Nee, er is geen officiële bewaartermijn voor beveiligingscamerabeelden

| AE 12793 | Privacy, Regulering | 21 reacties

De Nederlandse politie heeft bijna 280.000 camera’s opgenomen in de Camera In Beeld-database. Dat meldde Tweakers onlangs. De meeste zijn van bedrijven, zo’n 15% is van particulieren. De database is handig als start voor opsporing: je weet precies waar je met je vordering afgifte camerabeelden moet zijn als agent (er is geen live toegang op afstand natuurlijk). En dan het ergerlijke stukje: “Publieke camerabeelden worden gemiddeld langer bewaard dan wettelijk toegestaan.” Dit is niet waar en ik wou dat men ophield dit te zeggen.

De motivatie is dan dat zowel politie als Autoriteit Persoonsgegevens ergens mompelen dat 28 dagen de maximale bewaartermijn is:

Het valt op dat de bewaartijd van beelden van de publieke camera’s langer is dan die van particuliere camera’s en mogelijk zelfs de wet overtreedt. Particulieren en bedrijven bewaren camerabeelden gemiddeld 21 dagen. Bij beelden van de overheid gaat het om 38 dagen. Dat is langer dan toegestaan. De politie verwijst zelf naar zijn eigen regels, waarin staat dat camerabeelden maximaal 28 dagen mogen worden bewaard. Ook de Autoriteit Persoonsgegevens noemt een maximale bewaartermijn van vier weken voor camerabeelden ‘van de politie’.
Alleen, volgens mij hebben politie en AP het over bewaartermijnen van overheids-camera’s, zoals die een gemeente op zou hangen voor toezicht in de openbare ruimte. In deze database zitten vooral particuliere camera’s (van burgers, zowel bedrijven als personen dus) en dat is juridisch iets heel anders. Die particulieren moeten zich aan de AVG houden, althans als de camera ook de openbare weg filmt. En in de AVG staat géén 28 dagen, daar staat alleen “niet langer dan nodig”.

Oftewel: het hele punt is dat wie een camera ophangt die meer dan eigen terrein filmt, zélf moet gaan bedenken hoe lang zhij de beelden bewaart. Dat moet gemotiveerd en gedocumenteerd (op zijn minst in je privacyverklaring). Er is geen vuistregel of basistermijn.

Heel, heel lang geleden was er een Wet bescherming persoonsgegevens. Die vermeldde ergens dat camerabeelden maximaal 28 dagen bewaard mochten worden. Dat was alleen in de context van de registratieplicht, in die tijd moest je je camera aanmelden bij de AP anders mocht deze er niet hangen. Maar wie de beelden binnen 28 dagen wiste, hoefte de camera niet te melden. Om mij nog steeds volstrekt onverklaarbare redenen zijn hele hordes mensen dit vrijstellingsbesluit gaan lezen als een toestemming om beelden 28 dagen te bewaren. En deze waanzinnige mythe leeft nog steeds door, ik zie ook in publicaties van overigens respectabele juristen anno 2021 doodserieus nog dat vrijstellingsbesluit als bron genoemd voor een bewaartermijn.

Het enige relevante juridische document is deze publicatie van de European Data Protection Board, de samenwerkende toezichthouders. Deze werkt het AVG-kader voor cameratoezicht nader uit, en vermeldt op pagina 28:

Taking into consideration the principles of Article 5 (1) (c) and (e) GDPR, namely data minimization and storage limitation, the personal data should in most cases (e.g. for the purpose of detecting vandalism) be erased, ideally automatically, after a few days. The longer the storage period set (especially when beyond 72 hours), the more argumentation for the legitimacy of the purpose and the necessity of storage has to be provided. If the controller uses video surveillance not only for monitoring its premises but also intends to store the data, the controller must assure that the storage is actually necessary in order to achieve the purpose. If so, the storage period needs to be clearly defined and individually set for each particular purpose.
De kern is dus: je beelden moeten zo snel mogelijk weg, en het liefst automatisch. En dat “zo snel mogelijk” druk je eerder uit in uren dan in dagen. Als jij iets anders wil, leg maar uit waarom jij in jouw situatie met die beelden voor jouw doeleinden meer nodig hebt. En dan willen we geen dooddoeners horen dat security-randvoorwaarden dit vereisen, dat je ISO auditor in het model 28 dagen had staan (ik citeer een vraagsteller) of dat je wellicht na enkele weken oude beelden wil terugkijken om incidenten te correleren.

Oké, dat was even erg cynisch allemaal. Laat ik het eens positief doen. Hier zijn een aantal voorbeelden van motivaties voor bewaartermijnen, met het verzoek aan jullie om aanvullende tekstvoorstellen te doen!

