Een lezer vroeg me:
Een grote, bekende winkel heeft camera’s boven de balies hangen. Hierop zijn de pinpads van de pinapparaten haarscherp zichtbaar. Er wordt geen gebruik gemaakt van privacy masking, waardoor het kinderspel is om pincodes van klanten op de beelden te bekijken. Mijn vraag is: mag een winkel de pincodes van klanten filmen?Op het eerste gezicht lijkt me dit een foutje. Men wil de balies filmen zodat bijvoorbeeld winkeldieven en onrustmakers op beeld vastliggen. Daartoe is een camera opgehangen op een gunstige plek, en niemand heeft daarbij gedacht aan de zichtbaarheid van de pinpads.
Een dergelijke fout is in dit geval een AVG issue, namelijk artikel 32 dat adequate beveiliging van persoonsgegevens vergt, en meer algemeen van artikel 24 dat eist dat je passende technische en organisatorische maatregelen neemt om naleving van de AVG te borgen. Voor mij zou het dus voor de hand liggen om een mask in te stellen bij de camerabeheersoftware, zodat precies de pinpads niet meer herkenbaar vastgelegd worden.
Je zou als winkel de afweging anders in kunnen steken, uitgaande van de aanname dat de beelden veilig opgeslagen staan en alleen bekeken worden als sprake is van een incident. Daarbij kijkt men op tijdcode bepaalde beelden terug, dus dat Wim ’s ochtends om half tien 1-2-3-4 typte zal niemand zien als we om drie uur kijken hoe Hans zich misdroeg.
Blijft over het risico van datalekken, hier dus het laten stelen van de beeldopnames. Als je de beelden automatisch wist na zeg een dag dan is dat risico redelijk beperkt, en wellicht is een opstelling mogelijk waarbij toegang tot de beelden via het netwerk onmogelijk is. (Ik realiseer me dat veel camerasystemen netwerktoegang eisen.)
Je maakt dan de afweging dat het restrisico acceptabel is, met de bijkomstige aanname dat mensen gewend zijn hun pincode af te schermen bij het typen, zodat de kans dát er een pincode in beeld komt heel klein is. Tel daarbij op dat een eventuele beelddief óók nog de pinpas van de gefilmde te pakken zou moeten krijgen, en ik zou snappen dat je dit een verwaarloosbaar risico vindt.
Arnoud
Ik vind het idee dat je je pincode toch wel afschermt geen goede. Ja; dat doe ik in de richting van andere mensen die ik kan zien, cq, waar ik ze misschien zou kunnen verwachten. Ik verwacht niet dat er iemand vanuit het plafond naar beneden kijkt, dus in die richting scherm ik niets af.
Ik zou het daarom toch wel netjes vinden om simpelweg het stukje waar de pinpad zichtbaar is af te schermen; dat voorkomt elk overbodig risico met een simpele handeling.
Ik zou de enige juiste oplossing het op een andere plek ophangen van de camera vinden, waarbij de pinapparaten niet gefilmd wordt als er iemand voor staat maar je bij diegene bijvoorbeeld op de rug kijkt. Je kan als klant namelijk nooit weten of er softwarematig wel of geen zaken afgeschermd worden, of dat ook bij live view gebeurt en of iemand van buitenaf geen onrechtmatige toegang tot de feed kan krijgen. Het enige wat je ziet is de camera die de apparaten filmt, en je moet een willekeurige medewerker dan maar op zijn of haar blauwe ogen geloven dat het wel allemaal veilig is.
Is ‘je kan als klant nooit weten…’ wel een valabel argument?
Je kunt als klant, of als individu in het algemeen, nooit weten of iemand je niet filmt, en wat zhij daar dan precies mee doet. Dat is juist waarom we de AVG hebben: Omdat je het als individu (meestal) niet kunt weten en dus geen actie kunt nemen, is er wetgeving die zegt dat het alleen onder bepaalde voorwaarden mag.
Toen ik dit snel las dacht ik vooral aan de pin automaten waar je geld uit kan halen.
Rommelen met het pin automaat vind ik dan juist relevant om op camera te.krijgen (iemand mag niet stiekem iets aanbtengen wat kaarten zou kunnen kopiëren
Ook met ruggen filmen. Je wilt wel zorgen dat je de juiste dingen wel in beeld krijgt. (De camera die alleen je rug filmt en niet het mes waarmee je iemand bedreigt heeft misschien ook niet de juiste locatie)
Nog een reden om zoveel mogelijk contactloos te betalen..
