Het aantal beveiligingscamera’s waar bedrijven gebruik van maken, is de afgelopen twee jaar sterk toegenomen. Hoewel de AVG strikte regelgeving kent voor cameratoezicht, wordt de inzet van beveiligingscamera’s steeds vaker als normaal gezien. Is dit een positieve ontwikkeling of wordt onze privacy hiermee op grote schaal geschonden?
TEKST Edwin Feldmann
Het aantal geregistreerde beveiligingscamera’s is sinds begin 2020 met meer dan 22 procent toegenomen, zo berekende VPNgids.nl vorige zomer. Het gaat hier alleen om camera’s van particulieren, bedrijven en de overheid die geregistreerd staan in een politiedatabase. Het is daarom waarschijnlijk dat de werkelijke cijfers nog veel hoger liggen. De politie houdt in het computersysteem Camera in Beeld bij waar er buitencamera’s actief zijn. Die beelden kunnen vervolgens door de politie worden opgevraagd om bijvoorbeeld een inbraak of misdrijf op te lossen. Het registreren en aanmelden van de camera’s in die politiedatabase is niet verplicht en moet door de eigenaar van de camera zelf gebeuren.
Belangrijker is dat voor al het gebruik van beveiligingscamera’s sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018, strikte regels gelden (zie kader). Volgens Rodney Haan van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) bestaat er wel wat onduidelijkheid over de regelgeving rond cameratoezicht voor beveiligingsdoeleinden. Volgens de Autoriteit Persoonsgegevens (AP) is het onaangekondigd filmen van mensen in de openbare ruimte, zoals op straat, in winkels, in de horeca en op parkeerplaatsen van bedrijven, verboden.
Regels voor cameratoezicht
Het ophangen van camera’s voor de beveiliging van eigendommen mag onder deze voorwaarden:
- Je moet kenbaar maken dat er camera’s hangen, bijvoorbeeld door een sticker of bordje bij de deur.
- Je mag de opgenomen beelden maximaal 28 dagen bewaren.
- De opgenomen beelden mogen niet beschik- baar zijn voor derden.
- Je mag alleen opnamen maken voor beveiliging van je persoonlijke eigendommen.
- Je mag niet de eigendommen van anderen filmen, zoals het huis of de tuin van de buren.
- Soms kan het echt niet anders dan dat je een stukje van de openbare weg filmt, bijvoorbeeld omdat je voordeur direct grenst aan de openbare weg. Zorg er in dat geval voor dat je de privacy van voorbijgangers zo min mogelijk schendt.
Cameratoezicht op bedrijventerreinen
“De regels over toezicht op eigen terrein zijn niet zo moeilijk, maar het wordt onduidelijker bij cameratoezicht op bedrijventerreinen, bijvoorbeeld als een ondernemerscollectief zelf het gehele bedrijventerrein wil beveiligen”, stelt Haan. “Voor een ondernemerscollectief is de inzet van beveiligingscamera’s op het eigen terrein vaak niet genoeg want dan is de crimineel al op het bedrijventerrein. Cameratoezicht op eigen terrein mag daar zolang het doel bewaken en beveiligen van eigendommen is.”
Je komt vaak in een grijs gebied en regels zijn complex
Volgens Haan is de wens van het ondernemerscollectief vaak om de camera op de openbare weg te richten en zodoende het gehele bedrijventerrein te bewaken en te beveiligen. “Dat mag feitelijk alleen als het bedrijventerrein geen openbare functie heeft. Voor openbaar gebied is de gemeente verantwoordelijk. Als het bedrijventerrein niet is afgesloten, kom je in een grijs gebied waar de Autoriteit Persoonsgegevens nog nooit expliciet een uitspraak over heeft gedaan in dit voorbeeld over privaat cameratoezicht op openbaar terrein. Op dat gebied kan de regelgeving dus duidelijker.”
Steeds meer bedrijven zetten ook cameratoezicht in op de werkvloer. Hoewel dat misschien met de beste bedoelingen gebeurt, worden camera’s soms ook ingezet om te kijken wat personeel aan het doen is. En daar is de privacytoezichthouder streng op, al is het lastig om ertegen op te treden door personeelsgebrek bij de Autoriteit Persoonsgegevens.
Inbreuk op de privacy
Volgens de wet is het ophangen van camera’s om werknemers te controleren bijna nooit toegestaan. De inbreuk op de privacy van klanten en werknemers is erg groot, waardoor er moet worden voldaan aan een aantal voorwaarden. Ten eerste moet er sprake zijn van een gerechtvaardigd belang, zoals het tegengaan van diefstal of het beschermen van werknemers en klanten. Vervolgens moet het cameratoezicht noodzakelijk zijn. Er moet sprake zijn van een probleem dat niet op een andere manier kan worden opgelost. Er moet dus eerst naar andere oplossingen gekeken worden die minder ingrijpend zijn waaronder tascontroles of detectiepoortjes.
Pas als die oplossingen er niet zijn of het probleem niet oplossen, mag er worden overgestapt op de inzet van cameratoezicht en alleen als de ondernemingsraad van een organisatie ermee heeft ingestemd. En zelfs dan is het zomaar filmen van werknemers en bezoekers aan strenge regels geboden, weet Hester de Vries, advocaat bij Kennedy Van der Laan.
