Een drone met camera moet een encrypted filesystem hebben, en wie met een dashcam gaat rijden, moet eerst in de buurt gaan flyeren dat hij rondrijdend cameratoezicht gaat toepassen. Dat maak ik op uit de nieuwe Beleidsregels Cameratoezicht die de Autoriteit Persoonsgegevens (het blijft wennen, die naam) vorige week publiceerde. Met deze regels wil de AP verduidelijken wat er wel en vooral wat er niet mag met cameratoezicht.
Cameratoezicht is een verwerking van persoonsgegevens, begint het. Ook als je alleen live kijkt. Een beeld van een persoon is een persoonsgegeven, en alles dat je daarmee doet is een verwerking. Dus ook het bekijken van dat beeld via een computersysteem. Je kunt dus – afgezien van de particulier die zijn eigen huis van binnen van camera’s voorziet – nooit meer onder de Wbp, de privacywet uit.
Daar komt dan nog even een vervelende hobbel tussendoor: eigenlijk zijn het bijzondere persoonsgegevens, en die mag je überhaupt niet verwerken behalve in een paar gevallen die bij cameratoezicht niet opgaan. Maar om “opportune redenen” besluit de AP dat camerabeelden alleen bijzondere persoonsgegevens zijn als je het doel hebt informatie over bijvoorbeeld ras of gezondheid van mensen te vergaren. (Dat “doel”-vereiste geldt overigens alleen bij dit onderdeel. Als je per ongeluk mensen in beeld brengt met je schoorsteen-inspectiedrone, dan is dat gewoon een verwerking en moet je de camera maar later aanzetten.)
Wil je camerabeelden verwerken, dan moet je daar een rechtvaardiging voor hebben onder de Wbp. Dat zal gewoonlijk het eigen dringende belang zijn, oftewel u kunt niet anders én u heeft alles gedaan om de privacy zo veel mogelijk te beschermen. Maar de AP zit er streng in: denk vooral niet te snel dat je een voldoende belangrijk belang hebt. Je kunt heel vaak ook alternatieven invoeren, en dat die een beetje duurder of voor jou ingewikkelder zijn, is minder van belang.
Beveiliging van personen of goederen is in principe een legitiem doel, maar de privacy van anderen weegt zwaar. Zorg dus dat je beleid hebt dat rechtvaardigt waarom je er zonder camera niet komt. Zijn er geen poortjes te plaatsen of tassen te doorzoeken? Moet de camera de hele werkvloer filmen of kan hij ook beperkt tot die kassa waar soms geld uit verdwijnt?
Verder heb je beveiligings- en informatieplichten. Camerabeelden kunnen ook datalekken, dus logisch dat je de opslag en het gebruik daarvan netjes moet regelen. Documenteer wat je doet, en zorg ervoor dat dat wordt nageleefd. Hier staat niets geks, het is eigenlijk al lang best practice om dit gewoon goed uit te werken en op te letten wat er gebeurt met je beelden.
Maar dat pakt wel gek uit bij drones en dashcams. Als een drone uit de lucht valt, aldus de AP, dan kan de vinder bij de beelden en dat is een datalek. Daarom moeten de beelden versleuteld opgeslagen zijn. Ja, dat vind ik een tikje gezocht.
Informeren dat je cameratoezicht hanteert, is ook een belangrijke. Een bedrijf kan dat prima: hang een bordje op en leg een kopie van dat beleid bij de receptie. Inzage is dan ook nog wel te regelen. Maar hoe doe je dat bij een drone? Nou, zo:
Te denken valt aan het plaatsen van borden aan de randen van het vlieggebied, een vooraankondiging en het verstrekken van actuele informatie op de website van de verantwoordelijke en via (sociale) media en bijvoorbeeld gemeentelijke nieuwsbrieven, het ter plekke uitdelen van informatiefolders en het zichtbaar en hoorbaar maken van de drones door middel van bijvoorbeeld felle kleuren, (knipperende) lichten en geluidssignalen.
Voor dashcams doet men niet eens een póging dit uit te werken, en ik zou ook werkelijk niet weten hoe je daaraan zou kunnen voldoen.
