Gelden de strenge Ierse regels over dashcams ook bij ons?

| AE 11235 | Ondernemingsvrijheid, Privacy | 11 reacties

Steeds meer mensen nemen een dashcam, en daarom leek het ons goed de regels daarover eens netjes uit te leggen. Aldus mijn parafrase van de nieuwe dashcamregels van de Ierse Autoriteit Persoonsgegevens. Of nou ja, nieuw: het is een invulling van de AVG die in Ierland natuurlijk net zo goed geldt als bij ons. Maar allemachtig wat een stoffig stuk en hoe onwerkbaar hebben ze het opgeschreven. Je zou bijna gaan denken dat je maar beter géén dashcam in je auto moet nemen. Ik ben er nog niet uit of dat de bedoeling is.

De AVG kent natuurlijk heel veel regels, en als je die gaat toepassen op een consument met een auto met daarin een naar buiten gerichte camera met opnamefunctie dan krijg je nogal wat. Informatieplichten: hang maar een duidelijke sticker op je auto. Register van verwerkingen: leg maar een papiertje thuis met waarom je een camera hebt en wat je doet met de beelden. Recht van inzage: op die sticker hoe mensen je kunnen bereiken voor inzageverzoeken. Vergeetrecht. Eh. En ga zo maar door. Oh ja, en als de politie het vraagt dan moet je wel een belangenafweging maken.

Op zich is het allemaal niet zo héél raar, dit krijg je als je regels bedoeld voor grote organisaties loslaat op een privésituatie. Maar het leest wel erg absurd natuurlijk, als je in die regels ook geen momentje ruimte toont voor de unieke situatie of het zeer kleinschalig karakter. Ik ben zeg maar verrast dat je geen PIA moet uitvoeren voor je de dashcam in gebruik mag nemen.

Geldt dat nu ook bij ons? Nou ja, de AVG is een Europese wet dus die regels gelden hier net zo goed. En als je die op dashcams loslaat dan krijg je natuurlijk hetzelfde verhaal, maar dan in het Nederlands.

Helemaal lekker voelt dat niet, zeker niet gezien de praktijk hier dat iedereen er gewoon vrolijk mee rondrijdt en aangifte doet (of verzekeringsclaims indient) wanneer de beelden wat relevants bevatten. Het wil er bij mij dan gewoon niet in dat de AVG dit heeft willen doorkruisen en verbieden (of zo onwerkbaar maken dat het de facto verboden is).

De AVG kent natuurlijk een uitzondering voor strikt persoonlijk of huishoudelijk gebruik. Maar die wordt heel beperkt uitgelegd – de Ieren concluderen vrij eenvoudig dat deze niet opgaat bij een dashcam. Dat baseren ze op een uitspraak uit 2014 van het EU Hof van Justitie, die bij beveiligingscamera’s rond een huis gericht op de openbare weg concludeerde

Voor zover het gebruik van een videobewakingssysteem, zoals dat in het hoofdgeding, de openbare ruimte bestrijkt – zelfs gedeeltelijk – en hierdoor buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt, kan het niet worden beschouwd als een activiteit die met uitsluitend „persoonlijke of huishoudelijke doeleinden” wordt verricht (…)

Ik ben er nog steeds niet uit wat dit nu betekent. Bij iedere verwerking van persoonsgegevens kom je in andermans privésfeer, lijkt me zo. Dat is het hele punt van verwerken van andermans persoonsgegevens. Wat is een fundamenteel verschil tussen enerzijds een adresboek van een particulier en anderzijds een bewakingscamera van een particulier? Val ik onder de AVG als ik thuis zit en in de WhatsApp-buurtapp roep wie ik voorbij zie lopen?

Het enige echte argument dat ik kan bedenken, is dat je bij dat cameratoezicht uit die casus structureel andere mensen filmt op een specifieke plek. Dat is wel meer dan je adresboek of “er loopt nu een raar type met bontkraag, kent iemand die” appen naar de buren. Gezien het doel van de AVG zou ik het verdedigbaar vinden dat je dán zegt, nu gaat de wet lopen en ga je het maar eens netjes aanpakken.

