Om prosjektet

Hva er Doorkeeper sin tjeneste?

En hovedårsak til at Doorkeeper ble valgt ut som deltager i sandkassen var at de vil benytte intelligent videoanalyse («Intelligent Video Analytics») for å tilby mer personvernvennlig kameraovervåking på markedet. Intelligent videoanalyse er teknologi som automatisk analyserer innhold fra overvåkingskameraer.

For å oppnå bedre personvern, skal Doorkeeper bruke kunstig intelligens og maskinlæring for å sladde identifiserende opplysninger i videostrømmen. Dette inkluderer ansikter, kropper, registreringsnumre, tekst og logoer. De skal også konfigurere løsningen slik at det ikke gjøres løpende videoopptak så lenge ingen forhåndsdefinerte hendelser skjer. Det vil gjøres en kortsiktig lagring i kamerahuset, men denne vil slettes fortløpende og vil normalt ikke være tilgjengelig for operatøren.

Intelligent videoanalyse kan innstilles på mange forskjellige måter for å tilpasse overvåkingen til formålet. I sandkassen har vi begrenset våre diskusjoner til å i hovedsak handle om tre funksjoner i løsningen:

• Sladding av identifiserende opplysninger fra videostrøm i sanntid
• Registrering og varsling om brann- og røykutvikling
• Registrering og varsling om kriminelle handlinger

Doorkeeper ønsker å være en totalleverandør. Det vil si at de vil tilby alle deler av løsningen; kameraer, nettverk, overvåkingsplattform, konfigurasjon, vaktsentral og operatører. Formålet med dette er blant annet å sikre at tjenesten benyttes på en måte som ivaretar personvernet og sikkerheten til de det gjøres opptak av.

Hvordan fungerer løsningen?

Under beskriver vi hvordan Doorkeeper sin løsning for intelligent videoanalyse fungerer. Beskrivelsen legger grunnlaget for de juridiske vurderingene som kommer senere i rapporten.

Ved utarbeidelsen av rapporten var løsningen fortsatt i utviklingsfasen. Derfor kan beskrivelsen under skille seg fra den endelige løsningen.

En trinnvis forklaring av løsningen

Løsningen består av flere komponenter: overvåkingskameraer, et grensesnitt for intelligent videoanalyse og en overvåkingsplattform («Video management system» - VMS). Overvåkingsplattformen henter videostrøm fra kameraet og gir operatøren et brukergrensesnitt å forholde seg til. Operatøren som følger med på videostrømmen, gjør dette via plattformen.

Doorkeeper har to alternative utforminger for oppsettet av løsningen. Den viktigste forskjellen mellom oppsettene, er hvor analysen foregår:

1. Den ene utformingen omfatter bruk av Doorkeeper sine egenutviklede kameraer. Disse kameraene har en innebygd prosesseringsenhet – som er spesiallaget for bruk til kunstig intelligens. Denne gjør at kameraet kan analysere og prosessere videostrømmen i sanntid. Resultatet er blant annet at ansikter og menneskeformer kan sladdes lokalt i kameraet, og minimerer overføring av personopplysninger fra kameraet og til plattformen.
   
   • Det lagres en logg både lokalt i kamerahuset og i plattformen. I loggen står det når hendelser oppdages, når sladdingen fjernes, og hvem som har logget seg på systemet.
2. Den andre utformingen omfatter bruk av kameraer som ikke er levert av Doorkeeper. Dette kan være aktuelt for virksomheter som allerede har montert kameraer fra andre leverandører. For slike løsninger vil den intelligente videoanalysen gjennomføres på plattformen. Det betyr at videostrømmen som sendes fra kameraet og til plattformen vil inneholde en usladdet og «rå» videostrøm.
   
   • Ettersom Doorkeeper ikke kan styre eventuell logging av aktivitet i tredjepartskameraer, vil loggingen kun foregå på plattformen.

Etter at kunden har valgt utforming (1 eller 2), konfigureres overvåkingen. Vi begrenser oss til de alternativene vi har diskutert i sandkasseprosjektet:

1. Først må virksomheten konfigurere sladdefunksjonen. De kan velge å sladde:
   • Ansikt (løsningen vil identifisere ansikter i videostrømmen som vil sladdes)
   • Mennesker (løsningen vil identifisere menneskeformer i videostrømmen som vil sladdes i sin helhet)
   • Registreringsnumre for biler (løsningen vil identifisere bilskilt som vil sladdes)
   • Skrift (alle bevegelige flater med skrift vil bli identifisert og sladdet)
2. Deretter må virksomheten konfigurere hvilke hendelser som løsningen skal detektere. Dette kan inkludere:
   • Ild og røyk
   • Om noen krysser en definert «linje» (om et menneske går et uønsket sted – for eksempel i et togspor)
   • Objekter (om det er potensielt farlige objekter – som våpen, propantanker eller bensinkanner – på videostrømmen)

Når grensesnittet oppdager en av de forhåndsdefinerte hendelsene, utløses det et signal som fjerner sladdingen. Deretter starter det et opptak og overføring med permanent lagring på plattformen. Samtidig blir det utsendt en alarm til operatøren.

