Cameratoezicht regelen is één ding, de administratie eromheen wordt vaak onderschat. U hangt camera’s op om uw pand, goederen of mensen te beschermen, maar de AVG verlangt dat u vastlegt waarom, hoe en hoelang u dat doet.
▶Inhoudsopgave
Zonder een deugdelijk privacybeleid loopt u risico op een boete of een discussie achteraf. Wij zien in de praktijk dat veel bedrijven wel een installatie hebben, maar geen helder document waarin staat wat er met de beelden gebeurt. Dat is vragen om problemen.
Een privacybeleid is geen vrijblijvend stuk. Het is de basis waarop u kunt aantonen dat u zorgvuldig omgaat met persoonsgegevens.
En dat is precies waar een toezichthouder of een gefilmde bezoeker naar vraagt. Hieronder leest u wat er in zo’n beleid moet staan, zonder juridisch advies – wij zijn technisch specialist, geen jurist. Maar we weten uit ervaring wat er in de praktijk werkt.
Waarom een privacybeleid verplicht is
De Algemene verordening gegevensbescherming (AVG) geldt voor elke organisatie die camerabeelden vastlegt waarop mensen herkenbaar zijn. Dat bent u al snel: een winkel, kantoor, magazijn of VvE met een camera bij de ingang.
U bent dan ‘verwerkingsverantwoordelijke’ en moet kunnen uitleggen waarom u filmt, op welke grondslag en hoe lang u beelden bewaart.
Zonder beleid mist u die onderbouwing. Wat me opvalt is dat ondernemers vaak denken: ‘ik hang een camera op en klaar.’ Maar de wet vraagt om een afweging: weegt uw belang bij beveiliging op tegen de privacy van de gefilmde? Dat moet u vastleggen.
Ook als u maar één camera heeft. Het Besluit bouwwerken leefomgeving (Bbl) stelt overigens geen directe eisen aan cameratoezicht, maar de AVG en de Uitvoeringswet AVG zijn leidend. Verwar dat niet.
Wat hoort er in een privacybeleid voor cameratoezicht?
Een goed beleid is concreet en niet te algemeen. Het moet voor iedereen duidelijk zijn wat wel en niet mag.
Dit zijn de onderdelen die wij in de praktijk tegenkomen. U moet precies omschrijven waarom u camera’s plaatst.
Doel en grondslag
Bijvoorbeeld: beveiliging van het pand, voorkomen van diefstal, of veiligheid van personeel bij een geldtransport. De grondslag is meestal ‘gerechtvaardigd belang’ (artikel 6 lid 1f AVG). Maar let op: u mag niet zomaar ‘algemeen toezicht’ als doel noemen. Het moet specifiek en noodzakelijk zijn.
Een werkgever mag camerabeelden niet gebruiken om het functioneren van medewerkers te controleren – dat is een ander doel en vaak niet toegestaan.
Locatie en dekking
Geef aan welke camera’s waar hangen en wat ze filmen. Bijvoorbeeld: ‘camera 1 bij de voordeur, gericht op de ingang, filmt bezoekers en personeel dat binnenkomt.’ Vermijd vage termen als ‘het hele terrein’. Als u camera’s heeft in pauzeruimtes of kleedkamers, dan moet u dat extra goed onderbouwen – in de praktijk is dat bijna nooit toegestaan.
Heeft u vragen over de regels rondom cameratoezicht en privacy? Verborgen camera’s zijn alleen in uitzonderlijke situaties legaal, en dan nog met strikte voorwaarden.
Bewaartermijn
Beelden mogen niet langer worden bewaard dan nodig voor het doel. Standaard is vier weken, tenzij er een incident is geweest.
In uw beleid zet u de exacte termijn, bijvoorbeeld 28 dagen. Na die tijd moeten beelden worden gewist. Als u een incident heeft, mag u de relevante beelden langer bewaren, maar alleen voor onderzoek en eventuele rechtszaak.
Toegang en beheer
Leg ook vast wie beslist over verlenging. Niet iedereen mag zomaar beelden kijken.
In het beleid voor toegangscontrole binnen uw bedrijf staat wie geautoriseerd is: bijvoorbeeld de bedrijfsleider en de beveiligingsmedewerker.
Rechten van betrokkenen
Ook regelt u hoe de toegang tot het camerasysteem is beveiligd (wachtwoord, logging). Wij adviseren altijd een logboek bij te houden van wie wanneer welke beelden heeft bekeken.
Dat is niet alleen verplicht, maar ook handig bij een eventueel geschil. Iedereen die op beeld staat, heeft recht op inzage, rectificatie, verwijdering en bezwaar. In uw beleid beschrijft u hoe iemand dat kan aanvragen. Bijvoorbeeld via een e-mailadres of een formulier op uw website.
Meldplicht en registratie
U moet binnen een maand reageren. In de praktijk zien we dat veel organisaties hier geen procedure voor hebben, terwijl de AP daar streng op kan controleren.