Inderdaad, dat is precies het argument waarmee ik al jaren verdedig dat dashcams buiten het strafrecht vallen – de “aangebrachte” camera uit de strafwet is een camera die structureel één plek filmt. En dan zeg ik dus dat een dashcam die rondrijdt buiten de AVG valt, omdat deze niet structureel één plek filmt.

Als je dat niet accepteert, dan is dus ieder verwerken van persoonsgegevens dat je eigen huis(genoten) overstijgt een niet-huishoudelijke/niet-persoonlijke verwerking. Dan blijft er eigenlijk niets over, en ik kan gewoon niet geloven dat de AVG dat bedoeld heeft.

Arnoud

Duitse rechter: dashcam mag niet

| AE 9718 | Security | 36 reacties

Automobilisten mogen in Duitsland geen camera in hun voertuig zetten. Dat meldde de Telegraaf maandag. Een Duitse vrouw kreeg een boete van 150 euro, nadat ze met de dashcam verkregen beelden van een parkeerbotsing had gebruikt als bewijs bij haar aangifte. Nu schijn ik een privacyfetishist te zijn, maar hier zakt toch mijn broek van af.

Duits nieuws helpt een beetje meer duiding te krijgen. Een vrouw had een dashcam in haar auto geplaatst, en liet die ook lopen bij het parkeren. Dit omdat ze al eerder schade had gehad aan haar BMW X1. Toen er ook daadwerkelijk schade was, stapte ze met de beelden naar de politie: mooi bewijs van wie het gedaan had.

Tot haar verrassing werd zij zelf vervolgd: de camera had drie andere auto’s gefilmd en daarmee de persoonlijke levenssfeer van die bestuurders geschonden. Iets preciezer, de Duitse Wet bescherming persoonsgegevens. Het verwerken van alle kentekens van passerende auto’s is onrechtmatig als er geen duidelijke grondslag is, en enkel willen weten wie jouw auto molesteert, is daarvoor niet genoeg volgens de rechtbank München, dat met een glijdendeschaalargument de dashcam onrechtmatig verklaart: het kan niet zo zijn dat straks iedereen elkaar permanent gaat filmen.

Raar. Ja, het klopt dat de openbare weg filmen onder de privacywet valt. Je moet daar een goede reden voor hebben. Maar mij lijkt het vrij evident legitiem dat je filmt wie tegen jouw eigen auto aanbotst. Dat je in de praktijk dan ook andere auto’s filmt, lijkt mij een nauwelijks te vermijden en minimaal risico voor de privacy van derden, zeker als daarbij geen personen in beeld kwamen – zoals bij de Duitse mevrouw het geval was.

In Nederland heb ik er geen twijfel over dat een dashcam legaal is, en dat je pas in de problemen komt bij het publiceren van de beelden. Ja, ook hier geldt natuurlijk dat Europese arrest dat je onder de Wbp moet kunnen rechtvaardigen dat je de weg filmt en daarbij mensen hun gezicht en/of kenteken vastlegt. Maar op de openbare weg gefilmd worden is een bekend en aanvaardbaar deel van het gewone leven, en ik zie niet waarom dat categorisch niet moet kunnen tenzij zwaarwegend nieuwsbelang of zo.

Arnoud

Drones en dashcams krijgen strenge nieuwe privacyregels

| AE 8400 | Security | 27 reacties

drone-camera-vliegenEen drone met camera moet een encrypted filesystem hebben, en wie met een dashcam gaat rijden, moet eerst in de buurt gaan flyeren dat hij rondrijdend cameratoezicht gaat toepassen. Dat maak ik op uit de nieuwe Beleidsregels Cameratoezicht die de Autoriteit Persoonsgegevens (het blijft wennen, die naam) vorige week publiceerde. Met deze regels wil de AP verduidelijken wat er wel en vooral wat er niet mag met cameratoezicht.

