Veel organisaties willen (slimme) camera’s of sensoren inzetten. Maar deze organisaties worstelen vervolgens met de vraag op welke manier ze moeten omgaan met privacy- regels. En dan vooral ook met de vraag: welke privacy bevorderende eisen moet ik stellen aan de leverancier van deze technologie? In de AVG staat natuurlijk geen standaard lijstje dat je aan je leverancier kunt meegeven.
Een kant-en-klaar lijstje is ook helemaal niet te maken. Waarom niet? Iedere inzet van een camera is anders, omdat iedere inzet een eigen doel heeft en daardoor een specifieke functionaliteit vraagt. Daardoor bestaat er per situatie een eigen afweging tussen de gewenste functionaliteit en de daarbij passende privacybeschermende maatregelen.
Iedere inzet van camera’s kent een eigen, optimale mix aan privacy beschermende maatregelen, omdat de keuze voor functionaliteit weer leidt tot andere, specifiekere privacy bevorderende maatregelen. Maar voor iedere inzet is er wel een optimale mix, die we voor het gemak een ‘Privacy by Design’-filter noemen.
Door onze diverse ervaringen met de inzet van camera oplossingen hebben we wel geleerd welke variabelen relevant kunnen zijn als onderdeel van zo’n privacy by design filter. Deze variabelen werken we in dit whitepaper verder uit en vallen uiteen in drie categorieën:
1. de structurele keuzes van de oplossing;
2. deconfiguratiemogelijkhedenbinnendeoplossing;
3. organisatorischemaatregelen.
De structurele keuzes die je allereerst maakt, zijn keuzes die onomkeerbaar zijn. Bij het ontwerp van het camerasysteem worden deze gemaakt en deze keuzes spelen een cruciale rol bij de selectie van een leverancier en/of oplossing. Deze keuzes moeten vóór aanschaf van een camerasysteem helder zijn, om mismatch met de (toekomstige) wensen te voorkomen.
Voorbeelden van architectuurkeuzes zijn bijvoorbeeld:
– Soort camera, denk hierbij vaste camera, verplaatsbare camera, mobiele camera (bodycam, drone).
– De wijze van plaatsing van de camera (hoog/ laag, vooraanzicht/ achteraanzicht, specifieke kijkhoeken).
– Beweeglijkheid van de camera’s (geen beweeglijkheid, versus pan / tilt / zoom, of vrij bewegen).
– Connectiviteitsmogelijkheden van de camera’s (verbonden met LAN, LoRa, Wifi, Bluetooth, 3G/4G/5G). Het type connectiviteit bepaalt mede welke gegevens kunnen worden doorgegeven (omvang verkeer, snelheid).
– Cameracapaciteiten. Zo kan worden gekozen voor de inzet van ‘domme camera’s’ die alleen beelden kunnen doorgeven of de inzet van ‘slimme camera’s’ waarop bewerkingen mogelijk zijn, bijvoorbeeld om objecten te herkennen of waarop door een algoritme iets kan herkennen.
– Plaats van de bewerking en opslag van de beelden (op de camera, op een edge computer of in een vertrouwde backoffice, in de cloud).
– Robuustheid van de infrastructuur. De camera’s kunnen worden beschadigd (door slijtage of technisch falen), onklaar gemaakt of gestolen. Relevant is dus ook of er mogelijkheden zijn om remote vast te stellen of de camera nog optimaal werkt.
– Bij vaste camera’s: mogelijkheden om de camera-opstelling te ontmantelen. Daar waar een camera op een eigen standaard staat of mobiel is, is dit eenvoudiger dan wanneer de camera geïntegreerd is in een andere installatie (bijvoorbeeld een VerkeersRegelInstallatie – VRI – stoplicht).
Structurele keuzes op deze punten vinden vaak plaats in de fysieke architectuur en de ICT architectuur.
Als de structurele keuzes zijn gemaakt, kunnen nog keuzes worden gemaakt in de configuratiemogelijkheden. Daarbij geldt dat de mogelijkheid tot configureren bij de selectie van de camera op- lossing te worden getoetst, maar dat de exacte configuratiekeuzes later kunnen worden gemaakt.
Zaken die bij camera’s mogelijk configureerbaar zijn, zijn bijvoorbeeld:
– Wanneer moet de camera aan staan (default uit / aan, bepaalde data of tijdslots, aan bij bewegingsdetectie of auditief signaal).
