Aurich Lawson | Mars | Getty-afbeeldingen
De Canadese Universiteit van Waterloo streeft ernaar slimme M&M-automaten van de campus te verwijderen nadat verontwaardigde studenten ontdekten dat de machines in het geheim gezichtsherkenningsgegevens verzamelden zonder hun toestemming.
Het schandaal begon toen een student die de alias SquidKid47 gebruikte een afbeelding op Reddit plaatste met een foutmelding op de campus, “Invenda.Vending.FacialRecognitionApp.exe”, die werd weergegeven nadat een machine er niet in was geslaagd een gezichtsherkenningstoepassing uit te voeren waarvan niemand had verwacht dat deze deel zou uitmaken van de app. proces van het gebruik van de machine.
“Hé, waarom hebben die stomme M&M-machines dan gezichtsherkenning?” SquidKid47 dacht na.
Een bericht op Reddit leidde tot een onderzoek door een vierdejaars student genaamd River Stanley, die schreef voor een universiteitspublicatie genaamd MathNEWS.
Stanley sloeg alarm nadat hij de verkoopbrochures van Invenda had geraadpleegd waarin werd beloofd dat “de machines een geschatte leeftijd en geslacht kunnen doorgeven” van iedereen die de machines zonder enige toestemming heeft gebruikt.
Dit frustreerde Stanley, die onthulde dat de Canadese privacycommissaris jaren geleden onderzoek deed naar een winkelcentrumexploitant genaamd Cadillac Fairview, nadat hij ontdekte dat sommige informatiekiosken in het winkelcentrum in het geheim ‘gezichtsherkenningssoftware gebruikten voor nietsvermoedende klanten’.
Alleen al vanwege dat officiële onderzoek kwamen de Canadezen erachter dat “meer dan 5 miljoen Canadezen zonder toestemming” in de Cadillac Fairview-database waren gescand, meldde Stanley. Toen Cadillac Fairview uiteindelijk gedwongen werd zijn hele database te verwijderen, schreef Stanley dat de gevolgen voor het zonder toestemming verzamelen van even gevoelige gezichtsherkenningsgegevens voor Invenda-klanten als Mars onduidelijk blijven.
Stanley’s rapport eindigde met een oproep aan studenten om te eisen dat de universiteit ‘gezichtsherkenningsmachines uitsluit van de campus’.
Woordvoerster Rebecca Elming van de Universiteit van Waterloo reageerde uiteindelijk en bevestigde tegenover CTV News dat de school had gevraagd om de software van de automaten uit te schakelen totdat de automaten waren verwijderd.
Studenten vertelden CTV News dat hun vertrouwen in het bestuur van de universiteit geschokt is door de controverse. Sommige studenten beweerden op Reddit dat ze probeerden de camera’s van de automaten af te dekken terwijl ze wachtten tot de school reageerde, met behulp van kauwgom of post-it-briefjes. Eén student vroeg zich af of er “andere plekken zijn waar deze technologie gebruikt zou kunnen worden” op de campus.
Elming kon geen exact tijdsbestek bevestigen voor wanneer de machines zouden worden verwijderd, behalve dat hij Ars vertelde dat dit “zo snel mogelijk” zou gebeuren. Ze vertelde Ars dat ze “niet op de hoogte was van soortgelijke technologie die op de campus wordt gebruikt.” En voor alle informele snackers op de campus die zich afvragen wanneer studenten de automaten zullen vervangen door snackautomaten die niet zijn uitgerust met bewakingscamera’s, bevestigde Elming dat “het plan is om ze te vervangen.”
Invenda beweert dat de machines AVG-compatibel zijn
Een MathNEWS-onderzoek vond antwoorden van de bedrijven die verantwoordelijk zijn voor de slimme automaten op de campus van de Universiteit van Waterloo.
Adaria Vending Services vertelde MathNEWS dat “het belangrijkste om te begrijpen is dat de machines geen foto’s of afbeeldingen maken of opslaan, en dat een individuele persoon niet kan worden geïdentificeerd met behulp van de technologie in de machines. De technologie werkt als een bewegingssensor die detecteert gezichten, zodat de machine weet wanneer de winkelinterface moet worden geactiveerd; er worden nooit afbeeldingen van klanten vastgelegd of opgeslagen.”
Volgens Adaria en Invenda hoeven studenten zich geen zorgen te maken over gegevensprivacy, omdat de machines “volledig voldoen” aan de strengste wetgeving ter wereld op het gebied van gegevensprivacy, de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
“Deze machines voldoen volledig aan de AVG en worden op veel locaties in Noord-Amerika gebruikt”, zei Adaria in een verklaring. “Bij de Universiteit van Waterloo beheert Adaria de last mile-fulfilmentdiensten: wij zorgen voor het aanvullen en de logistiek voor de snackautomaten. Adaria verzamelt geen gegevens over haar gebruikers en heeft geen toegang om de gebruikers van deze M&M-automaten te identificeren.”
Onder de AVG worden gezichtsopnamegegevens beschouwd als een van de meest gevoelige gegevens die kunnen worden verzameld, en voor het verzamelen ervan is meestal uitdrukkelijke toestemming vereist. Het is dus onduidelijk hoe machines aan die hoge lat kunnen voldoen op basis van de ervaringen van Canadese studenten.
Volgens een persbericht van Invenda is M&M-snoepjesmaker Mars een belangrijk onderdeel geweest van Invenda’s expansie naar Noord-Amerika. Pas na het afsluiten van een financieringsronde van $7 miljoen, inclusief deals met Mars en andere grote klanten zoals Coca-Cola, heeft Invenda een expansieve mondiale groei kunnen stimuleren die de gegevensverzameling en monitoringmogelijkheden van zijn slimme automaten enorm lijkt uit te breiden.
“Deze financieringsronde demonstreert het vertrouwen onder Invenda’s kerninvesteerders in de bedrijfscultuur van Invenda, met haar toewijding aan transparantie en haar drang om de mondiale groei uit te breiden”, aldus Invenda’s persbericht.
Maar studenten van de Universiteit van Waterloo, zoals Stanley, zetten nu vraagtekens bij Invenda’s “toewijding aan transparantie” op de Noord-Amerikaanse markten, vooral omdat het bedrijf openlijk de Canadese privacywetgeving lijkt te schenden, vertelde Stanley aan CTV News.
Terwijl sommige studenten op Reddit grapten dat SquidKid47’s gezicht de machine ‘crashte’, vroegen anderen of ‘er nog rechtenstudenten een class action-rechtszaak willen aanspannen?’ Eén commentator vatte de frustratie van de leerling samen door geheel in hoofdletters te typen: “IK HAAT DEZE MACHINES! IK HAAT DEZE MACHINES! IK HAAT DEZE MACHINES!”