3 minute read
Cameratoezicht: wat mag wel en wat mag niet?
Door: Bert van de Bovenkamp
Advertisement
Veel onderwijsorganisaties hebben camera’s hangen. Dat is zeker het geval bij universiteiten, HBO’s, ROC’s en VO-scholen. Er zijn ook steeds meer PO-scholen die camera’s overwegen. Maar is iedereen zich wel bewust van de eisen die de wet aan cameratoezicht stelt?
Cameratoezicht is één van de 17 categorieën gegevensverwerkingen waarvoor een data protections impact analyses (DPIA) verplicht is volgens de AVG. Een DPIA moet in principe altijd vóór het instellen van cameratoezicht worden uitgevoerd.
Voorwaarde voor veiligheid
Ook wanneer camera’s er al hingen bij inwerkingtreding van de AVG, moet alsnog een DPIA worden uitgevoerd. De analyse moet sowieso periodiek worden herhaald voor de gegevensverwerkingen waarvoor een DPIA verplicht is voorgeschreven. Zo worden de risico’s met betrekking tot de privacy regelmatig in kaart gebracht, telkens toegespitst op de specifieke situatie. In algemene zin zijn er volgens de AVG verschillende voorwaarden waaraan moet worden voldaan in en rond een pand met cameratoezicht. Daar gaan we in dit artikel verder op in.
1.Onderdeel van meer
Cameratoezicht moet onderdeel zijn van een pakket aan veiligheidsmaatregelen. Een school moet een veiligheidsplan hebben waar het cameratoezicht in meegenomen wordt. De medezeggenschapsraad (MR) moet met dat plan instemmen. Zonder die instemming mag er geen camera opgehangen worden.
2.Gerechtvaardigd belang
Er moet met het cameratoezicht sprake zijn van een gerechtvaardigd belang. Dat wil zeggen dat met het cameratoezicht een duidelijk en gerechtvaardigd doel wordt nagestreefd. Bijvoorbeeld het bewaken van de toegang om vandalisme en diefstal te voorkomen, de mogelijkheid personen te herkennen of identificeren die eerder bij incidenten betrokken waren, het bevorderen van het veiligheidsgevoel, het voorkomen van onwenselijk gedrag en het inzetten van ondersteuning bij opsporing van strafbare feiten.
3.Toezicht is noodzakelijk
Wanneer cameratoezicht wordt ingezet moet dat ‘noodzakelijk’ zijn. Dat wil zeggen dat het doel, bijvoorbeeld het tegengaan van vandalisme en diefstal, niet op een andere manier kan worden bereikt. Er is in dat geval geen andere of betere mogelijkheid, die minder ingrijpend is voor de privacy van leerlingen en/of medewerkers.
4.Minimale inbreuk op privacy
In geval van cameratoezicht moet ervoor gezorgd worden dat de inbreuk op de privacy zo klein mogelijk is. Een camera mag bijvoorbeeld geen geluidsopnamen maken. Dit is namelijk voor het behalen van het doel niet nodig. Daarnaast moet een zo beperkt mogelijk gebied worden gefilmd en moet goed worden nagedacht over tijden waarop camera’s functioneren (bijvoorbeeld niet tijdens schooltijden wanneer het doel is vernielingen in de avonduren te voorkomen).
5.Mensen informeren
Bij het betreden van het terrein moet worden gewaarschuwd dat er cameratoezicht wordt uitgevoerd. In bijzondere gevallen, zoals bij een vermoeden van onrechtmatig handelen van personeel of leerlingen, kan tijdelijk een verborgen camera worden geplaatst. Daarnaast kunnen op de website van de school de rechten uit het privacyreglement worden vermeld: het recht om gegevens (camerabeelden) in te zien, het recht om vergeten te worden, het recht op beperking van de verwerking en het recht om bezwaar te maken tegen het gebruik van persoonsgegevens.
6.Verantwoord opslaan
Beelden mogen niet zomaar door iedereen bekeken worden. Dit betekent dat de beelden in een beveiligde ruimte moeten worden opgeslagen en te allen tijde versleuteld moeten zijn.
7.Bewaartermijnen handhaven
Camerabeelden mogen maximaal
4 weken bewaard worden. Als er in die periode geen incidenten hebben plaatsgevonden, moeten de beelden worden verwijderd. Wanneer specifieke camerabeelden gerelateerd zijn aan een incident, hoeven ze pas verwijderd te worden als het incident is afgehandeld. Voorwaarde is wel dat het betreffende incident wordt geregistreerd en gedocumenteerd in een centraal register.
8.Inzagemomenten registreren
Het systeem dat wordt gebruikt voor het cameratoezicht moet een logging-functie hebben voor het bekijken van beelden. Hierin moeten in ieder geval datum, tijd en namen van degenen die de beelden bekeken hebben, worden vastgelegd. In een centraal register moet geregistreerd worden wie wanneer inzicht heeft gehad in welke beelden.
9.Afspraken met leverancier
Met de leverancier van het toezichtsysteem moet een verwerkersovereenkomst of een geheimhoudingsverklaring worden afgesloten, afhankelijk van de mate waarin de leverancier toegang heeft tot beelden.
10.Handhaving
Er moet toezicht worden gehouden op naleving van bovenstaande punten. Bijvoorbeeld door een privacy-officer die conform een auditplan periodiek controles uitvoert.
Een camera mag geen geluidsopnamen maken
Verbod op gezichtsherkenning Waarschijnlijk komt er binnenkort op basis van de AI Act (Europese wetgeving met betrekking tot kunstmatige intelligentie) een aanvulling op bovenstaande bepalingen. Tijdens de behandeling van de Act is door het Europees Parlement namelijk bepaald dat er een verbod moet komen op het gebruik van realtime gezichtsherkenning in openbare ruimtes. Een schoolplein dat ná schooltijd geopend is, is een openbare ruimte. Tenzij het schoolplein afgesloten is met een hek met een bord 'art. 164' erop, wat aangeeft: verboden toegang voor onbevoegden.
Beleid serieus nemen
Duidelijk is dat niet te makkelijk moet worden gedacht over de inzet van cameratoezicht. Er moet beleid worden geformuleerd aan de hand van bovenstaande punten, er moet worden toegezien op naleving van het beleid en het beleid moet periodiek worden geëvalueerd. Kortom: de PDCA-cyclus moet volledig zijn ingevuld om nietmogelijk op pijnlijke wijze - tot de orde te worden geroepen.
