Camera’s die ‘onze en uw veiligheid’ bewaken, dat zijn wij wel gewend tegenwoordig. Echter camera’s in reclamezuilen die onaangekondigd passagiers op stations volgen en analyseren, dat is toch niet helemaal wat men verwacht.

Toch gebeurde dit al, bleek nadat een Twitter-gebruiker vragen begon te stellen over kleine cameraatjes in de zuilen. Exterion Media, de aanbieder van de zuilen, en NS reageerden hierop dat dit allemaal conform de wet was. Exterion Media noemt de camera’s ‘sensoren’, en men stelt dat de gegevens niet opgeslagen worden en niet herleidbaar zijn.

Kort door de bocht stelt men: de data die wij opslaan, zijn ‘anoniem’, dus wij hoeven niet aan de privacywetgeving (momenteel de Wet bescherming persoonsgegevens, per 25 mei 2018 de Algemene Verordening Gegevensbescherming en bijbehorende Uitvoeringswet) te voldoen.

Anoniem, dus alles mag?

Het misverstand dat ten grondslag aan Exterion Media’s ‘verweer’ ligt, kom ik vaker tegen: de gegevens die wij hebben, zijn niet naar individuele personen te herleiden, dus wij hebben niets met privacywetgeving te maken.

Echter, bij verkrijging van de gegevens voordat deze anoniem opgeslagen worden, is wel gewoon sprake van ‘persoonsgegevens’: namelijk “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” (een gegeven dat direct of indirect ‘iets’ over een specifiek persoon zegt). 

Een ‘verwerking’ is daarbij volgens de Wet bescherming persoonsgegevens “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”: kort samengevat, eigenlijk  ‘alles wat je met persoonsgegevens doet’.

Hoewel het in de Europese dataprotectierichtlijn 95/46/EG waarvan de Wet bescherming persoonsgegevens een nationale uitwerking is, in tegenstelling tot de nieuwe Algemene Verordening Gegevensbescherming (AVG, of in het Engels: GDPR), niet letterlijk genoemd wordt dat ‘anonimiseren’ een verwerking is, wordt dit wel algemeen door veel juristen aangenomen. 

Verwerking camerabeelden

Om een simpel voorbeeld te geven: de kunstmatige intelligente software achter de camera’s in de reclamezuilen brengt allerlei gedetailleerde gegevens  van de voorbijgangers in kaart om hieruit informatie af te leiden. Volgens artikelen in de media zou het gaan om informatie zoals leeftijd, geslacht en de duur dat men naar de reclame kijkt. Daarnaast is het technisch ook goed mogelijk dat de software probeert te achterhalen wat de afkomst/ras van de mensen op het station is. Hoewel ik dit in casus niet verwacht, blijkt uit onderzoek dat het zelfs theoretisch mogelijk is dat met behulp van kunstmatige intelligentie uit beeldmateriaal de seksuele geaardheid van iemand af te leiden. Het is dus maar de vraag wat voor gegevens Exterion daadwerkelijk allemaal verwerkt.

De kunstmatige intelligentie software gekoppeld aan de camera’s voert wel overduidelijk veel zeer complexe en gedetailleerde analyses uit op de persoonlijke en onderscheidende kenmerken van individuele personen die langs de reclamezuilen lopen, voordat, zo stelt Exterion Media, hier slechts bepaalde (niet persoonlijk herleidbare) informatie over opgeslagen zal worden, zoals bijvoorbeeld ‘om 9:45 kijkt een man van ongeveer 45, 40 seconden naar reclamezuil 23’.

Het klopt dat gegevens die niet (meer) te herleiden zijn naar een specifiek persoon, niet meer onder de Wet bescherming persoonsgegevens vallen. Het puur registreren dat er om 9:45 een 45-jarige man voor reclamezuil 23 staat, om hier vervolgens statistieken uit te halen zoals ‘25% van de mensen die tussen 9:00 en 10:00 reclamezuil 23 passeren zijn in de leeftijd van 40 tot 50 jaar’ is waarschijnlijk niet meer naar een specifieke persoon te herleiden. Tenzij de specifieke details van deze meneer opgeslagen worden als bijvoorbeeld ‘meneer XYZ’, zodat men dan vervolgens kan zeggen dat ‘meneer XYZ in december 8 keer langs reclamezuil 23 liep’, want dan blijft er gewoon sprake van de verwerking van persoonsgegevens, ondanks het feit dat men niet weet dat meneer XYZ eigenlijk meneer Pieter Jansen uit Den Haag is.

