Steeds meer werkgevers overwegen de inzet van cameratoezicht in of rondom hun bedrijfspand. Denk bijvoorbeeld aan supermarkten, kantoren, magazijnen of zorginstellingen. Cameratoezicht kan bijdragen aan de veiligheid en bescherming van eigendommen, maar staat op gespannen voet met de privacy van o.a. werknemers en bezoekers. Wat zijn precies de regels hierover? En wanneer zijn verborgen camera’s toegestaan?
De basis: grondslag, proportionaliteit en subsidiariteit
Volgens de AVG (Algemene Verordening Gegevensbescherming) en de Uitvoeringswet AVG (UAVG) is cameratoezicht alleen gerechtvaardigd als het een AVG-grondslag heeft. Vaak is dat het ‘gerechtvaardigd belang’ ex artikel 6 lid 1 sub f AVG, bijvoorbeeld ter bescherming van werknemers of klanten of ter bescherming van goederen tegen diefstal of vandalisme.
Daarnaast moet u als werkgever bij het inzetten van cameratoezicht voldoen aan de privacy beginselen uit artikel 5 AVG, met name:
- Doelbinding (artikel 5 lid 1b AVG): u mag camerabeelden alleen verwerken voor een duidelijk omschreven, gerechtvaardigd doel.
- Dataminimalisatie/minimale gegevensverwerking (artikel 5 lid 1c AVG): verzamel niet meer gegevens dan noodzakelijk.
- Transparantie (artikel 5 lid 1a en artikelen 12-13 AVG): u moet werknemers en bezoekers duidelijk informeren over het cameratoezicht.
- Bewaarbeperking (artikel 5 lid 1e AVG): bewaar beelden niet langer dan noodzakelijk.
Daarnaast gelden twee belangrijke eisen:
- Proportionaliteit: de inbreuk op de privacy moet in verhouding staan tot het doel.
- Subsidiariteit: het doel (bijv. diefstal tegengaan) mag niet op een minder ingrijpende manier bereikt kunnen worden (bijv. met betere sloten of toezicht door personeel). Ook mag het cameratoezicht onderdeel zijn van een totaalpakket aan maatregelen.
Verborgen camera’s: alleen bij zwaarwegende redenen
De hoofdregel is dat u geen verborgen camera’s mag inzetten. Verborgen cameratoezicht – ook wel ‘heimelijk cameratoezicht’ genoemd – is slechts toegestaan bij uitzonderlijke omstandigheden, bijvoorbeeld wanneer er een sterk vermoeden bestaat van ernstige misdrijven, structureel wangedrag of fraude, en er geen andere middelen zijn om dit vast te stellen. De inzet moet zelfs dan tijdelijk zijn én er gelden strikte voorwaarden:
- U moet voorafgaand de inzet een zorgvuldige belangenafweging maken, waarin u de ernst van de verdenking en de impact op de privacy weegt (artikel 5 en 6 AVG).
- De inzet moet beperkt blijven tot de kleinst mogelijke kring van noodzakelijke betrokkenen.
- Na afloop moet u betrokkenen informeren, tenzij de politie of een andere opsporingsinstantie het onderzoek overneemt.
*Let op: bovenstaande drie voorwaarden zijn niet uitputtend én heimelijk cameratoezicht mag überhaupt nooit structureel worden ingezet als ‘standaardmethode’ om personeel te monitoren. Dit kan zelfs in strijd zijn met artikel 8 EVRM.
Informatieplicht: werknemers moeten weten dat er camera’s zijn
Het informeren van werknemers en bezoekers over cameratoezicht is geen vrijblijvende keuze, maar een verplichting die direct voortvloeit uit de artikelen 5, 12 en 13 van de AVG.
Werkgevers moeten werknemers en bezoekers vóór of bij de start van de verwerking informeren over:
- het doel van het cameratoezicht,
- de grondslag,
- hun rechten,
- de bewaartermijn,
- en de identiteit van de verwerkingsverantwoordelijke.
Dit kan bijvoorbeeld door middel van zichtbare borden met een camerasymbool en tekst als “Cameratoezicht aanwezig”, in combinatie met een privacyverklaring op uw website. Dit geldt niet alleen voor zichtbare camera’s, maar ook voor situaties waarin de werkgever bijvoorbeeld bodycams inzet.
Zonder duidelijke informatie is cameratoezicht in principe niet toegestaan, behalve in de eerder genoemde uitzonderingssituaties (heimelijk toezicht bij zwaarwegende verdenkingen).
Extra tip: betrek ook de ondernemingsraad
Indien het cameratoezicht gericht is op uw werknemers, moet u dit van te voren met de ondernemingsraad (of personeelsvertegenwoordiging) bespreken, indien deze bestaat binnen uw organisatie. Een ondernemingsraad is verplicht voor bedrijven en organisaties met 50 of meer werknemers.
De ondernemingsraad moet immers instemming geven voor het cameratoezicht op grond van artikel 27 lid 1 sub k van de Wet op de Ondernemingsraden (“een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen”). Zorg dus dat u niet zomaar het cameratoezicht al inzet voordat het medezeggenschapsorgaan hiervoor instemming heeft verleend.
Bewaartermijn van de beelden
De camerabeelden mogen niet langer worden bewaard dan nodig is voor het doel (artikel 5 lid 1 sub e AVG). De richtlijn die de Autoriteit Persoonsgegevens daarvoor hanteert is 4 weken. Alleen als er een incident is vastgelegd, mogen beelden langer bewaard worden, bijvoorbeeld totdat een strafrechtelijk onderzoek is afgerond.
Sancties bij overtreding
Werkgevers die zich niet aan deze regels houden, riskeren allereerst op grond van artikel 83 AVG een forse boete van de Autoriteit Persoonsgegevens.
Daarnaast kunnen werknemers een klacht indienen bij de Autoriteit Persoonsgegevens of naar de rechter stappen en schadevergoeding(en) vorderen.
Onze aanbevelingen:
- Laat een Data Protection Impact Assessment (DPIA) uitvoeren bij (ingrijpend en/of structureel) cameratoezicht, zoals verplicht kan zijn volgens artikel 35 AVG. Laat eventueel eerst een pre-DPIA uitvoeren, om te bezien of een DPIA nodig is. Maar let op: bijna bij iedere vorm van cameratoezicht zal het uitvoeren van een DPIA nodig zijn.
- Stel een duidelijk camerabeleid op en communiceer dit naar personeel en bezoekers. Ten aanzien van personeel kan het camerabeleid bijvoorbeeld worden opgenomen in een reglementenhandboek.
- Plaats zichtbare waarschuwingsborden bij ruimtes met cameratoezicht.
- Beperk de inzet van camera’s tot wat strikt noodzakelijk is.
- Evalueer periodiek of het cameratoezicht nog gerechtvaardigd en noodzakelijk is.
Twijfelt u over de rechtmatigheid van uw cameratoezicht? Of vraagt u zich af of u verplicht bent voorafgaand de inzet van cameratoezicht een Data Protection Impact Assessment (DPIA) uit te voeren? De ondernemingsjuristen van The Legal Company helpen u graag met juridisch advies, het uitvoeren van een DPIA of het opstellen van een privacyproof camerabeleid.
Neem contact op via info@thelegalcompany.nl of bel naar 020 345 0152 en laat ons u helpen om uw organisatie AVG-proof te maken!
