Meldplicht datalekken bij CCTV-beelden

Nederlandse context

De AVG verplicht verwerkingsverantwoordelijken om datalekken te melden bij de AP (artikel 33) en in bepaalde gevallen bij de betrokkenen (artikel 34). De AP heeft een online meldformulier voor datalekken. In 2023 ontving de AP meer dan 25.000 datalekkmeldingen, waarvan een deel betrekking had op beveiligingscamerabeelden. De boetebevoegdheid bij niet-melden kan oplopen tot 10 miljoen euro of 2% van de jaaromzet.

Kernbegrippen

Datalek

Een inbreuk op de beveiliging die leidt tot onbevoegde toegang tot, vernietiging, verlies of wijziging van persoonsgegevens. Inclusief camerabeelden.

Meldplicht AP

De verplichting om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, tenzij het lek geen risico vormt voor betrokkenen.

Meldplicht betrokkenen

De verplichting om betrokkenen te informeren als het datalek een hoog risico vormt voor hun rechten en vrijheden.

Datalekregister

Verplichte interne registratie van alle datalekken, ook degene die niet bij de AP zijn gemeld. Omvat feiten, gevolgen en corrigerende maatregelen.

Wat de wet vereist

U moet een datalek bij camerabeelden binnen 72 uur melden bij de AP als het een risico vormt voor de rechten en vrijheden van de gefilmde personen. Voorbeelden: een recorder wordt gestolen met beelden waarop personen herkenbaar zijn, een hacker krijgt toegang tot het VMS en kan beelden downloaden, of een medewerker deelt beelden via WhatsApp. Het risico is hoger naarmate de beelden gevoeliger zijn — beelden uit een kleedkamer of medische ruimte wegen zwaarder dan een parkeergarage-overzicht.

Als het datalek een hoog risico vormt, moet u ook de betrokkenen informeren. Dit is het geval als de beelden kunnen worden misbruikt voor identiteitsfraude, chantage of reputatieschade. Bij een hack van het camerasysteem waarbij beelden van herkenbare medewerkers zijn buitgemaakt, is melding aan betrokkenen doorgaans vereist.

Houd een datalekregister bij waarin u alle datalekken documenteert, inclusief datalekken die niet bij de AP zijn gemeld. Vermeld per incident: de aard van het lek, de getroffen gegevens, het aantal betrokkenen, de gevolgen en de corrigerende maatregelen. Zorg dat het incident-responsproces duidelijk is beschreven: wie stelt het lek vast, wie beoordeelt de meldplicht, wie doet de melding bij de AP en wie informeert de betrokkenen?