Wanneer is een DPIA bij cameratoezicht nodig?

U hangt camera’s op om uw pand te beveiligen. Logisch: u wilt weten wat er gebeurt op uw terrein, bij de ingang of in het magazijn.

Maar zodra die camera’s aan staan, bent u bezig met het verwerken van persoonsgegevens. En dan komt de AVG om de hoek kijken. Een van de verplichtingen die daarbij hoort: een Data Protection Impact Assessment, oftewel een DPIA.

Wanneer moet u die nou precies uitvoeren? En wat komt erbij kijken?

Wij lopen dagelijks tegen dit soort vragen aan bij het ontwerpen en installeren van CCTV-systemen. Tijd om het helder uit te leggen.

Wat is een DPIA eigenlijk?

Een DPIA is een risicoanalyse die u vooraf doet. U brengt in kaart welke persoonsgegevens u vastlegt, waarom, hoe lang u ze bewaart, wie er toegang toe heeft en wat de risico’s zijn voor de privacy van de mensen die u filmt.

Het doel is om te voorkomen dat u achteraf ontdekt dat uw cameratoezicht niet door de beugel kan. De Autoriteit Persoonsgegevens kan namelijk flinke boetes opleggen als u geen DPIA heeft uitgevoerd terwijl dat wel verplicht was.

Wanneer is een DPIA verplicht?

Niet elk cameraatje vereist een DPIA. De AVG schrijft voor dat u een DPIA moet doen bij verwerkingen die ‘waarschijnlijk een hoog risico’ opleveren voor de rechten en vrijheden van betrokkenen. Bij cameratoezicht is dat al snel het geval. Denk aan:

• Systematische en grootschalige monitoring van personen, zoals op een bedrijventerrein of in een winkelcentrum.
• Camera’s die ook de openbare weg of openbare parkeerplaatsen filmen.
• Toezicht op werknemers, bijvoorbeeld in een magazijn of op de werkvloer.
• Gezichtsherkenning of andere biometrische technieken.

Wat ons opvalt: veel bedrijven denken dat een DPIA alleen nodig is bij grote systemen.

Maar ook een klein winkelpand met vier camera’s kan onder de plicht vallen als u bijvoorbeeld continu het gedrag van klanten analyseert. Het hangt af van de combinatie van factoren: doel, locatie, duur en schaal.

Hoe bepaalt u of een DPIA nodig is?

De wetgever heeft een lijst met verwerkingsactiviteiten waarvoor een DPIA verplicht is.

Die lijst is niet uitputtend, maar geeft een goede indicatie. Voor cameratoezicht geldt in de praktijk: als u meer doet dan alleen uw eigen terrein filmen, of als u beelden combineert met andere gegevens (zoals toegangspassen of kentekens), dan is een DPIA vrijwel altijd nodig. Wilt u weten wie uw camerabeelden mag bekijken?

Een handig hulpmiddel is de ‘drempeltest’ van de Autoriteit Persoonsgegevens. Die kunt u zelf doorlopen.

Maar eerlijk gezegd: wij zien dat veel ondernemers daar niet uitkomen. De vragen zijn juridisch en de antwoorden zijn niet zwart-wit.

Daarom adviseren wij om bij twijfel gewoon een DPIA te doen. Het kost wat tijd, maar het geeft u zekerheid. En mocht de toezichthouder langskomen, dan kunt u aantonen dat u erover hebt nagedacht.

Wat moet er in een DPIA staan?

Een DPIA is geen standaardformulier. U beschrijft de verwerking, de noodzaak, de risico’s en de maatregelen die u neemt om die risico’s te beperken. Denk aan:

• Welke camera’s hangen waar, en wat filmen ze precies?
• Wat is het doel? Alleen beveiliging, of ook controle op diefstal, productiviteit of veiligheid?
• Hoe lang bewaart u de beelden? (Standaard is 4 weken, tenzij er een incident is.)
• Wie heeft toegang tot de beelden? Alleen beveiliging, of ook leidinggevenden?
• Welke technische maatregelen zijn genomen? Denk aan encryptie, logging, autorisaties.

Wij helpen installateurs en eindgebruikers vaak met het opstellen van een DPIA, omdat wij de techniek kennen. U kunt het natuurlijk ook uitbesteden aan een privacyjurist, maar dan mist vaak de praktische vertaling naar de installatie. Een DPIA moet namelijk niet alleen op papier kloppen, maar ook in de praktijk uitvoerbaar zijn.

Wat gebeurt er als u geen DPIA doet?

De Autoriteit Persoonsgegevens kan een boete opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Dat klinkt heftig, en dat is het ook.

In de praktijk zien we dat boetes vooral worden opgelegd bij structurele overtredingen, zoals jarenlang illegaal cameratoezicht op werknemers. Maar ook een eenmalige overtreding kan leiden tot een last onder dwangsom of een bevel om de camera’s te verwijderen. En dat is niet alleen vervelend, het kost ook geld en tijd.

Daarnaast: als er een incident is en u moet beelden delen met politie of verzekeraar, dan willen zij weten of u uw personeel correct hebt geïnformeerd over cameratoezicht en of dit rechtmatig is.

Zonder DPIA kunt u in een lastig parket komen. De verzekeraar kan bijvoorbeeld weigeren uit te keren als blijkt dat u niet aan de privacyregels voldeed.

Praktische tips voor een DPIA bij cameratoezicht

• Doe de DPIA voordat u de camera’s ophangt. Achteraf is lastig te repareren.
• Betrek de functionaris gegevensbescherming (FG) als u die heeft, of schakel een externe deskundige in.
• Documenteer ook de technische maatregelen: welke camera’s, welk merk, welke instellingen, hoe is de netwerkbeveiliging.
• Zorg dat de DPIA aansluit bij het register van verwerkingsactiviteiten dat u als organisatie moet bijhouden.
• Evalueer de DPIA periodiek, bijvoorbeeld bij uitbreiding van het camerasysteem of bij wijziging van de wetgeving.

Tot slot

Een DPIA is geen overbodige bureaucratie. Het is een instrument om uw cameratoezicht goed te regelen, zodat u én uw privacy op orde heeft én uw beveiligingsdoelen bereikt.

Wij zien in de praktijk dat bedrijven die een DPIA serieus nemen, vaak ook beter nadenken over de opstelling van camera’s, de bewaartermijnen en de toegangsrechten. Dat levert uiteindelijk een professioneler systeem op. Heeft u vragen over cameratoezicht, DPIA of de privacy-risico's bij moderne camerabewaking?

Neem dan gerust contact met ons op. We denken graag mee, zonder verkooppraatjes.