– Bewaren van beelden (default alles bewaren / niets bewaren, maximaal hoe lang bewaren, extractie van beelden ter bewijsvoering).
– Veiligheid van de infrastructuur, te onderbouwen door beleid, technische toets (pentest) en periodieke controle.
– Het kunnen toevoegen van betrouwbare metadata, zoals datum, tijd en locatie (en bij slimme camera’s bijvoorbeeld zekerheidspercentages na signalen van algoritmes die beelden interpreteren).
– Beheermogelijkheden van camera’s (on site, remote), controle op fysieke toegang en logische toegang.
– Kwaliteit van beheerprocessen en ‘software uitrol / patch management’ processen voor uitrol van nieuwe software of algoritmes op slimme camera’s.
– Mogelijkheden om beelden (deels of gedeeltelijk) te anonimiseren:
o Blurren door middel van een algoritme.
o De verwerking van persoonsgegevens tot een minimum te beperken door de camera alleen tellingen te laten doorgeven (alleen bij slimme camera’s)
o Bij vaste camera’s: camerabeeld deels af te schermen als een deel van het beeld een prive ruimte observeert.
Ten derde, kent het ‘Privacy by Design’-filter organisatorische maatregelen. Voorafgaand aan de inzet van een camerasysteem moet worden gekeken of aan deze maatregelen kan worden voldaan. Het gezegde ‘a fool with a tool is still a fool’ geldt ook voor de inzet van camera’s.
Denk hierbij aan de volgende maatregelen:
– Zorg dat medewerkers geen toegang hebben tot camerabeelden als zij dit niet nodig hebben. Een autorisatiematrix een proces voor verkrijgen en intrekken van rechten om toegang te krijgen tot beelden en/of andere verkregen persoonsgegevens. Zijn er verschillende doeleinden waarvoor medewerkers beelden verwerken en voor die doeleinden meer/minder beelden nodig, dan moet bij de inrichting van de autorisaties daarmee rekening worden gehouden.
– De mensen die de beelden interpreteren moeten hier professioneel mee omgaan (denk hierbij eisen aan geheimhouding, niet stiekem camerabeelden vastleggen met bijvoorbeeld eigen telefoon).-
– Bepaal wie de rol van verantwoordelijke heeft voor de verwerking van persoonsgegevens en wie de verwerker. Stel vast welke andere partijen nog meer gebruik maken van deze faciliteiten en zijn met deze partijen passende afspraken gemaakt (verwerkersovereenkomst of vergelijkbaar).
– Als verschillende verwerkingsverantwoordelijken camerabeelden willen gebruiken, kunnen technische of organisatorische maatregelen nodig zijn die ervoor zorgen dat iedere verantwoordelijke niet meer persoonsgegevens verwerkt dan die nodig zijn voor het betreffende doel.
– Welke procedures worden gehanteerd bij het betrouwbaar verstrekken van bewijs aan anderen:
1. Wie (politie, andere gemeentes, burgers, private partijen) en 2. Hoe (wijze van extractie beleid, wijze van overdracht beleid). Welke bewaartermijn geldt voor vastgelegd beeld dat in opdracht van anderen ter bewijsvoering wordt bewaard?
– Welke eisen worden gesteld aan leveranciers van componenten. Denk hierbij aan eisen dat infrastructuur componenten niet mogen worden gefabriceerd in landen die niet worden vertrouwd.
– Welke eisen worden gesteld aan beheerders van componenten. Denk hierbij aan eisen die worden gesteld aan beheerders van componenten (vertrouwelijkheid, betrouwbaarheid personeel), dit te bevestigen door een audit of certificering.
Dus na het nemen van deze maatregelen en de installatie zijn we klaar? Nee.
De effectiviteit van het ‘privacy by design’-filter en dan met name de configureerbare parameters en organisatorische maatregelen moet periodiek opnieuw worden beoordeeld. Houd daarbij rekening met de stand van de techniek of mogelijk veranderd gebruik. Mogelijk zijn aanvullende maatregelen nodig of moeten bestaande maatregelen anders worden ingericht. En ook het uitzetten van de camera’s kan een logisch besluit zijn, bijvoorbeeld als de inzet niet langer noodzakelijk meer is, hoogstens ‘makkelijk’.
Met deze mix van opties moet het mogelijk zijn een passende weg te vinden voor een privacy vriendelijke inzet van slimme camera’s. Wil je meer weten over dit onderwerp? Neem contact op met Frank van Vonderen via frank.vanvonderen@vka.nl of via 06-12557358.