De Autoriteit Persoonsgegevens (AP) heeft de politie een boete opgelegd van 50.000 euro. Tijdens de coronacrisis zijn in Rotterdam camera-auto’s ingezet, zonder dat hiervan eerst de privacyrisico’s in kaart waren gebracht. Met de rondrijdende auto’s zijn gedetailleerde beelden van mensen verzameld en opgeslagen.
Uit onderzoek van de AP blijkt bovendien dat er teveel beelden werden gemaakt die niet noodzakelijk waren. Voor die overtreding kan de AP echter geen boete opleggen. De gemeente Rotterdam en de politie hebben in 2020 vijf weken lang twee auto’s ingezet die uitgerust waren met 360-gradencamera’s. Daarmee wilden zij controleren of mensen 1,5 meter afstand van elkaar hielden.
Ook bij een snelheid van 50 kilometer per uur kunnen de camera’s scherpe beelden maken, met voldoende detail om mensen te identificeren. Tot ver buiten de camera-auto’s zijn mensen herkenbaar in beeld gebracht. De verzamelde beelden werden bekeken in een meldkamer, opgeslagen en konden worden doorgestuurd naar andere politielocaties. De politie is wettelijk gezien verantwoordelijk voor de beelden, omdat die worden gezien als politiegegevens.
Katja Mur, bestuurslid AP: “Je wilt in Nederland vrij over straat kunnen lopen. Zonder dat je hoeft te verwachten dat de overheid vanuit rondrijdende auto’s scherpe opnames van je maakt. En dat die naar een meldkamer gaan, zodat de overheid je kan identificeren en desgewenst tegen je kan optreden. En als de overheid al met dergelijke geavanceerde technieken zou moeten surveilleren, dan moeten vooraf de risico’s in kaart zijn gebracht. Zodat de overheid op tijd kan nadenken hoe ze op een zorgvuldige manier met die risico’s om moet gaan.”
De AP heeft in mei 2020 om opheldering gevraagd over de inzet van de camera-auto’s, waarna ze zijn stilgezet. Na signalen dat de camera-auto’s toch weer rondreden, stelde de AP een onderzoek in. De AP concludeert nu dat de wet op twee manieren is overtreden. Daarnaast stelt de AP vast dat er verschillende opvattingen bestaan over de grondslag voor de inzet van camera-auto’s.
DPIA
Voorafgaand aan het maken van de camerabeelden heeft de politie geen analyse uitgevoerd naar de mogelijke privacyrisico’s. Zo’n analyse wordt een data protection impact assessment (DPIA) genoemd. Een DPIA was nodig, want de politie had kunnen weten dat het inzetten van de camera-auto’s waarschijnlijk een hoog privacyrisico opleverde, aldus de AP. De politie maakte bij de inzet van deze camera’s namelijk gebruik van nieuwe technologie.
Daarnaast zou de politie in de openbare ruimte persoonsgegevens verzamelen van grote groepen mensen, die waarschijnlijk niet weten dat er beelden worden verzameld of hoe ze worden gebruikt. Dit is een overtreding van de Wet politiegegevens (Wpg), waarin de belangrijkste privacyregels voor de politie staan. De politie heeft deze overtreding erkend. De AP legt hiervoor een boete van 50.000 euro op.
Hotspots
Ook op momenten dat er geen overtredingen van coronamaatregelen zoals groepsvorming werden geconstateerd, maakten de camera-auto’s op verschillende dagen herkenbare beelden van mensen. Bovendien gebeurde dit ook buiten de aangewezen ‘hotspots’, onderweg van de ene naar de andere locatie. Er werden zo te veel beelden verzameld en opgeslagen, die niet noodzakelijk waren voor de uitvoering van het politiewerk. Ook deze overtreding van de Wpg heeft de politie erkend. De AP houdt weliswaar toezicht op de naleving van de Wpg, maar kan voor deze overtreding geen boete opleggen.
De camera-auto’s zijn ingezet op grond van artikel 3 van de Politiewet. De AP stelt vast dat er verschillende opvattingen bestaan over de vraag of inzet van camera-auto’s voor een langere periode hierop kan worden gebaseerd. De AP werkt daarom aan normuitleg over dit wetsartikel.