Belangrijker is dat zelfs als de gegevens die Exterion Media opslaat niet meer te herleiden zouden zijn naar een specifiek persoon, de gedetailleerde analyse van kenmerken van voorbijgangers met behulp van kunstmatige intelligentie die men noodzakelijk moet doen om het soort gegevens uit een camerabeeld te verkrijgen waarvan men toegeeft deze op te slaan, juridisch gewoonweg ‘verwerking van persoonsgegevens’ zijn in de zin van de Wet bescherming persoonsgegevens. Het soort gegevens dat men uiteindelijk opslaat, is met een camera gewoonweg niet te verkrijgen zonder gegevens te verwerken die herleidbaar zijn tot een persoon. Er is zeker geen sprake van slechts simpele ‘sensoren’ die bijvoorbeeld enkel registeren hoeveel mensen er langs een poortje lopen: nee, de kunstmatige intelligente software gaat daadwerkelijk op gedetailleerde wijze eerst de onderscheidende kenmerken van iemand in kaart brengen en analyses hierop uitvoeren voordat het weet dat het gaat om een man of vrouw, hoe oud deze mogelijk is, etc..

Dus gewoon voldoen aan de Wet bescherming persoonsgegevens

De Wet bescherming persoonsgegevens heeft verschillende doelstellingen, waaronder het tegen gaan van onbeperkte en ongereguleerde verwerkingen van persoonsgegevens (in de volksmond het ‘data-graaien’, of tegengaan van ‘data-obesitas’).

Een andere doelstelling is om betrokkene (degene waar de gegevens op slaan) in veel gevallen te informeren over de verwerking, rechten toe te kennen (zoals rechten van inzage, correctie en verzet) en zelfs om in sommige gevallen te eisen dat verwerking alleen plaats zal vinden na voorafgaande (uitdrukkelijke) toestemming van de betrokkene. Ook vereist de wetgeving het nemen van technische en organisatorische maatregelen om het risico van verwerken van persoonsgegevens te minimaliseren.

De gedachte hierachter is dat de impact van onbeperkte en ongereguleerde gegevensverzameling, zeker in de tijd dat men losse gegevens makkelijk aan elkaar kan koppelen (om zo een zeer volledig beeld van iemand in kaart te brengen) een zeer grote inbreuk op iemands privéleven kan vormen. Om deze redenen valt al het rommelen met ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ (persoonsgegevens) gewoonweg onder de Wet bescherming persoonsgegevens, juist ook als deze daarna geanonimiseerd zal worden: het verwerken van de niet-anonieme naar personen herleidbare gegevens, ook al is het maar tijdelijk met het doel daarna enkel bepaalde gegevens op te slaan, brengt al een risico met zich mee en daarom moet men voldoen aan de wetgeving en de hieruit voortvloeiende verplichtingen (zoals het nemen van maatregelen, veelal informeren van de betrokkene of zelfs hen toestemming vragen).

Toegestaan volgens de Wet bescherming persoonsgegevens?

Ook Exterion Media moet naar mijn mening dus gewoon in volle omvang aan de privacywetgeving voldoen. De Autoriteit Persoonsgegevens doet als toezichthouder momenteel dan ook onderzoek naar deze zaak.

Ik zie vooral problemen in de afwezigheid van informatieverstrekking aan betrokkenen en ook de mogelijkheid dat er bij de verwerking sprake kan zijn van ‘bijzondere persoonsgegevens’, zoals ras en herkomst. Dit zijn gegevens die extra bescherming genieten en dat is de reden dat het bijvoorbeeld niet zomaar toegestaan is om een pasfoto van een paspoort in een kopie over te nemen. Bijzondere gegevens mogen veelal niet overgenomen worden zonder expliciete toestemming van de betrokkenen (nogal lastig bij een reclamezuil met een verborgen cameraatje).

Dat het verwerken van persoonsgegevens met behulp van nieuwe technologieën gewoon binnen de regels van de relevante wetgeving behoren te gebeuren, maar dit vaak initieel niet het geval is, bleek bijvoorbeeld eerder al uit de uitspraken van de Autoriteit Persoonsgegevens ten aanzien van WiFi-tracking, waaronder door het bedrijf Bluetrace, waarbij niet genoeg informatie aan betrokkenen was verstrekt, meer gegevens dan noodzakelijk verwerkt werden en persoonsgegevens te lang bleven opgeslagen. Nota bene doet de Autoriteit Persoonsgegevens momenteel ook onderzoek naar het toepassen van WiFi-tracking op Stations.

Over het verder voldoen aan de te nemen technische en organisatorische maatregelen, het beperken van duur van de opslag en het controleren of er niet daadwerkelijk meer gegevens dan noodzakelijk worden verwerkt bij dergelijke reclamezuilen, ten aanzien van Exterion Media, daar valt op afstand voor mij weinig over te zeggen. Mijn mening is echter wel dat, gezien de afwezigheid van enige informatieverstrekking aan betrokkenen en de opstelling van Exterion Media (die zelf van mening is dat ze niets meer hoeven te doen dan informatie anoniem op te slaan) het waarschijnlijk is dat, op de manier zoals het nu gedaan is het gebruik van de camera’s in de reclamezuilen in strijd is met de Wet bescherming persoonsgegevens.

 Het is dan ook niet zo gek dat Exterion Media nu al gestaakt is met het gebruik van de camera’s in de zuilen, al stellen zij zelf nog steeds van mening te zijn dat alles volgens de regeltjes is gegaan…