Clearview AI krijgt van AP 30,5 miljoen euro boete vanwege illegale fotodatabase

Het gezichtsherkenningsbedrijf Clearview AI heeft een boete van 30,5 miljoen euro gekregen van de Nederlandse Autoriteit Persoonsgegevens. Het bedrijf overtrad de AVG op meerdere punten, zegt de AP. Clearview krijgt verder ook vier voorwaardelijke boetes.

De Autoriteit Persoonsgegevens begon in januari 2023 een onderzoek nadat twee Nederlanders een klacht indienden over het bedrijf. Zij zouden een inzageverzoek hebben gedaan om te weten te komen wat Clearview van hen wist, maar daar kwam geen antwoord op. Ook voegde de AP een tip van iemand aan het onderzoek toe die stelde dat meerdere van diens foto's in Clearviews database stonden.

Clearview AI is een omstreden bedrijf dat miljarden foto's van allerlei gebruikers van internet scrapet. Volgens de AP gaat het om meer dan dertig miljard foto's, afkomstig van sociale media, websites, nieuwsartikelen en Amerikaanse openbare bronnen met veroordeelden. Daarmee bouwt het een database op waarop gezichtsherkenningstechnologie kan worden toegepast, waar het vervolgens toegang toe verkoopt aan politie- en opsporingsdiensten, met name buiten de Europese Unie. Het bedrijf kreeg in Europa al eerdere AVG-boetes en moest in Frankrijk foto's van verdachten uit de database halen, op last van een nieuwe boete.

De Autoriteit Persoonsgegevens is streng over de praktijken van het bedrijf, die niet lijken te zijn verbeterd. Dat begint er al bij dat het bedrijf biometrische analyses doet en daarmee bijzondere persoonsgegevens verzamelt. Onder de AVG zijn dat gegevens die extra goed beschermd moeten worden en waarvoor strenge voorwaarden gelden voor wanneer een bedrijf die mag verzamelen. Clearview verzamelt niet alleen gezichtsfoto's, maar laat daar ook een algoritme op los en dat maakt dat de persoonsgegevens in dit geval bijzonder zijn.

AVG niet van toepassing

Clearview zelf zegt dat het zich niet hoeft te houden aan de AVG en dat het daarom geen vertegenwoordiger hoefde te hebben in de Europese Economische Ruimte. Burgers die moeite hadden met het bedrijf, moesten dat volgens Clearview aangeven bij hun nationale privacytoezichthouder. Maar het bedrijf heeft verder ook geen vragen van de Nederlandse toezichthouder beantwoord, omdat het dat niet nodig vond. De AP zegt echter dat de AVG wel degelijk van toepassing is, omdat Clearview ook gegevens van Nederlanders verwerkt. Dat weet de AP vanwege de klacht van de Nederlander. "Op basis van de probe image die de betrokkene heeft aangeleverd, zijn drie afbeeldingen gevonden die afkomstig zijn van verschillende websites met een .nl-domeinextensie", schrijft de toezichthouder in het boetebesluit.

Een belangrijke uitkomst van het onderzoek is dat het wederom uitkomst geeft op de vraag wat bedrijven met publiek beschikbare gegevens moeten doen. Clearview beroept zich erop dat het alleen foto's verzamelt die al openbaar op internet staan, maar daar gaat de AP niet in mee. Dat is niet voor het eerst; de AP concludeerde eerder dit jaar al dat bedrijven het internet vrijwel nooit mogen scrapen, laat staan dat het de verzamelde data vervolgens verder inzet. Dat is overigens geen compleet nieuwe conclusie. Die kwam in Nederland in 2021 ook al toen bleek dat de NCTV openbare data van burgers verzamelde, terwijl juristen al concludeerden dat dat niet mocht.

Niet transparant en geen inzage

Clearview overtrad volgens de AP op meerdere manieren de AVG. Niet alleen had het bedrijf geen vertegenwoordiger in Europa, het had ook geen goede grondslag om die gegevens te verwerken. Daarmee had het bedrijf ook onvoldoende 'transparantieverplichting', waaronder gebruikers recht op inzage moeten krijgen. En daar volgt weer uit dat Clearview niet goed inging op twee inzageverzoeken. Op die manier overtrad Clear de AVG op zes punten, namelijk artikel 5, 9, 12, 15 en 27 van de privacywet.

De AP zegt dat een boete 'niet alleen gepast, maar ook geboden' is. Voor het slecht faciliteren van het inzagerecht en het niet ingaan op het inzagerecht van de twee klagers krijgt het bedrijf slechts één boete, omdat die met elkaar verbonden zijn. Daarnaast krijgt het bedrijf voor de drie andere feiten ook aparte boetes.

Bij het bepalen van de hoogte van de boete merkt de AP op dat het bedrijf de onrechtmatige verwerking als verdienmodel had gemaakt. "Clearview verwerkt niet incidenteel, maar stelselmatig en op grote schaal verschillende soorten persoonsgegevens voor gezichtsherkenningsdoeleinden", zegt de AP. Ook het feit dat de verwerking al in januari 2019 begon 'en nog steeds voortduurt' vindt de AP erg. "Dit betreft een aanzienlijke periode. Dat Clearview de overtredingen nog niet heeft beëindigd, acht de AP ernstig."

Maximumboete

Vanwege die ernst en de duur van de overtreding trekt de AP een opvallende conclusie: het gaat uit van de hoogst mogelijke boete die onder de AVG kan worden gegeven. De AVG maakt het mogelijk een boete van maximaal vier procent van de jaaromzet of twintig miljoen euro op te leggen en voor het eerst kiest de AP voor dat laatste. De AP kon niet gaan voor het percentage van de omzet, omdat Clearview niet meewerkte aan het onderzoek en daarom onbekend is wat de omzet van het bedrijf is.

De twintig miljoen euro boete legt de AP op voor het onterecht verwerken van de gegevens. Maar daarnaast ziet de AP het gebrek aan inzagerecht en het feit dat de twee klagers geen inzage kregen als aparte overtreding. Daarvoor krijgt Clearview ook nog eens 10,5 miljoen euro boete. Daarmee loopt het totale boetebedrag op tot 30,5 miljoen euro.

Daarnaast krijgt Clearview nog meerdere voorwaardelijke boetes, zogenoemde lasten onder dwangsom. Dat komt omdat het bedrijf nog steeds doorgaat met het verzamelen van gegevens en nog steeds geen inzagerecht biedt. "Clearview dient deze overtredingen alsnog zo spoedig mogelijk te beëindigen", schrijft de toezichthouder. Voor iedere maand dat het dat niet doet, krijgt het nieuwe boetes. Die variëren in hoogtes en termijnen, maar lopen op tot samen maximaal 5,1 miljoen euro.