Ook het personeel zelf koopt wel eens wat in de winkel. Daar is ‘gericht’ afkijken eenvoudig. En de pas in handen krijgen ook. Des te meer als de camerabeelden inzichtelijk zijn vanuit de winkel zelf – wat niet anders kan als er geen netwerktoegang is.
Los van de AVG (en NIS2, afhankelijk van de winkel), staat er in contracten met de payment providers of de leveranciers van de kassasystemen niets over zorgvuldig omgaan met gegevens rond het betaalproces?
Oprechte vraag:
Mijn gezicht is al een persoonsgegeven, evenals het feit dat ik op dat tijdstip op die plek was. Waarom wordt specifiek die pincode eruit gelicht in de context van de AVG ?
Ik begrijp dat het opnemen van pincodes onwenselijk is maar is privacywetgeving wel het juiste argument? En zo nee, welke wetgeving dan wel?
Ik licht de pincode eruit omdat daar specifieke risico’s aan kleven. Weten dat jij op moment X in de supermarkt was, is slechts zeer zelden informatie waar je wat mee kan. Jouw pincode weten is iets riskanter – al moet men dan ook je pas te pakken hebben.
@Arnoud, @Richard: ik heb een vraag uitstaan bij een bekende winkel over de zogenoemde confrontatiecamera’s. Zag mezelf terug frontaal en groot met m’n kop op een scherm met een knipperend ‘Recording in progress …’ ook op het scherm afgbeeld. Wat vinden jullie een geschikt juridisch aanknopingspunt? Pm
Wat is je vraag? Zulke beelden zijn wijd en zijd verbreid, ik vond het altijd een mooie manier om te laten zien dat je gefilmd wordt en de schade die je als persoon lijdt zie ik niet zo.
Arnoud: a. geen indicatie dat (mijn) gezicht zou worden gefilmd; Recording in progress … waarom?; b. geen keuzemogelijkheid om naar een kassa met kassièr(e) te gaan waar gezichten niet worden gefilmd en er geen recording in progress … is. Vraag1: welk winkelbelang prevaleert boven een dergelijk impactvolle inbreuk op mijn privacy en mogelijk andere grondrechten? Vraag2: Wat wordt er met de beelden gedaan? Ongewis. Vraag3: Op welke basis wordt Pietjes gezicht bij kassa1 gefilmd en Klaasjes gezicht bij kassa2 niet? Nog veel meer vragen, dit is een reactierubriek, geen adviesrubriek. Dank je, trouwens!
Dat belang is toch eenvoudigweg het beveiligen van hun winkel, medewerkers en producten? Dit is gewoon een onderdeel van de security camera’s, waarbij het confrontatiescherm je laat zien dat je in beeld bent. Volgens mij is de belangenafweging tussen jouw privacy en hun beveiliging een uitgemaakte zaak, het is zó ingeburgerd dat je in winkels wordt gefilmd.
Vraag bij de kassa of servicedesk naar het privacybeleid, dit moet er zijn. (Bij mijn Albert Heijn waren ze vorige week op, maar dat kan gebeuren.)
Arnoud, ik wil niet argumentatief zijn. Wat heeft beveiliging met mijn gezicht te maken? Wat heeft het opslaan van een opname van mijn gezicht met het beveiligen tegen winkeldiefstal te maken? (Gezichten filmen gebeurt niet bij kassa’s met kassières waar winkeldiefstal nog steeds kan plaatsvinden.) Hoe kan ik er zeker van zijn dat er geen sprake is van profilering-gestuurde opname van het gezicht van Pietje en niet dat van Klaasje? Hoe weet ik dat de opname niet met andere winkelketens (al dan niet met intermediaire dienstverleners) wordt gedeeld? nergens in de winkel een aankondiging te zien dat bij de zelfscankassa’s gezichten worden gefilmd (heb het in de winkel gevraagd). fragen, fragen … Wellicht moeten wij het op (agree to disagree) houden. Pm
Ik heb ‘altijd’ moeite met 99% van de mensen onderwerpen aan iets ongewenst/onaangenaam om de kans dat 1% een fout maakt te verlagen naar 0.5%.
