Stad Antwerpen blundert met privacy: stemopnames onbeschermd opgeslagen
Het experiment van de stad Antwerpen richtte zich op geluidsoverlast in het stadsdeel met veel studenten. De aanpak hiervan blijft ingewikkeld: een nieuw experiment moest uitwijzen of stemopnamen, die in de Google-cloud werden opgeslagen, tot oplossingsrichtingen konden leiden. De stad hing hiervoor dertig microfoons op en liet een stemanalyse los op opnamen van tien seconden. De resultaten hiervan zouden worden gebruikt voor oplossingen die burgers ertoe aanzetten stiller te zijn in de avond en nacht.
Stad Antwerpen moet echter opnieuw naar de tekentafel en beter rekening houden met de AVG-privacywetgeving, stelt de Gegevensbeschermingsautoriteit (GBA). De Geschillenkamer van de GBA meldt in een persbericht dat de stad Antwerpen de AVG ‘op meerdere manieren’ heeft geschonden. Volgens de GBA ontbreekt het bijvoorbeeld aan een “geldige rechtsgrond en passende waarborgen”.
Biometrische gegevens
Onder de AVG is een geldige rechtsgrond vereist om gevoelige gegevens te verzamelen en op te slaan. Het gaat daarbij bijvoorbeeld om biometrische data, waaronder ook stemgeluid valt – juist die gegevens heeft stad Antwerpen nu verzameld zonder de nodige goedkeuring. Naast het ‘biometrische’ karakter van stemmen werden ook volledige gesprekken opgenomen, die “onvermijdelijk gevoelige gegevens bevatten”, zoals meningen over politieke gebeurtenissen en andere privégegevens.
Onder bepaalde omstandigheden maakt de AVG het mogelijk om gevoelige data vast te leggen, maar daarop kon de stad geen beroep doen. Zelfs als er een geldige rechtsgrond was, bleef de stad Antwerpen in overtreding van de AVG. Er waren namelijk onvoldoende waarborgen voor de beveiliging van de stemopnamen. Die werden, zonder versleuteling, opgeslagen op de cloudservers van Google. Aangezien deze servers worden beheerd door een bedrijf buiten de Europese Economische Ruimte, had de stad zelfs aanvullende waarborgen moeten voorzien om de data veilig te houden.
Sanctie
Eind 2022 werd de stad Antwerpen al door de inspectiedienst van de GBA op de vingers getikt en moest zij stoppen met de stemopnamen. Ruim twee jaar later volgt het definitieve oordeel, met als gevolg dat de stad “alle stemafdrukken en alle ruwe audiobestanden waarin stemgeluid voorkomt” moet verwijderen.
Van een boete voor het overtreden van de AVG is echter geen sprake. Dat heeft er volgens de GBA mee te maken dat het “om een in de tijd beperkt innovatieproject” ging, dat bovendien was gericht op het oplossen van een erkend probleem. Daarnaast heeft de stad medewerking verleend aan het onderzoek van de GBA.
