De beelden van minstens vierhonderd Nederlandse beveiligingscamera's zijn voor iedereen te bekijken. Het gaat om camera's die aan het internet verbonden zijn. De locaties van deze camera's zijn vaak erg eenvoudig te achterhalen, waardoor een enorm privacy- en inbraakrisico ontstaat. De Consumentenbond, privacy- en beveiligingsexperts en Kamerleden roepen fabrikanten van deze camera’s op om zo snel mogelijk veiligheidseisen op te stellen. "Dit is onaanvaardbaar", zegt D66-Kamerlid Kees Verhoeven.
Pointer achterhaalde de exacte locatie van ruim vijftig Nederlandse beveiligingscamera's. Deze beelden zijn vaak eenvoudig te vinden op websites die ze doorzoekbaar maken. Met het IP-adres en beeldonderzoek kun je in veel gevallen achterhalen waar de camera hangt, wie de eigenaar is en wie in beeld is.
Uit ons onderzoek blijkt dat producenten van camera's veel steken laten vallen. Onvolledige gebruiksaanwijzingen, gebrekkige informatie op de verpakking, eenvoudig te raden standaardwachtwoorden en verouderde software zorgen ervoor dat consumenten deze camera’s ophangen en zich veilig wanen. In werkelijkheid kan iedereen meekijken met gevoelige en intieme beelden, en maken de eigenaren van deze camera's zich kwetsbaar voor diefstal en vandalisme.
We hebben tijdens ons onderzoek onder meer meegekeken in de behandelkamer van een orthodontist in het noorden, een fysiotherapeut in midden-Nederland, de kinderhoek van een Overijsselse bibliotheek en een villa in Het Gooi.
In Nederland zijn minstens vierhonderd camera's direct in te zien. Met iets meer zoekwerk kom je al snel op vijf- à zeshonderd beelden. Dit zijn beveiligingscamera's die via het internet toegankelijk zijn en waar je de beelden live kunt meekijken. Wereldwijd gaat het om zo’n 15.000 camera’s van ongeveer twintig merken die zeer eenvoudig toegankelijk zijn.
We hebben de locaties van ruim vijftig beveiligingscamera's achterhaald
'Ze weten van deze fouten'
De Consumentenbond vindt dat fabrikanten van deze camera’s veel te weinig aandacht hebben voor de beveiliging van deze apparaten. "Ze zien het probleem niet. Of ze vinden het niet nodig om daar iets aan te doen", zegt Gerard Spierenburg, woordvoerder bij de Consumentenbond.
"We zitten in een soort niemandsland waarin nog geen afspraken zijn gemaakt over veiligheidseisen", stelt Spierenburg. "Alleen wat ernstiger is: de fabrikanten weten van deze fouten. Wij wijzen ze daar op, maar ze zijn niet erg happig om daar iets aan te doen."
Volgens de Consumentenbond ligt de verantwoordelijkheid voor zulke informatielekken grotendeels bij de producent, en niet bij de eigenaar van de beveiligingscamera. "Als je zo'n ding koopt, moet je er eigenlijk vanuit kunnen gaan dat ie min of meer klaar is voor gebruik. Je hangt hem op en dat is het."
Bezuinigen op veiligheid
"Zorgelijk en niet aanvaardbaar", noemt GroenLinks-Kamerlid Kathalijne Buitenweg de uitkomsten van het onderzoek. "Mensen hopen door het plaatsen van camera's bij bibliotheken, ziekenhuizen of aan huizen de veiligheid te vergroten. Maar als die beelden door iedereen online kunnen worden bekeken, dan kan zelfs het omgekeerde worden bereikt. We moeten beter waken over de privacy van burgers die gefilmd worden."
Kamerlid Kees Verhoeven (D66) noemt dit 'de meest concrete vorm van privacyschending'. "Deze camera's moeten zo snel mogelijk worden weggehaald, want dit is onaanvaardbaar." Volgens Verhoeven moeten producenten van deze camera's hun verantwoordelijkheid nemen. "Ze bezuinigen nu nog op veiligheid." Verhoeven en Buitenweg dienen vrijdag Kamervragen in over dit onderzoek.
