Ik mag geen kopie van mijn eigen camerabeelden?!

| AE 8325 | Security | 14 reacties

dome-camera.jpgEen lezer vroeg me:

In mijn kantoor heb ik beveiligingscamera’s opgehangen. De beelden daarvan gaan naar een bewakingsbedrijf, en ik krijg alerts als er een probleem geconstateerd wordt. Alleen weigeren ze me nu beelden te geven tenzij ik eerst aangifte doe en een kopie daarvan verschaf. Anders is het een “schending van de privacy”? Ik wil alleen gewoon zien wat ze zoal filmen, het is toch mijn kantoor, mijn privacy en mijn camera? Hoe zit dit?

Wanneer met een camera beelden worden vastgelegd waarop mensen te zien zijn, gelden die beelden als persoonsgegevens. Er zijn immers gegevens over mensen uit die beelden te halen. Derhalve moet de partij die die beelden vastlegt en gebruikt, zich aan de Wet bescherming persoonsgegevens conformeren. Die is de ‘verantwoordelijke’ onder de wet.

De Wbp brengt onder meer met zich mee dat camerabeelden niet zomaar mogen worden verstrekt aan derden. Wie op beeld staat, heeft recht van inzage, maar anderen niet.

Het komt daarmee neer op de vraag wie er eigenlijk de ‘verantwoordelijke’ is, de partij die onder de Wbp opdraait voor wat er misgaat met de beelden. Dat lijkt hier het bewakingsbedrijf te zijn. Zij halen de beelden binnen, zij kijken of er gekke dingen op staan en zij handelen dat af. In die situatie klopt het dat de eigenaar van de muur met camera geen rechten heeft.

Het kan ook anders. De eigenaar van die muur kan immers zelf camera’s ophangen en zelf de beelden uitkijken. Hij is dan de verantwoordelijke. Hij mag ervoor kiezen de werkzaamheden uit te besteden aan een zogeheten bewerker, iemand die in zijn opdracht werkt. Via een bewerkersovereenkomst worden rechten en plichten afgesproken. Maar de eigenaar van de muur blijft de verantwoordelijke. Hij zou daarmee dan zelf een bevoegdheid hebben (als er een grond is) om die beelden te bekijken voor zijn eigen doeleinden.

Nadeel van verantwoordelijk zijn is dat je, eh, verantwoordelijk bent voor het gebruik van die beelden. Geef je ze ten onrechte aan een derde, dan is dat een datalek en daarmee een boetewaardige overtreding van de Wbp. Ook als je informatieplichten (“Let op cameratoezicht”) niet nakomt of de beelden te lang bewaart, kun je in de problemen komen met de toezichthouder.

Je kunt je dus afvragen of je dat wel moet willen, te allen tijde bij de beelden kunnen. Je bent dan ook aansprakelijk voor alles dat er misgaat met de beelden.

Arnoud

Mag je camerabeelden van een misdrijf aan het slachtoffer geven?

| AE 8044 | Privacy | 32 reacties

oppas-beelden-camera-verborgen.pngEen lezer vroeg me:

Is het nu toegestaan of niet om beveiligingscamerabeelden van een misdrijf (zoals diefstal) aan het slachtoffer te geven? In ons café wordt nog wel eens wat gestolen, en wij zouden liever zien dat mensen dan zelf aangifte doen (met door ons beschikbaar gestelde beelden) dan dat wij daar aangifte van moeten doen. Maar van de privacywet schijnt dat niet te mogen, camerabeelden aan mensen afgeven.

Er zijn heel veel mythes over beveiligingscamerabeelden in omloop, en dit is er eentje van. Camerabeelden zou je alleen aan Justitie mogen geven en nooit aan anderen. Zo hard staat het helemaal niet in de wet. Maar ik vermoed dat het komt omdat de afweging die de wet voorschrijft, hier een ingewikkelde is. (En omdat de wet uit een tijd komt dat privacy nog gerespecteerd werd.)

Het gaat hier (natuurlijk) om de Wet bescherming persoonsgegevens. Die zegt dat persoonsgegevens, zoals camerabeelden, alleen mogen worden ‘verwerkt’ als aan een van de gronden uit die wet is voldaan. Onder ‘verwerken’ verstaat men eigenlijk alles: maken, verkrijgen, doorgeven en zelfs vernietigen.

Toestemming is de bekendste grond, maar bij beveiligingscamerabeelden werkt dat niet echt. Ook de uitvoering van een overeenkomst gaat hem niet worden. Je komt dan al heel snel uit bij het eigen dringende belang: ik mag dit want mijn recht om dit te doen weegt zwaarder dan de privacy van de betrokken persoon.

