Mag elk willekeurig persoon jouw kind in een zwembad bekijken? Waarschijnlijk niet, maar een half jaar na onze tv-uitzending over de slechte beveiliging van online beveiligingscamera's duiken dat soort beelden nog steeds op. Naast een zwembad in Gelderland vinden we een brandweerkazerne, bedrijventerrein en talloze huiskamers. Welke wetgeving is nu in de maak om het uitlekken van deze beelden te voorkomen?
Uit ons eerdere onderzoek blijkt dat fabrikanten van online beveiligingscamera's de meeste verantwoordelijkheid hebben om privacygevoelige gegevens te beschermen. Uiteraard moet je als consument scherp opletten of alle veiligheidsinstellingen kloppen − hier vind je tips om dat zelf te doen − maar een product moet uit de doos direct veilig zijn. In de wereld van privacywetgeving wordt dat privacy by design and default genoemd: de standaardinstellingen van deze apparaten moeten voorkomen dat beelden per ongeluk uitlekken en door willekeurige personen te bekijken zijn.
Op 9 maart van dit jaar beantwoordt Minister Sander Dekker van Rechtsbescherming de Kamervragen, ingediend naar aanleiding van ons onderzoek. Hij stelt dat het uitlekken van camerabeelden 'een zorgelijke ontwikkeling' is die 'negatieve gevolgen kan hebben voor de veiligheid en de persoonlijke levenssfeer van de betrokkenen'. Hoe vaak zulke privacy-lekken plaatsvinden is echter onbekend.
De Autoriteit Persoonsgegevens heeft in vier jaar tijd slechts zeven datalekmeldingen ontvangen. En de politie heeft geen cijfers beschikbaar, omdat deze delicten niet afzonderlijk worden geregistreerd. "Om die reden is niet bekend in hoeveel gevallen politieonderzoek wordt ingesteld en in hoeveel gevallen strafvervolging en veroordeling plaatsvindt en kan eveneens geen uitspraak worden gedaan over de adequaatheid van het handhavingsniveau", concludeert Dekker.
'Ik schrik hier enorm van'
Op websites zoals Insecam kun je de beelden van zulke slecht beveiligde camera's inzien. Na onze tv-uitzending is het aantal camera's in Nederland gedaald van ruim vierhonderd naar 250 stuks. Maar in de afgelopen weken vinden we wel een aantal nieuwe locaties, waaronder een zwembad, brandweerkazerne en bedrijventerrein. Ondanks alle goede bedoelingen komen dus nog steeds nieuwe gevoelige beelden online.
Het zwembad — een ondiep bad waar zowel ouderen als kinderen in rondzwemmen — lokaliseren we door een oproep aan onze lezers te doen: herkennen jullie het opmerkelijke tegelpatroon in dit zwembad? Het blijkt om een zwembad in Gelderland te gaan. Opmerkelijk genoeg staan op de websites foto's die met dezelfde webcam zijn gemaakt, met nog meer details van de omgeving rondom het zwembad.
Via de reflectie van het water kunnen we concluderen dat de camerabeelden overeenkomen met de foto’s op de website. De manager van het zwembad weet van niets zodra wij haar hierover bellen. "Ik schrik hier enorm van. Dit is uiteraard niet de bedoeling, en niet hoe wij in het nieuws willen komen. Ik ga hier onmiddellijk achteraan om dit te wijzigen."
En dat gebeurt dan ook. De webcam blijkt de beelden naar een ontvangsthal te streamen, zodat ouders hun kinderen daar in de gaten kunnen houden. Een extra regel in de software leidt er echter toe dat die beelden niet alleen naar die monitor worden gestuurd, maar openbaar toegankelijk zijn. De installatiemonteur verhelpt het probleem diezelfde dag nog, en bedankt ons voor het melden. Omdat er geen kwade opzet in het spel is, noemen wij de naam van het zwembad niet.
Brandweerkazerne
Een andere opmerkelijke en onbedoelde livestream toont de uitrit van een brandweerkazerne. Naast brandweerlui wordt het gebouw ook door gemeentelijke medewerkers gebruikt. Tijdens de pauze zitten zij buiten en worden ze bespied door een camera, die de beelden 24 uur per dag live uitzendt
Het IP-adres van deze stream wijst op een locatie rondom Nijmegen. Dankzij een hobbyfotograaf die alle kazernes in deze regio heeft vastgelegd, komen we vrij snel op kazerne Ubbergen. De camera is in beheer van de gemeente Berg en Dal.
Een woordvoerder van de gemeente bevestigt dat deze camera niet openbaar toegankelijk hoort te zijn. "Nee, dat is zeker niet de bedoeling. Wij wisten dit niet." Het is nog niet bekend waarom deze beelden alsnog online te bekijken waren. "Wij hebben de camera direct uitgeschakeld."
Als je nieuwsgierig bent hoe wij de exacte locaties van zulke camerabeelden kunnen achterhalen, lees dan het onderstaande artikel.
Naast het zwembad en de kazerne hebben we ook een bedrijventerrein in het Noord-Brabantse Wagenberg gevonden, een groenteboer waar we de locatie nog niet van weten, en talloze huiskamers. Vooral dat laatste is zorgwekkend: dichter bij iemands persoonlijke leefomgeving kom je niet.
EU-wetgeving wordt verscherpt
Uit bovenstaande voorbeelden blijkt wederom dat slimme apparaten niet per definitie zijn ingesteld om persoonlijke gegevens te beveiligen. Soms is zo'n apparaat vanuit de winkel al onveilig, een andere keer is het zo ingewikkeld in te stellen dat je per ongeluk jouw beelden uitzendt.
"Ik zie het niet als mijn taak om samen met de Staatssecretaris van Economische Zaken de bewustwording van producenten over de noodzaak van privacy by design and default te versterken, dit is aan de Autoriteit Persoonsgegevens en de producenten zelf", stelt minister Dekker in de antwoorden op de Kamervragen. Hij wijst wel op Europese wetgeving. Op dat niveau wordt de huidige wetgeving voor de verkoop van onder meer online beveiligingscamera's aangescherpt.
Kort gezegd komt die update er op neer dat de fabrikanten nog scherper moeten zijn op de bescherming van persoonlijke data en privacy. Gebeurt dat niet, dan kan het voorkomen dat een online beveiligingscamera niet meer in de EU mag worden verkocht.
In het Europees Parlement ligt momenteel een update van de zogeheten Radio Equipment Directive ter consultatie. Experts konden afgelopen maanden hun visie over de vernieuwde wetgeving kwijt, en tot 14 september kunnen burgers dat nog doen. In de loop van 2020 moet de nieuwe wetgeving van kracht gaan.
Illustraties door Charlotte Claessen.