Cameratoezicht is een verwerking van persoonsgegevens, begint het. Ook als je alleen live kijkt. Een beeld van een persoon is een persoonsgegeven, en alles dat je daarmee doet is een verwerking. Dus ook het bekijken van dat beeld via een computersysteem. Je kunt dus – afgezien van de particulier die zijn eigen huis van binnen van camera’s voorziet – nooit meer onder de Wbp, de privacywet uit.

Daar komt dan nog even een vervelende hobbel tussendoor: eigenlijk zijn het bijzondere persoonsgegevens, en die mag je überhaupt niet verwerken behalve in een paar gevallen die bij cameratoezicht niet opgaan. Maar om “opportune redenen” besluit de AP dat camerabeelden alleen bijzondere persoonsgegevens zijn als je het doel hebt informatie over bijvoorbeeld ras of gezondheid van mensen te vergaren. (Dat “doel”-vereiste geldt overigens alleen bij dit onderdeel. Als je per ongeluk mensen in beeld brengt met je schoorsteen-inspectiedrone, dan is dat gewoon een verwerking en moet je de camera maar later aanzetten.)

Wil je camerabeelden verwerken, dan moet je daar een rechtvaardiging voor hebben onder de Wbp. Dat zal gewoonlijk het eigen dringende belang zijn, oftewel u kunt niet anders én u heeft alles gedaan om de privacy zo veel mogelijk te beschermen. Maar de AP zit er streng in: denk vooral niet te snel dat je een voldoende belangrijk belang hebt. Je kunt heel vaak ook alternatieven invoeren, en dat die een beetje duurder of voor jou ingewikkelder zijn, is minder van belang.

Beveiliging van personen of goederen is in principe een legitiem doel, maar de privacy van anderen weegt zwaar. Zorg dus dat je beleid hebt dat rechtvaardigt waarom je er zonder camera niet komt. Zijn er geen poortjes te plaatsen of tassen te doorzoeken? Moet de camera de hele werkvloer filmen of kan hij ook beperkt tot die kassa waar soms geld uit verdwijnt?

Verder heb je beveiligings- en informatieplichten. Camerabeelden kunnen ook datalekken, dus logisch dat je de opslag en het gebruik daarvan netjes moet regelen. Documenteer wat je doet, en zorg ervoor dat dat wordt nageleefd. Hier staat niets geks, het is eigenlijk al lang best practice om dit gewoon goed uit te werken en op te letten wat er gebeurt met je beelden.

Maar dat pakt wel gek uit bij drones en dashcams. Als een drone uit de lucht valt, aldus de AP, dan kan de vinder bij de beelden en dat is een datalek. Daarom moeten de beelden versleuteld opgeslagen zijn. Ja, dat vind ik een tikje gezocht.

Informeren dat je cameratoezicht hanteert, is ook een belangrijke. Een bedrijf kan dat prima: hang een bordje op en leg een kopie van dat beleid bij de receptie. Inzage is dan ook nog wel te regelen. Maar hoe doe je dat bij een drone? Nou, zo:

Te denken valt aan het plaatsen van borden aan de randen van het vlieggebied, een vooraankondiging en het verstrekken van actuele informatie op de website van de verantwoordelijke en via (sociale) media en bijvoorbeeld gemeentelijke nieuwsbrieven, het ter plekke uitdelen van informatiefolders en het zichtbaar en hoorbaar maken van de drones door middel van bijvoorbeeld felle kleuren, (knipperende) lichten en geluidssignalen.

Voor dashcams doet men niet eens een póging dit uit te werken, en ik zou ook werkelijk niet weten hoe je daaraan zou kunnen voldoen.

Afijn. Een heel nobel streven deze richtlijnen, maar het bevestigt bij mij alleen maar het beeld van die kaartenbakwet die overal op toegepast wordt. Een drone of dashcam ís geen personeelsadministratie of klantrelatiedatabank. En regels die goed passen bij die twee dingen, werken gewoon niet als je het vertaalt naar een drone. Desalniettemin, het idee van sectorspecifieke privacywetgeving gaat hem voorlopig echt niet worden. Dus voorzie die drone van knipperlichten en strooifolders, en laat een mannetje vooruit lopen als je met je dashcam gaat rijden.

Arnoud