Laten we die belangenafweging eens formeel aflopen. De wet zegt:

[Afgifte mag als] de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Er moet dus een gerechtvaardigd (legitiem) belang zijn en de afgifte moet noodzakelijk zijn (niet alleen maar wenselijk) voor dat belang. Het belang van de derde is dat deze aangifte wil doen van een misdrijf, waarbij de beelden bewijs vormen. Dat lijkt me legitiem.

Maar is de afgifte noodzakelijk? Je kunt immers ook zeggen, ga aangifte doen, zeg wie de beelden heeft en dan komt Justitie wel langs. Dat komt op hetzelfde neer, maar de bewijsketen is dan korter, en we weten ook nog eens zeker dat je de beelden niet gemanipuleerd hebt. Plus, je zou de beelden op internet kunnen slingeren en of dát een legitiem belang is, valt te betwijfelen.

Verder zit je met die ‘tenzij’. Je moet een belangenafweging doen: hoe belangrijk is de privacy van de persoon die in beeld is. Een crimineel heeft geen privacy te verwachten, plus bij afgifte aan Justitie kun je sowieso niet echt van een privacyschending spreken. Dus daar kom je wel uit, denk ik.

Goed, houd ik dus over: is het echt nodig dat het slachtoffer zelf die beelden krijgt? Zijn er geen andere routes die hetzelfde effect bereiken en minder risico’s met zich meebrengen? En dan ben ik toch wel gevoelig voor het argument dat het slachtoffer andere, minder legitieme dingen kan gaan doen met de beelden. Ze op internet zetten met “wie kent deze dief van mijn iPhone” is voor de wet geen legitiem belang.

Arnoud

Onrechtmatig verkregen camerabeelden toch bruikbaar als bewijs

| AE 7285 | Ondernemingsvrijheid, Security | 14 reacties

dome-camera.jpgIs een stiekem gemaakte verborgencameraopname bruikbaar als bewijs? Wie veel Amerikaanse rechtbankseries kijkt, weet het antwoord: nee. Maar het Nederlands (burgerlijk) recht werkt anders, zo blijkt maar weer eens uit een recent vonnis (via) waarin dergelijke verborgencamerabeelden gewoon als bewijs gebruikt mochten worden.

De werknemer was op staande voet ontslagen wegens (zo te lezen) het vernielen van computersystemen en ander ongepast gedrag. Dit was (grotendeels) vastgesteld door beelden van een verborgen camera. De aanwezigheid van de camera of zelfs maar de mogelijkheid van verborgencameratoezicht was niet gemeld, en ook een reglement was er niet. Een klassiek geval van hoe het niet moet met cameratoezicht op het werk.

Kan de werknemer zo dat bewijs van tafel krijgen, en vervolgens zijn staandevoetje ongedaan maken? Nee:

Echter, de omstandigheid dat de camerabeelden onrechtmatig zijn verkregen, brengt niet zonder meer mee dat die beelden in deze zaak buiten beschouwing moeten blijven en niet als bewijs mogen worden gebruikt.

Bewijs in rechtszaken tussen burgers onderling is eigenlijk zelden tot nooit onrechtmatig. Ook niet bij privacyschendingen. De Hoge Raad oordeelde al in 1987 dat voor uitsluiting van bewijs sprake moet zijn van een “rechtens ontoelaatbare inbreuk op de privacy, zulks op basis van bijkomende omstandigheden die deze conclusie rechtvaardigen”. Oftewel: een inbreuk op zich is niet genoeg, het moet wel een hele erge zijn.

In een zaak uit 2013 overwoog de rechter dat het stiekem maken van geluidsopnames ook als bewijs telde, maar dit handelen van de werkgever zou wel mee kunnen wegen bij het bepalen van de hoogte van de ontslagvergoeding. En in een zaak over inbreken op e-mail van de werknemer moest de werkgever € 7500 schadevergoeding betalen aan de werknemer – maar het ontslag gebaseerd op de uit inbraak verkregen informatie bleef wel in stand.

Ik weet dat mensen moeite hebben met deze uitspraak, want zo keur je impliciet dus strafbaar handelen goed. Je beloont mensen door hun illegaal verkregen informatie te gebruiken. Maar ik zie het anders: de informatie toont de waarheid aan, en daarom moet deze gebruikt worden. Anders krijg je van die rare situaties uit het Amerikaanse recht dat je wéét dat iemand fout zat, maar het bewijs van tafel moet en daardoor de zaak stuk. Nee, dan liever de werkgever een boete laten betalen lós van de status als bewijs. Zo worden beide partijen gestraft.

Arnoud

Wanneer mag een auditor onze camerabeelden inzien?

| AE 6365 | Privacy, Security | 4 reacties

Een lezer vroeg me: Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk… Lees verder