200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere misstanden.

Voor de duidelijkheid: Camera in Beeld is géén centrale toegang tot private beveiligingscamera’s. Het is een database met waar camera’s hangen, welk deel van de straat wordt opgenomen en wie de beheerder is. Zo kan de politie zoeken naar beelden van een misdrijf (zoals een vluchtende verdachte) en direct de juiste persoon benaderen met een vordering tot afgifte. Want ja, de politie moet die beelden opeisen en kan niet zomaar snuffelen of vrijwillig vragen beelden aan te leveren.

Juridisch lijkt me dit prima in orde. De kern zit hem in dat vorderen. Dat is een wettelijk recht van de politie, het enige nieuwe van Camera in Beeld is dat men makkelijk en snel weet bij wie de vordering moet worden neergelegd. Met deze route kunnen er ook geen discussies ontstaan of de camera-eigenaar dit wel had moeten doen of niet; bij een vordering moet het gewoon, klaar.

Het gaat vrijwel altijd om beelden van de openbare weg. (Natuurlijk kan men ook beelden van privéterrein zoeken hiermee, maar dan gaat het om misdrijven gepleegd op dat terrein en dan is de eigenaar vaak zelf aanwezig om de camera aan te wijzen en de beelden op vordering te verstrekken.) Daar kun je vraagtekens bij stellen vanuit privacyoogpunt, maar ook illegale beelden zijn bewijs wanneer burgers ze hebben gemaakt. De AVG of het portretrecht staat niet in de weg aan gebruik van camerabeelden voor opsporing en vervolging van strafbare feiten.

In het verleden waren er nog wel geluiden vanuit de AP dat filmen van de openbare weg met je beveiligingscamera niet zou mogen. Zowel de politie als de AP bevestigen nu dat de regels overigens niet zó streng zijn dat cameratoezicht op de openbare weg nooit mag. De AP zegt nu:

De AVG is wél van toepassing als u delen van de openbare ruimte filmt voor beveiliging. Bijvoorbeeld als u een camera in uw tuin heeft om uw woning te beveiligen en deze camera ook de openbare weg filmt die aan de tuin grenst. U mag alleen dát deel van de openbare weg filmen dat noodzakelijk is om uw woning te beveiligen.

Die noodzaak zul je overigens vooraf moeten bedenken en motiveren (op papier zetten dus), je kunt niet volstaan met “dat kwam handig zo uit” of “de installateur zei dat de camera hier moest”. Je zou kunnen denken aan kwesties als de auto ook willen bewaken, omdat er in jouw buurt nog wel eens auto’s bekrast worden, of kunnen vastleggen wie er jouw oprit op draait zodat je nummerbord en bestuurder kunt vastleggen. Maar wie bang is voor diefstal in de achtertuin, heeft denk ik een lastiger argument waarom de stoep vóór ook gefilmd moet worden.

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de regels voor politie en Justitie, en de beveiliging ligt ook niet helemaal lekker. Maar het is ondertussen wel wettelijk verplicht.

Het CIOT is in 2000 ingesteld onder het Besluit verstrekking gegevens telecommunicatie. De kern is dat internetproviders elke dag basisgegevens over hun abonnees uploaden naar een centrale databank beheerd door dat Informatiepunt, waarna Justitie daar makkelijk centraal in kan graven bij een vermoeden van een misdrijf. De basisgegevens zijn kort gezegd naam en adres, IP-adressen en eventuele accountinformatie behorend bij een mailbox van de provider zelf.

Hiermee is het sneller schakelen voor de politie dan wanneer men elke keer een individueel bevel aan de provider moet geven, die dan moeilijk gaat doen en roepen dat er een gerechtelijk bevel moet komen. Dat is niet zo -iedere agent mag zonder bevel of machtiging dergelijke gegevens opvragen als dat in het belang van het onderzoek is- maar dat kost natuurlijk tijd en die wil je als politieagent niet hieraan verspillen.

Aanname achter het CIOT was natuurlijk wel dat de toegang goed geregeld wordt. Dit staat ook zo in het Besluit:

Een verzoek van de bevoegde autoriteit, bedoeld in artikel 3, tweede lid, kan slechts in het systeem worden ingevoerd door een door Onze Minister van Veiligheid en Justitie geautoriseerde ambtenaar die daartoe gebruik maakt van een hem toegekende toegangscode.

In de praktijk valt dat tegen. Er is ‘onduidelijkheid’ over de procedures, informatie wordt te lang bewaard en aan die toegangscontrole schort het nogal. Daarmee snap ik wel dat Voys besluit (en al zes jaar lang, volgens de NOS) om geen gegevens te verstrekken vanuit het privacybelang van haar klanten. Wat zeer loffelijk is.

Tegelijk, je bent wettelijk verplicht om aan het CIOT mee te werken. Doe je dat niet, dan kun je bestuursrechtelijk worden vervolgd met mogelijk hoge boetes in het vooruitzicht. Gezien de periode van zes jaar waarin Voys al niet meewerkt, lijkt het onwaarschijnlijk dat dit er nu van gaat komen. Jammer, het zou een interessante vraag zijn wat er wint: de plicht om te doen wat de wet zegt, of de onredelijkheid van een wet die de verplichtingen voor de overheid niet waarmaakt.

Arnoud

Ja, de politie mag illegale camerabeelden gewoon gebruiken als bewijs

| AE 10688 | Regulering | 58 reacties

De politie kan nu een beroep doen op bijna 200.000 vrijwillig aangemelde privécamera’s. Politievakbonden willen een verplicht register, zoals in België. Dat meldde het AD vorige week. Het register stelt de politie in staat om snel camerabeelden te verkrijgen van strafbare feiten en andere misstanden. Een punt van aandacht daarbij is dat het dan vaak… Lees verder

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Politie werkt aan Pokémon Go-achtige app voor opsporing gestolen auto’s

| AE 9727 | Regulering | 48 reacties

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers… Lees verder

Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar… Lees verder

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Regulering | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen…. Lees verder