Mag elk willekeurig persoon jouw kind in een zwembad bekijken? Waarschijnlijk niet, maar een half jaar na onze tv-uitzending over de slechte beveiliging van online beveiligingscamera's duiken dat soort beelden nog steeds op. Naast een zwembad in Gelderland vinden we een brandweerkazerne, bedrijventerrein en talloze huiskamers. Welke wetgeving is nu in de maak om het uitlekken van deze beelden te voorkomen?

Uit ons eerdere onderzoek blijkt dat fabrikanten van online beveiligingscamera's de meeste verantwoordelijkheid hebben om privacygevoelige gegevens te beschermen. Uiteraard moet je als consument scherp opletten of alle veiligheidsinstellingen kloppen − hier vind je tips om dat zelf te doen − maar een product moet uit de doos direct veilig zijn. In de wereld van privacywetgeving wordt dat privacy by design and default genoemd: de standaardinstellingen van deze apparaten moeten voorkomen dat beelden per ongeluk uitlekken en door willekeurige personen te bekijken zijn.

Op 9 maart van dit jaar beantwoordt Minister Sander Dekker van Rechtsbescherming de Kamervragen, ingediend naar aanleiding van ons onderzoek. Hij stelt dat het uitlekken van camerabeelden 'een zorgelijke ontwikkeling' is die 'negatieve gevolgen kan hebben voor de veiligheid en de persoonlijke levenssfeer van de betrokkenen'. Hoe vaak zulke privacy-lekken plaatsvinden is echter onbekend.

De Autoriteit Persoonsgegevens heeft in vier jaar tijd slechts zeven datalekmeldingen ontvangen. En de politie heeft geen cijfers beschikbaar, omdat deze delicten niet afzonderlijk worden geregistreerd. "Om die reden is niet bekend in hoeveel gevallen politieonderzoek wordt ingesteld en in hoeveel gevallen strafvervolging en veroordeling plaatsvindt en kan eveneens geen uitspraak worden gedaan over de adequaatheid van het handhavingsniveau", concludeert Dekker.

Pointer
16 min 17 s

Pointer heeft de exacte locaties van ruim vijftig Nederlandse beveiligingscamera's achterhaald. Deze camera's zijn niet of slecht beveiligd. Ze zijn zonder te hacken vindbaar en in te zien: iedereen met een browser en wat zoekvaardigheden kan ze gebruiken en ongehinderd meekijken. De verantwoordelijkheid hiervoor ligt grotendeels bij de producenten van deze camera's. Onvolledige gebruiksaanwijzingen, standaardwachtwoorden en verouderde software zorgen ervoor dat consumenten deze camera's ophangen en zich veilig wanen. In werkelijkheid kan iedereen meekijken met gevoelige en intieme beelden. Sommige camera's staan zo open dat zelfs het controlepaneel te bedienen is. We hebben onder meer in een Amsterdamse parkeergarage, een winkel op station Arnhem, en een orthodontist in Drachten camerabeelden gezien en de camera bestuurd.

'Ik schrik hier enorm van'

Op websites zoals Insecam kun je de beelden van zulke slecht beveiligde camera's inzien. Na onze tv-uitzending is het aantal camera's in Nederland gedaald van ruim vierhonderd naar 250 stuks. Maar in de afgelopen weken vinden we wel een aantal nieuwe locaties, waaronder een zwembad, brandweerkazerne en bedrijventerrein. Ondanks alle goede bedoelingen komen dus nog steeds nieuwe gevoelige beelden online.

Het zwembad — een ondiep bad waar zowel ouderen als kinderen in rondzwemmen — lokaliseren we door een oproep aan onze lezers te doen: herkennen jullie het opmerkelijke tegelpatroon in dit zwembad? Het blijkt om een zwembad in Gelderland te gaan. Opmerkelijk genoeg staan op de websites foto's die met dezelfde webcam zijn gemaakt, met nog meer details van de omgeving rondom het zwembad.

Camerabeelden2.jpg

Via de reflectie van het water kunnen we concluderen dat de camerabeelden overeenkomen met de foto’s op de website. De manager van het zwembad weet van niets zodra wij haar hierover bellen. "Ik schrik hier enorm van. Dit is uiteraard niet de bedoeling, en niet hoe wij in het nieuws willen komen. Ik ga hier onmiddellijk achteraan om dit te wijzigen."

