AP gaat vragen stellen over reclameschermen met camera’s op stations

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en nullen”?

Exterion is een bedrijf dat buitenreclame met van die zuilen aanbiedt. Recent viel het mensen op dat daar cameralenzen in prijken, waardoor de gedachte ontstond dat mensen worden gefilmd terwijl ze bijvoorbeeld over het perron lopen. Dat is juridisch een tikje dubieus, zeker omdat er niet gewaarschuwd wordt.

Volgens Exterion is er niets aan de hand:

Het gaat hier om camera’s die geen beeld vastleggen, maar door middel van software in een fractie van een seconde kunnen bepalen of er een persoon langs het scherm loopt. Er worden nooit beelden vastgelegd en er bestaat geen database of iets dergelijks waarin beelden worden opgeslagen.

Uit het Tweakersbericht haal ik dat de software alleen generieke uitvoer geeft: een jonge vrouw keek 12 seconden en focuste daarbij 7 seconden op de tekstballon rechtsboven, bijvoorbeeld. Dergelijke uitvoer lijken mij geen persoonsgegevens, omdat dit een te algemene omschrijving is om tot iemand te herleiden.

De AP wil echter nader onderzoek, want om die uitvoer te maken ligt het voor de hand dat je een foto of videobeeld maakt op hoge resolutie, om zo ogen te herkennen en het gezicht als man/vrouw en jong/oud te classificeren. En ook als die foto maar een seconde in het systeem zit, dan nog is sprake van een verwerking van persoonsgegevens. Dat wil niet zeggen dat het dan niet mag, maar je zult dan aan regels moeten voldoen zoals het informeren van mensen dát deze verwerking plaatsvindt.

Heeft iemand meer informatie over hoe die camera, pardon sensor komt tot zijn uitvoer?

Arnoud

36 reacties

  1. Ik stel toch voor dat we in een vlaag van burgerlijke ongehoorzaamheid massaal stickers gaan plakken over die lenzen. Het verwijderen van al die stickers zal zo kostbaar blijken dat ze vanzelf ophouden met deze flauwekul… (oftewel, dit moeten we toch niet willen met z’n allen)

      1. Dan komen we er gelijk achter of die camera’s écht alleen maar geanonimiseerde gegevens doorsturen, of dat de beelden van die camera’s zelf gebruikt kunnen worden om de dader te achterhalen.

        Overigens, beveiligingscamera’s hangen er al zat op stations.

    1. Nu vraag ik me toch af, wat is zo bezwaarlijk aan deze praktijk? Volgens mij is het een reactie die een combinatie is van de afkeer tegen reclame en het gevoel van “Help, ik word gefilmd!”.

      Nu heb ik zelf ook een hekel aan reclame, maar tegelijkertijd is het een vrij normale manier om wat geld te verdienen. Het is natuurlijk vervelend dat marketing-experts zich verdiepen in hoe ze mensen hun psyche kunnen uitbuiten om ze tot een koop te verleiden, maar dat ligt niet echt aan banden. Er zijn wel wat wetjes tegen sluikreclame en van die logo’s die één frame in beeld flitsen, maar dat is het dan ook. Reclamezuilen op een station vind ik zelf ook een relatief laag invasieve manier van reclame (hoewel een reclame op een TV scherm wel meer aandacht trekt dan een poster op een lichtbak).

      Bovendien worden we vaak al gelogd met reclame op het internet. Vaak wordt geld uitbetaald gebaseerd op het aantal clicks op een advertentie en volgens mij worden er ook dingen bijgehouden over welke gebruikers er wel en niet klikken.

      Het lijkt er ook erg op dat de camera’s, zelfs als ze beelden opslaan, dit slechts tijdelijk doen om dingen als intentie, beweging en tijd te bepalen, maar komen de gegevens als uit een soort black box er volledig anoniem uitrollen. Het kan zijn dat als iemand zo’n ding stuk slaat dat de laatste beelden er nog uit te halen zijn, maar meer niet.

