Beelden van naakte mensen in de kleedkamer van Sauna & Beauty Oase in Nederasselt zijn op het internet terechtgekomen. Ook oud-speelsters van het Nederlandse handbalteam waren te zien. Hoe kan zoiets gebeuren, wanneer mag je wel camera’s plaatsen en hoe veilig is een beveiligingscamera?
In februari heeft de eigenaar voor het eerst aangifte gedaan van hacking. Toen bleek dat vrijdag de beelden van gasten nog steeds online stonden, deed hij opnieuw aangifte. Ook anderen hebben het misdrijf gemeld of aangifte gedaan. De politie heeft de site die de beelden openbaar maakte de opdracht gegeven om de beelden te verwijderen. Echter denkt de politie dat de beelden ook op andere websites zijn geüpload. Vrijdag is er belastend materiaal ingenomen in Drachten.
Camerabeelden maken in een sauna mag niet
Zaterdag heeft de politie een verborgen camera en het bijbehorende computersysteem in beslag genomen. Ook nam de politie drie camera’s, de gebruikte plafondplaten en bekabeling voor onderzoek mee. Dit moet het onderzoek naar hoe en door wie deze beelden openbaar zijn gemaakt, makkelijker maken. De verborgen camera was nog in werking, maar de overige drie camera’s waren niet meer in werking. De politie en het OM houden bij hun onderzoek rekening met diverse scenario’s.
Maar simpelweg gezegd, mogen saunacomplexen geen cameratoezicht plaatsen in ruimten waar gasten ontkleed zijn, meldde de Autoriteit Persoonsgegevens begin 2016. Het gaat dan om filmapparatuur in kleedkamers, doucheruimtes, toiletten, zwem- en bubbelbaden, sauna’s en ruimtes waarin bezoekers in en uit de sauna’s komen. “Op dit soort plaatsen mogen mensen verwachten onbespied te zijn”, aldus de autoriteit.
Volgens de Autoriteit Persoonsgegevens zetten organisaties steeds vaker cameratoezicht in en de technische mogelijkheden worden steeds geavanceerder. “Er zijn camera’s die kunnen roteren, inzoomen of geluid opnemen. Sommige camera’s kunnen niet alleen waarnemen, maar ook door middel van gezichtsherkenning personen identificeren.”
Wanneer mag je wel camera’s plaatsen?
Een complex mag alleen een camera ophangen als ze aan een aantal voorwaarden voldoet. De werkgever moet een zogeheten gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan of werknemers en bezoekers beschermen. Tevens moet het cameratoezicht noodzakelijk zijn en onderdeel zijn van een totaalpakket aan maatregelen. Dat wil zeggen dat de werkgever het doel, bijvoorbeeld fraudebestrijding, niet op een andere manier kan bereiken. Is er geen andere mogelijkheid, die minder ingrijpend is voor de privacy van medewerkers en bezoekers?
Privacy weegt zwaar bij camerabeelden maken in een sauna. Dit betekent dat de werkgever de belangen en rechten van de werknemers en bezoekers afweegt tegen zijn eigen belang. Ook moet de werkgever de plannen vooraf met de ondernemingsraad bespreken. De werkgever moet ervoor zorgen dat de werknemers en bezoekers weten dat er een camera hangt. Bijvoorbeeld door bordjes op te hangen.
Camerabeelden mogen niet langer bewaard worden dan noodzakelijk. De richtlijn hiervoor is maximaal 4 weken. Maar is er een incident vastgelegd, zoals diefstal? Dan mag de werkgever de betreffende beelden bewaren tot dit is afgehandeld.
Alles wat een IP-nummer heeft, is kwetsbaar
Hoe veilig is een beveiligingscamera? Alles wat een IP-nummer heeft, is kwetsbaar, stelt Rick Strijbos (directeur Security Academy Nederland). “Maar hoe kwetsbaar? We weten het niet. Praten we over beveiligingscamera’s, dan kunnen deze gehackt worden met als doel uitschakeling ervan om in te kunnen breken. Of, met een veel grotere impact, om in te zetten als device om een ander doelwit te treffen. Eind 2016 gingen in Amerika onder andere Twitter en Spotify plat door onveilige devices, gebruikt om data naar de centrale servers te sturen. Een DDos-aanval. Dus zonder het te weten, kan jouw beveiligingscamera twee jaar geleden al gehackt zijn en deel uitmaken van een botnet.”
“Er is actie nodig, want de gemiddelde gebruiker is zich onvoldoende bewust van de gevaren”, vertelt Strijbos. “Dat kan met onder andere security by design. Goed nadenken over de beveiliging bij het ontwerp en tijdens de bouw, zodanig dat security intrinsiek is verweven in de software. Een ketting is zo sterk als de zwakste schakel, dus moeten er structureel maatregelen genomen worden. Wat heeft het voor zin om van een bankgebouw alle ramen en deuren te vergrendelen als binnen de sleutel gewoon in de kluis zit? Kortom, zowel de gebruiker als de leverancier van bijvoorbeeld een beveiligingscamera moeten een mechanisme ontwikkelen om de veiligheid te verhogen. Stel je koopt een beveiligingscamera, dan is standaard vaak de login ‘admin’ met als wachtwoord ‘0000’. De fabrikant zou ook het wachtwoordnummer separaat toe kunnen sturen. Aan de andere kant, de gebruiker zou moeten eisen dat een beveiligingscamera op deze wijze geleverd wordt. Zelf het wachtwoord kunnen aanpassen. En bereid zijn een paar euro meer te betalen.”
> Download ook de whitepaper Trends in cameratoezicht