Drones bij brandweer en politie: privacyvriendelijk hulpmiddel of cyberrisico?

Share

In de Volkskrant is onlangs een reportage verschenen over experimenten met drones op de ‘Twente Safety Campus’. De Twentse brandweer gebruikt een proeftuin om de drones te trainen. Dit gebeurt onder andere door opzettelijk branden te laten woeden en verkeersongevallen te laten plaatsvinden.

Het doel hiervan is het aanleggen van een dekkend drone-netwerk dat hulpdiensten kunnen gebruiken in verschillende situaties. Denk bijvoorbeeld aan het observeren van een situatie rondom een verkeersongeluk, het opsporen van een drugslab door middel van een ‘snuffeldrone’ die bepaalde stoffen in de lucht kan detecteren en het volgen van een voortvluchtige verdachte.

Het gebruik van drones door hulp- en handhavingsdiensten is niet nieuw. De Twentse brandweer gebruikt namelijk al sinds 2015 drones als hulpmiddel. Ook gebruikt de politie al enige tijd drones voor opsporings- en handhavingsdoeleinden. Het Veluws Bosbrandcomité zet drones met camera’s en infrarooddetectie in om bosbranden op te sporen.

Drones zijn dus enorm veelzijdig en kunnen voor een waaier aan doeleinden ingezet worden. Er is echter wel een kenmerk dat al deze drones gemeenschappelijk hebben, namelijk dat ze afkomstig zijn van het Chinese bedrijf Da Jiang Innovations (DJI).

Recentelijk is dit bedrijf in opspraak geweest, na een onderzoek van journalistiek platform Investico. Uit het onderzoek bleek dat het zeer slecht is gesteld met de cybersecurity van de drones. Zo zitten er achterdeuren in de software en worden de data vaak opgeslagen op servers in China.

In deze blog zal aan de orde komen wanneer opsporings- en hulpdiensten drones mogen inzetten en welke cyberrisico’s er zijn.

De inzet van drones

Het gebruik van drones door de politie is toegestaan mits dit proportioneel en zorgvuldig is. Een groot verschil tussen de inzet van drones en de inzet van politiemensen is dat er met een drone veel meer informatie kan worden verzameld in een kortere tijd, waaronder een grote hoeveelheid informatie die niet relevant is voor het politieonderzoek. Stel dat een drone met een camera wordt ingezet bij het zoeken naar een voortvluchtige crimineel, dan is de kans groot dat ook beeldopnamen worden gemaakt van willekeurige personen op straat. Of zelfs in hun privésfeer, zoals in hun achtertuin. Met het oog op het dataminimalisatiebeginsel is het vanuit privacyrechtelijk perspectief van belang dat dit soort beeldmateriaal, waarop niet-verdachten zichtbaar zijn, niet wordt opgeslagen of anders geblurd.

Wat betreft het gebruik van drones met warmtesensoren om bijvoorbeeld hennepkwekerijen op te sporen, heeft de politie geen bevel van de officier van justitie nodig. Zo heeft de Hoge Raad in een uitspraak van 20 januari 2009 geoordeeld dat artikel 2 Politiewet 1993 – inmiddels vervangen door artikel 3 Politiewet 2012 – voldoende grondslag biedt om met een warmtebeeldkijker daken van huizen te scannen, aangezien de inbreuk die dit maakt op de persoonlijke levenssfeer gering is. De inzet van warmtesensoren lijkt veel op de inzet van geursensoren voor de opsporing van drugslaboratoria, dus waarschijnlijk mag dit laatste ook. Pas wanneer de politie stelselmatig over zou gaan tot observatie, bijvoorbeeld door dagelijks een rondje met de drone te maken in een bepaalde wijk, is er juridisch gezien sprake van een bijzondere opsporingsbevoegdheid en moet er een bevel zijn van de officier van justitie.

De brandweer heeft geen opsporingsbevoegdheden en kan een drone dus niet inzetten voor dergelijke doeleinden. Wel mag de brandweer drones gebruiken als hulpmiddel voor hun werkzaamheden, mits dit gebruik voldoet aan de eisen van de AVG. Denk hierbij aan de zes beginselen inzake de verwerking van persoonsgegevens: i) Rechtmatigheid, behoorlijkheid en transparantie, ii) doelbinding, iii) dataminimalisatie, iv) juistheid, v) opslagbeperking en vi) integriteit en vertrouwelijkheid.

De cyberveiligheid

In het algemeen zijn er dus voldoende gronden voor hulp- en opsporingsdiensten om drones rechtmatig in te zetten.

Uit onderzoek van journalistiek platform Investico is echter wel gebleken dat de cyberveiligheid van drones van een zeer laag niveau is. Vrijwel alle door Nederlandse publieke organisaties gebruikte drones zijn afkomstig van het Chinese bedrijf DJI. Verschillende internationale onderzoeken wijzen erop dat de besturingsapps van de drones grote hoeveelheden persoonsgegevens naar Chinese servers sturen en het voor hackers mogelijk is om live mee te kijken met dronecamera’s.

Het Chinese bedrijf zelf zegt dat de drones veilig zijn en dat de gebruikers geen data hoeven te delen met het Chinese bedrijf. Daarnaast zijn de drones die DJI aan overheden levert extra beveiligd. Of hierop vertrouwd kan worden, is nog maar de vraag. In het verleden is gebleken dat bij het verwerken van gevoelige informatie of persoonsgegevens waarvoor gebruik werd gemaakt van software en apparatuur van Chinese bedrijven, er ondanks ontkennende verklaringen van de leverancier toch wel een achterdeur in de software of apparatuur zat waarmee de Chinese overheid of cybercriminelen zich toegang verschaften tot de informaties. Denk bijvoorbeeld aan de kwestie rondom het systeem van Huawei dat KPN gebruikte voor de verwerking van klantdata.

De Brandweer Twente stelt dat zij veilig handelen, aangezien zij de beelden niet opslaan en de drones ook niet verbonden zijn met het internet. Mijns inziens heeft de brandweer hiermee voldoende veiligheidsmaatregelen getroffen. Zo wordt voorkomen dat de beelden afgetapt kunnen worden via het internet.

Vaststaat dat er vanuit de opsporings- en hulpdiensten behoefte is aan extra mankracht. Of dat door middel van echte mensen zal zijn of met drones en andere technologieën, lijkt daarbij minder van belang te zijn. Voor nu lijkt het motto te zijn: Het doel heiligt de middelen. Hoewel het erop lijkt dat de Brandweer Twente voldoende cybersecuritymaatregelen heeft genomen, is het voor de lange termijn – vanuit mensenrechtelijk perspectief – onontbeerlijk om na te denken over de mogelijkheid om eigen software te ontwikkelen zonder achterdeuren en die wel voldoet aan de Europese privacy-eisen.

 

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.