Nee, er is geen officiële bewaartermijn voor beveiligingscamerabeelden

| AE 12793 | Privacy, Regulering | 21 reacties

De Nederlandse politie heeft bijna 280.000 camera’s opgenomen in de Camera In Beeld-database. Dat meldde Tweakers onlangs. De meeste zijn van bedrijven, zo’n 15% is van particulieren. De database is handig als start voor opsporing: je weet precies waar je met je vordering afgifte camerabeelden moet zijn als agent (er is geen live toegang op afstand natuurlijk). En dan het ergerlijke stukje: “Publieke camerabeelden worden gemiddeld langer bewaard dan wettelijk toegestaan.” Dit is niet waar en ik wou dat men ophield dit te zeggen.

De motivatie is dan dat zowel politie als Autoriteit Persoonsgegevens ergens mompelen dat 28 dagen de maximale bewaartermijn is:

Het valt op dat de bewaartijd van beelden van de publieke camera’s langer is dan die van particuliere camera’s en mogelijk zelfs de wet overtreedt. Particulieren en bedrijven bewaren camerabeelden gemiddeld 21 dagen. Bij beelden van de overheid gaat het om 38 dagen. Dat is langer dan toegestaan. De politie verwijst zelf naar zijn eigen regels, waarin staat dat camerabeelden maximaal 28 dagen mogen worden bewaard. Ook de Autoriteit Persoonsgegevens noemt een maximale bewaartermijn van vier weken voor camerabeelden ‘van de politie’.
Alleen, volgens mij hebben politie en AP het over bewaartermijnen van overheids-camera’s, zoals die een gemeente op zou hangen voor toezicht in de openbare ruimte. In deze database zitten vooral particuliere camera’s (van burgers, zowel bedrijven als personen dus) en dat is juridisch iets heel anders. Die particulieren moeten zich aan de AVG houden, althans als de camera ook de openbare weg filmt. En in de AVG staat géén 28 dagen, daar staat alleen “niet langer dan nodig”.

Oftewel: het hele punt is dat wie een camera ophangt die meer dan eigen terrein filmt, zélf moet gaan bedenken hoe lang zhij de beelden bewaart. Dat moet gemotiveerd en gedocumenteerd (op zijn minst in je privacyverklaring). Er is geen vuistregel of basistermijn.

Heel, heel lang geleden was er een Wet bescherming persoonsgegevens. Die vermeldde ergens dat camerabeelden maximaal 28 dagen bewaard mochten worden. Dat was alleen in de context van de registratieplicht, in die tijd moest je je camera aanmelden bij de AP anders mocht deze er niet hangen. Maar wie de beelden binnen 28 dagen wiste, hoefte de camera niet te melden. Om mij nog steeds volstrekt onverklaarbare redenen zijn hele hordes mensen dit vrijstellingsbesluit gaan lezen als een toestemming om beelden 28 dagen te bewaren. En deze waanzinnige mythe leeft nog steeds door, ik zie ook in publicaties van overigens respectabele juristen anno 2021 doodserieus nog dat vrijstellingsbesluit als bron genoemd voor een bewaartermijn.

Het enige relevante juridische document is deze publicatie van de European Data Protection Board, de samenwerkende toezichthouders. Deze werkt het AVG-kader voor cameratoezicht nader uit, en vermeldt op pagina 28:

Taking into consideration the principles of Article 5 (1) (c) and (e) GDPR, namely data minimization and storage limitation, the personal data should in most cases (e.g. for the purpose of detecting vandalism) be erased, ideally automatically, after a few days. The longer the storage period set (especially when beyond 72 hours), the more argumentation for the legitimacy of the purpose and the necessity of storage has to be provided. If the controller uses video surveillance not only for monitoring its premises but also intends to store the data, the controller must assure that the storage is actually necessary in order to achieve the purpose. If so, the storage period needs to be clearly defined and individually set for each particular purpose.
De kern is dus: je beelden moeten zo snel mogelijk weg, en het liefst automatisch. En dat “zo snel mogelijk” druk je eerder uit in uren dan in dagen. Als jij iets anders wil, leg maar uit waarom jij in jouw situatie met die beelden voor jouw doeleinden meer nodig hebt. En dan willen we geen dooddoeners horen dat security-randvoorwaarden dit vereisen, dat je ISO auditor in het model 28 dagen had staan (ik citeer een vraagsteller) of dat je wellicht na enkele weken oude beelden wil terugkijken om incidenten te correleren.

Oké, dat was even erg cynisch allemaal. Laat ik het eens positief doen. Hier zijn een aantal voorbeelden van motivaties voor bewaartermijnen, met het verzoek aan jullie om aanvullende tekstvoorstellen te doen!