      Het enige wat wellicht wat onhandig is, is dat ze niet een stickertje hebben waarop staat dat ze filmen om statistieken bij te houden voor het bevorderen van hun product. Hierdoor wordt de schijn gewekt dat ze iets stiekems doen, en is het misschien zelfs niet volgens de regels. Ik denk overigens dat dit tijdelijke opslaan, zelfs als het niet mag, in feite niet echt tegen de bedoeling van de wet is. Het lijkt er namelijk erg op dat het geenszins de bedoeling is, noch ooit zal zijn, om die beelden uit te lezen. Ze lijken echt alleen te zijn om de statistieken in te vullen.

      Kortom, het lijkt me dat er op zich niet zoveel mis is met deze praktijk.

      1. quote Ze lijken echt alleen te zijn om de statistieken in te vullen. Kortom, het lijkt me dat er op zich niet zoveel mis is met deze praktijk. \quote

        Je weet toch dat lijken dooien zijn? Zo zonde van je hele verhaal om het zelf zo weer in twijfel te trekken.

        Jij vind het normale manier een vrij normale manier om wat geld te verdienen. Ok en waar ligt volgens jou dan de grens, want dat geef je niet aan. Want de smart TV in je huis doet dat namelijk ook. En ook als jij het zomaar leuk vind om sex te hebben op je tv-kijk bank.

    1. Automatische schuifdeuren bevatten geen camera maar een infrarood sensor. Dat ding kan bepalen of er “iets” is, en bij een betere sensor eventueel nog de grootte van het object. Maar onderscheid tussen een kind en een hond kan het ding al niet maken, laat staan tussen man en vrouw, leeftijd, etc.

  2. Er worden nooit beelden vastgelegd en er bestaat geen database of iets dergelijks waarin beelden worden opgeslagen.
    Ja, dat kennen we. De gegevens van ANPR camera’s boven de snelweg worden ook direct weggegooid als er geen hit is eh voor zeven dagen bewaard eh 3 maanden bewaard nooit meer verwijderd. En ook deze borden bieden een geweldige kans voor function creep. Geen hond gaat elke dag controleren of de voorwaarden van exterion nog hetzelfde zijn als de dag ervoor.

  3. “2) “verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;”

    “4) “profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen; “

    “5) “pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld; “

    Volgens mij gebeurt dat alle drie. De data wordt tijdelijk in geheugen opgeslagen, geprofileerd en gepseudoniseerd(?) en dan vernietigd (neem ik aan). Als heel ver wilt gaan dan is het aanzetten van de camera al voldoende. In de sensor wordt, hoe tijdelijk ook, een foto van iemand opgeslagen in de chip voordat het naar het geheugen wordt verplaatst. Vastleggen = Verwerken.

  4. Wat mij betreft wordt je privacy al geschonden op het moment dat er een camera op je wordt gericht waarvan je niet kunt zien of ‘ie aan of uit staat, en waarvan je niet kunt zien wat er met eventuele camerabeelden gebeurt. In de praktijk is dit bij alle camera’s zo, dus alleen al zonder toestemming een camera op iemand richten moet al niet kunnen.

  5. Ik heb vorig jaar de oplossing van Quividi getest. Ik weet niet of Exterion dit ook gebruikt, maar het kan hetzelfde. Eenvoudig te installeren op een PC met USB webcam en het werkt erg goed. De resolutie van de webcam en de CPU kracht van de PC bepalen de afstand tot waar het werkt. Als je een foto voor de webcam houdt werkt het ook en het systeem dacht zelfs een persoon te herkennen op een abstract schilderij aan de muur (waar dus geen mens te zien was).

    Het door mij geteste systeem sloeg inderdaad geen beelden op, al waren ze wel real-time te bekijken via de bijgeleverde webbased management tool die op een lokale webserver op de PC draait. Dat was o.a. nodig om de camera te kalibreren en om bijvoorbeeld zones aan te maken waar het systeem niet moet “kijken”.

