Auteur: Merel Geurts
Dit artikel is ook geplaatst in de nieuwsbrief van Privacyweg, d.d. 18-6-2020.
Merel Geurts is student aan de Juridische Hogeschool Avans & Fontys. Zij heeft dit artikel geschreven naar aanleiding van haar afstudeeronderzoek in opdracht van het Lectoraat Recht en Digitale Technologie van deze hogeschool. Colette Cuijpers, de lector, is uitgeroepen tot lector van het jaar 2020.
“Detecteer bewegingen wanneer iemand je terrein betreedt. Ontvang meldingen op je telefoon, tablet of pc. Zie, hoor en spreek bezoekers in realtime, waar je ook bent.”(1) Aldus Ring, een van de populairste merken in de beveiligingswereld. Dit klinkt voor veel consumenten als muziek in de oren. Want wie wil er nu niet weten wat er rondom zijn huis gebeurt en wie het terrein betreedt? Daarbij is het ook gewoon handig om de postbezorger op afstand te kunnen vertellen dat het pakketje in de tuin gezet mag worden. Maar zijn consumenten zich wel bewust van de juridische aspecten die de gadget met zich meebrengt?
We lezen wel vaker dat er een goede reden moet zijn om een videocamera op te hangen of dat dit alleen mag wanneer het noodzakelijk is, maar wat wordt hier dan mee bedoeld en wat is de rol van de consument? Daar komt bij dat de gebruiker zelf ook privacyrisico’s creëert. We zijn nieuwsberichten zoals ‘De app van de slimme deurbel Ring zit vol met trackers die persoonsgegevens versturen naar adverteerders’(2) en ‘Vier Ring-medewerkers ontslagen om misbruiken gebruikersvideo’s’(3) toch nog niet vergeten? De populaire gadget heeft dus twee kanten.
Valt een videodeurbel onder de privacywet?
Door de digitale videodeurbel te installeren en te gebruiken, moet de consument mogelijk voldoen aan de Algemene verordening gegevensbescherming (AVG), de zogenoemde privacywet. De koper zal misschien denken dat hij of zij daar niet onder valt, want de deurbel is toch gewoon voor privégebruik? Wanneer de digitale videodeurbel echter een gedeelte van de openbare ruimte filmt, moet wel degelijk worden voldaan aan alle verplichtingen uit de AVG. Om dit te voorkomen, moet de consument het bereik van de videodeurbel zo instellen dat alleen het eigen terrein wordt gefilmd. Wanneer het om een woonwijk gaat, wordt dit lastig. De deurbel filmt dan al snel een stuk van de stoep of straat mee en in dat geval valt de digitale videodeurbel wél onder de AVG. Daarbij komt ook dat de gegevens niet mogen worden gedeeld op het internet. Hoewel de Ring-app een standaard functie heeft om de beelden via WhatsApp of Facebook te delen, wordt sterk aangeraden dit niet te doen. Wanneer de gebruiker dit wel doet, valt de verwerking niet onder privégebruik en ook dan moet aan de volgende verplichtingen worden voldaan.(4)
Waar moet de consument aan voldoen als hij of zij wel de openbare ruimte filmt?
Voordat de consument de digitale videodeurbel in gebruik neemt, dient het doel van de verwerking schriftelijk te worden vastgelegd. Dit doel kan het beschermen van eigendommen en terrein zijn. De verwerking van persoonsgegevens voor dit doel moet te baseren zijn op een wettelijke grondslag. In de wet zijn verschillende grondslagen opgenomen, maar voor videocamera’s wordt veelal toestemming van de betrokkene of de behartiging van een gerechtvaardigd belang gebruikt. Het aantonen van toestemming is gezien de aard van de videodeurbel, waarbij ook onbekende personen gefilmd worden, moeilijk te bewijzen. Daarom wordt aangeraden de verwerking te baseren op de grondslag ‘gerechtvaardigd belang’.(5) Maar wat houdt dit dan precies in en wat moet de consument doen?
Ten eerste moet de consument een gerechtvaardigd belang hebben. Er is bepaald dat de bescherming van eigendommen een gerechtvaardigd belang is, maar dit belang moet wel actueel zijn.(6) Dit betekent dat er een situatie van nood moet zijn voordat de digitale videodeurbel mag worden opgehangen. Hierbij valt te denken aan een eerdere inbraak of het wonen in een wijk waar veel woninginbraken plaatsvinden.
