Wat was hier aan de hand?
Uit het boetebesluit van de AP blijkt dat de overtreding door de politie plaatsvond in het voorjaar van 2020. Toen gold in Rotterdam, net als in de rest van Nederland, een plicht om anderhalve meter afstand van elkaar te houden. Om dit te handhaven heeft de gemeente Rotterdam twee auto’s met een 360-graden-camera laten rondrijden door de stad. Deze auto’s waren al door de gemeente gehuurd vanwege de verwachte drukte rond het Eurovisie Songfestival, dat later zou worden geannuleerd.
De gemeente en de politie hebben samen een inzetkader opgesteld voor de auto’s. Het doel van de auto’s was tweeledig: de camera’s geven een actueel beeld van de situatie en hebben een preventieve, afschrikkende werking. De verantwoordelijkheid lag bij de politie. Camerabeelden waarop geen incidenten te zien waren, werden na zeven dagen verwijderd. Bij incidenten werden de camerabeelden bewaard. Al snel werd kritiek geuit op de camera-auto’s, maar de auto’s werden toch vijf weken lang ingezet.
De overtreding
De Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) schrijven beide voor dat organisaties voor bepaalde gegevensverwerkingen een gegevensbeschermingseffectbeoordeling (GEB) moeten verrichten, ook wel een data protection impact assessment of DPIA genoemd. Dit is verplicht als de verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, des te meer als nieuwe technologieën worden gebruikt.
In dit geval is de Wpg van toepassing. De AP constateert dat de politie geen DPIA heeft verricht, maar dat ze dat wel had moeten doen. Het gebruik van haarscherpe camera’s op snel rijdende auto’s is namelijk nieuw, en bovendien kan de auto personen volgen. Daarnaast filmden de auto’s allerlei personen, waaronder kinderen, zonder dat zij dat wisten. Ook was de inzet van de camera-auto’s niet incidenteel: de auto’s gingen specifiek af op plekken waar bekend was dat grote groepen aanwezig zouden zijn. Er werd soms zelfs gefilmd zonder dat daar een concrete aanleiding voor was.
De boete
De conclusie van de AP is dan ook dat de politie de wet heeft overtreden. Ze had een DPIA moeten verrichten, maar heeft dat niet gedaan. De AP vindt dat wel van de politie mag worden verwacht dat zij zorgvuldig handelt bij privacygevoelige situaties als deze. Dat levert in principe een boete op van €56.500.
De AP kiest er wel voor om deze boete iets te matigen. De coronacrisis bracht veel onzekerheden met zich, en het is volgens de AP logisch dat de politie in zo’n situatie een DPIA minder scherp op haar netvlies heeft. Het resultaat: een boete van 50.000 euro.
Een dergelijke “onzekerheidskorting” van 10% is interessant: op de hoogste boetes die de AP uitdeelt, van €725.000, zou dat al 75.000 euro hebben gescheeld.
Wat u hieruit kan meenemen
De kans is groot dat u als lezer geen gebruik maakt van camera-auto’s. Toch kan dit boetebesluit ook voor u een belangrijke les zijn. Het zou namelijk kunnen dat uw bedrijf of instelling voor bepaalde gegevensverwerkingen DPIA’s moet verrichten. Als een verwerking die uw bedrijf verricht een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, is dat verplicht.
Hoe weet u dan wanneer sprake is van een “hoog risico voor de rechten en vrijheden”? De AP heeft een lijst opgesteld waar 19 gevallen staan opgesomd waarin in ieder geval een DPIA moet worden verricht. Dit gaat bijvoorbeeld over fraudebestrijding, gezondheidsgegevens, controle van werknemers en biometrische gegevens.
Ook als een verwerking niet in deze lijst staat, zou het kunnen dat sprake is van een “hoog risico voor de rechten en vrijheden”. Om dat te beoordelen, hebben de Europese privacywaakhonden ook een checklist opgesteld. Als vuistregel geldt dat u een DPIA moet verrichten als een verwerking voldoet aan 2 of meer van de volgende 9 criteria:
- Beoordelen van mensen op basis van persoonskenmerken
- Geautomatiseerde beslissingen
- Stelselmatige en grootschalige monitoring
- Gevoelige gegevens
- Grootschalige gegevensverwerkingen
- Gekoppelde databases
- Gegevens over kwetsbare personen
- Gebruik van nieuwe technologieën
- Blokkering van een recht, dienst of contract
Zoals gezegd is dit slechts een vuistregel. Het zou ook kunnen dat u een DPIA moet verrichten als u slechts aan één, of zelfs aan nul van deze criteria voldoet. Voor meer informatie over het verrichten van DPIA’s kunt u terecht op de website van de AP, of kunt u contact opnemen met mij of een collega.
Maakt u gebruik van cameratoezicht of andere risicovolle verwerkingen en heeft u hier vragen over? Moet u een DPIA verrichten, en zou u daar graag hulp bij krijgen? Of wilt u graag advies over andere privacygerelateerde onderwerpen? Neem dan gerust contact op met mij of een van de andere leden van ons multidisciplinaire privacyteam .
Thijmen van Hoorn, advocaat IT- en privacyrecht
Gerelateerd
Privacy
