Cameratoezicht. Mag dat eigenlijk wel?

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
cameratoezicht

Steeds vaker maken bedrijven gebruik van videocamera’s voor het houden van toezicht en het beveiligen van hun panden en goederen. In de praktijk kom ik regelmatig organisaties tegen die camera’s in of aan hun bedrijfspand hebben geïnstalleerd zonder vooraf rekening te hebben gehouden met privacy-afwegingen. Maakt jouw organisatie gebruik van camera’s of ben je van plan cameratoezicht te gaan inzetten? In deze blog leg ik uit waar je op moet letten en aan welke voorwaarden je moet voldoen.

Gerechtvaardigd belang

Bij het inzetten van cameratoezicht worden doorgaans persoonsgegevens verwerkt. Een organisatie zal deze verwerking van persoonsgegevens moeten baseren op een van de verwerkingsgrondslagen van de Algemene Verordening Gegevensbescherming (AVG). Ik ga in deze blog uit van cameratoezicht gebaseerd op gerechtvaardigd belang, omdat dit hiervoor meestal de gebruikte verwerkingsgrondslag zal zijn. [1]

Als je cameratoezicht wilt gaan inzetten is het niet voldoende dat je alleen ergens vastlegt dat je dit doet op grond van jouw gerechtvaardigd belang. Om een verwerking te kunnen baseren op deze grondslag geldt een strenge toets, die je als verwerkingsverantwoordelijke zelf zal moeten uitvoeren.

Deze toets bestaat uit 3 onderdelen:

1. Het bestaan van een gerechtvaardigd belang

Het klinkt logisch, maar om je verwerking te kunnen baseren op gerechtvaardigd belang dient dit belang ook daadwerkelijk aanwezig te zijn. Je komt er dus niet mee weg als je een camera aan je bedrijfspand hangt gewoon omdat dat veilig voelt, of omdat je mogelijk ooit te maken zou kunnen krijgen met een inbraak of met vandalisme. Zijn er bijvoorbeeld recentelijk dergelijke incidenten geweest, dan kan het gerechtvaardigd zijn om camera’s te plaatsen om eigendommen te beveiligen en zo nodig onderbouwd aangifte te kunnen doen [2]. Belangrijk is om de beveiligingsincidenten te documenteren en ook van tijd tot tijd te evalueren of het gerechtvaardigd belang nog steeds bestaat. Ook bij dreigende gevaarlijke situaties kan een gerechtvaardigd belang voor cameratoezicht bestaan, bijvoorbeeld bij bedrijven of winkels waarvan bekend is dat ze vaak slachtoffer zijn van overvallen of ram- en plofkraken zoals banken, juwelierszaken en benzinestations.

2. Noodzakelijkheid van de verwerking

Als je hebt vastgesteld dat jouw organisatie een gerechtvaardigd belang heeft bij cameratoezicht, ben je er nog niet. Het cameratoezicht zal namelijk geschikt, adequaat en noodzakelijk moeten zijn om het gestelde doel te kunnen bereiken. Je mag alleen gebruikmaken van cameratoezicht als je doel niet op een andere, voor betrokkenen minder ingrijpende, manier kan worden bereikt. Onderzoek dus altijd of er alternatieven zijn. Als je beveiligingsincidenten ook kunt voorkomen door een hek rond je bedrijfsterrein, de inzet van beveiligingspersoneel en het installeren van een alarmsysteem, dan moet daarvoor worden gekozen. Dit zal van geval tot geval moeten worden onderzocht. Indien minder vergaande beveiligingsmaatregelen niet effectief zijn en cameratoezicht echt noodzakelijk blijkt, dan is het bovendien belangrijk dat ervoor wordt gezorgd dat hierbij zo min mogelijk persoonsgegevens worden verwerkt. Dataminimalisatie dient altijd het uitgangspunt te zijn. Zet camera’s bijvoorbeeld alleen na sluitingstijd aan en plaats deze zo dat zo min mogelijk van de openbare weg in beeld wordt gebracht.

3. Belangenafweging

Als je de verwerking bij de twee voorgaande stappen een groen vinkje hebt gegeven is het tijd voor de belangenafweging. Als organisatie die cameratoezicht wil inzetten zal je jouw belang moeten afwegen tegen dat van de betrokkenen, in dit geval zijn dat de in beeld gebrachte personen (bijvoorbeeld bezoekers, werknemers en passanten). Alleen als de weegschaal doorslaat naar jouw kant, mag je beginnen (of als je het al deed, doorgaan) met cameratoezicht.

Bij de belangenafweging is de ernst van de inbreuk die het cameratoezicht maakt op de rechten en vrijheden van de betrokkenen doorslaggevend. Hierbij moet o.a. rekening worden gehouden met de omstandigheden van het geval en de redelijke verwachtingen van de gefilmde personen. Zo kan iemand die staat de pinnen bij een bank verwachten dat hij of zij gefilmd wordt, maar een bezoeker van een sauna of een openbaar toilet heeft deze verwachting niet. Bovendien leidt het maken van video-opnamen in dergelijke faciliteiten tot een te grote inbreuk op zijn persoonlijke levenssfeer, waardoor deze verwerking niet proportioneel zal zijn.