Hvis operatøren tror at en hendelse har oppstått og som løsningen ikke har identifisert, kan sladdingen deaktiveres manuelt. I slike tilfeller må operatøren oppgi årsak til at sladdingen skal fjernes, tidsrommet den skal fjernes for, og sin egen bruker-ID. Dette gjelder både ved sladding i kamerahuset og på plattformen.

For at hendelser og mennesker skal gjenkjennes i videostrømmen, må algoritmen trenes. Doorkeeper gjør dette ved å mate algoritmen med bilder fra kommersielt tilgjengelige databaser. Deretter blir handlingsmønstre og analyser definert. I samme prosess foretar Doorkeeper manuelle justeringer av treningsparameterne for at algoritmen skal gi mer riktige resultater. Doorkeeper trener ikke algoritmen sin med opptak – eller annen type informasjon – hentet fra sine kameraer.

For begge løsninger vil Doorkeeper mellomlagre («cache») de siste minuttene med video, slik at eventuelle opptak med permanent lagring også inkluderer minuttene før en hendelse har oppstått. Mellomlageret slettes fortløpende og operatøren har ikke adgang til dette. Lengden av mellomlagringen vil vurderes ut ifra det konkrete brukstilfellet, men skal alltid være så kort som mulig. Opptak kan ikke slettes manuelt av operatøren, men vil lagres i en definert tidsperiode.

Doorkeeper sikter på å kommunisere tydelig om bruken og tilstedeværelsen av deres kameraer. De planlegger blant annet å ha en rød front på kamerahusene som er lett synlige, og skilting som informerer om bruken av «intelligent overvåking».

Sikkerheten i løsningen

For å sikre kommunikasjonen mellom kameraene og plattformen vil Doorkeeper blant annet kryptere videostrømmen og benytte egne nettverk ved overføring. Doorkeeper vil også ha noe kontroll over hvordan løsningen konfigureres, for å bedre sørge for at den benyttes på en personvernvennlig og sikker måte. Vi kommer tilbake til dette i kapittelet om sikkerhetsutfordringer senere i rapporten.

I installeringen og bruken av deres tjenester, setter Doorkeeper en rekke krav til kunden. Blant annet må kunden benytte seg av installatør med ekomnettautorisasjon (se Nasjonal kommunikasjonsmyndighet sin nettside). Videre må systemet settes opp etter Doorkeepers spesifikasjoner.

En åpenbar svakhet ved bruk av sladdealgoritmer er at operatøren som styrer kameraene kan vilkårlig skru av eller endre sladdenivå- og kriterier, eller aktivere opptaksfunksjon selv når det ikke har vært en hendelse. Doorkeeper har derfor vurdert å begrense kundenes tilgang og gjøre det nødvendig å ta kontakt med en vaktsentral for å gjøre endringer.

Hvilke opplysninger registrerer løsningen?

Det er ingen tvil om at Doorkeeper behandler personopplysninger, selv om flere identifiserende opplysninger blir sladdet i videostrømmen.

Ved bruk av utforming A sladdes videostrømmen direkte i kameraet før den sendes videre til plattformen. Det vil si at mange av de identifiserende opplysningene kun behandles i kameraet i en normalsituasjon – altså når en hendelse ikke er detektert. Det lagres også usladdet opptak midlertidig i kameraet («cache»). Dette slettes etter et gitt tidsintervall, for eksempel fem minutter.

Doorkeeper har iverksatt tiltak som gjør at operatørene ikke får direkte tilgang til opptaket som lagres i kameraet. Operatørene får derfor kun tilgang til den sladdede videostrømmen. Når kameraet detekterer en forhåndsdefinert hendelse, fjernes sladdingen fra videostrømmen og det settes i gang opptak som overføres til plattformen.

Opptaket som gjøres etter at en hendelse er detektert, inkluderer minuttene med usladdet opptak som er lagret i kameraet. Slik kan operatøren se hva som har skjedd i minuttene før hendelsen oppstod.

Ved bruk av utforming B vil løsningen behandle samme opplysninger som ved utforming A. Forskjellen er at sladdingen foregår på plattformen. Dette betyr at usladdet videostrøm må overføres mellom kamera og plattform. Tilgangen for operatøren vil likevel være den samme som ved utforming A.

Når en sladdet strøm er tilgjengelig, kan det ikke utelukkes at videostrømmen likevel kan knyttes til enkeltpersoner. For eksempel, hvis kameraet fanger opp en person som er relativt høy, og som passerer samme sted til omtrent samme tid hver dag. Videre vil personer også kunne være identifiserbare basert på kontekster (hvor de er til hvilken tid), hvis opplysninger brukes i kombinasjon med andre kilder (for eksempel annen kameraovervåking uten sladding eller der hvor det samles inn andre type opplysninger som kan kobles til fysiske personer – for eksempel der det registreres logger).

Det kan også være mulig å avlede personopplysninger fra tekst eller logoer som vises i et bilde – for eksempel der hvor firmanavn eller firmalogo på et kjøretøy kan kobles direkte til en fysisk person – såfremt dette ikke er sladdet.