> LEES OOK: Rob Poort: Gebruik camerabeelden toegestaan
Breng je mensen via bordjes op de hoogte van cameratoezicht
Richtlijnen AVG
“Je moet medewerkers via bordjes eerst op de hoogte brengen van het cameratoezicht. En daarbij moet ook de reden van het toezicht vermeld worden.” Op het vlak van privacy gelden de richtlijnen van de AVG. Dit betekent dat werknemers en bezoekers het recht hebben om de camerabeelden te bekijken. Daarbij geeft de AVG hen het recht om vergeten te worden. En werknemers en bezoekers mogen bezwaar maken tegen het gebruik van persoonsgegevens.
Juridisch ligt het gebruik van cameratoezicht op het werk best complex, vertelt De Vries. “Bij de inzet van cameratoezicht speelt zowel het arbeidsrecht als het privacyrecht een rol. In de praktijk kan dit leiden tot ingewikkelde vragen over bijvoorbeeld de toegestane reikwijdte of doeleinden van cameratoezicht of over medezeggenschap. Daarnaast moet een organisatie die cameratoezicht in wil zetten interne documentatie hierover opstellen en ervoor zorgen dat de personen die onder het cameratoezicht zullen vallen, deugdelijk geïnformeerd worden.”
‘Open normen’
Ook hier is de wet niet altijd even duidelijk. De wet biedt namelijk geen concrete lijst met voorwaarden waaraan moet worden voldaan. De Vries spreekt over ‘open normen’. “Een organisatie die cameratoezicht wil inzetten, zal zelf moeten toetsen of aan die open normen is voldaan, bijvoorbeeld of de concrete inzet van cameratoezicht zoals die beoogd is, wel proportioneel is en of het doel van het cameratoezicht niet op een manier kan worden gerealiseerd die minder ingrijpend is, bijvoorbeeld door (extra) beveiligers in te zetten of door betere toegangscontrole. Voor het maken van die beoordeling biedt de AVG zelf niet veel handvatten, daarvoor moet gekeken worden naar voorlichting en handhaving door de toezichthouder en naar hoe de rechter cameratoezicht in het verleden heeft beoordeeld.”
Waar de AVG bijvoorbeeld niet concreet over is, is de verwerking van het beeldmateriaal. De Autoriteit Persoonsgegevens houdt als richtlijn voor het bewaren van camerabeelden 28 dagen aan. Alleen als er een incident wordt vastgesteld, zoals diefstal, mogen de beelden bewaard blijven tot de afhandeling van het incident.
Een bewaartermijn van 28 dagen voor beelden is nergens voor nodig
Bewaartermijn van 28 dagen
Het termijn van 28 dagen lijkt arbitrair. “Een bewaartermijn van 28 dagen is nergens voor nodig”, vindt Rodney Haan van CCV. “Je moet de bewaartermijnen zo kort mogelijk houden om de impact op de privacy zo klein mogelijk te maken. Het bewaren van beelden gedurende vijf of zeven dagen is vaak lang genoeg.” Hij vindt cameratoezicht een zwaar middel dat wel een afschrikwekkend effect heeft. “De inzet van camera’s werkt ook preventief tegen inbraak.”
Om ervoor te zorgen dat cameratoezicht structureel of voor een lange periode op verantwoorde wijze gebeurt, is een data protection impact assessment (DPIA, oftewel gegevensbeschermingseffectbeoordeling) vaak noodzakelijk. Daarbij moet onderbouwd worden waarom camera’s nodig zijn en er wordt gekeken hoe de impact op de privacy van anderen beperkt kan worden. Ook vragen over hoe je omgaat met klachten en het recht om vergeten te worden, worden beantwoord.
Wie er binnen een organisatie verantwoordelijk is voor de implementatie en het beheer van het cameratoezicht verschilt per organisatie. Soms heeft een organisatie dit bij een hoofd beveiliging ondergebracht, soms valt cameratoezicht onder de verantwoordelijkheid van een facilitair manager of een IT-afdeling.
Uiteindelijk is het bestuur of de directie eindverantwoordelijk voor de inzet van cameratoezicht.
> LEES OOK: Kritische kanttekeningen bij cameratoezicht
Ongewenste toegang
Scholengemeenschap Saxion, met scholen in Enschede, Deventer en Apeldoorn, maakt ook gebruik van cameratoezicht, vertelt Henry Meutstege, CISO bij Saxion. “Cameratoezicht is binnen Saxion puur gericht op toezicht op de gebouwen en op ongewenste toegang. De camera’s worden niet gebruikt voor toezicht in de gebouwen”, vertelt hij. Saxion heeft het cameratoezicht grotendeels uitbesteed. De naleving van de AVG is daarom vastgelegd in de contracten (verwerkersovereenkomst) met de externe leverancier. “Als CISO houd ik toezicht op ons facilitair bedrijf, dat eindverantwoordelijk is voor het camerabeheer. In de praktijk betekent het vooral dat we betrokken zijn bij het opstellen van de externe contracten, en dat we een oordeel geven over de verwerkersovereenkomst. En bij een eventuele aanbesteding van een nieuwe leverancier word ik als CISO betrokken”, vertelt Meutstege.
> LEES OOK: De twee wetten van digitale surveillance
Bloeddorstige hond
Wie uiteindelijk besluit om geen cameratoezicht in te zetten, kan altijd nog grijpen naar alternatieven, stelt Rodney Haan van CCV voor. “In plaats van de inzet van camera’s op bedrijventerreinen kun je ook zorgen voor een open terrein met goede verlichting, gecertificeerd hangen sluitwerk of een bloeddorstige hond.”
Edwin Feldmann is freelance journalist
tel.: 030-4100677.
Volg Security Management op LinkedIn