De politie gebruikt foto's van meer dan 1,3 miljoen personen voor gezichtsherkenning, maar heeft geen idee welke mensen terecht in de gezichtendatabase staan. Zo is dus ook niet bekend bij wie dat niet langer het geval is, bijvoorbeeld na een vrijspraak. Dat blijkt uit onderzoek van NU.nl. Deskundigen betwijfelen of gezichtsherkenning bij de politie daardoor nog geoorloofd is.

Exacte berekeningen zijn lastig, maar de politie erkent in gesprek met NU.nl dat er stevige twijfel bestaat of tienduizenden mensen terecht in de gezichtendatabase staan.

De politie gebruikt het systeem, dat CATCH heet, sinds eind 2016 om mensen op te sporen die op beeld een strafbaar feit plegen, zoals geld opnemen met een gestolen pinpas. De CATCH-software kan beelden van bijvoorbeeld een beveiligingscamera achteraf vergelijken met de gezichtsfoto's in de database. Als dat een match oplevert, weet de politie mogelijk - want het oordeel is nooit waterdicht - wie de stelende pinner was.

De gezichtsfoto's in de CATCH-database komen voor een groot deel uit een andere databank met verdachten en veroordeelden. Het ministerie van Justitie en Veiligheid beheert dit persoonsregister om het strafrechtproces binnen de overheid te stroomlijnen. De wet die dat regelt is sinds 2010 van kracht.

Mensen komen in die databank terecht als ze verdacht worden van bepaalde relatief zware strafbare feiten. De gezichtsfoto's moeten verwijderd worden zodra iemand niet langer verdachte is. Voorwaarden zijn wel dat die persoon niet eerder veroordeeld is en dat er niet nog een andere zaak tegen diegene loopt.

In de eerste negen jaar sinds 2010 kwamen tienduizenden mensen in aanmerking voor een verwijderbeoordeling. Zo sprak de rechter 71.000 mensen vrij en trof het Openbaar Ministerie (OM) een schikking met 106.000 mensen die beschuldigd werden van feiten waarbij de politie verplicht een gezichtsfoto moet nemen.

De Justitiële Informatiedienst (Justid, onderdeel van het ministerie) moet vervolgens beoordelen of deze personen aan de voorwaarden voldoen om hun gezichtsfoto's uit het persoonsregister te halen. Als na een vrijspraak nog hoger beroep volgt, is dat zolang de zaak loopt, overigens nog niet aan de orde. Het is onduidelijk hoe vaak dat bij die 71.000 personen voorkwam.

Het aantal zaken dat Justid wel beoordeelde, is echter een stuk lager dan het aantal personen dat daarvoor in aanmerking kwam. In dezelfde negen jaar behandelde de dienst bijna 16.200 verwijderverzoeken. Daarvan werd 92,8 procent goedgekeurd.

Aantal verwijderverzoeken bij Justid (1 oktober 2010 - 1 januari 2020):

  • Afkomstig van de politie: 16.049 (waarvan 14.914 goedgekeurd)
  • Afkomstig van het OM: 44 (waarvan 37 goedgekeurd)
  • Afkomstig van advocaat: 45 (waarvan 37 goedgekeurd)
  • Afkomstig van burger: 29 (waarvan 21 goedgekeurd)
  • Afkomstig van andere opsporingsinstantie: 17 (waarvan 10 goedgekeurd)

Politie wist dat mensen onterecht in CATCH zouden belanden

Dat het opschonen van de justitiedatabank niet goed gaat, erkende demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) al in 2019.

Toen de politie drie jaar eerder met gezichtsherkenning begon, was intern al bekend dat daardoor waarschijnlijk mensen onterecht in de CATCH-database zouden belanden. Dat zegt John Riemen, hoofd van het Centrum voor Biometrie van de politie, de beheerder van CATCH, in gesprek met NU.nl.

Het is onzeker of gezichtsfoto's na goedkeuring door Justid niet alleen uit het persoonsregister van het ministerie, maar ook uit CATCH zijn verwijderd. De politie zegt "zo snel als mogelijk" te handelen na een verwijderverzoek van Justid, maar houdt daar geen statistieken over bij.

