop gezichten van specifieke personen of een vooraf bepaalde groep personen te zien zijn, dan wordt het scrapen gericht, bijvoorbeeld om een specifieke crimineel op te sporen of een groep slachtoffers te identificeren. Dergelijk scrapen valt niet onder het verbod.

Het gericht verzamelen van beelden die gericht zijn op een categorie slachtoffers, door middel van crawlers die beelden van slachtoffers oppikken die mensenhandelaars op sociale mediakanalen plaatsen/adverteren, valt bijvoorbeeld ook niet onder het verbod. Niet-gerichte scraping moet echter zo worden geïnterpreteerd dat het verbod niet kan worden omzeild. Het stap voor stap scrapen van het internet of van camerabeelden voor het aanleggen van een databank, waarbij telkens specifieke groepen personen of andere criteria worden geselecteerd, valt wel onder het verbod, wanneer het eindresultaat functioneel hetzelfde is als het vanaf het begin nastreven van niet-gerichte scraping.

Het is dus niet de bedoeling om het verbod op die manier te omzeilen.

Het is van belang dat u zo snel mogelijk vaststelt dat zich binnen uw organisatie geen verboden AI-praktijken voordoen. Is daar wel sprake van, dan kan dit worden beboet met forse geldboetes die kunnen oplopen tot 35 miljoen euro of 7 % van de totale omzet. Het feit dat op dit moment nog geen aangewezen toezichthouder voor de verboden AI-praktijken is, betekent niet dat er nog niets tegen kan worden gedaan. De verboden zijn immers rechtstreeks van toepassing sinds 2 februari 2025 en een overtreding van de AI Act betreft dan ook een onrechtmatige daad. Burgers of ondernemingen die daardoor schade leiden, kunnen aldus op dit moment al een procedure starten.

Kortom, het voldoen aan de AI Act vraagt om een gestructureerde aanpak binnen uw organisatie. Wij helpen u graag door AI-systemen binnen uw organisatie in kaart te brengen, te classificeren en de reeds bestaande verplichtingen met u uit te voeren. Dit doen wij samen met een externe partner en dit doen wij in drie stappen: een kennissessie, een AI-scan en vervolgens de implementatie.

Heeft uw organisatie hulp nodig bij het uitvoeren van deze stappen, dan biedt het Holla AI-team aldus de AI-scan voor naleving van de AI Act aan. Heeft u hierover vragen? Neem dan contact met ons op, wij helpen u graag verder. Houd onze website in de gaten voor de andere artikelen uit onze blogreeks.