  • Bij dit woonhuis gebruiken wij camera’s om huis, erf en bewoners te beschermen en (pogingen tot) diefstal, braak en dergelijke vast te leggen. Wij kunnen dan aangifte doen of via de verzekeraar claims indienen. De beelden bewaren wij 72 uur omdat we niet meteen alles zullen opmerken. Periodes van vakantie rekenen we hierin niet mee.
  • Onze winkel is met camera’s beveiligd en we filmen ook de winkelruit in verband met ramkraken en inbraken. De beelden worden aan het einde van elke werkdag vernietigd.
  • Op deze camperstalling wordt met cameratoezicht gewaakt over de geplaatste caravans en campers. Omdat het terrein niet dagelijks door mensen gecontroleerd wordt, worden camerabeelden bewaard tot het einde van de betreffende huurperiode. Camerabeelden waar ook de openbare weg in beeld is, worden wekelijks uitgekeken en vernietigd tenzij incidenten zichtbaar zijn.
In het bijzonder ben ik op zoek naar een voorbeeld van een ‘gewoon’ bedrijf dat camerabeelden 28 dagen mag bewaren. Omdat je normaliter incidenten sneller opmerkt dan dat (de bekraste auto, de inbraak, de vechtpartij bij de personeelsingang) zie ik het niet. De angst voor een stakeout door georganiseerde criminelen die dan eens in de week komt posten om de geldloper te bespringen zodra ze het patroon door hebben voelt een vrij specifiek risico?

Arnoud

 

Is cameratoezicht nu ineens verboden in Duitsland?

| AE 12460 | Ondernemingsvrijheid, Privacy | 1 reactie

Een lezer vroeg me:

Ik las dat een Duitse winkel een boete van 10 miljoen heeft gekregen omdat ze videotoezicht inzetten. Maar hoezo is dat nou ineens boetewaardig, elk bedrijf heeft toch videotoezicht tegenwoordig? Het ging om magazijnen en verkoopruimtes, niet echt plekken waar je privacy hebt toch?
Zeker twee jaar lang werd het personeel illegaal gefilmd op de werkvloer, magazijn en andere locaties terwijl hiervoor elke juridische grondslag ontbrak, aldus de Landesbeauftragte für den Datenschutz (LfD) van Nedersaksen, zeg maar de lokale Autoriteit Persoonsgegevens.

Dat klinkt inderdaad wat raar, want voor cameratoezicht is er in de AVG (die natuurlijk ook in Duitsland gewoon geldt) wel degelijk een grondslag: het zogeheten eigen gerechtvaardigd belang (artikel 6 lid 1 sub f AVG). Het bewaken van je eigendommen (of toezien op mensen) is een belang waarmee je de privacy mag inperken – mits je maar de nodige maatregelen neemt om dat zo beperkt mogelijk te doen. En dat is waar het misging.

Het belangrijkste punt waar de toezichthouder over valt, is dat naar camera’s is gegrepen zonder andere dingen te hebben geprobeerd. Geen random tassenonderzoek, geen menselijk toezicht (een manager die soms even komt kijken), maar direct camera’s ophangen. Gezien de impact van camera’s (die zien continu alles) is dat een té heftige eerste stap. Ook was er niet echt een concrete aanleiding, maar werd vanuit een algemeen idee van diefstalpreventie met camera’s gewerkt. Maar dat is niet hetzelfde als een noodzaak.

In een persbericht verweert het bedrijf zich door te stellen dat de camera’s primair gericht zijn op het logistieke proces: het opsporen en oplossen van problemen zoals beschadiging of vermissing van producten tussen ontvangst en verkoop. Kennelijk bedoelt men daarmee dat de camera’s niet direct mensen filmen maar laptops, mede omdat de CEO in het persbericht aangeeft dat ze als klein bedrijf echt niet mensen gaan beoordelen of aanspreken op basis van camerabeelden.

Ik snap het bezwaar van het bedrijf, maar de kern van de last van de toezichthouder is volgens mij een terecht punt. Camera’s zomaar inzetten “ter bestrijding van diefstal” is gewoon een te snel en te makkelijk middel, als je daarmee ook je medewerkers permanent in beeld krijgt. Of je nu daar wat mee doet of niet – alleen al de indruk dat men permanent gefilmd wordt, is genoeg om medewerkers het gevoel te geven dat ze in de gaten gehouden worden. En dat is nergens voor nodig, als er geen concrete aanleiding is.

Ik zou dus zeggen: die camera’s specifieker richten op de logistieke stroom, de mensen buiten beeld en inzicht geven in wat er wél wordt gefilmd.