Afijn. Een heel nobel streven deze richtlijnen, maar het bevestigt bij mij alleen maar het beeld van die kaartenbakwet die overal op toegepast wordt. Een drone of dashcam ís geen personeelsadministratie of klantrelatiedatabank. En regels die goed passen bij die twee dingen, werken gewoon niet als je het vertaalt naar een drone. Desalniettemin, het idee van sectorspecifieke privacywetgeving gaat hem voorlopig echt niet worden. Dus voorzie die drone van knipperlichten en strooifolders, en laat een mannetje vooruit lopen als je met je dashcam gaat rijden.
Arnoud
Ze doen dus erg hun best om van privacy regels 3een soort tweede auteursrecht te maken. Zulke strenge en overdreven vergaande regels, dat niemand er ook nog maar enig respect voor heeft en het dus masaal genegeerd zal worden.
Is er dan niemand bij dit soort organisaties met gezond verstand?
“Is er dan niemand bij dit soort organisaties met gezond verstand?”
Ze hebben niet genoeg mankracht. De ontwikkelingen gaan veel te snel, we (als samenleving zijnde) lopen steeds achter in de onwikkelingen mbt privacy.
Er werk(t)en wel diverse intelligente mensen hoor. Jacob Kohnstamm en Sjoera Nas.
Ik keek net rond op de website en vond veel interessante documenten op https://autoriteitpersoonsgegevens.nl/nl/publicaties
Vaak is het zo dat een wet of richtlijn wat te ver doorschiet omdat de praktijk debiel is. Denk maar aan de standaarden van W3C versus die van Microsoft, of recent nog Safe Harbor. Dat betekent niet perse dat de wet of richtlijn het probleem is. Het kan ook betekenen dat er een grote maatschappelijke verandering nodig is.
Er is een verschil tussen bijvoorbeeld het safe harbor verhaal en dit soort regels.
Je zal niet veel mensen vinden die het allemaal normaal vinden hoe men in de VS met privacy omgaat en loopt te neuzen in onze prive data. Hoeveel mensen denk je te vinden die het normaal vinden dat je geen dashcam mag gebruiken om bij een ongeluk je eigen onschuld aan te tonen? Hoeveel mensen zullen het met je eens zijn dat de opnames van een drone vlucht privacy gevoelige persoonsgegevens zijn en het verlies van je drone een datalek?
En als mensen een wet onzinnig vinden en die wet is oook nog eens lastig te handhaven, met beperkte sancties, dan houdt men zich simpelweg niet aan de wet. Dat is voor mij de definitie van een slechte wet. Zo is ook de huidige auteurswet een slechte wet. Als miljoenen zich niet aan een wet houden heb je een keuze: of de wet deugt niet, of miljoenen mensen zijn criminelen. Ik ga voor dat eerste en dan moet je die aanpassen.
Dat is inderdaad een verschil maar ik vind het gegeven wat ‘de meeste mensen vinden’ niet een sterk argument, en ben wat dat betreft blij dat er geen directe democratie is. Wat specialisten ergens van vinden vind ik interessanter. Dus als allerlei specialisten vinden dat de maatschappij (of mijn gezondheid, of flipperen, of voetbal) beter af is wanneer we X, Y, en Z gaan doen terwijl dat tegendraads is dan neem ik dat graag voor lief. Uiteraard mits de conclusie ondersteunt wordt met feiten zodat andere specialisten het kunnen controleren. Een beetje a-la open source software dus.
Maar op zich kan ik me ook wel weer goed voorstellen dat jij wetten waar men zich massaal niet aan houdt geen goede wetten vindt. Daar is ook wat voor te zeggen. Misschien schieten sommige wetten teveel door, en moet je de samenleving stapsgewijs laten wennen aan de verandering. Dat je gaat voor een langzame verandering (evolutie vs. revolutie). Want het gegeven dat het (ogenschijnlijke) extreme doel niet gehaald kan worden betekent nog niet dat er helemaal geen verandering moet komen.