In dit voorbeeld:
Waarom automatisch IEDEREEN opnemen? Je kunt best wel filteren op locaties (plekken in de winkel waar vaak gestolen wordt, plekken waar dure spullen liggen, kassa’s waar je kunt ‘vergeten’ iets af te rekenen).
Waarom AUTOMATISCH iedereen opnemen? Je kunt best wel camera’s hebben met een beveiligingsmedewerker die alles bekijkt.
Waarom automatisch iedereen OPNEMEN? Je kunt best wel klanten laten merken dat ze in de gaten gehouden worden door de beelden live te tonen maar niet (automatisch) te registreren. Je kunt zelfs ‘recording’ tonen zonder dat dat klopt om ze extra angst aan te jagen.
Waarom die beelden tonen aan Jan en Alleman?
Waarom niet de winkelspullen beveiligen op een andere manier? (Kledingwinkels hebben vaak tags, maar dan hebben ze niemand bij de poortjes staan…. tja, dan is het eigen schuld dikke bult. Dan pak je alleen de mensen waarbij de kassamedewerker een tag niet verwijderd heeft en die dan onschuldig een alarm laten afgaan en zich onterecht schamen en weer terug moeten naar de kassa, terwijl de echte dief gewoon doorwandelt)
Waarom niet de lay-out van de winkel zodanig maken dat stelen ontmoedigd wordt (iedereen moet langs de kassa of door een doorgang met een medewerker).
Het is een gemaksoplossing, dat filmen. Zijn er statistieken over hoeveel het uitmaakt voor criminaliteit of je een camera hebt of niet? En statistieken over hoeveel het de winkel kost in omzet als die al zijn klanten bij voorbaar al bejegent als potentiele crimineel?
Als die er niet zijn KAN de winkel niet eens een belangenafweging maken.
Sorry, het is te gemakkelijk om te zeggen: belangenafweging tussen privacy en beveiliging is een uitgemaakte zaak. En al helemaal als dat beveiliging door middel van beeldopnames is.
Het is helemaal geen uitgemaakte zaak. Worden die beelden echt verwijderd na X dagen/weken? Of komen ze onbewust in een archief of ander vergeten hoekje terecht? Hoeveel organisaties zijn en worden er wel niet gehackt?
Arnoud
Je stelligheid doet me vermoeden dat je achtergrondcijfers hebt die de belangafweging staven.
Het is niet omdat iets “ingeburgerd” is, dat het zomaar mag. Dronken rijden is hiervan een goed voorbeeld.
Die vergelijking gaat niet op, omdat bij rijden onder invloed er een wet is gemaakt die dat specifiek verbiedt. Cameratoezicht is geregeld via een belangenafweging, en daarbij speelt de mate van maatschappelijke acceptatie zeker mee. Als “iedereen” het een geringe schending vindt, dan is dat een teken dat het getroffen belang minder zwaar moet wegen.
Ik merk nergens iets van grote maatschappelijke onvrede over cameratoezicht. Ja, hier op deze blog maar wij zijn meer dan gemiddeld gespitst op gevolgen en risico’s.
Nou, iemand die meekijkt vanuit het kantoor kan de niet-correct afgeschermde pincodes opschrijven en doorgeven welke portemonnee gerold moet worden van mensen die de winkel uitlopen. “Man met grijze jas en pet stopt portommonee in linkerkontzak – 0000” en “vrouw met gele tas en groene jas doet pasje los in de linkerjaszak 1234”. 90% van de klanten pint tegenwoordig ook voor kleine bedragen, dus je mag best maar 10 % van de transacties zien, om genoeg te kunnen buitmaken.
Die mensen worden niet boos dat iemand logt of ziet dat ze een grijze of groene jas aanhebben, dus de AVG implicaties zijn inderdaad niet zo groot. Maar een grote supermarkt heeft rustig meer dan 100 werknemers, waarvan veel jong en niet gescreend. Die mogen van de leidinggevende niet op kantoor camerabeelden kijken, maar dat gebeurt wel. Dat een jurist hier geen relevant AVG risico ziet, wil niet zeggen, dat er geen beveiligingsprobleem is, want dat is er wel degelijk.
Poe hee, dit vind ik wel een beetje gezocht. Moeten die mensen niet op de werkvloer staan? Waarom staan die beelden live op het scherm te streamen? Hoe houden ze live contact met de boefcollega’s buiten die dan de pinpas gaan stelen? Valt dit niet op, dat er in een week vijf mensen van pinpas beroofd zijn én hun rekening leeggepind krijgen en dat ze bij die supermarkt shoppen?
