De Autoriteit Persoonsgegevens (AP) komt vooral in het nieuws bij het lekken van persoonsgegevens. Minder bekend is dat ze ook gaat over de naleving van de privacyregels bij cameratoezicht. ‘We krijgen geregeld signalen en klachten van burgers of organisaties. Op basis daarvan kunnen we besluiten een onderzoek te starten en – waar nodig – handhavend op te treden’, aldus een woordvoerder.
Door Elske Koopman / Beeld: Shutterstock
De AP is de onafhankelijke toezichthouder op de naleving van het grondrecht op de bescherming van persoonsgegevens. De AP is ook onderdeel van de European Data Protection Board (EDPB), het samenwerkingsverband van Europese toezichthouders. En dus ook de instantie die kan optreden als een camera aan een woning of bedrijf verkeerd hangt en bijvoorbeeld te veel van de openbare ruimte filmt.
Hoe vaak de Autoriteit Persoonsgegevens daadwerkelijk overgaat tot handhaving, kan de woordvoerder niet zeggen: ‘Dat verschilt van jaar tot jaar en hangt af van het aantal signalen, de ernst van de mogelijke overtredingen en onze prioriteiten.’
Geen openbare weg
Een bedrijf of particulier mag overal camera’s ophangen, zolang ze gericht zijn op zijn of haar eigendommen. Wat bijvoorbeeld is toegestaan, is de hele entree in beeld brengen: het perceel, de ingang, al dan niet met toegangspoort en de volledige oppervlakte van een bedrijf of woning. Wat niet mag, is het in beeld brengen van de openbare weg. Maar dat is een lastig begrip, omdat bij het filmen van de ingang vaak ook een stuk openbare weg in beeld komt.
Niet meer dan strikt noodzakelijk
Een voorbeeld is een eigenaar van een horecagelegenheid die camera’s wil hebben gericht op de ingang en het terras. Daarbij komt een deel van de openbare weg in beeld. Dat kan en mag. Voor de plaatsing van camera’s geldt: breng niet meer in beeld dan strikt noodzakelijk. Een klein deel van de weg is dus geen probleem, zolang niet de hele straat of het pand van de overburen ook in beeld zijn. Mochten de camera’s toch gericht zijn op de hele openbare weg of op de overburen, dan kunnen betrokkenen en toevallige passanten hierover een klacht indienen. In dat geval komt vaak eerst iemand van de gemeente kijken of de camera’s inderdaad verkeerd gericht zijn.
‘Gemeenten kunnen ondernemers of inwoners informeren over de regels voor cameratoezicht en toezien op de openbare orde en veiligheid. Als er bij cameratoezicht mogelijk sprake is van een schending van de privacyregels, kunnen gemeenten burgers doorverwijzen naar de AP of zelf signalen aan ons doorgeven.’
Signaalfunctie gemeenten
Gemeenten hebben dus vooral een signaalfunctie en kunnen niet zelf optreden tegen verkeerd gerichte camera’s. De AP is het bevoegde orgaan om te handhaven als de privacyregels worden overtreden. Dus als je als passant merkt dat camera’s verkeerd hangen en je de gemeente belt, dan gaat een ambtenaar met de eigenaar van het pand praten om deze te wijzen op de regels. Als die vervolgens niets doet, kan de gemeente niets uitrichten, hooguit nog een keer langsgaan en vragen of het anders kan. De passant moet dan een klacht indienen tegen de eigenaar van de camera bij de Autoriteit Persoonsgegevens. Alleen die organisatie kan de eigenaar dwingen om de stand van de camera aan te passen. Voordat de toezichthouder dat doet, stelt deze eerst een aantal vragen. Vervolgens kan de AP op verschillende manieren optreden als de camera niet privacyproof is ingesteld.
De noodzaak van gezichtsherkenning is er volgens de AP niet snel
Algemene Verordening Gegevensbescherming
Een bedrijf, overheidsinstelling of particulier mag camera’s inzetten om eigendommen, personeel of gebouwen te beveiligen. Daarvoor is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De camera’s mogen niet op buren zijn gericht en voor het filmen van openbare ruimtes zijn strenge regels van toepassing.