En dat gebeurt dan ook. De webcam blijkt de beelden naar een ontvangsthal te streamen, zodat ouders hun kinderen daar in de gaten kunnen houden. Een extra regel in de software leidt er echter toe dat die beelden niet alleen naar die monitor worden gestuurd, maar openbaar toegankelijk zijn. De installatiemonteur verhelpt het probleem diezelfde dag nog, en bedankt ons voor het melden. Omdat er geen kwade opzet in het spel is, noemen wij de naam van het zwembad niet.

Brandweerkazerne

Een andere opmerkelijke en onbedoelde livestream toont de uitrit van een brandweerkazerne. Naast brandweerlui wordt het gebouw ook door gemeentelijke medewerkers gebruikt. Tijdens de pauze zitten zij buiten en worden ze bespied door een camera, die de beelden 24 uur per dag live uitzendt

camerabeelden3.jpg

Het IP-adres van deze stream wijst op een locatie rondom Nijmegen. Dankzij een hobbyfotograaf die alle kazernes in deze regio heeft vastgelegd, komen we vrij snel op kazerne Ubbergen. De camera is in beheer van de gemeente Berg en Dal.

Een woordvoerder van de gemeente bevestigt dat deze camera niet openbaar toegankelijk hoort te zijn. "Nee, dat is zeker niet de bedoeling. Wij wisten dit niet." Het is nog niet bekend waarom deze beelden alsnog online te bekijken waren. "Wij hebben de camera direct uitgeschakeld."

Als je nieuwsgierig bent hoe wij de exacte locaties van zulke camerabeelden kunnen achterhalen, lees dan het onderstaande artikel.

Naast het zwembad en de kazerne hebben we ook een bedrijventerrein in het Noord-Brabantse Wagenberg gevonden, een groenteboer waar we de locatie nog niet van weten, en talloze huiskamers. Vooral dat laatste is zorgwekkend: dichter bij iemands persoonlijke leefomgeving kom je niet.

EU-wetgeving wordt verscherpt

Uit bovenstaande voorbeelden blijkt wederom dat slimme apparaten niet per definitie zijn ingesteld om persoonlijke gegevens te beveiligen. Soms is zo'n apparaat vanuit de winkel al onveilig, een andere keer is het zo ingewikkeld in te stellen dat je per ongeluk jouw beelden uitzendt.

"Ik zie het niet als mijn taak om samen met de Staatssecretaris van Economische Zaken de bewustwording van producenten over de noodzaak van privacy by design and default te versterken, dit is aan de Autoriteit Persoonsgegevens en de producenten zelf", stelt minister Dekker in de antwoorden op de Kamervragen. Hij wijst wel op Europese wetgeving. Op dat niveau wordt de huidige wetgeving voor de verkoop van onder meer online beveiligingscamera's aangescherpt.

Kort gezegd komt die update er op neer dat de fabrikanten nog scherper moeten zijn op de bescherming van persoonlijke data en privacy. Gebeurt dat niet, dan kan het voorkomen dat een online beveiligingscamera niet meer in de EU mag worden verkocht.

In het Europees Parlement ligt momenteel een update van de zogeheten Radio Equipment Directive ter consultatie. Experts konden afgelopen maanden hun visie over de vernieuwde wetgeving kwijt, en tot 14 september kunnen burgers dat nog doen. In de loop van 2020 moet de nieuwe wetgeving van kracht gaan.

Tips

Pointer blijft onveilige beveiligingscamera’s in de gaten houden. Heb jij beelden van online camera’s gezien, en weet je exact waar die camera hangt? Tip ons dan via pointer@kro-ncrv.nl om deze beelden offline te krijgen.

Illustraties door Charlotte Claessen.

Makers

Samen komen we verder

Ons onderzoek begint bij jou. Heb jij een tip of ervaring die je met ons wil delen? Laat het ons weten!

Heb jij een tip of ervaring die je met ons wil delen? Laat het ons weten!

Documentatie uploaden
CAPTCHA
Deze vraag is om te controleren dat u een mens bent, om geautomatiseerde invoer (spam) te voorkomen.

Bedankt, je tip is verstuurd

Wat gebeurt er nu met mijn tip?

Bedankt dat je de tijd hebt genomen om het tipformulier in te vullen. Je tip is verstuurd naar de redacteur van het onderzoek. Wij publiceren niets met naam en toenaam zonder contact met je op te nemen. Soms krijgen we zoveel tips binnen dat het ons helaas niet lukt om iedereen een persoonlijke reactie te sturen. We vragen je begrip hiervoor. 

Benieuwd naar de impact van eerdere tips?

Van kamervragen tot petities en maatschappelijk debat: samen met jou pakken we systemisch falen en onrecht aan. Benieuwd naar de impact van eerdere onderzoeken en ingezonden tips? Bekijk dan nu ons track record.