De cijfers die NU.nl opvroeg bij de politie, het ministerie van Justitie en Veiligheid, het OM en de Raad voor de rechtspraak geven voor het eerst inzicht in de omvang van het probleem.

'Gezichtsherkenning raakt aan de menselijke integriteit'

"Ik word hier totaal niet gerust van", reageert Joris van Hoboken, onderzoeker informatierecht aan de Universiteit van Amsterdam en hoogleraar aan de Vrije Universiteit Brussel.

Hij wijst op de gevoeligheid van gezichtsherkenning. "Het is met dit soort technieken alsof de politie een soort nummer op je voorhoofd brandmerkt. Een biometrische scan van je gezicht raakt aan de menselijke integriteit. Je kunt je gezicht niet zomaar veranderen."

"De politie werkt altijd met gevoelige gegevens. Dat is logisch, dat doen ze in het belang van de opsporing. Maar als je in zo'n database belandt en je blijkt onschuldig, heb je het recht om verwijderd te worden. Alle alarmbellen zouden moeten afgaan als blijkt dat mensen hierin blijven hangen."

Riemen zegt dat het Centrum voor Biometrie de CATCH-database als beheerder "bijna onmogelijk" op orde kan houden. De politie heeft altijd al gesteld dat de regels van bewaartermijnen complex zijn, zegt hij. Ook heeft de politie geen zicht op hoe een zaak tegen een verdachte afloopt zodra het onderzoek wordt overgedragen aan het OM.

Uiteindelijk is de politie afhankelijk van verwijderverzoeken van Justid, aldus Riemen. "Het liefst heb ik natuurlijk een volledig schone database", zegt hij. "Als wij opdracht krijgen tot vernietiging, is er geen discussie."

Het kunnen bijhouden en controleren van de gegevens is echter een voorwaarde voor de rechtmatigheid van CATCH, reageert Van Hoboken.

Politie liet privacyrisico's niet onderzoeken

De politie heeft in 2016 ook geen formeel onderzoek naar de privacyrisico's van CATCH uitgevoerd, zegt Riemen. Daardoor staat de rechtmatigheid van het systeem verder onder druk. Op dit moment is dat volgens de toezichthouder, de Autoriteit Persoonsgegevens, in dit soort situaties namelijk verplicht. Eigenlijk moet zo'n onderzoek vóóraf plaatsvinden.

"Hoe groter de database, hoe groter de kans dat er dingen mis kunnen gaan", vervolgt Van Hoboken. "Bijvoorbeeld dat de politie een verkeerde match maakt en 's ochtends je deur intrapt. Dat je wordt verdacht van dingen die je niet gedaan hebt. Dat maakt het heel ingrijpend."

De situatie roept volgens de onderzoeker de vraag op of CATCH legaal is. "De overheid moet wel een legitieme reden hebben om op grote schaal dit soort gevoelige gegevens op te slaan. Het moet niet andersom zijn. Dan kom je in een controlestaat terecht."

Aanvullende reactie van de politie en het ministerie

In een aanvullende reactie wijst de politie erop dat de verplichting om privacyrisico's in kaart te brengen pas in 2019 is ingevoerd, ruim twee jaar nadat CATCH in gebruik is genomen. Voor een systeem dat CATCH moet gaan opvolgen is zo'n privacyonderzoek wel uitgevoerd.

Daarnaast voert de politie op dit moment een onderzoek uit naar 'weesgevallen', biometrische gegevens waar geen lopende zaak bij gevonden kan worden.

Een betere informatie-uitwisseling tussen de systemen van Justid, de politie en het OM moet het probleem structureel oplossen, laten de politie en het ministerie van Justitie en Veiligheid verder weten.

Ook zegt het ministerie dat er een "grootschalige handmatige beoordeling" gaat plaatsvinden van gegevens die mogelijk onterecht in de database staan.

Omdat de huidige regels volgens het ministerie te complex en onduidelijk zijn, wordt er ook gewerkt aan een nieuwe wet die beter moet aansluiten op de praktijk.

Het OM had geen aanvullend commentaar.