Kennis items

Cameratoezicht en observatie onder de AVG

Is registratie via camerabeelden echt noodzakelijk?

 

Nsecure camera observatie
Alexander Snel
CISSP CIPP/E - Information security & Privacy
4 juni 2018

In onze vorige blog ‘Uw toegangsmanagement in control, ook na 25 mei’ schreven we al dat camera’s plaatsen in en om uw locatie(s) is toegestaan, bijvoorbeeld als dit noodzakelijk is voor beveiliging van uw bedrijfsbelangen. Denk aan het waarborgen van veiligheid voor betrokkenen op uw locatie, voorkomen dat onbevoegden toegang hebben tot een ruimte of voorkomen van diefstal. Het maken, gebruiken en tonen van de opnames dient met de ingang van de AVG echter aan een aantal voorwaarden te voldoen. Maar waar moet u als organisatie nog meer alert op zijn?

Is registratie via camerabeelden echt noodzakelijk?

De belangrijkste vraag die gesteld moeten worden, is heel simpel; Wat is de beweegreden van uw organisatie om cameratoezicht toe te passen? Deze vraag is essentieel om te bepalen of dit is toegestaan. Bij cameratoezicht verwerkt u persoonsgegevens en daarvoor is een rechtmatig(e) doel en grondslag vereist. U moet kunnen aantonen dat het plaatsen van camera’s noodzakelijk is voor het doeleinde waarvoor dit plaatsvindt. Alleen als dit doel niet te bereiken is op een andere manier, is cameratoezicht toegestaan. Daarnaast moet het een onderdeel zijn van beveiligingsmaatregelen; het mag niet op zichzelf staan. Deze afweging dient verplicht te worden vastgelegd in een Privacy Impact Assessment.

Beperk de inbreuk op privacy

Een volgend uitgangspunt is dat aan de basisprincipes van de AVG wordt voldaan. Er mogen dus niet meer camera’s worden geplaatst dan noodzakelijk, waarbij ook het gebied dat in beeld wordt gebracht zoveel mogelijk wordt beperkt. Een camera die bedoeld is om een parkeerterrein te beveiligen maar ook een groot deel van de omgeving filmt, voldoet daar bijvoorbeeld niet aan. Bij veel camera’s kunnen in de software gebieden worden ingesteld die worden vervaagd en daardoor niet worden opgenomen.

Bepaal daarnaast of het echt nodig is om camera’s 24/7 opnames te laten maken. Vaak is dit niet het geval. Ook belangrijk: beperk wie de beelden kan bekijken. Soms zijn monitors geplaatst in een publiek toegankelijke ruimte, waar onbevoegden kunnen meekijken. Geluidsopnamen bij cameratoezicht zijn daarnaast niet toegestaan, omdat dit niet noodzakelijk is voor het doel. Tot slot mogen de beelden niet voor andere doeleinden worden ingezet dan waarvoor ze zijn verzameld; een medewerker aanspreken op te lange rookpauzes op basis van camerabeelden die voor diefstalpreventie zijn opgenomen, is dus niet toegestaan.

Informeer werknemers, bezoekers en leveranciers

Organisaties zijn verplicht werknemers, en bezoekers te informeren over cameratoezicht. Dit gaat vaak verder dan alleen een vermelding bij de entree. Een verwijzing naar een personeelshandboek of websitepagina met meer informatie is van belang om daarmee betrokkenen te kunnen wijzen op hun rechten.

Bewaartermijn camerabeelden AVG

Voor het bewaren van persoonsgegevens – waaronder camerabeelden – dienen bewaartermijnen te worden vastgesteld. De wettelijke richtlijn hiervoor is maximaal 4 weken. Organisaties mogen camerabeelden echter niet langer bewaren dan noodzakelijk, dus die maximale termijn mag niet zomaar worden gehanteerd. Ook hierbij geldt dat vooraf benoemd en bekend is wat de doeleinden zijn van deze beelden. Als een incident is vastgelegd, bijvoorbeeld diefstal, dan mag een organisatie de betreffende beelden bewaren tot de diefstal is afgehandeld.

Uw cameratoezicht onder beheer van Nsecure

Wanneer een organisatie kiest voor observation dienstverlening, waarbij er op afstand toezicht is vanuit een control room en diverse (klant)locaties worden gecontroleerd en gemonitord, zijn een aantal voorwaarden van belang. Observatie heeft daarmee bovengemiddelde impact op de bewegingsvrijheid en privacy van personen. Het volgen van een persoon door een gebouw of tijdens een wandeling in bepaalde situaties, gaat namelijk een stap verder dan alleen registratie van informatie. Daarnaast wordt deze dienstverlening in de meeste gevallen uitbesteed aan een derde partij. Een verwerkingsovereenkomst waarin wordt opgenomen wat de afspraken en doeleinden zijn is verplicht.

Vanuit de Nsecure Observation Room bewaken onze beveiligers dag en nacht op afstand de veiligheid op de locaties van onze klanten. Dat betekent één centrale plek voor toegangsverlening en cameraobservatie. Waar traditionele beveiliging altijd aansturing vereist, kan Nsecure vanuit slimme systemen actie ondernemen zonder direct kosten te maken en dit voldoet aan uw compliancy.

Gerelateerde

Onderwerpen

Alexander Snel CISSP CIPP/E - Information security & Privacy
Meer informatie

Vragen

Meer weten over onze certificeringen? Neem dan contact op.