Het ministerie van Economische Zaken wijst erop dat Nederland zich sterk maakt voor een Europees verkoopverbod voor onveilige online producten. Die wetgeving zou voor het einde van 2020 moeten worden ingevoerd. "Met het stellen van wettelijke minimum digitale veiligheidseisen kunnen onveilige slimme apparaten van de markt worden gehaald en geweerd", aldus een woordvoerder van het ministerie.
"Daarnaast is het zaak dat consumenten weten wat ze in huis halen en wat zij zelf kunnen doen, zoals het uitvoeren van veiligheidsupdates. Als er een veiligheidsupdate beschikbaar is, dan is het zaak dat consumenten ze ook uitvoeren in plaats van wegklikken."
Behandelkamer van orthodontist te bekijken
Privacy-expert Bart van der Sloot, senior-onderzoeker bij de Tilburg Institute for Law, Technology, and Society (TILTS), pleit voor een minimumstandaard voor online veiligheid. "Mijn ultieme wens is dat in de veiligheidsstandaarden voor dit soort producten ver omhoog gaat", vindt Van der Sloot. "Je zal nooit een systeem krijgen dat niet te hacken valt. Maar hier gaat het om producten die gewoon open staan 'by design'. Dat moet überhaupt verboden worden."
"De tweede stap is dat die rommelproducten met slechte beveiliging - waarvan je neefje van tien dat gewoon kan hacken - ook verboden worden. We moeten toe naar een besef dat dit hele invasieve producten zijn. Heel veel mensen kunnen dit kopen, dus dat moeten in ieder geval systemen zijn die erg veilig zijn."
Sommige camera's zijn zo slecht beveiligd dat het controlepaneel te bedienen is. Hierdoor hebben we onder meer in een parkeergarage, een kroeg, appartementencomplex in Amsterdam en een winkel op station Arnhem de camera bestuurd. Alle betrokkenen zijn door ons benaderd om hun camera offline te halen of om het voldoende te beveiligen.
Volgens Spierenburg zijn de genoemde voorbeelden een inbreuk op de privacy. Hij noemt specifiek de camera in de behandelkamer van een orthodontist. "Als daar een camera hangt, dan hangt die voor de veiligheid van de spullen en van de orthodontist. Maar ik verwacht niet dat ik daar word gefilmd en dat die opnames wereldwijd te zien zijn."
"Dat zijn allemaal medische gegevens. En nu gaat het om een orthodontist, maar het zou ook kunnen dat je bij de huisarts of een kankerkliniek zit. Dat zijn toch best wel intieme dingen. Waar ligt de grens?"
De camera van de orthodontist is voor de publicatie van dit artikel offline gehaald.
Veel klachten, geen boetes
We hebben de resultaten ook voorgelegd aan de Autoriteit Persoonsgegevens: de organisatie in Nederland die gaat over bescherming van dit soort gegevens. "Dit zijn helaas voorbeelden die laten zien waarom goede beveiliging van persoonsgegevens van groot belang is", verklaart een woordvoerder.
De Autoriteit Persoonsgegevens (AP) wijst erop dat zulke datalekken altijd bij hen gemeld moeten worden. De verantwoordelijkheid voor deze informatielekken ligt volgens de AP bij 'de partij die de verwerking van de persoonsgegevens doet', in dit geval de fabrikant van een beveiligingscamera. De autoriteit wijst de producenten op 'privacy by design en default': het principe dat apparaten zo zijn ontworpen dat persoonsgegevens niet logischerwijs kunnen uitlekken.
Tot nu toe heeft AP nog geen organisaties beboet die camera's op onjuiste wijze hebben beveiligd. "Maar we krijgen hier in de praktijk wel klachten en signalen over", aldus de woordvoerder. Vaak worden die klachten afgedaan met voorlichting en een waarschuwing.
Distributeurs en producenten van deze beveiligingscamera’s leggen de verantwoordelijkheid bij consumenten. "U moet het vergelijken met dat ik een auto koop en mijn sleutels op straat leg. Dat kun je de fabrikant niet kwalijk nemen", aldus een van de distributeurs.
Hoewel producenten steeds vaker verplichten om een eigen wachtwoord in te stellen tijdens de installatieprocedure, wijzen zij erop dat consumenten hier zelf ook scherp op moeten zijn bij oudere modellen.
Met research van Deborah de Nies, Frederike Geerdink en Thomas Mulder.