Dat lijkt me overigens ook precies hetgeen Tim Kuik de afgelopen tientallen jaren mee bezig is geweest. Kleine stapjes.
Waarom is dat een tikje gezocht? Als een politiecommissaris zijn oude pc bij het grofvuil zet met allerlei gevoelige data er nog op, is dat toch ook een datalek? Wat is daar anders aan dan dat je een drone “vindt” (nadat je hem zelf uit de lucht hebt geschoten ofzo 😉 ) en de data bekijkt?
Auto volplakken met stickers van “deze auto filmt u” ofzo? Gaat niet gebeuren, maar is een optie 😉
Overigens hoe zit het dan met die achteruit parkeer hulpjes waarvoor je tegenwoordig van die leuke camera setjes voor kunt kopen? Worden die ook nog genoemd?
Die parkeerhulp-camera’s filmen geen mensen, dus die verwerken geen persoonsgegevens.
En wat de drones betreft, het voelt wat gezocht omdat het niet de meest waarschijnlijke bron is van datalekken. Om je daar nu druk over te maken…
Hoe kom je bij de conclusie dat een parkeerhulp-camera geen mensen zou filmen, maar een dashcam wel?
Omdat die op de hoogte van de voor-/achterbumper hangt en een dashcam ter hoogte van bovenlijf/hoofd van passanten. Maar ik sta graag gecorrigeerd.
Laag geplaatste camera’s kunnen makkelijk op oog hoogte van kleine kinderen zitten, deze zijn dan volledig in beeld. link Andere camera’s zijn bijvoorbeeld bedoeld voor het opzij kijken bij het uitreiden van een oprit en zitten dus wel op een hoogte die volwassenen volledig kan zien. link En weer andere zijn gewoon zo hoog afgesteld dat ze makkelijk een volledig persoon kunnen zijn als die wat verder van de auto staat. link link
Als die volwassene op de eerste foto een meter verder van de auto zou lopen zou die ook volledig in beeld zijn, zo te zien.
Een camera op bumperhoogte kan makkelijk een persoon van top tot teen zien als die een paar meter verderop staat. Zoals op het trottoir als je aan het fileparkeren bent.
Het veel belangrijkere verschil tussen een Dashcam en een parkeerhulpcamera lijkt mij dat een Dashcam de beelden opneemt (of uitzendt), terwijl een parkeerhulpcamera de beelden enkel rechtstreeks op een scherm laat zien. Al staan er mensen op, het lijkt me dat het hier dan ook dus niet gaat om verwerking van persoonsgegevens.
Zoals gezegd in het blog van vandaag: “Cameratoezicht is een verwerking van persoonsgegevens, begint het. Ook als je alleen live kijkt. Een beeld van een persoon is een persoonsgegeven, en alles dat je daarmee doet is een verwerking. Dus ook het bekijken van dat beeld via een computersysteem.” De vergelijking tussen cameratoezicht en een parkeerhulpcamera vind ik nog niet zo ver gezocht.
Kun je nog iets met het feit dat het gaat om camera-toezicht? Veel mensen gebruiken de camera’s niet zo zeer om toezicht te houden, maar om een leuk filmpje te maken of om in geval van een incident bewijsmateriaal te hebben. Als je dat onderscheidt niet mag maken, valt een fotootje/filmpje met een traditionele camera in een historische binnenstad ook snel onder deze beleidsregels; dat kan de bedoeling toch niet zijn?
De Wbp kent het begrip ’toezicht’ niet, maar alleen het begrip ‘verwerken’ en zo ongeveer alles dat je met persoonsgegevens doet, valt eronder. Ook een losse straatfoto gemaakt door een professionele fotograaf zou er gewoon onder vallen. Uitzonderingen zijn er eigenlijk niet, behalve voor strikt privégebruik. Journalistieke foto’s of filmopnames vallen gewoon onder de Wbp en moeten zich onder de eigen dringende noodzaak rechtvaardigen (zie art. 3 Wbp dat art. 8 Wbp wél van toepassing behoudt).
