AVG / GDPR: Hoe gaat u om met uw camerabewaking?
(Gepubliceerd in de april 2018 editie van Port Security Center)
Europa staat aan de vooravond van een omvangrijke herinrichting van de privacywetgeving. De Europese privacyrichtlijn en de daar op gebaseerde Wet Bescherming Persoonsgegevens worden per 25 mei 2018 ingetrokken. Vanaf dan zal de Algemene Verordening Gegevensbescherming (AVG / GDPR) gelden. Dit heeft grote gevolgen voor het bedrijfsleven.
De komst van de AVG / GDPR leidt voor alle havenbedrijven tot dezelfde problematiek. Wat mag nog wel en wat niet meer? Daarom geeft Port Security Center u in samenwerking met experts terzake graag een aantal praktische tips. Omdat in onze havens aardig wat camera’s hangen die al onze bewegingen registreren, gaan we in deze editie i.s.m. onze partner Safesecur Group BV in op cameratoezicht.
Cameratoezicht onder de AVG: wat mag wel en wat mag niet?
Camera’s worden gebruikt om personen en eigendommen te beschermen. Medewerkers en bezoekers moeten wel weten dat er een camera hangt. Bijvoorbeeld door bordjes op te hangen. Camerabeelden mogen niet langer worden bewaard dan nodig; 4 weken is de maatstaf. Maar is er een incident vastgelegd, zoals diefstal? Dan mag u de betreffende beelden bewaren totdat het incident is afgehandeld.
Cameratoezicht kan helpen tegen diefstal of beschadiging van eigendommen. Maar de inbreuk op de privacy van medewerkers en bezoekers is groot. Organisaties moeten daarom zorgvuldig met cameratoezicht omgaan. Daarom mag je alleen camera’s ophangen, als je aan een aantal voorwaarden voldoet.
- De werkgever moet een zogeheten gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan, of werknemers en bezoekers beschermen.
- Daarnaast moet het cameratoezicht noodzakelijk zijn. Dat wil zeggen dat het doel – bijvoorbeeld fraudebestrijding – niet op een andere manier kan worden bereikt. Is er een andere mogelijkheid, die minder ingrijpend is voor de privacy? Dan geniet die de voorkeur.
- Bovendien moet eerst een privacy-toets worden uitgevoerd. Dit betekent dat de organisatie de belangen en rechten van de werknemers en bezoekers afweegt tegen haar eigen belang.
- De inbreuk op de privacy moet verder zo klein mogelijk zijn. Een camera in een toilet gaat bijvoorbeeld te ver.
- Verder mag de camera geen geluidsopnamen maken. Dat is voor het doel namelijk niet nodig.
- Ook mag het cameratoezicht niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan beveiligingsmaatregelen.
- Tenslotte moet de ondernemingsraad goedkeuring geven.
Door de volgende 5 stappen te zetten, kun je aantoonbaar maken dat je, ook voor cameratoezicht, voldoet aan de Algemene Verordening Gegevensbescherming:
- Voer een compliance check uit naar de mate waarin cameratoezicht voldoet aan de AVG / GDPR en pak de zaken aan die nog niet compliant zijn.
- Voer een Privacy Impact Assessment uit naar de wijze waarop cameratoezicht binnen de organisatie wordt ingezet en hou je aan alles wat je daarin hebt aangegeven.
- Stel een camerareglement op waarin alle informatie omtrent het camerasysteem wordt vastgelegd en laat deze goedkeuren door de Ondernemingsraad.
- Zorg voor verwerkersovereenkomsten met alle externe partijen die betrokken zijn bij het cameratoezicht en controleer of alle partijen zich daaraan houden.
- Zorg dat de Functionaris Gegevensbescherming weet dat cameratoezicht valt onder de AVG en betrek hem/haar bij de bovenstaande acties.
Marc van der Zandt is algemeen directeur van de Safesecur Group BV – beveiligingsadviseurs gevestigd in het World Trade Center te Rotterdam. Safesecur Group BV is gespecialiseerd in objectbeveiliging, informatiebeveiliging en de beveiliging van persoonsgegevens conform de nieuwe privacywetgeving AVG / GDPR.