Arnoud

Moet je bij een rit door België je dashcam registreren bij de overheid?

| AE 11835 | Regulering | 9 reacties

Autobezitters die een dashcam in hun voertuig hebben geïnstalleerd moeten rekening met de privacyregels houden. Dat las ik bij Security.nl vorige week. De Belgische politie voelde zich geroepen automobilisten met dashcam uit te leggen wat de AVG daarover zegt; mij is niet duidelijk waarom gezien ook in België handhaving van die wet niet onder het strafrecht valt en de politie daar dus niet over gaat. Maar opmerkelijk was wel dat je in België je bewakingscamera verplicht moet registreren, en dat dat ook geldt voor dashcams. En naar de letter ook voor Nederlanders die door België rijden met dashcam, wat nog een leuke wordt nu de site waar je de registratie moet doen, alleen werkt voor Belgen met een eID.

Dat het maken van elektronische video-opnamen van mensen onder de AVG valt, is volgens mij geen verrassing. Gelukkig gaat dat specifiek bij dashcams meestal vanzelf goed, omdat je je dan kunt beroepen op de uitzondering voor strikt persoonlijk of huishoudelijk gebruik. Maar, zo merkt de Belgische politie op, als je van plan bent die beelden aan je verzekeraar of advocaat te geven in verband met een aanrijding of iets dergelijks, dan val je buiten die uitzondering en moet je dus gewoon volledig voldoen.

Dáár kijk ik wel een beetje van op, omdat het mij nog steeds huishoudelijk voorkomt dat ik mijn advocaat een procedure laat starten of mijn verzekeraar laat zien dat een ongeval niet mijn schuld was. Helaas is er bar weinig jurisprudentie over deze term. Ja, de Rynes-zaak met die bewakingscamera die ook de openbare weg filmde. Daar was het criterium dat de verwerking buiten de privésfeer van de verantwoordelijke raakte, maar dat helpt niet héél erg. Want is mijn rechtszaak een privéaangelegenheid?

Belangrijker is wel dat in België er een aparte wet is die eist dat je bewakingscamera’s registreert (de Camerawet), en dat -wederom aldus de politie- dashcams daar ook onder vallen. En dat lijkt te kloppen, die wet regelt ook mobiele bewakingscamera’s. Maar daar twijfel ik (oké, ik ben geen Belgisch jurist) over want een bewakingscamera heeft tot doel “de bewaking en het toezicht van [] plaatsen” en dat is niet waar je een dashcam voor inzet. Dat gaat om bewaking van een rijdend voertuig.

Dus daarom zou ik zeggen dat een dashcam er niet onder valt. Dat gezegd hebbende, een agent zit zelden te wachten op spitsvondige juristerij, zeker als die erop neer komt dat zijn baas verkeerde informatie heeft verstrekt. Dan zit je nog wel even bij de zwaantjes. Ik zou het dus niet doen.

Arnoud

Arnoud

Voor de laatste keer: de openbare weg filmen met je securitycamera mag als dat nodig is

| AE 11672 | Privacy, Uitingsvrijheid | 11 reacties

De hoeveelheid beveiligingscamera’s in Nederland groeit gestaag, vooral ook onder particulieren. Dat meldde Nu.nl, dat er meteen aan toevoegde dat hier een privacyrisico aan zit: zo’n 86,6 procent van de 211.308 camera’s van particulieren en bedrijven is deels op de openbare weg gericht. De cijfers zijn van VPNGids, dat via de Wob deze informatie van… Lees verder

Mogen verse ouders de kraamverzorger in de gaten houden met de babycam?

| AE 11465 | Privacy | 35 reacties

Een lezer vroeg me: Wij zijn een kraamzorgbureau met drie vaste verzorgenden. Recent kwam een van onze medewerkers bij een nieuwe cliënt thuis, die vertelde dat er diverse camera’s hingen om de baby te kunnen zien én, ik citeer, “om te zien wat de kraamverzorgende op een dag doet.” Dat voelde zeer onprettig dus zij… Lees verder

Je mag de openbare weg filmen als dat nodig is voor je beveiliging

| AE 11407 | Informatiemaatschappij, Privacy | 22 reacties

Een lezer vroeg me: Onze buren hebben sinds vorig jaar een camera in voor- en achtertuin. Als je voor hun tuin staat op de stoep, dan wordt alles opgenomen wat je doet of zegt. Zij zeggen dat ze dat doen vanwege overlastgevende mensen in de buurt (hondenpoep, vuilnis op straat) maar ik voel me er… Lees verder

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder

Politie test koppelen cameradata tegen dieven in Roermond

| AE 10843 | Informatiemaatschappij | 41 reacties

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die… Lees verder

Mag de politie particuliere beveiligingscamera’s in een database stoppen?

| AE 9651 | Privacy | 11 reacties

Particulieren en bedrijven hebben al 160.000 beveiligingscamera’s aangemeld bij de politie, las ik bij Nu.nl. Via de database kunnen camerabeelden sneller worden opgevraagd na misdaden. De politie kan (uiteraard) niet live meekijken in al die databases, maar wel sneller een relevante camera vinden die mogelijk beelden van een ongeval of strafbaar feit heeft vastgelegd. Wat… Lees verder