CCTV-documentatieplicht onder de AVG

Nederlandse context

De verantwoordingsplicht (accountability) uit artikel 5 lid 2 AVG wordt door de Autoriteit Persoonsgegevens actief gehandhaafd. Bij inspecties vraagt de AP om het verwerkingsregister, de DPIA, het camerareglement en het bewijs van informatievoorziening aan betrokkenen. Het ontbreken van deze documentatie is een zelfstandige overtreding, los van de vraag of het cameratoezicht inhoudelijk rechtmatig is.

Kernbegrippen

Verantwoordingsplicht

De AVG-verplichting om aan te tonen dat persoonsgegevens worden verwerkt in overeenstemming met de wet. Bewijslast ligt bij de verwerkingsverantwoordelijke.

Verwerkingsregister

Verplichte administratie van alle verwerkingen van persoonsgegevens, inclusief cameratoezicht. Bevat doel, grondslag, categorieën betrokkenen en bewaartermijn.

DPIA

Verplichte risicobeoordeling bij stelselmatig cameratoezicht. Beschrijft de noodzaak, proportionaliteit, risico's en waarborgen.

Privacyverklaring

Document waarmee betrokkenen worden geïnformeerd over het cameratoezicht. Moet eenvoudig toegankelijk en begrijpelijk zijn.

Wat de wet vereist

De documentatie omvat minimaal vijf onderdelen. Ten eerste het verwerkingsregister: een verplichte administratie die het cameratoezicht als verwerking beschrijft, met vermelding van het doel, de grondslag, de categorieën persoonsgegevens, de ontvangers, de bewaartermijn en de beveiligingsmaatregelen. Organisaties met meer dan 250 medewerkers moeten dit register bijhouden, maar ook kleinere organisaties die stelselmatig cameratoezicht toepassen.

Ten tweede de DPIA: verplicht bij grootschalig of stelselmatig cameratoezicht. Ten derde het camerareglement: het interne beleidsdocument met de cameratabel, het toegangsprotocol, de bewaartermijnen en de procedures voor beeldverzoeken. Ten vierde de informatieborden bij de entrees en de privacyverklaring op het intranet of de website. Ten vijfde de verwerkersovereenkomst met partijen die toegang hebben tot de beelden: de externe meldkamer, de onderhoudsleverancier of de beveiligingsdienst.

Houd deze documentatie actueel. Elke wijziging aan het camerasysteem — een nieuwe camera, een gewijzigde positie, een software-update die analytics activeert — kan invloed hebben op de DPIA en het reglement. Wijs een verantwoordelijke aan voor het documentatiebeheer en plan een jaarlijkse review. Bij een AP-inspectie moet u deze documenten onmiddellijk kunnen overleggen.