Vulploegertje heeft het baantje gefixed speciaal voor dit doel, want heeft van een maat gehoord, hoe in het kantoor te komen. Hij appt van zijn mobiel naar de zakkenrollers bij de voordeur, waarnaast de Geldmaat is / iemand met een mobiel pinapparaat staat. Totale actie duurt minuten, niet een week.
Of dit echt de manier is dat een crimineel dit doet weet ik niet, maar dit is waarschijnlijker dan dat een ITer een AI script gaat draaien om automotisch pincodes uit te lezen.
Zoals in mijn andere reactie: ja dit is hoe criminelen te werk gaan.
Je kan het zo gek niet verzinnen of iemand heeft het gedaan.
Mijn eerste baan was in de detailhandel en daar werden op een gegeven moment een beveiliger en een schoonmaakster gearresteerd.
Die bleken elkaar te kennen en gecoordineerd. Als deze beveiliger achter de monitors zat gaf hij aan de schoonmaakster door of ze in beeld van een camera stond of niet en of een collega in de buurt was of niet. Als alles veilig was verdween er dure electronica in de zak met wasgoed.
Vervolgens verliet de schoonmaakster het pand wanneer haar handlanger bij de uitgang de ‘random’ controle deed.
Ze vielen door de mand doordat dezelfde beveiliger steeds werkte als er gestolen werd. Daarom heeft men door een ander beveiligingsbedrijf verborgen camera’s laten plaatsen die o.a. de werkplaats van de beveiliger filmde.
En dat is maar één van circa een half dozijn van dit soort voorbeelden (kassa medewerkster die structureel goedkopere varianten aansloeg voor een vriend, vulploeg medewerker/verkoper, nog een keer een beveiliger, maar met een kassa medewerker) waar men gecoordineerd een baan zocht die ik daar in 5 jaar heb mogen mee maken. Iedereen viel overigens op dezelfde wijze door de mand: wie werkte er toen de diefstallen plaatsvonden. De criminelen gingen altijd te lang door met een plannetje.
Het scenario wat Jasper schetst komt mij dan ook totaal niet vergezocht over.
Iemand die in z’n pauzes wat pin-codes noteerd met eigenschappen lijkt mij niet onwaarschijnlijk. Maar de vraag lijkt mij vooral of als jij een geheimhoudings plicht hebt, of de supermarkt deze gegevens wel mag opslaan en delen met werknemers.
Verder speelt natuurlijk wel dat supermarkten om diefstal geven, maar als het om jouw persoonsgegevens gaat ze alleen zullen doen waar ze mee weg kunnen komen.
Een andere insteek:
Banken verplichten de gebruiker om de pin code geheim te houden. Banken leggen voorwaarden op aan winkels die pin-automaten gebruiken.
Ik zie een probleem met een camera van de winkel op het pin klavier… Kan het de gebruiker dan nog kwalijk genomen worden dat de pin code gekend is???
Los van het feit dat ik zeer grote twijfels heb dat de opnames een beetje deftig zouden beveiligd zijn. Dat vraagt een doordacht beveiligingsbeleid wat boven de capaciteit van de meeste winkels gaat en vervelende consequenties heeft. Misschien dat grote ketens het op orde zouden kunnen krijgen, maar hebben die het geld en de “last” er voor over. Het tikt fors aan.
Ik ben het oneens met de risico inschatting van Arnoud. Risico = kans x impact. De kans dat het fout gaat is weliswaar klein, maar de impact kan heel groot zijn. Het risico kan daarmee niet uitkomen op verwaarloosbaar, maar zou ik op hoog of matig zetten vanwege de potentiële impact. Dat het misschien in 1 op 10.000.000 keer tot een overboeking van € 5.000 resulteert, dan is eenmaal te vaak. De klant krijgt dan van de bank te horen dat dit een geautoriseerde betaling is en dat hij zijn pincode geheim moet houden. De apparatuur moet gewoon de pincode niet opnemen.
De technische oplossing is toch ook eenvoudig: een afdakje boven het toetsenbord, zodat het zicht op de hand die de pincode intikt ontnomen is. Vergelijkbaar met zelf je andere hand er boven houden.