Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me:

De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch?

Het is natuurlijk toegestaan om de toegang tot je complex te reguleren. Alleen wanneer je gaat werken met kentekens, dan loop je tegen de privacywetgeving (nu de Wbp, vanaf 25 mei de AVG) aan. Kentekens worden namelijk gezien als persoonsgegevens, zeker in gevallen wanneer je ze concreet kunt koppelen aan de identiteit van bewoners of bezoekers.

Gelukkig verbiedt de wet niet categorisch het gebruik van persoonsgegevens om de toegang tot een pand of terrein te reguleren. Het mag, maar je bent aan een aantal regels gebonden. De belangrijkste eis is dat je kunt motiveren waarom je voor dit middel hebt gekozen. Kun je niet werken met sleutels en een bel bijvoorbeeld? Is er echt geen andere oplossing?

Daarnaast moet duidelijk zijn uitgewerkt wat er gebeurt met de vastgelegde gegevens. Waarom die, en niet minder? Wie heeft er toegang toe en onder welke voorwaarden? Hoe lang worden ze bewaard, en waarom kan het niet eerder weg. Wat gebeurt er mee? Komen alle kentekens op een bord in de hal, of blijft het bij de portier?

Beveiliging is natuurlijk ook van belang. Hoe worden de gegevens afgeschermd voor ongeautoriseerde toegang, welke logging is ingevoerd en wie heeft daar toegang toe. Afgeleid daarvan, wat gebeurt er met datalekken. Hoe wordt daarop gemonitord en wie gaat een datalek aanmelden en de betrokkenen informeren?

Het is dus vooral een kwestie van zaken goed motiveren en op schrift stellen. Dat reglement is ook nodig, je moet mensen informeren over het waarom en hoe. En het waarom is het belangrijkste.

Arnoud

Je hebt nog 256 dagen om de AVG te implementeren #256totAVG

| AE 9606 | Privacy | 32 reacties

Vandaag zijn er nog precies 256 dagen te gaan tot de nieuwe Europese privacywet in werking treedt. Op 25 mei 2018 zal namelijk de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht worden. En dan wordt de wereld weer een stukje interessanter, want het is me een partij regelgeving waar je aan moet voldoen. Ik blijf erbij dat de AVG een van de belangrijkste nieuwe wetten voor de ICT-dienstverlening gaat worden, en dat de discussies en aanvaringen hierover groter gaan worden dan de auteursrechtenoorlog van de afgelopen 15 jaar.

Voor een groot deel is de AVG aanscherpen van de regels uit de huidige wetgeving. Dat echt alles verboden zou worden, is dan ook een tikje overtrokken. De angel daar zit hem er vooral in dat je uitgewerkt moet hebben waarom je doet wat je doet. Onderbouw maar eens waarom je een belang hebt bij het vergaren van iemands gegevens, en laat maar zien hoe je die toestemming hebt gevraagd die specifiek deze handeling toestaat. Je moet dit per verwerking(!) in een intern register bijhouden zodat na te zoeken is waarom je dingen doet.

Sommige dingen zijn wel nieuw. Privacy by design staat nu als harde ontwerpeis in de wet, en moet dus meegenomen zijn in elk traject om tot nieuwe informatiesystemen te komen. Bij elk scherm aangeven waar de privacy een rol speelt en wat daarover is besloten. Keuzes motiveren waarom het niet een onsje minder kon met die persoonsgegevens die je hier ziet. En aan de achterkant waarom de security op orde is.

Ah ja, security. Steeds belangrijker maar weinig méér daarover in de wet. Zorg er voor dat je het op orde hebt en dat je dat kunt aantonen. Inclusief je proces om datalekken op te sporen en te melden bij de toezichthouder (en meestal ook betrokkenen). En oh ja, ook dat moet in een intern register worden gedocumenteerd.

Veel registratie dus. Verwerkingen, datalekken, security en je designkeuzes ten aanzien van privacy. Wie gaat dat beheren? Een privacy officer oftewel functionaris gegevensbescherming is niet verplicht onder de AVG (tenzij je overheid bent, met bijzondere persoonsgegevens werkt of structureel aan tracking of besnuffelen doet) maar kan wel een goed idee zijn. In ieder geval totdat je organisatie gewend is aan de nieuwe wet.

En dat is uiteindelijk waar de pijn zit met de AVG. Dit is niet een nieuwe wet die een kwestie is van wat extra vinkjes, je privacyverklaring nieuwe terminologie geven en een Excelsheet met daarin de nieuwsbrief en de klantenadministratie genoemd bij wijze van register. Het vereist een nieuwe manier van denken, van omgaan met persoonsgegevens. Waarom hebben we die, kan het niet wat minder en hoe borgen we dat alles goed blijft verlopen? Wie denkt dat hij er zonder kleerscheuren vanaf komt met alleen die Excel erbij en wat klusjes voor Juridische Zaken, gaat het voelen.

Vandaar dat ik steeds zeg dat dit de belangrijkste wet gaat worden voor de komende 15 jaar. We hebben sinds ongeveer 2000 geworsteld in de ICT-rechtspraktijk met de botsing tussen auteursrecht en ondernemen, van notice/takedown tot aansprakelijkheid van tussenpersonen daarvoor. Ook het merkenrecht (denk domeinnaam) was natuurlijk een belangrijke bron van conflicten. Die strijd is wel zo’n beetje voorbij, maar was zo tekenend dat je veel kantoren zag die zich IE/ICT kantoren zijn gaan noemen. Vandaag de dag zou ik eerder Privacy/ICT kantoren verwachten.

