200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere misstanden.

Voor de duidelijkheid: Camera in Beeld is géén centrale toegang tot private beveiligingscamera’s. Het is een database met waar camera’s hangen, welk deel van de straat wordt opgenomen en wie de beheerder is. Zo kan de politie zoeken naar beelden van een misdrijf (zoals een vluchtende verdachte) en direct de juiste persoon benaderen met een vordering tot afgifte. Want ja, de politie moet die beelden opeisen en kan niet zomaar snuffelen of vrijwillig vragen beelden aan te leveren.

Juridisch lijkt me dit prima in orde. De kern zit hem in dat vorderen. Dat is een wettelijk recht van de politie, het enige nieuwe van Camera in Beeld is dat men makkelijk en snel weet bij wie de vordering moet worden neergelegd. Met deze route kunnen er ook geen discussies ontstaan of de camera-eigenaar dit wel had moeten doen of niet; bij een vordering moet het gewoon, klaar.

Het gaat vrijwel altijd om beelden van de openbare weg. (Natuurlijk kan men ook beelden van privéterrein zoeken hiermee, maar dan gaat het om misdrijven gepleegd op dat terrein en dan is de eigenaar vaak zelf aanwezig om de camera aan te wijzen en de beelden op vordering te verstrekken.) Daar kun je vraagtekens bij stellen vanuit privacyoogpunt, maar ook illegale beelden zijn bewijs wanneer burgers ze hebben gemaakt. De AVG of het portretrecht staat niet in de weg aan gebruik van camerabeelden voor opsporing en vervolging van strafbare feiten.

In het verleden waren er nog wel geluiden vanuit de AP dat filmen van de openbare weg met je beveiligingscamera niet zou mogen. Zowel de politie als de AP bevestigen nu dat de regels overigens niet zó streng zijn dat cameratoezicht op de openbare weg nooit mag. De AP zegt nu:

De AVG is wél van toepassing als u delen van de openbare ruimte filmt voor beveiliging. Bijvoorbeeld als u een camera in uw tuin heeft om uw woning te beveiligen en deze camera ook de openbare weg filmt die aan de tuin grenst. U mag alleen dát deel van de openbare weg filmen dat noodzakelijk is om uw woning te beveiligen.

Die noodzaak zul je overigens vooraf moeten bedenken en motiveren (op papier zetten dus), je kunt niet volstaan met “dat kwam handig zo uit” of “de installateur zei dat de camera hier moest”. Je zou kunnen denken aan kwesties als de auto ook willen bewaken, omdat er in jouw buurt nog wel eens auto’s bekrast worden, of kunnen vastleggen wie er jouw oprit op draait zodat je nummerbord en bestuurder kunt vastleggen. Maar wie bang is voor diefstal in de achtertuin, heeft denk ik een lastiger argument waarom de stoep vóór ook gefilmd moet worden.

Arnoud

Mag Taylor Swift met gezichtsherkenning mensen weren van haar concerten?

| AE 11022 | Privacy, Security | 17 reacties

Popartiest Taylor Swift gebruikt gezichtsherkenning tegen stalkers die naar haar concerten gaan, meldden diverse media. Een camera was verborgen in een zuil waar men highlights van het concert kon terugkijken. Deze scande gezichten van geïnteresseerden en een extern bedrijf vergeleek ze automatisch met bekende gezichten. Voor zover bekend werd er niemand gevonden. Maar het roept wel de vraag op, mag zoiets in Europa wel van de AVG?

Het herkennen van mensen aan hun gezicht staat natuurlijk bekend als een vorm van biometrie, en de AVG is daar streng in. Biometrische gegevens mogen niet zomaar worden gebruikt, dit zijn bijzondere persoonsgegevens, net als gegevens over seksualiteit of politieke voorkeur. Daar moet een specifieke wettelijke grondslag voor zijn. Artikel 9 van de AVG noemt er een aantal, maar het screenen van gezichten om ongewenste personen te weren staat daar niet bij.

Wel staat in lid 4 van dat artikel dat lidstaten eigen regels mogen maken over de inzet van biometrie. In Nederland is er sinds 25 mei de Uitvoeringswet AVG, waarin een aantal nationale regels zijn opgenomen die de AVG nader uitwerken of aanvullen, waaronder op het punt van biometrie. In artikel 29 daarvan wordt het verbod op gebruik van biometrie opgeheven wanneer

de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Je kunt denk ik wel redelijk eenvoudig betogen dat hier sprake is van een beveiligingsdoel. Zij wil immers ongewenste en mogelijk zelfs gevaarlijke bezoekers buiten de deur houden.

De discussie zal gaan over noodzaak. Daarvoor is vooral de vraag of het ook anders kan. Denk aan bewakers die met foto’s voor de neus zelf kijken naar camera’s, in plaats van apparaten die dat doen. Of het vragen van identificatie van bezoekers wanneer ze een kaartje kopen, in combinatie met een verbod op doorverkoop. Maar dat voelt eigenlijk allemaal ongeveer even heftig qua privacy-inbreuk.