Begrijp ik het goed dat straatfotografie nu verboden is op basis van de Wbp, tenzij je van iedereen in de foto (zelfs van mensen in de achtergrond) een getekende release hebt? En met straatfotografie bedoel ik het hobbymatig mooie fotis maken, deze thuis op je harde schijf bewaren en je mooiste plaatjes op je eigen website of flickr plaatsen? Iedere straatfotograaf weet hoe het zit met auteursrecht en portretrecht, maar wat doet de Wbp hiermee?
Nee, het is niet verboden. De Wbp zegt dat fotograferen van personen zonder toestemming mag mits je een eigen dringende noodzaak kunt aanwijzen én zo veel mogelijk rekening houdt met de privacy. De informatievrijheid (vrijheid van meningsuiting) is in principe een noodzaak, dus het komt neer op dat jij als fotograaf kunt zeggen “dit is gewoon normaal dat ik dit fotografeer, plus mensen zijn onherkenbaar gemaakt voor zover dat redelijkerwijs te doen is”. En dat is voor mij 90% dezelfde afweging als bij het portretrecht.
Okee, dus als ik journalistieke doeleinden heb, ook al is het persoonlijk bedoeld (bijv eigen blog), dan gaat het om zo accuraat de werkelijkheid weergeven, dus heb je met de Wbp te maken. Maar als ik als straatfotograaf een kunstenaar ben (creatief, subjectief, eigen interpretatie van werkelijkheid, esthetische waarde toevoegen), valt dit dus onder vrijheid van meningsuiting. Ik geef immers via een foto mijn mening/interpretatie over iets wat ik op straat zie. De creatieve meningsuiting is in dit geval dus mijn noodzaak. Is dit hoe ik het moet zien en indien nodig uit moet leggen? Is het verstandig om dit op mijn website te vermelden? Ben ik evengoed verplicht om me bij de autoriteit te melden als verwerker van persoonsgegevens, ook al doe ik dit uit noodzaak?
Nog even als toelichting op mijn vragen… De Wbp vindt zijn basis vrij direct in de grondwet (recht op privacy en regulering van vastlegging van persoonsgegevens). Vrijheid van meningsuiting is ook een grondrecht. Het gaat dus m.i. om de clash tussen beide. Meestal is dit van belang bij portretrecht maar nu dus des te meer ook de Wbp.
Het komt zeer zelden voor dat mensen op grond van de Wbp ageren tegen journalistiek, of dat nu straat of wat anders is. Uit het Kleintje Muurkrant-arrest (2011) blijkt dat er geen aparte Wbp-afweging meer nodig is als je in die context al tot de conclusie komt dat sprake was van zorgvuldige journalistiek. Ik kan niets vinden waarin de Wbp tegen een (straat-)foto werd ingezet, je ziet de Wbp eerder terugkomen bij zaken als smoelenboeken bij bedrijven. Ik vermoed dat dit is omdat de Wbp traditioneel tegen administraties, dossiers en personeelszaken wordt ingezet en men bij de pers eerder gewend is aan het portretrecht.
Leuke scherpe blog weer. Het versterkt mijn overtuiging dat de WBP minder het verzamelen van data zou moeten reguleren, maar meer de opslag en verwerking ervan. En daarbij letten op doelgebondenheid en toestemming vragen als je koppelt of acties onderneemt met de data.
Dus als ik mijn auto inparkeer (achteruitrijcamera) dan verwerk ik ineens persoonsgegevens? En als ik met zo’n xbox camera voor mijn tv sta te springen en dat ding filmt het ook raam, dan verwerk ik ook ineens persoonsgegevens? Of als ik mijn telefoon zonder pincode verlies, dan is dat een datalek? Zijn er al iPhone hoesjes die rond de cameralens de tekst hebben staan ‘U wordt gefilmd’?
Kom op zeg, we gaan wel heel erg ver op deze manier. Dit kan alleen maar resulteren in een praktijk waar niemand de wet volgt, en vervolgens allerlei organisaties met verouderde businessmodellen gaan klagen over het feit dat ze omzet verliezen en de consument die deze wet schendt daarvan de schuldige is.
