Robert Dillon, een 52-jarige krabvisser uit Fort Myers, Florida, werd in augustus 2024 van zijn bed gelicht. Politieagenten arresteerden hem voor poging tot kinderlokking — een misdrijf waar hij niets mee te maken had. De enige 'getuige'? Een AI-systeem dat zijn gezicht met "93 procent zekerheid" matchte aan een korrelige bewakingsfoto. Dillon woonde 500 kilometer van de plaats delict, was er nog nooit geweest, en kenteken-scans logenstraffen de match. Toch zat hij vast.
Het verhaal van Dillon is geen uitzondering. Het is de vijftiende gedocumenteerde onterechte arrestatie op basis van gezichtsherkenning in de VS. En het patroon is griezelig consistent: agenten behandelen een AI-match als sluitend bewijs en negeren al het tegensprekende bewijsmateriaal.
Het FACES-systeem: 25 jaar zonder toezicht
Het systeem dat Dillon aanwees heet FACES — een database met tientallen miljoenen Florida-mugshots en rijbewijsfoto's, operationeel sinds 2001. Tot 2021 hadden meer dan 260 instanties toegang, inclusief de FBI. Een onderzoek uit 2016 vond nul audits op het gebruik van de database. Toen onderzoekers aan Sheriff Bob Gualtieri vroegen of er audits waren, was zijn antwoord letterlijk: "Nee, niet echt."
De fatale denkfout: agenten zien "93% match" en lezen "93% zeker dat dit de dader is". Maar FACES meet alleen hoeveel twee foto's op elkaar lijken — niet of ze dezelfde persoon tonen. Een willekeurige dubbelganger scoort net zo hoog.
En dan is er de zaak-Jalil Richardson. Ook in Florida. Ook een onterechte arrestatie op basis van AI-gezichtsherkenning. De score? 85 procent. Richardson zat bijna drie maanden vast, verloor zijn baan, zijn huis, en de voogdij over twee van zijn kinderen. De aanklacht werd vorige week pas ingetrokken.
Waarom dit jouw bedrijf raakt
Je denkt misschien: "Amerikaanse politieblunders, wat heb ik daarmee te maken?" Meer dan je denkt. Gezichtsherkenning is geen politie-speeltje meer. Het zit in:
- Toegangssystemen voor kantoorpanden
- HR-software die sollicitanten screent
- Beveiligingscamera's met 'personeelsherkenning'
- Retailsoftware die winkeldieven opspoort
Elk van deze systemen maakt dezelfde denkfout als FACES: een AI-score wordt behandeld als een vaststaand feit. En als jouw bedrijf zo'n systeem gebruikt, ben jij verantwoordelijk voor de fouten die het maakt — niet de softwareleverancier.
De juridische realiteit voor Nederlandse ondernemers
De Duitse rechter oordeelde deze week al dat Google aansprakelijk is voor foute AI-antwoorden (daar schreven we gisteren over). De lijn doortrekkend: als jouw AI-camera een onschuldige bezoeker markeert als 'verdacht' en die persoon wordt door jouw beveiliger staande gehouden, heb je een serieus juridisch probleem. De AVG geeft burgers het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming. Een AI-score die zegt "dit is een winkeldief" en vervolgens iemand staande houden — dat is exact waar de AVG voor waarschuwt.
Verrassend genoeg is er één simpele regel die álle onterechte arrestaties had kunnen voorkomen: "een AI-match is een tip, geen bewijs." De Jacksonville sheriff zei het zelf: "Als je bij mij kwam met alleen een gezichtsherkenning-match als bewijs, schopte ik je m'n kantoor uit."
Drie actiepunten voor jouw bedrijf
1. Behandel AI-uitkomsten als een startpunt, niet als waarheid
Elke AI-score — of het nu gezichtsherkenning, cv-screening, of fraudedetectie is — is een signaal om verder te onderzoeken. Nooit een besluit puur op AI-basis. Zet dit in je procedures.
2. Check je toegangs- en beveiligingssystemen op AI-besluitvorming
Gebruik je camera's met 'slimme' herkenning? HR-software die kandidaten 'ranked'? Check of er menselijke tussenstappen zijn ingebouwd. Zo niet: bouw ze in. Dit is geen IT-ding — dit is een juridisch risico.
3. Documenteer hoe je AI gebruikt
Mocht er ooit iets misgaan, dan wil je kunnen aantonen dat je AI verstandig hebt ingezet. Dat betekent: vastleggen welke systemen je gebruikt, hoe beslissingen tot stand komen, en waar menselijk toezicht zit. Niet morgen, vandaag.
De AI die Dillon de cel in stuurde was 25 jaar oud, nooit geaudit, en werd gebruikt door agenten die het verschil tussen 'gelijkenis' en 'identiteit' niet begrepen. Jouw bedrijf heeft waarschijnlijk nieuwere software. Maar de denkfout is dezelfde. En de rekening komt bij jou.