    De gegevens over de kijkers (geslacht, leeftijd, bril, snor, gezichtsuitdrukking, dwell time) zijn via een API (via de lokale webserver op de PC) real-time uit te lezen. Tevens is er een module waarmee de gegevens periodiek geupload kunnen worden naar een centrale server (onder beheer van Quividi als ik me niet vergis) waarmee dan rapporten met geaggregeerde gegevens kunnen worden gegenereerd over kijkers en kijkgedrag.

    Interessant in deze discussie vind ik de vraag: “Wanneer is een reeks bytes van een camera of andere sensor een beeld?” Een camera zet licht om in bitjes, als die bitjes een algoritme doorgestuurd worden is dat dan een verwerking van persoonsgegevens? Is de sensor op het toilet die detecteert dan er een persoon binnenkomt en de lamp aan doet dan ook een verwerking van persoonsgegevens?

    1. Ik kan me vergissen, maar volgens mij is dat vrij goed gedefinieerd. Op het moment dat de informatie tot een individu te herleiden is, is het een persoonsgegeven. De data die de sensor op het toilet gebruikt, kun je niet gebruiken om Arnoud van Wim te onderscheiden. Het beeld van deze webcam waarschijnlijk wel.

      1. Precies. De vraag is dus of er op enig moment informatie in het apparaat is die uniek is voor een persoon. Als het apparaat bijvoorbeeld voorin een CCD heeft net zoals een gewone camera, en daarna in postprocessing het beeld omvormt tot een schaduw plus kenmerken, dan worden er persoonsgegevens verwerkt. Die infraroodsensor van de deuropener hierboven heeft nooit dergelijke informatie, dus die verwerkt geen persoonsgegevens.

        1. Als dat de definitie is, dan zal er inderdaad sprake zijn van een verwerking van persoonsgegevens, net zoals elke camera voor elk doel dat dan doet. Nu heeft de NS al wel bordjes hangen met dat er cameratoezicht is, is dat voldoende of moeten ze expliciet vermelden op aparte bordjes dat er ook camera’s worden gebruikt voor dit doel?

  6. Wellicht wordt alleen opgeslagen dat op 5 september 2017 van 10:23 t/m 11:59 (!) een licht getinte man van middelbare leeftijd vooral zat te staren naar de schaars geklede Friese vrouw in het bovenhoekje van de reclame op perron 5, en wellicht is ook niet direct te achterhalen wie dat was. I.c.m. andere systemen zoals ov-chipkaart, camera’s op het station, telefoon-, GPS-, wifi-tracking, etc) is dat ineens wel mogelijk.

    Het lijkt me niet nodig dat zulke data in verkeerde handen valt (en vraag me af wat de slechtste handen zijn: criminelen, de Russen of de Marketeers). Daarom prettig als de AP hier goed naar kijkt en ook checkt op een goede beveiliging.

    P.S. Ik probeer mijn kijkgedrag hier niet op aan te passen, maar voel me toch een beetje bespied…

  7. Ik vind dit geen goed idee, maar op zich gebeurt het elders ook al: als je op een advertentie op internet klikt van bijv. Google AdSense, dan weet Google ook wie er op klikte d.m.v. het IP-adres. Eigenlijk is dit min of meer hetzelfde. Niet dat ik het goed praat, nogmaals: ik vind het geen goed idee. Zelfs al worden er geen persoonsgegevens vastgelegd, dan nog: als dit mag, dan legt het de basis voor ditzelfde systeem maar dan mét persoonsgegevens in de toekomst. En dat moeten we dus niet willen.

  8. Elk opzettelijk filmen of fotograferen van personen met een aangebrachte camera in de openbare ruimte is verboden, tenzij dit vooraf duidelijk is aangekondigd (art. 441b Wetboek van Strafrecht: maximaal twee maanden cel).

    Dus er moet een bordje komen: “Deze reclamezuil filmt u voor uw en onze veiligheid.”

