• Nieuws

Cameratoezicht en privacyregels: vier vragen en antwoorden

14 juli 2020
IT & privacy - Privacy

Cameratoezicht is overal. Alleen al in de openbare ruimte hangen in Nederland naar schatting meer dan tweehonderdduizend camera’s. Veel bedrijven en consumenten zetten cameratoezicht in voor doeleinden als het beveiligen van eigendommen en personen. Als een camera een persoon in beeld brengt, kan de privacy van die persoon in het geding zijn. Immers, hoe iemand eruit ziet, waar hij zich op welk moment bevindt en wat hij daar doet, is onderdeel van het privéleven. Op het gebruik van cameratoezicht is in veel situaties privacywetgeving van toepassing. Het gaat dan met name om de Algemene verordening gegevensbescherming (AVG). Hoe cameratoezicht conform de vereisten van de AVG kan worden ingericht, is vaak onduidelijk. In dit blog bespreken wij vier in de praktijk veel voorkomende vragen over cameratoezicht.

1. Is de AVG altijd van toepassing op het gebruik van cameratoezicht?

Nee, het gebruik van cameratoezicht hoeft niet altijd aan de vereisten uit de AVG te voldoen. Als een privépersoon cameratoezicht bijvoorbeeld gebruikt om zijn huis te beveiligen, gelden de vereisten uit de AVG niet. Dat is weer anders wanneer de camera bezittingen van buurtgenoten (zoals het huis van de buren) filmt of als de camera (deels) op de openbare weg is gericht. In zo’n geval is de AVG wel van toepassing.

Als een bedrijf of school cameratoezicht inzet gelden de regels uit de AVG vrijwel altijd. Daarbij staat centraal dat het gebruik van camera’s alleen mag als daar een wettelijke verwerkingsgrondslag voor bestaat. De meest voorkomende verwerkingsgrondslag voor het gebruik van cameratoezicht is ‘noodzakelijk voor het behartigen van een gerechtvaardigd belang’ (Eerder schreven wij al een blog over het gerechtvaardigd belang in het kader van marketing). Soms is het gewoon nodig (noodzakelijk) om camera’s in te zetten om een bepaald belang te behartigen. Zo’n belang kan het tegengaan van diefstal zijn, en/of het beschermen van klanten en werknemers in een winkel. Als een partij (gerechtvaardigd) cameratoezicht inzet op deze grondslag, moet wel goed worden nagedacht over de gevolgen die het cameratoezicht heeft voor de gefilmde personen en hoe de gevolgen voor deze betrokkenen kunnen worden beperkt. Zie daarbij ook het volgende.

2. Moet ik mensen informeren over het gebruik van cameratoezicht? En zo ja, hoe dan?

Als de AVG op het gebruik van cameratoezicht van toepassing is, moet degene die cameratoezicht inzet mensen daarover informeren. Dat kan bijvoorbeeld door het ophangen van bordjes of posters. Op zulke informatiebordjes of -posters  moet allerlei informatie staan, zoals wie verantwoordelijk is voor het cameratoezicht. Vaak is op zo’n bordje niet genoeg ruimte om aan alle informatievereisten uit de AVG te voldoen. Daarom mag informatie op getrapte wijze worden verstrekt, bijvoorbeeld door op het bordje te verwijzen naar uitgebreide informatie op een website. Als een werkgever besluit camera’s in de werkomgeving te gaan ophangen, adviseren wij o.a. ook altijd om werknemers hierover te informeren in een intern privacybeleid.

3. Hoelang mag ik opgenomen beelden bewaren?

Hoofdregel is dat camerabeelden niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor de beelden zijn opgeslagen. De Autoriteit Persoonsgegevens vindt een bewaartermijn van vier weken redelijk. De European Data Protection Board (EDPB), het Europese samenwerkingsverband van privacytoezichthouders, benadrukt dat hoe langer camerabeelden worden bewaard, hoe meer onderbouwing voor de bewaartermijn nodig is. Een winkeleigenaar zal bijvoorbeeld vandalisme in zijn winkel snel ontdekken. De EDPB  vindt in zo’n geval een bewaartermijn van 24 uur redelijk. Al met al geldt dus: je moet kunnen uitleggen waarom je een bepaalde bewaartermijn hanteert (en deze naleven). Het vastleggen van de argumentatie voor de gekozen bewaartermijn in een intern privacybeleid kan helpen om eventuele vragen van de toezichthouder in een later stadium goed te kunnen beantwoorden.

4. Moet ik (altijd) een DPIA uitvoeren?

Het uitvoeren van een Data Protection Impact Assessment (DPIA) voorafgaand aan de inzet van cameratoezicht is niet altijd vereist. Dat is o.a. wel het geval wanneer cameratoezicht grootschalig en/of systematisch wordt ingezet. Bijvoorbeeld om diefstal en fraude door werknemers te bestrijden. Een DPIA is eigenlijk ook altijd nodig als een ondernemer een verborgen camera (heimelijk cameratoezicht) wil inzetten.

Het maken van een voorafgaande analyse om de impact op privacy van betrokkenen te bepalen, is echter altijd een goed idee. Zoals gezegd kan het vastleggen van argumentatie in een later stadium – bijvoorbeeld wanneer de toezichthouder aan de deur klopt – goed van pas komen. Wij raden dat wel vaak aan en helpen daar graag bij. In bepaalde gevallen is het ook goed, en soms zelfs vereist, om de ondernemingsraad in dit proces te betrekken.

Vragen over het gebruik van cameratoezicht en hoe te voldoen aan privacywetgeving? Neem dan contact op met het privacyteam van Ploum.

Meer informatie

Martijn Poulus

M +31 6 2053 9837
E m.poulus@ploum.nl

Nina Witt

M +31 6 30 29 34 05
E n.witt@ploum.nl

Print dit artikel