Van geval tot geval zal moeten worden bekeken of cameratoezicht mag worden ingezet. Documenteer alle drie de stappen van je onderzoek en de conclusies die je hebt getrokken. Het is onderdeel van jouw verantwoordingsplicht als verwerkingsverantwoordelijke.

Informeren over cameratoezicht

Naast het hebben van een geldige verwerkingsgrondslag moet je betrokkenen ook informeren over het feit dat je video-opnamen maakt [3]. Dit moet gebeuren voordat ze binnen het bereik van de camera komen. Hierbij wordt een gelaagde aanpak geadviseerd: [4]

– Eerste laag: waarschuwingsbord

De eerste laag wordt gevormd door een waarschuwingsbordje met bijvoorbeeld een icoontje van een camera erop, waarop tevens de belangrijkste informatie wordt vermeld, zoals het doel van de verwerking, de identiteit van de verwerkingsverantwoordelijke en de rechten van de betrokkene. Ook dient hier in te staan waar betrokkenen de tweede laag van informatieverklaring kunnen vinden, bijvoorbeeld via een QR-code of website-URL. Een voorbeeld van hoe de eerste laag eruit zou kunnen zien: [5]

foto-blog

– Tweede laag: volledige privacyverklaring

De tweede laag van de informatieverklaring moet alle informatie bevatten die de AVG in artikel 13 voorschrijft. Het is belangrijk dat deze niet alleen digitaal maar ook in papieren versie (flyer bij de receptie of poster) beschikbaar is. Ook deze informatie dient toegankelijk te zijn op plaatsen die zich bevinden buiten het bereik van de camera. In de praktijk zal het echter niet altijd meevallen om een betrokkene volledig te informeren voordat hij binnen het bereik van de camera komt. Denk bijvoorbeeld aan een winkel waarbij de camera de ingang filmt.

Bewaartermijn en beveiliging

De beelden die zijn opgenomen door de camera’s mogen niet langer worden bewaard dan noodzakelijk is. Hierbij geldt dat hoe langer je de beelden wilt bewaren hoe meer argumenten er nodig zijn om dit te kunnen rechtvaardigen. De Autoriteit Persoonsgegevens hanteert een richtlijn van maximaal 4 weken, maar probeer beeldmateriaal liever eerder te verwijderen dan deze maximumtermijn.
Totdat de videobeelden worden verwijderd zullen ze uiteraard moeten worden beveiligd. De te nemen beveiligingsmaatregelen zijn zowel technisch (o.a. wachtwoorden, encryptie en firewalls) als organisatorisch (o.a. wie heeft toegang tot het beeldmateriaal). Beveiliging moet in alle fasen van de verwerking aanwezig zijn, dat wil zeggen op het moment van de opname zelf, tijdens de doorgifte van de beelden en gedurende de opslagperiode.

Data Protection Impact Assessment

In veel gevallen zal voordat je mag beginnen met cameratoezicht een Data Protection Impact Assessment (DPIA) moeten worden uitgevoerd. Bijvoorbeeld wanneer je structureel camera’s inzet die een groot aantal personen op beeld vastleggen of wanneer je als werkgever camera’s gebruikt om diefstal en fraude door werknemers te bestrijden. Onderzoek altijd of een DPIA nodig is en win zo nodig advies in. Ook als een DPIA niet verplicht is, kan het nuttig zijn om deze toch uit te voeren, omdat je hierbij meteen alle punten die hierboven worden besproken zal moeten nalopen.

Conclusie

De inzet van cameratoezicht is lang niet altijd toegestaan, maar moet van geval tot geval worden beoordeeld. Wil jouw bedrijf of organisatie cameratoezicht inzetten op een manier die aan de AVG voldoet? Let dan in ieder geval op de volgende punten:

  • Zorg ervoor dat je jouw gerechtvaardigd belang kunt onderbouwen en documenteer dit ook.
  • Overweeg of cameratoezicht echt noodzakelijk is.
  • Weeg jouw belang af tegen de belangen van de betrokkenen
  • Zorg ervoor dat je de betrokkenen informeert voordat zij in beeld komen, bij voorkeur in twee fasen (lagen).
  • Leg vast hoe lang het beeldmateriaal wordt bewaard en onderbouw dit.
  • Zorg voor technische en organisatorische beveiligingsmaatregelen in alle fasen van de verwerking.
  • Onderzoek of een DPIA moet worden uitgevoerd.

1. Deze verwerkingsgrondslag geldt niet voor overheidsinstanties bij de uitvoering van hun publieke taken (art 6 lid 1 sub f AVG). Bijvoorbeeld wanneer een gemeente camera’s inzet ter handhaving van de openbare orde.

2.  Rb Midden-Nederland 12 maart 2019, ECLI:NL:RBMNE:2019:2725

3. Er zijn ook situaties waarbij heimelijk cameratoezicht plaatsvindt, maar de hoofdregel is dat je betrokkenen moet informeren over cameratoezicht.

4. Guidelines 3/2019 on processing of personal data through video devices, European Data Protection Board

5. Guidelines 3/2019 on processing of personal data through video devices, European Data Protection Board

Loes van Zuijdam

Loes van Zuijdam

Abonneer u op privacyartikelen

U ontvangt alleen updates van onze blog
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.