    B. PERSOONSGEGEVENS

    Artikel 12 lid 1 Bij het verzamelen van persoonsgegevens van een kind moet al het mogelijke worden gedaan om het kind en/of zijn ouder te informeren over de doeleinden waarvoor die gegevens worden verwerkt. Wanneer gebruik wordt gemaakt van commercieel op het kind gericht materiaal of wanneer op een andere manier bewust gegevens van een kind worden verzameld, moet de hiervoor bedoelde informatie duidelijk, gemakkelijk toegankelijk en begrijpelijk voor een kind zijn.

    lid 2 Indien ingevolge de wet voor een bepaalde soort verwerking van persoonsgegevens van een minderjarige/jeugdige jonger dan 16 jaar toestemming moet worden gegeven, moet een ouder/verzorger die toestemming geven.

    Indien zuilreclame wordt aangepast aan kinderen, hoe gaat de zuil ooit toestemming vragen aan de ouders/verzorgers?

    Er worden nooit beelden vastgelegd en er bestaat geen database of iets dergelijks waarin beelden worden opgeslagen.

    Er worden echter geaggregeerde data opgeslagen. Er is geen garantie dat deze data niet tot personen is te herleiden. Als geslacht, leeftijd, emotie, zichtveld, en tijdstip wordt opgeslagen, en ik loop telkens stipt 8 uur s’ochtends met een rothumeur en gezicht naar de grond langs 3 zuilen naar mijn werk, dan is deze data wel degelijk te herleiden naar een persoon.

    Meer realistisch/gangbaar is dat niet binair (man/vrouw) maar een vector wordt opgeslagen [0.0-1.0]. Dit maakt herleidbaarheid alleen maar groter: als je als man een vrouwelijker gezicht hebt dan is je vector steevast [0.45], heb je ongeschoren hoekige kop dan is je vector steevast [0.02]. State-of-the-art gezichtsherkenning (99%+ accuraatheid) slaat ook geen beelden op, maar een 128-dimensionale vector [1]. Heb je die vector en een foto van iemand, dan kun je met zeer grote zekerheid zeggen dat de foto en de vector van dezelfde persoon zijn. Elk punt in de vector kan dan staan voor: leeftijd, baardgroei, emotie, gender, ras, kledingstijl, loopsnelheid, acne, haarstijl, en personen geregistreerd op deze manier zullen telkens een soortgelijke vector toegewezen krijgen.

    De nadruk op “beelden” die niet opgeslagen worden, duwt mij in de richting van unieke “vectoren” die wel opgeslagen worden. Hieruit zal men dan statistieken genereren en individuele reclames optimaliseren voor de doelgroep. Wat men daarna met deze vectoren doet, geen idee, maar geen bedrijf zal deze weggooien als dit niet wettelijk verplicht is.

    [1] https://arxiv.org/abs/1503.03832

    1. Daarnaast: Uit geboortedatum, postcode, en geslacht kunnen ongeveer 87% van alle Social Security Nummers uniek bepaald worden. Social Security Nummer is zeker persoonsgevoelige informatie, maar geboortedatum, postcode, en geslacht is dat vaak niet. De anonieme data uit de Netflix Prize was te herleiden tot personen. De anonieme zoekopdracht data van Altavista was te herleiden tot personen. Onderzoekers aan Universiteit Leuven konden 95% van 1.5 miljoen personen uniek herleiden met meta-data (maximaal 4 lage-resolutie locatie-metingen). Wiskundig aan te tonen dat, gemiddeld genomen, 0 mensen in Brazilie dezelfde postcode en geboortedatum delen.

      https://en.wikipedia.org/wiki/De-anonymization

      1. Mijn oplossing is rigoreus en cyberpunk. Intelligente tracking zal alleen maar toenemen, dit zijn slechts kinderpassen. Mijn oplossing is een opt-out systeem voor mensen die niet geprofileerd willen worden. Opt-out gaat door middel van een algemene QR code die zichtbaar gedragen dient te worden. Commerciele track systemen dienen data van personen met deze QR code niet op talgemen en elke verwerking te stoppen zodra ze de QR code hebben gespot.

        Een beetje zoals een robots.txt doet voor zoekmachines, maar dan voor mensen die regels stellen aan marketingmachines.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.