Leuk deze regels. Hoe gaan ze nu bijvoorbeeld de bewakingscamera in een pinautomaat verdedigen? Deze moet iemand recht in het gezicht kunnen zijn om geen last te hebben van capuchon en zo. Hierdoor filmen ze op het moment iedereen die over straat loopt / rijd. Zo hoor je vaak genoeg verhalen van een overval die ergens geweest is en dat ze beelden hebben van een pinautomaat van de overkant van de straat. Er zijn genoeg alternatieven om personen te identificeren die gebruik maken van gestolen pasjes. Zo kan je een nisje in het gebouw maken waar de pinautomaat zijwaarts in zit, hierdoor kijkt de camera op een muur in plaats van over de gehele straat.
Live camera’s bij stad centra en andere locaties mogen dan nu ook niet meer. bijvoorbeeld strand camera’s
En is een van de doelen van camera toezicht niet juist het kunnen zien van sommige bijzondere persoonsgegevens? Het is namelijk wel heel handig als je bijvoorbeeld het ras weet van de winkeldief die je zoekt.
Wat te denken van bouwcams bij grote (infrastructurele) projecten? Bijvoorbeeld het live volgen van de bouw van een viaduct of brug? Deze worden vaak beheerd door commerciele bedrijven buiten de invloed van de overheid. Deze zijn niet alleen voor beveiliging want ze zijn vaak via mooie websites live te zien. Soms zelfs te beinvloeden door het draaien van de camera. En hier worden ook regelmatig persoonsgegevens vastgelegd zonder dat dit via borden (vooraf) aangekondigd wordt. Deze camera’s zijn in principe dan net zo erg als drones en dashcams. Wat is het belang daar, in het kader van Wbp? Ps. Als altijd weer een uitstekend artikel.
Ik heb het stuk als techneut gelezen i.v.m. een vernieuwende camera ’toezicht’ toepassing. Wat mij opviel:
De uitzondering op Informatieplicht: “Indien de Wbp van toepassing is op het cameratoezicht, bestaat er een uitzondering op de informatieplicht. De informatieplicht geldt niet als het informeren van de betrokkenen onmogelijk blijkt of een onevenredige inspanning kost (artikel 34, lid 4, Wbp). Dit kan echter wel invloed hebben op de vraag of het cameratoezicht door middel van drones proportioneel is.” Dus indien niet disproportioneel, mag ik ‘filmen’ met de drones (dashcams?) zonder vooraf te informeren? Dat zou de weg naar veel nieuwe toepassingen openen. En is conform de huidige praktijk bij dsahcams en ander auto camera’s.
“Indien een dashcam personen in andere auto’s herkenbaar filmt is de Wbp van toepassing.” Waarom dit bijzondere geval? (Zegt natuurlijk niets over andere herkenningen)
-Voorbeeld toegestaan particulier gebruik dashcam “Dashcams worden vaak gebruikt bij verkeersongelukken. De dashcam kan met het beeldmateriaal van het verkeersongeluk zorgen voor het bewijs voor de verzekering. De gegevensverwerking van het beeldmateriaal van de dashcam kan noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang van de bestuurder (verantwoordelijke van de dashcam) om als bewijs te gebruiken voor zijn verzekering om zijn schade te declareren. Op basis van artikel 8 sub f Wbp kan het gerechtvaardigde belang hiervoor een grondslag bieden.” Blijkt hieruit dat het uiteindelijke doel beslissend is? Dus niet of de theorie van het wel of niet verwerken van persoonsgegevens van toepssing is? Lijkt mij een zeer gezond principe en eigenlijk een toestemming om dashcams toepassingen in te zetten voor rechtvaardige doelen.
Ik denk dat je dan wel door kunt blijven gaan met camera’s veranderen! tegenwoordig zijn er o-ver-al camera’s! Ik durf te wedden dat er op de hoek van jouw straat een camera hangt die inbraken in de gaten houd! Wat hierboven ook al werd gezegd, pinautomaten dan? Die filmen ook continu.
Ik denk alleen maar dat dit goed is. Zolang de regels redelijk blijven en ze de techniek niet gaan tegenhouden. Nederland moet voorop lopen in dit soort ontwikkelingen!