AVG en CCTV: verplichtingen voor werkgevers
Cameratoezicht op de werkvloer is een verwerking van persoonsgegevens waarvoor de AVG strenge regels stelt. Als werkgever moet u een rechtmatige grondslag hebben, medewerkers informeren, een DPIA uitvoeren en de beelden niet langer bewaren dan noodzakelijk. Niet-naleving kan leiden tot boetes van de Autoriteit Persoonsgegevens.
Nederlandse context
De Autoriteit Persoonsgegevens heeft in meerdere zaken boetes opgelegd voor onrechtmatig cameratoezicht op de werkvloer. In 2023 ontving een werkgever een boete van 50.000 euro voor het permanent filmen van medewerkers zonder noodzaak. De AP publiceert op haar website richtlijnen voor cameratoezicht op de werkplek. De Ondernemingsraad moet instemmen met het cameratoezichtbeleid op grond van WOR artikel 27 lid 1 sub l.
Kernbegrippen
- Gerechtvaardigd belang
- De meest gebruikte AVG-grondslag voor cameratoezicht door werkgevers. Vereist een belangenafweging waarin het beveiligingsdoel zwaarder weegt dan de privacy.
- DPIA (Data Protection Impact Assessment)
- Verplichte risicobeoordeling voorafgaand aan grootschalig of stelselmatig cameratoezicht. Beschrijft doel, noodzaak, risico's en waarborgen.
- Informatieplicht
- De verplichting om betrokkenen (medewerkers, bezoekers) actief te informeren over het cameratoezicht, het doel en hun rechten.
- Instemming OR
- De Ondernemingsraad heeft instemmingsrecht bij de invoering of wijziging van cameratoezicht als personeelsvolgsysteem (WOR art. 27).
Wat de wet vereist
De AVG vereist een rechtmatige grondslag voor cameratoezicht. Voor werkgevers is dit doorgaans het gerechtvaardigd belang (artikel 6 lid 1 sub f AVG): het beveiligen van eigendommen, het beschermen van medewerkers of het voorkomen van fraude. U moet aantonen dat dit belang zwaarder weegt dan de privacybelangen van de gefilmde personen en dat er geen minder ingrijpend alternatief beschikbaar is.
Voor grootschalig of stelselmatig cameratoezicht is een DPIA verplicht. Dit document beschrijft het doel van het toezicht, waarom het noodzakelijk is, de risico's voor betrokkenen en de maatregelen om die risico's te beperken. Raadpleeg uw functionaris voor gegevensbescherming (FG) bij het opstellen van de DPIA. Als de DPIA een hoog restrisico laat zien, moet u de AP raadplegen voordat u het cameratoezicht start.
Informeer medewerkers en bezoekers actief. Plaats borden bij de ingangen die aangeven dat er cameratoezicht plaatsvindt. Verstrek via het privacyreglement of intranet aanvullende informatie: wie de verwerkingsverantwoordelijke is, wat het doel is, hoe lang beelden worden bewaard en hoe betrokkenen hun rechten kunnen uitoefenen. Medewerkers hebben recht op inzage in beelden waarop zij herkenbaar zijn.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via CCTV-bewaking op FM Radar →