  • Bij dit woonhuis gebruiken wij camera’s om huis, erf en bewoners te beschermen en (pogingen tot) diefstal, braak en dergelijke vast te leggen. Wij kunnen dan aangifte doen of via de verzekeraar claims indienen. De beelden bewaren wij 72 uur omdat we niet meteen alles zullen opmerken. Periodes van vakantie rekenen we hierin niet mee.
  • Onze winkel is met camera’s beveiligd en we filmen ook de winkelruit in verband met ramkraken en inbraken. De beelden worden aan het einde van elke werkdag vernietigd.
  • Op deze camperstalling wordt met cameratoezicht gewaakt over de geplaatste caravans en campers. Omdat het terrein niet dagelijks door mensen gecontroleerd wordt, worden camerabeelden bewaard tot het einde van de betreffende huurperiode. Camerabeelden waar ook de openbare weg in beeld is, worden wekelijks uitgekeken en vernietigd tenzij incidenten zichtbaar zijn.
In het bijzonder ben ik op zoek naar een voorbeeld van een ‘gewoon’ bedrijf dat camerabeelden 28 dagen mag bewaren. Omdat je normaliter incidenten sneller opmerkt dan dat (de bekraste auto, de inbraak, de vechtpartij bij de personeelsingang) zie ik het niet. De angst voor een stakeout door georganiseerde criminelen die dan eens in de week komt posten om de geldloper te bespringen zodra ze het patroon door hebben voelt een vrij specifiek risico?

Arnoud

 

Nieuwe regels over elektronische documenten en voorwaarden

| AE 2146 | Informatiemaatschappij | 26 reacties

Excuses voor de vertraging, maar ik moest het even nazoeken. Zoals donderdag beloofd: wat is er per 1 juli gewijzigd over algemene voorwaarden en de rechtsgeldigheid van elektronische documenten?

De regels over algemene voorwaarden (art. 6:234 BW) zijn veranderd. Het wetsartikel is herschreven, met name om de leesbaarheid te vergroten (voor zover haalbaar, het is en blijft een draak van een artikel).

Een belangrijke wijziging is dat je nu ook bij “gewone” (niet-elektronische) contracten de algemene voorwaarden elektronisch mag aanleveren. Je mag dus een papieren contract tekenen (of een mondelinge overeenkomst sluiten) waarbij je de voorwaarden als PDF mailt. Wel vereist dit “uitdrukkelijke instemming van de wederpartij”. Het is dus niet toegestaan om in de algemene voorwaarden te zetten “Wederpartij verleent hierbij uitdrukkelijke instemming voor elektronische aanlevering van deze voorwaarden”. Niet dat dat veel mensen ervan zal weerhouden om het toch te doen (t-shirt voor de spotter van het eerste voorkomen hiervan.)

Een grotere wijziging is artikel 156a Rechtsvordering over elektronische akten – ondertekende geschriften die als bewijs dienen. Zo’n document mag nu ook elektronisch, mits (pas op, juridische mond vol):

het degene ten behoeve van wie de akte bewijs oplevert, in staat stelt om de inhoud van de akte op te slaan op een wijze die deze inhoud toegankelijk maakt voor toekomstig gebruik gedurende een periode die is afgestemd op het doel waarvoor de akte bestemd is te dienen, en die een ongewijzigde reproductie van de inhoud van de akte mogelijk maakt.

Ik kan daar niet veel meer van maken dan “je moet kunnen nalezen wat er getekend is” maar ongetwijfeld zitten hier heel veel nuances aan. Een PDF met elektronische handtekening voldoet aan deze eis.

Deze regels zijn ingevoerd op grond van het wetsvoorstel over elektronische aktes, dat met name bedoeld was om elektronische verzekeringspolissen mogelijk te maken. Logischerwijs is er dan ook een wetsartikel ingevoerd (art. 7:932 BW) dat zegt dat verzekeringspolissen nu elektronisch mogen. En dat gaat vrij eenvoudig met de bovengenoemde wijzigingen: die polis is een akte en moet dus voldoen aan de hierboven genoemde eis voor aktes, en de polisvoorwaarden zijn algemene voorwaarden en moeten dus voldoen aan de eisen van opslaanbaarheid. Plus, je mag bij een ‘gewone’ papieren polis nu met de verzekeringnemer afspreken dat de voorwaarden worden gemaild of te downloaden zijn.

Wel is er een extra eis aan de elektronische handtekening: die moet een “geavanceerdegekwalificeerde elektronische handtekening” zijn, en de mensen die weten wat dat betekent mogen nu de paracetamol grijpen. Inderdaad, dat is zo’n ding waarbij er geavanceerde wiskunde wordt gebruikt, een smartcard moet worden ingezet, een digitaal certificaat moet zijn verkregen en minstens 200 uren aan dure consultants moet zijn besteed voor het implementatietraject. Ik ben dan ook zeer benieuwd wanneer de eerste elektronische polissen daadwerkelijk aangeboden worden – en of ze ook echt gaan voldoen aan die voorwaarden.

Arnoud