Als laatste: nee, er komt geen overgangsrecht vanaf 25 mei. We zitten namelijk al in het overgangsrecht, dat twee jaar duurt. Daarvan zijn dus nog 255 dagen over. Dus wie nog niet begonnen is: heel veel sterkte met het halen van de deadline.

Arnoud

Mag de politie particuliere beveiligingscamera’s in een database stoppen?

| AE 9651 | Privacy | 11 reacties

Particulieren en bedrijven hebben al 160.000 beveiligingscamera’s aangemeld bij de politie, las ik bij Nu.nl. Via de database kunnen camerabeelden sneller worden opgevraagd na misdaden. De politie kan (uiteraard) niet live meekijken in al die databases, maar wel sneller een relevante camera vinden die mogelijk beelden van een ongeval of strafbaar feit heeft vastgelegd. Wat de vraag oproept, mogen ze die database zo opbouwen en mag men dan ook beelden opvragen bij de camera-eigenaar?

De politiedatabank, Camera in beeld geheten, is een politiesysteem dat alle (particuliere en overheids-)camera’s op een kaart weergeeft. Het gaat dus alleen om contactgegevens van de eigenaar en gegevens over de locatie van de camera en wat er wordt gefilmd. Er komen geen beelden in de databank.

Ik zie weinig bezwaren tegen het opbouwen van zo’n databank. De mensen die meedoen, doen dat geheel vrijwillig en niemand is verplicht om zijn cameragegevens aan de politie te verstrekken.

Het opvragen van die beelden ligt iets ingewikkelder. Op zich is -zoals de site van de politie ook terecht meldt- het volstrekt legaal om particuliere camerabeelden in te brengen als bewijs. Een ondernemer die een misdrijf vastgelegd ziet op zijn camerabeelden, kan daar dus zonder problemen mee naar de politie om aangifte te doen (ook als hij geen slachtoffer is overigens maar alleen getuige). Dat geldt zelfs wanneer zijn camera er in strijd met de wet hangt, bijvoorbeeld omdat er geen duidelijk waarschuwingsbordje hangt.

Alleen wat hier gebeurt, is dat de politie het initiatief neemt om de camerabeelden op te vragen wanneer zij een redelijk vermoeden heeft dat er een strafbaar feit op te zien is. Denk aan een vluchtende overvaller of een beroving in het zicht van die camera. De regels worden anders wanneer de politie dingen doet: wanneer dat raakt aan de privacy of andere grondrechten van de burger, dan mag dat alleen wanneer daar een specifieke wettelijke regeling voor getroffen is.

De Vraag en Antwoord geven aan:

Wanneer de politie het vermoeden heeft dat de beelden een daadwerkelijke meerwaarde kunnen geven in een opsporingsonderzoek. De politiefunctionaris zal altijd met een machtiging van het Openbaar Ministerie de betreffende beelden vorderen.

En zo hoort het. In 2010 bepaalde de Hoge Raad dat camerabeelden alleen gevorderd kunnen worden, en dan ook nog eens onder de zware eis dat de rechter-commissaris er een machtiging voor geeft. Dit omdat camerabeelden bijzondere persoonsgegevens (zoals ras/etnische afkomst of gezondheid) bevatten van de mensen in beeld.

Wel vond het Hof Arnhem een tijdje later dat het wel uitmaakt of het gaat om camerabeelden van gewone openbare locaties, in tegenstelling tot de pasfoto’s die in de Hoge Raad-zaak werden gevorderd.

Om meer of anders dan een foto- of videoregistratie van de (bij een duidelijke opname voor het bewijs bruikbare) fysionomie van degene die voor een bepaalde geldtransactie van de pinautomaat in kwestie gebruik heeft gemaakt, gaat het hier niet. Van een (aan de beelden of de opnamen daarvan) voorafgegane verwerking van gevoelige persoonsgegevens als bedoeld in artikel 16 Wet bescherming persoonsgegevens, is bij deze registratie geen sprake geweest.

De politie mocht toen de beelden vorderen onder het ‘gewone’ artikel voor opeisen van persoonsgegevens. Maar het basale punt blijft: er mag alleen worden gevorderd, en dus niet gevraagd.

Arnoud

AP gaat vragen stellen over reclameschermen met camera’s op stations

| AE 9656 | Privacy | 36 reacties

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en… Lees verder

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter: Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet. De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap… Lees verder

De klassenfoto valt ook gewoon onder de privacywet!

| AE 9638 | Privacy | 26 reacties

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen… Lees verder

Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

| AE 9620 | Privacy, Strafrecht | 34 reacties

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas… Lees verder

Mogen mensen je zomaar aan een WhatsApp-groep toevoegen?

| AE 9611 | Privacy | 16 reacties

Een lezer vroeg me: In de messenger-app WhatsApp kun je groepschats opzetten, zodat je gemakkelijk kunt overleggen of bijvoorbeeld een datum prikken voor een gezamenlijke borrel. Een nadeel is echter dat iedereen je kan toevoegen aan de groepschat, zonder dat je daar toestemming voor moet geven. Iedereen ziet dan ook je naam en je telefoonnummer…. Lees verder

Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Arbeidsrecht, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op… Lees verder