In de praktijk denk ik dat het zal worden uitgevoerd als een systeem dat mogelijke matches zoekt, en een mens de definitieve herkenning zal laten doen – en vooral, zal laten besluiten wat te doen. De tijd dat een robot de meneer in kwestie automatisch naar buiten werkt, ligt nog ver van ons. Ik denk om die reden dat het wel kan.

Meer moeite heb ik persoonlijk met het verborgen karakter in die zuil. Een duidelijk aangekondigde herkenning bij de ingang lijkt mij gevoelsmatig juist prettiger. Dan weet je waar je aan toe bent. Heel gechargeerd, iedereen verplicht zijn gezicht in de herkenzuil steken (en dat vooraf natuurlijk duidelijk zeggen) zou ik liever hebben dan “haha, we hebben er eentje gepakt bij de videozuil”. Wat denken jullie?

Arnoud

Hoe je een bak geld verdient door gewoon de inkoopvoorwaarden te accepteren, wacht wat?

| AE 11011 | Security | 3 reacties

Corporate purchasing and policies make funding open source Literally Impossible, aldus Swift on Security, een parodiërende maar serieus te nemen securityonderzoekster. De onderliggende klacht is namelijk best reëel: als je een paar tientjes wilt vragen van een groot bedrijf om een bug in je open source project te fixen, dan is dat enorm ingewikkeld. Maar vraag je tienduizend euro voor een supportcontract waaronder je hetzelfde doet, dan is dat zo geregeld. Met dus het advies, doe dat laatste. Waarbij allerlei juristen beginnen te roepen, ja maar de inkoopvoorwaarden dan. Nou ja, die accepteer je dan dus gewoon, wat kan je gebeuren.

In de kern is het probleem de bureaucratie en overhead die je krijgt als je met een groot bedrijf zaken gaat doen. Er moeten veel punten op de i worden gezet wil zo’n organisatie overtuigd zijn dat ze met jou in zee moeten. Dat gaat vaak beter als je een serieuze belofte met langetermijntoezegging kunt doen, oftewel een supportcontract voor drie jaar met 24/7 beschikbaarheid. Dat dat wat meer kost dan het half uurtje dat ze eigenlijk wilden, is een bijzaak.

Natuurlijk zal zo’n bedrijf ook flink wat verwachten, althans op papier. Denk aan stevige aansprakelijkheid, lange betalingstermijnen, eenzijdig opzeggen en al die andere dingen waar je als leverancier op dag 1 tegen gewaarschuwd wordt. Dat moet je niet accepteren natuurlijk. Alleen: als er in de praktijk echt niet meer te verwachten is dan af en toe wat kleine vragen over dingen die je toch al deed, en de software gratis weggegeven wordt, welke aansprakelijkheden zijn praktisch gezien dan te verwachten? Vanuit dat perspectief is “teken gewoon en pak dat geld” een hele logische.

Een andere reden voor dit probleem is denk ik dat een eenmalige uitgave van een paar tientjes vaak wordt gerekend onder het kopje reiskosten/onvoorzien, en bedrijven zijn daar vaak erg huiverig over omdat de kans voor misbruik groot is. Als iedereen in het bedrijf ineens 50 euro mag geven aan een vaag figuur op internet omdat die een of ander leuk tooltje zou hebben gemaakt, waar ben je dan als multinational? (Ik ken mensen die om die reden die 50 euro dan maar privé betalen en het later verrekenen met reiskosten naar een conferentie.)

Het doet natuurlijk raar aan, blog ik een hele serie over hoe je je verweert tegen inkoopvoorwaarden en dan kom ik ineens met een advies om ze gewoon maar te accepteren. Maar soms kan dat gewoon het goede advies zijn.

Arnoud

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem: Af en toe komt het –… Lees verder

Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

| AE 10811 | Privacy, Security | 13 reacties

Een vraag via Twitter: Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet… Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het… Lees verder

Een openbaar toegankelijk script manipuleren is ook gewoon computervredebreuk

| AE 10806 | Security | 20 reacties

De rechtbank Den Haag heeft geen straf opgelegd aan een 45-jarige it’er die een datalek had ontdekt en aan de grote klok had gehangen. Dat las ik bij Tweakers vorige week. De man was met een script binnengedrongen in een databank. De beveiliging daarvan was minimaal, maar dat was genoeg voor de rechtbank om van… Lees verder

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien…. Lees verder

Nederlandse rechter verplicht Samsung niet om snel Android-updates aan te bieden

| AE 10642 | Ondernemingsvrijheid, Security | 6 reacties

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was… Lees verder

Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

| AE 10581 | Security | 20 reacties

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon… Lees verder