De Gegevensbeschermingsautoriteit heeft de Stad Antwerpen een veeg uit de pan gegeven voor een testproject met slimme geluidssensoren. Opnames die de sensoren maakten, stonden onversleuteld in Google Cloud bewaard.
Het Antwerps stadsbestuur krijgt een berisping van de Gegevensbeschermingsautoriteit (GBA) voor een testproject met slimme geluidssensoren in de studentenbuurt in 2022. Volgens GBA had het stadsbestuur geen rechtmatige basis om de sensoren te plaatsen en werden de gemaakte opnames niet correct verwerkt. Stad Antwerpen komt er zonder boete vanaf.
Het testproject diende om geluidsoverlast in de studentenbuurt aan te pakken. In 2022 plaatste Antwerpen 30 geluidssensoren die dag en nacht omgevingsgeluiden registreerden. Als het geluidsniveau tussen zeven uur ’s avonds en zeven uur ’s ochtends een bepaalde drempel overschreed, werd een stemafdruk gemaakt.
Geen rechtsgrond en onvoldoende transparantie
GBA greep snel in. Eind 2022 schortte GBA het project op. De instantie vreesde ernstige, onmiddellijke en moeilijk te herstellen schade en startte een onderzoek naar de rechtmatigheid van de gegevensverwerking. Die analyse draaide niet positief uit voor de stad Antwerpen.
Uit de analyse bleek dat het project geen geldige rechtsgrond had. De sensoren verzamelden biometrische gegevens, zoals stemafdrukken, en mogelijk gevoelige informatie uit gesprekken. De GDPR staat verwerking van dergelijke gegevens alleen toe onder strikte voorwaarden, waaraan Antwerpen niet voldeed.
Het stadsbestuur was daar ook niet voldoende transparant over. Antwerpen beweerde dat gesprekken niet werden opgenomen, terwijl uit het onderzoek bleek dat dit wel gebeurde. Als kers op de taart werden de stemafdrukken onversleuteld verwerkt in Google Cloud, zonder de nodige risicobeperkende maatregelen. Dat is helaas niet eens de grootste beveiligingsfout die het stadsbestuur recent gemaakt heeft.
lees ook
Antwerpen ontlast Digipolis en gaat in zee met Eviden voor robuustere IT-infrastructuur
Berisping zonder boete
Stad Antwerpen krijgt een formele berisping, maar geen bijkomende boete. Bij de sanctie hield de GBA rekening met het feit dat het om een tijdelijk project ging dat een bestaand probleem wilde aanpakken. De stad werkte bovendien mee aan het onderzoek. Het stadsbestuurt wordt verzocht alle stemafdrukken en audiobestanden waarin stemgeluid voorkomt dringend te verwijderen.
GBA benadrukt technologische projecten zorgvuldig moeten worden opgezet met oog voor de risico’s en de juiste beschermingsmaatregelen. Die discussie is vandaag zeer actueel: de AI Act stelt dat het gebruik van AI in slimme camera’s en sensoren op openbare locaties enkel kan ‘in uitzonderlijke gevallen’. We zien echter steeds meer steden en gemeenten de straten volhangen met camera’s om ook ‘kleine’ overtredingen aan te pakken.