Boete voor ontbreken risicoanalyse mobiele camera-auto’s

Boete AP door ontbreken DPIA bij inzet van mobiele camera auto’s


Geschatte leestijd: 5 minuten

Recent heeft de Autoriteit Persoonsgegevens (AP) een boete opgelegd aan de politie. De politie had mobiele camera auto’s (MCA’s) ingezet in Rotterdam zonder vooraf de privacyrisico’s in kaart te brengen. Het betreft hier een boete van 50.000 Euro.

Mobiele Camera Auto’s ingezet

Om de anderhalve meter afstandplicht te handhaven, die op dat moment gold, heeft de gemeente Rotterdam in 2020 twee mobiele camera auto’s (MCA’s) ingezet. De gemeente Rotterdam en de politie hebben daartoe samen een inzetkader opgesteld. Het doel van de inzet van de camera auto’s was meervoudig: de camera’s geven een actueel beeld van de situatie, hebben een preventieve werking en het cameratoezicht zou een de-escalerend effect kunnen hebben. De verantwoordelijkheid voor de inzet lag bij de politie. Camerabeelden waarop geen incidenten te zien waren die werden na zeven dagen gewist. Bij incidenten werden de camerabeelden bewaard. De camera auto’s werden vijf weken ingezet ondanks de kritiek die erover werd geuit.

Geen Data Protection Impact Assessment uitgevoerd

De Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) bepalen beide dat er bij bepaalde soorten van gegevensverwerkingen een data protection impact assessment (DPIA) moet worden uitgevoerd. Dit is zeker het geval wanneer er nieuwe technieken worden ingezet die waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van personen. Er is overigens wel een Pre-DPIA uitgevoerd, maar dit pas nadat de verwerking al was gestart. In deze pre-DPIA is geconcludeerd dat dit niet noodzakelijk was voor de inzet van mobiele camera auto’s.

Een pre-DPIA biedt een verkorte risico-inventarisatie die aangeeft of het noodzakelijk is een volledige DPIA uit te voeren.

De AP stelt vast dat de politie geen DPIA heeft verricht, terwijl ze dat wel had moeten doen. 

Het maken van camerabeelden met snel rijdende auto’s is tamelijk nieuw. Hiermee was er sprake van monitoring van openbaar toegankelijke ruimte, waarbij persoonsgegevens worden verzameld van zowel volwassen personen als kinderen, in omstandigheden waarin zij mogelijk niet weten dat gegevens worden verzameld en evenmin hoe deze worden gebruikt. Ook was de inzet van de MCA’s niet incidenteel. Daarnaast werden de camerabeelden niet enkel live uitgekeken maar ook verder verwerkt en in voorkomende gevallen ook doorgezonden naar andere politielocaties.

Gematigde boete

De conclusie van de AP is dat de politie een DPIA had moeten uitvoeren, maar dat dit niet is gedaan. Het boetebedrag wordt vastgesteld op 56.500 Euro. De AP heeft deze boete gematigd doordat de hectiek rondom de COVID-19 uitbraak ervoor heeft gezorgd dat de politie het uitvoeren van een volledige DPIA minder scherp op haar netvlies had. De AP acht een boete van 50.000 Euro passend.

Op grond van deze omstandigheden ziet de AP aanleiding het boetebedrag te verlagen. De AP acht in dit geval een boete van € 50.000 passend en geboden.

Overweging 78 van het boetebesluit

Wat is een Data Protection Impact Assessment?

In Art 35 lid 1 Avg wordt de Data Protection Impact assessment omschreven als een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Het gaat hier dus om een voorafgaande inschatting van de privacy gevolgen van een bepaalde verwerking van persoonsgegevens.

Een DPIA is een hulpmiddel waarmee je als organisatie je privacyrisico’s op een heldere wijze in kaart kunt brengen. Door middel van een DPIA is het mogelijk om inzicht te krijgen in de risico’s van de gegevensverwerking en kunnen er tijdig passende maatregelen worden genomen om eventuele risico’s te verkleinen.

Wanneer dien je een DPIA uit te voeren?

Als verwerkingsverantwoordelijke moet je een DPIA uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen van wie je de gegevens verwerkt. Dit dien je als verwerkingsverantwoordelijke zelf te bepalen. De European Data Protection Board (EDPB) heeft al vroeg een aantal criteria opgesteld die kunnen helpen bij het vaststellen van de noodzaak. De werkgroep heeft hierbij 10 situaties omschreven waarbij als richtlijn wordt genomen dat wanneer er twee of meer van deze situaties opgaan bij de betreffende verwerking, er een DPIA dient te worden uitgevoerd. Ik noem ze hier alle 10 in het kort (in de leidraad worden deze punten uitvoerige behandeld en zijn soms van een voorbeeld voorzien):

De Autoriteit Persoonsgegevens (AP) heeft vervolgens een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. Op deze lijst staan: verwerkingen in het kader van heimelijk onderzoek, het gebruiken van zwarte- ofwel waarschuwingslijsten, grootschalige en/of de systematische verwerkingen in het kader van fraudebestrijding, kredietwaardigheid, de financiële situatie, genetische- en gezondheidsgegevens, samenwerkingsgegevens zoals in wijkteams, cameratoezicht, controle van werknemers, grootschalige en/of systematische verwerking van locatiegegevens van of herleidbaar tot natuurlijke personen, grootschalige en /of systematische verwerking van communicatiegegevens, grootschalige en/of systematische verwerkingen door verantwoordelijken van persoonsgegevens die worden gegenereerd door Internet of things (IOT), profilering, en observatie en beïnvloeding van gedrag.

Eind 2019 is deze lijst aangevuld en definitief gemaakt. Aan de lijst zijn zaken als Smart Cities toegevoegd. Op de website van de AP worden deze verwerkingen specifiek benoemd en beschreven.

Meer weten?

Heb je nog vragen over Data Protection Assessments of over privacyvragen in het algemeen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.