Camera’s met gezichtsherkenning verboden
Het gebruik van camera’s met gezichtsherkenning is in Nederland bijna altijd verboden. Een gezichtsafbeelding is een biometrisch persoonsgegeven. Als hiervan gebruik wordt gemaakt om iemand te identificeren, is het een zogeheten bijzonder persoonsgegeven. Camera’s met gezichtsherkenning verwerken dus bijzondere persoonsgegevens. Dat is verboden tenzij het verwerken onder wettelijke uitzonderingen valt.
Gezichtsherkenning via de camera mag wel als betrokkenen expliciet toestemming hebben gegeven en als de verwerking noodzakelijk is voor authenticatie en beveiliging. Die noodzaak is er volgens de AP niet snel: het moet gaan om een zwaarwegend algemeen belang, bijvoorbeeld de beveiliging van een kerncentrale of van staatsgeheime informatie.
> LEES OOK: AP wil preventieve aanpak deurbelcamera’s
Juridisch kader
De AP heeft een juridisch kader opgesteld voor organisaties die gebruik willen maken van gezichtsherkenning, zoals producenten of leveranciers van camera’s met gezichtsherkenning. Op de vraag hoe kunstmatige intelligentie hierin een rol speelt, verwijst de AP naar de eigen reactie op de AI-Act. De AI-Act is een Europese richtlijn met een risicogebaseerde aanpak voor de regulering van AI.
AI-systemen worden ingedeeld in risicocategorieën op basis van hun toepassing en doelgroep. Afhankelijk van deze categorieën moeten bedrijven verschillende maatregelen nemen, van eenvoudige openbaarmaking voor laagrisicotoepassingen tot uitgebreide documentatie en zorgplicht voor hoogrisicotoepassingen. Verboden toepassingen, zoals sociale scoring, mogen niet worden gebruikt. Alle landen in Europa moeten zich hieraan houden.
> LEES OOK: AP tikt vakantieparken op de vingers over gebruik gezichtsherkenning
Sancties
Mochten de regels worden geschonden, dan kunnen betrokken organisaties of personen een klacht indienen bij de AP. Die start een vooronderzoek en als daaruit blijkt dat de klacht juist lijkt te zijn, dan volgt een uitnodiging voor een gesprek. ‘Hierin spreken wij de organisatie aan op de manier van werken en leggen we de privacyregels uit. Zo kan de organisatie zelf stappen ondernemen om aan de wet te voldoen’, aldus de AP.
Mocht het dan nog niet opgelost zijn, dan volgt een sanctie en die zijn er in verschillende soorten en maten:
- Bij een kleine of niet zo erge overtreding kan de AP een berisping geven. Daarmee keurt de toezichthouder de overtreding van de AVG af. Dit middel wordt ingezet als dit passender is dan een boete.
- De AP kan een organisatie ook onder verscherpt toezicht plaatsen. De organisatie krijgt de kans om de geconstateerde problemen op te lossen en moet regelmatig rapporteren over de voortgang.
- Een last onder dwangsom verplicht de organisatie te stoppen met het overtreden van de wet. Daarvoor stelt de toezichthouder een termijn vast en als het niet binnen die termijn is gestopt, dan moet de overtreder een geldbedrag betalen. De last kan ook zonder dwangsom worden opgelegd, dan kan een andere maatregel volgen als de overtreder niet tijdig is gestopt met het schenden van de wet. Een voorbeeld van zo’n maatregel is een boete.
- Een verwerkingsverbod verbiedt de overtreder van de regels om bepaalde persoonsgegevens te verwerken.
- Een boete legt de AP pas op als er een of meer ernstige overtredingen zijn geconstateerd.
In het jaarverslag rapporteert de AP jaarlijks over hoe vaak de verschillende sancties zijn opgelegd. In 2024 waren dat zes boetes, vier keer een last onder dwangsom, zeven berispingen en vier nacontroles en invorderingen. Die laatste categorie volgt op een last onder dwangsom om te kijken of de situatie is verbeterd. In het jaarverslag staat ook dat de autoriteit nog niet kan melden voor welke zaken boetes zijn opgelegd, omdat die pas openbaar mogen worden gemaakt als de procedures zijn afgerond. Vaak verzetten organisaties zich tegen een boete en pas als de juridische middelen zijn uitgeput, volgt openbaarmaking van het boetebesluit.
Volg Security Management op LinkedIn
