Indivd tog plats på scenen för dataskydd

Den snabba teknologiska utvecklingen har under senare tid lyft frågan om hotet mot den personliga integriteten och friheten. För att diskutera detta har Forum för Dataskydd under flera år arrangerat Nordic Privacy Arena.

I år hölls detta evenemang på Münchenbryggeriet i Stockholm den 23 september i vilket bland annat digitaliseringsminister Anders Ygeman och ärkebiskop Antje Jackelén deltog som talare. Till den avslutade paneldiskussionen på måndagen var även Fredrik Hammargården, medgrundare till startupbolaget Indivd, inbjuden.

Panelen konstaterade att utvecklingen i Kina är skrämmande och inte alls önskvärd. Det finns en hunger från alla att i dagens snabba digitaliseringsutveckling få tillgång till så mycket data som möjligt. Men vad händer när vi har en regering som inte bryr sig så mycket om mänskliga rätter. Det som händer i Kina kan mycket väl komma att hända även i Europa. Panelen konstaterade därför enhälligt att den var bekymrad över utvecklingen och inte närde några glada tankar alls om användningen av biometriska data, som exempelvis fingeravtryck och ansiktsigenkänning.

”Vad betyder detta för nästa generation om vi idag normaliserar dessa teknologier. Det kommer att påverka våra framtida mänskliga rättigheter. Riskerna är stora. Ur demokratisk synvinkel är det därför viktigt att vi redan idag reglerar detta.”

Lång utvecklingsresa

Mot denna bakgrund var förstås nyfikenheten stor, liksom även skepsisen, gentemot Indivds tekniska lösning med anonymiserad ansiktsigenkänning.

På en direkt fråga om tekniken svarade Fredrik Hammargården:

”Vi startade vår resa genom att fundera över integritetsfrågorna redan för fem år sedan efter ett möte med en butikskedja, som uttalade behov av att kunna analysera kundernas beteenden och samtidigt kände farhågor kring användning av ansiktsigenkänning i sina butiker. Vi började då fundera över vilken typ av teknologi, som vi istället skulle, borde och legalt kunde använda. Vår AI-guru Leonard Johard arbetade då i två år med att utveckla en alternativ lösning, som vi har valt att kalla för anonymiserad ansiktsigenkänning.”

Laglig teknik

Den omedelbara frågan från panelen var hur detta över huvud taget är möjligt. Begreppet anonymiserad ansiktsigenkänning känns som en anomali, vilket är en vetenskaplig term för ett faktum som strider mot ett paradigm, det vill säga en allmän teori eller världsuppfattning.

”Den metodik vi använder är att vi via ansiktsigenkänning samlar in data från kamera till en server, där personuppgifterna omedelbart anonymiseras inom loppet av 1-2 millisekunder. Efter detta är det inte längre persondata, som vi skickar vidare för att använda för analys. Det vi samlar in och hanterar är egentligen populationsdata, där enskilda personer är omöjliga att återidentifiera. Vi återidentifierar alltså populationer – inte individer. Däremot kan vi genom den populationsdata vi samlar in skapa kännedom om hur människor rent generellt beter sig och vilka val de gör i butiken.”

Fredrik Hammargården fortsatte:

”Vår teknik anses vara laglig enligt GDPR och helt annorlunda jämfört med traditionell ansiktsigenkänning. Vi har inte gjort den juridiska utvärderingen själva. Vi har genomgått en massiv juridisk process med hjälp av GDPR-specialister och advokater och verkligen ansträngt oss för att göra allt ’by the book’. Problemet vi ser är att många bolag försöker att ta den lättaste vägen. Vi har istället valt bevisa att det finns andra vägar att gå. Vi och butikerna vi samarbetar med vill inte alls lagra några personuppgifter. Därför har vi utvecklat nya vägar för att skapa värden för kunderna.”

DI vill veta mer

Datainspektionen förklarade att de gärna välkomnar nya integritetsvänliga idéer och teknologier men att GDPR ställer höga krav på när och hur biometrisk data får användas. ”Jag kan inte idag innan vi sett Indivds produkt närmare analysera tekniken, men kan konstatera att det är osannolikt att den skulle kunna kallas anonymiserad i GDPR:s mening. I nuläget förstår jag helt enkelt inte hur det skulle kunna vara möjligt att använda ansiktsigenkänningsteknik som inte identifierar en person i något skede, särskilt eftersom lagen gäller för alla former av behandlingar – inte bara lagring – av biometriska data. Jag vill gärna veta mer och jag tycker det är bra att ni redan har använt jurister och datasäkerhetsexperter för att vid sidan av utvecklingen utvärdera tekniken”, avslutade Frida Orring, juridisk rådgivare på Datainspektionen.