Daarnaast moet de consument zich altijd afvragen of de videodeurbel geschikt is om het doel te bereiken en of er geen minder ingrijpende maatregel is; beveiligingssloten kunnen bijvoorbeeld ook worden gebruikt om inbraak te voorkomen. Deze maatregel maakt in tegenstelling tot de videodeurbel geen inbreuk op de privacy van bezoekers of voorbijgangers. De consument dient deze overweging van tevoren te maken. De noodzaak eindigt in principe aan de eigendomsgrens, maar aangezien een deel van de openbare ruimte filmen in veel gevallen onvermijdelijk is, dienen technische maatregelen te worden genomen om dit te beperken.(7) Zoals eerder besproken, is de bewegingsdetector van de deurbel aan te passen. Zo kan de consument precies bepalen wat noodzakelijk is voor het doeleinde en de niet-noodzakelijke gedeelten uitschakelen. De consument ook na te gaan welk soort gebruik noodzakelijk is. De deurbel van Ring is zowel met als zonder abonnement te gebruiken. Zonder abonnement heeft de consument een deurbel die alleen livebeelden vastlegt, maar met abonnement worden de beelden ook bewaard en opgeslagen.(8) Wanneer alleen het voorkomen van inbraak het doeleinde is, is bepaald dat realtime-monitoring voldoende is.(9) Wanneer het abonnement wel noodzakelijk is voor het doeleinde moet de consument rekening houden met opslagbeperking. Het is belangrijk dat de inhoud niet langer wordt bewaard dan noodzakelijk is voor het doeleinde. Als het doel het beschermen van eigendommen is, kan schade vaak in 72 uur worden vastgesteld. Dit betekent dat langer bewaren in strijd zou zijn met de AVG. Als de inhoud langer wordt bewaard, moet de consument kunnen aantonen dat dit noodzakelijk was.(10)
Tot slot dient de consument de belangen van de personen die hij of zij filmt altijd af te wegen, door te kijken naar de gevolgen voor de betrokkenen en de ernst van de inbreuk op hun privacy. De consument dient deze gevolgen vervolgens te voorkomen of te beperken door bovenstaande punten in acht te nemen.(11)
Welke verplichtingen heeft de consument nog meer?
Wanneer aan alle bovenstaande voorwaarden is voldaan, dient de consument ook nog aan de volgende verplichtingen te voldoen:
Informatieplicht
De consument is verplicht om personen te laten weten dat zij gefilmd worden door de digitale videodeurbel. Hoe? De consument kan daarvoor gebruikmaken van een waarschuwingsbord. Dit bord moet zo geplaatst worden dat de personen op de hoogte zijn van de videodeurbel voordat zij het gefilmde terrein betreden. Het bord kan dus het beste worden bevestigd aan het begin van het bewaakte terrein, bijvoorbeeld op een poort. Het waarschuwingsbord moet de belangrijkste informatie bevatten, waaronder de identiteit van de consument, het doel van de verwerking en de rechten van betrokkenen, maar ook of de opnamen worden bewaard of gedeeld. Het waarschuwingsbord moet verwijzen naar bijvoorbeeld een link of een telefoonnummer, waar de personen meer informatie kunnen vinden.(12) De waarschuwingssticker die Ring meelevert, voldoet hier niet aan. De consument dient een ander bord te gebruiken of de sticker aan te vullen met deze informatie.
Beveiligingsplicht
Ook is de consument verplicht maatregelen te nemen om de verzamelde gegevens te beveiligen.(13) Dit dient vooraf te worden gedaan. Hier komt de bewegingsdetector weer bij kijken, deze moet zo privacyvriendelijk mogelijk in te worden gesteld. Dit betekent dat de consument de detector instelt op de minimale afstand van twee meter en dat hij of zij de gebieden waarop de openbare ruimte te zien is, uitzet in het bewegingsveld van de deurbel. Vervolgens moet er alles aan worden gedaan om de verzamelde gegevens zo goed mogelijk te beveiligen:
Het instellen van tweefactorauthenticatie in de Ring-app;
Het instellen en periodiek wijzigen van een sterk en uniek wachtwoord;
Het niet delen van persoonsgegevens met derden;
Het aan Ring gekoppelde apparaat updaten en beveiligen met een wachtwoord.(14)
Registerplicht
Tot slot is de consument verplicht een verwerkingsregister bij te houden, want hij of zij moet een overzicht van de verwerking kunnen overhandigen wanneer de Autoriteit Persoonsgegevens (AP) hierom vraagt. Dit overzicht moet de belangrijkste informatie bevatten, waaronder bijvoorbeeld de contactgegevens van de consument en het doel van de verwerking.(15) Om het de consument gemakkelijk te maken, is een voorbeeld verwerkingsregister opgesteld.(16)
Wat gebeurt er als de consument deze verplichtingen niet nakomt?