In sommige gevallen moet u cameratoezicht melden bij de Autoriteit Persoonsgegevens (AP) of een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. Dat hangt af van de schaal en het risico. Bij een standaard winkelcamera is dat vaak niet nodig, maar bij grootschalig toezicht of gezichtsherkenning wel.
Wij kunnen dat niet voor u beoordelen – schakel daarvoor een privacyjurist in. Wat wij wel doen: de technische installatie zo inrichten dat u eenvoudig kunt voldoen aan de eisen, zoals logging en beveiligde opslag.
Hoe stelt u een privacybeleid op?
U hoeft niet alles zelf te bedenken. Er zijn model-privacyverklaringen van brancheorganisaties en de AP.
Pas die aan op uw situatie. Belangrijk: stem het beleid af met de ondernemingsraad of personeelsvertegenwoordiging als u camerabeelden wilt gebruiken om personeel te beoordelen. Zij hebben instemmingsrecht. Vergeet ook niet om het beleid zichtbaar te maken, bijvoorbeeld bij de ingang met een sticker of bordje ‘cameratoezicht’.
Eerlijk gezegd zien wij dat het vaak misgaat bij de uitvoering. Het beleid ligt er, maar de camera’s hangen op een andere plek dan beschreven, of de bewaartermijn wordt niet gehaald omdat niemand de beelden wist.
Daarom is het slim om het beleid te koppelen aan uw technische beheer. Wij helpen installateurs en eindgebruikers met het inregelen van systemen zodat bijvoorbeeld automatische verwijdering na 28 dagen werkt. Maar het opstellen van de tekst blijft uw verantwoordelijkheid.
Controle en onderhoud
Een privacybeleid is geen statisch document. Zodra u een camera verplaatst, een nieuwe functie toevoegt of het gebruik verandert, moet u het beleid updaten. Ook als de wet wijzigt – de AP publiceert regelmatig nieuwe richtlijnen.
Wij adviseren om jaarlijks te controleren of het beleid nog klopt. Dat kan samen met het periodiek onderhoud van uw beveiligingsinstallatie.
Tijdens een onderhoudsbeurt kijken we niet alleen of de camera’s werken, maar ook of de instellingen nog overeenkomen met wat u heeft vastgelegd. Tot slot: een goed privacybeleid voorkomt discussie achteraf.
Mocht er een incident zijn, dan kunt u aantonen dat u zorgvuldig heeft gehandeld. En dat is niet alleen voor de AP belangrijk, maar ook voor uw verzekeraar of een rechter. Heeft u vragen over de technische kant van cameratoezicht, zoals het instellen van bewaartermijnen, logging of koppeling met toegangscontrole?
Neem dan gerust contact met ons op. Wij denken graag mee vanuit de praktijk.
Veelgestelde vragen
Wat is een privacybeleid voor cameratoezicht en waarom is het belangrijk?
Bij RH Beveiligingstechniek begrijpen we dat cameratoezicht essentieel is voor beveiliging, maar de AVG vereist een helder privacybeleid.
Wanneer is het toegestaan om camerabeelden te gebruiken en wanneer niet?
Dit beleid beschrijft precies hoe wij beelden vastleggen, waarom we dat doen, en hoe we de persoonsgegevens van gefilmde personen verwerken. Zonder dit beleid lopen we het risico op boetes en onnodige discussies.
Wat moet er precies in een privacybeleid voor cameratoezicht staan?
Als technisch specialist op het gebied van beveiliging kunnen wij uitleggen dat het gebruik van camerabeelden altijd gebaseerd moet zijn op een specifiek doel, zoals het voorkomen van diefstal of het beschermen van personeel. Het is absoluut niet toegestaan om camerabeelden te gebruiken voor functioneringsbeoordelingen of het controleren van medewerkers. Wij adviseren altijd een zorgvuldige afweging van beveiligingsbelangen en privacyrechten. Een goed privacybeleid is concreet en duidelijk.
Wat is de relatie tussen het Besluit bouwwerken leefomgeving (Bbl) en de AVG bij cameratoezicht?
Het moet precies aangeven welke camera’s waar hangen, wat ze filmen, en hoe lang de beelden worden bewaard.
Wie heeft recht op inzage in camerabeelden?
Daarnaast moet het beleid de grondslag voor het cameratoezicht uitleggen, bijvoorbeeld ‘gerechtvaardigd belang’ en een duidelijke omschrijving van het doel, zoals beveiliging van het pand. Hoewel het Bbl geen directe eisen stelt aan cameratoezicht, zijn de AVG en de Uitvoeringswet AVG leidend. Bij RH Beveiligingstechniek adviseren we altijd om de AVG als basis te gebruiken voor het opstellen van een privacybeleid, omdat het de algemene richtlijnen biedt voor de verwerking van persoonsgegevens, inclusief camerabeelden.
Indien camerabeelden zijn opgenomen, heeft elke gefilmde persoon recht op inzage in de beelden. Wij adviseren om een procedure te implementeren voor het verstrekken van deze inzage, zodat de privacy van de betrokkenen wordt gewaarborgd en de wetgeving wordt nageleefd. Het is belangrijk om dit in uw privacybeleid te specificeren.