Het verantwoord gebruiken van de digitale deurbel is niet voor niets. De AP kan maatregelen opleggen. Hierbij moet u denken aan een verwerkingsverbod waardoor de consument de videodeurbel niet meer mag gebruiken, maar ook een geldboete. Personen die hij of zij filmt kunnen daarnaast in actie komen. Zij kunnen een klacht indienen bij de toezichthoudende autoriteit, waardoor de consument wellicht moet stoppen met de verwerking en het gebruik van de videodeurbel. De betrokkene kan zich ook tot de rechter wenden en een schadevergoeding eisen voor de inbreuk op zijn rechten.(17)
Dit is uiteraard allemaal niet wat de consument wilt en verwacht wanneer hij of zij een digitale videodeurbel aanschaft. Want zo’n digitale gadget is toch gewoon erg handig en leuk? Wanneer de stappen uit dit artikel worden gevolgd en verantwoord met de digitale videodeurbel wordt omgegaan, blijft de gadget dit ook. Nogmaals, deze stappen gelden niet wanneer de deurbel alleen voor privédoeleinden wordt gebruikt en de openbare ruimte niet wordt gefilmd. In dat geval loopt de consument wel de volgende andere privacyrisico’s.
Overige risico’s die de consument loopt, ook zonder de openbare ruimte te filmen
Het gebruiken van de digitale videodeurbel van Ring brengt ook risico’s voor de gegevens van de consument met zich mee. Uit de servicevoorwaarden en de privacyverklaring blijkt dat Ring meer doet met deze gegevens dan u wellicht zou denken. Ring kan onder andere de gebruikersopnamen openen en gebruiken, de bewaarde gegevens doorverkopen of delen en deze gegevens overdragen naar andere landen.(18)
Verder is uit onderzoek gebleken dat Ring op bepaalde punten niet of niet geheel in overeenstemming handelt met de AVG. Zo weten we niet welke gegevens voor welke doeleinden worden verwerkt. Het lijkt alsof de gegevens op een stapel komen te liggen en Ring alle gegevens voor elk doeleinde kan gebruiken. Heel transparant kunnen we dit dus niet noemen. Uiteraard heeft ook Ring een wettelijke grondslag nodig om de gegevens van de consument te mogen verwerken. Mede door gebrek aan informatie is er voor een aantal doeleinden geen wettelijke grondslag gevonden. Ook is het niet te achterhalen hoelang de gegevens worden opgeslagen; er worden onduidelijke of zelfs geen opslagtermijnen gegeven. Tot slot valt er genoeg te zeggen over de beveiliging van Ring. Zoals in het begin van dit artikel al is beschreven, zijn er situaties gebleken waarin Ring onvoldoende bescherming heeft geboden. Inmiddels zijn er nieuwe veiligheidsmaatregelen geïntroduceerd, maar ook daar wordt veel verantwoordelijkheid bij de consument neergelegd. Zo dient de consument gepersonaliseerde advertenties, waarbij het merk de gegevens van de consument deelt, zelf uit te schakelen in de Ring-app. Verder wordt sterk aangeraden de gegevens te beschermen door de maatregelen te nemen zoals omschreven bij de beveiligingsplicht. Als de consument dit doet, kan hij of zij de bescherming van de bewaarde gegevens voor een groot deel waarborgen en op een verantwoorde manier gebruik maken van de gadget.
Voetnoten
(1) Doorbells, nl-nl.ring.com.
(2) Slimme Ring deurbel stuurt stiekem data naar adverteerders, 28 januari 2020, rtlnieuws.nl.
(3) Vier Ring-medewerkers ontslagen om misbruiken gebruikersvideo’s, 9 januari 2020, nu.nl.
(4) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 7-8.
(5) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 14.
(6) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 9-10.
(7) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 11.
(8) Protect plans, nl-nl.ring.com.
(9) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 11.
(10) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 28.
(11) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 11.
(12) The European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020, edpb.europa.eu, p. 26- 27.
(13) Artikel 25 en artikel 32 AVG.
(14) Extra lagen beveiliging en controle, 24 februari 2020, nl-nl.ring.com.
(15) B. W. Schermer, D. Hagenauw, N. Falot, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, 22 januari 2018, autoriteitpersoonsgegevens.nl, p. 52.
(16) Voorbeeld register
(17) B. W. Schermer, D. Hagenauw, N. Falot, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, 22 januari 2018, autoriteitpersoonsgegevens.nl, p. 90-92.
(18) Servicevoorwaarden en privacyverklaring.
No Comments