DPIA en cameratoezicht: Balanceren tussen veiligheid en privacy

In de moderne samenleving speelt technologie een steeds grotere rol in het waarborgen van online en fysieke veiligheid en beveiliging. Cameratoezicht is een van de meest gebruikte technieken om openbare ruimtes en (particuliere) eigendommen te bewaken. Hoewel cameratoezicht veel voordelen biedt, kan het ook inbreuk maken op de privacy van individuen. Om dit tegen te gaan en gegevensbescherming te waarborgen, is het uitvoeren van een Data Protection Impact Assessment (DPIA) een belangrijke eerste stap. De Autoriteit Persoonsgegevens (AP) heeft bepaald dat voor het toepassen van cameratoezicht het uitvoeren van een DPIA verplicht is, dit blijkt uit de besluitenlijst verplicht DPIA van de AP. In deze blog bespreken we de vereisten van een DPIA bij cameratoezicht en waarom het zo belangrijk is.

Wat is een DPIA?

Een DPIA, ook wel een gegevensbeschermingseffectbeoordeling genoemd, is een proces dat gebruikt wordt om de privacyrisico’s bij het verwerken van persoonsgegevens in kaart te brengen. Het is een instrument die organisaties helpt bij het systematisch beoordelen van de mogelijke risico’s van een verwerking en het helpt de organisatie om te beoordelen welke passende maatregelen zij dient te nemen om de privacy van de betrokkenen te waarborgen. Het is dus een onderzoek dat een organisatie voorafgaand aan de verwerking uitvoert om de privacyrisico’s in kaart te brengen die spelen bij het verwerken van persoonsgegevens. Als de risico’s in kaart zijn gebracht kan de organisatie maatregelen treffen om deze risico’s zoveel mogelijk te verkleinen.

Wanneer is het verplicht?

Het uitvoeren van een DPIA is niet altijd verplicht. Het is wel verplicht om een DPIA uit te voeren indien de organisatie van plan is om persoonsgegevens te verwerken en die verwerking een hoog privacyrisico oplevert voor de betrokkenen. De verplichting om een DPIA uit te voeren staat in de Algemene Verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en in de Wet justitiële en strafvorderlijke gegevens (Wjsg).

Criteria voor hoge privacyrisico’s volgens de AVG

De beoordeling of er sprake is van een hoog privacyrisico, ligt bij de organisatie zelf. De AVG geeft enkele voorbeelden van situaties waarin een DPIA verplicht is. Een DPIA is bijvoorbeeld verplicht indien er grootschalige besluiten worden genomen gebaseerd op geautomatiseerde verwerkingen van persoonsgegevens of indien er sprake is van grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens. Tevens is het uitvoeren van een DPIA verplicht als er sprake is van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, zoals bij de toepassing van cameratoezicht het geval is. Indien deze voorbeelden niet voldoende houvast bieden, heeft de Autoriteit Persoonsgegevens (AP) een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is. Deze lijst is echter niet uitputtend.

DPIA en cameratoezicht: Een focus op privacyrisico’s

Het uitvoeren van een DPIA is verplicht indien een organisatie van plan is om toezicht te houden doormiddel van camera’s. In dat geval is er namelijk sprake van een hoog privacyrisico bij het verwerken van deze gegevens/camerabeelden. Uit de DPIA komt een bepaald resultaat. Dit resultaat geeft inzicht in de privacyrisico’s die de werkgever dient te nemen om deze risico’s af te dekken. Een DPIA dient in te gaan op verschillende elementen en de organisatie dient hierin enkele afwegingen te maken en vast te leggen, deze worden aan de hand van het voorbeeld van cameratoezicht hieronder nader uitgewerkt.

Wettelijke vereisten voor cameratoezicht op de werkvloer

Camera’s zijn tegenwoordig overal te vinden zowel in openbare ruimtes als bij mensen aan huis en worden voor verschillende doeleinden gebruikt. Zo is het voor bedrijven ook steeds gebruikelijker om cameratoezicht toe te passen op de werkvloer. Dit kan echter niet zomaar. Indien een werkgever haar werknemers wil monitoren, moet de werkgever aan zestal vereisten voldoen opdat de inzet van cameratoezicht rechtmatig is.

Ten eerste, de werkgever moet een doel hebben om haar werknemers te monitoren. Ten tweede, de werkgever moet een grondslag hebben, deze grondslag is vaak het gerechtvaardigd belang, zoals bijvoorbeeld het beschermen van eigendommen en personen. De werkgever is verantwoordelijk voor het maken van de juiste afweging tussen de belangen van de werkgever en de werknemer(s). Daarna zal de werkgever moeten beargumenteren dat het noodzakelijk is dat zij cameratoezicht inzet. Het mag dus niet mogelijk zijn voor de werkgever om zijn beoogde doel op een andere manier te bereiken. Het gebruik maken van cameratoezicht moet dus de enige optie zijn om het beoogde doel te bereiken.

Is er binnen de organisatie van de werkgever een ondernemingsraad? Dan zal de werkgever om instemming moeten vragen bij de ondernemingsraad om camera’s te kunnen inzetten. Heeft zij deze gekregen, dan moet een werkgever dit alles verwerken in een DPIA om de uiteindelijke risico’s te beoordelen. Hierin wordt de belangenafweging getoetst en worden alle risico’s in kaart gebracht. Is de uitkomst van de DPIA dat de werkgever inderdaad een gerechtvaardigd, zwaarwegender belang heeft dan de werknemers? Dan zal de werkgever de werknemers nog moeten informeren over het inzetten van monitoringsmiddelen voordat zij het middel daadwerkelijk kan gaan inzetten.

Onze aanpak: Efficiënte DPIA-uitvoering door onze privacy specialisten

Laten we eerlijk zijn, het beginnen met een DPIA kan aanvoelen als een enorme uitdaging. U vraagt zich af: “Wie in ons team heeft de expertise en tijd om dit te leiden?” en “Waar beginnen we?!” Gelukkig hoeft u zich geen zorgen te maken dat dit een interne solo-inspanning moet zijn. De AVG biedt de flexibiliteit om een externe partij in te schakelen voor uw DPIA, en dat is precies waar wij van Blue Legal binnenstappen.

Bij Blue Legal hebben we een DPIA-model geperfectioneerd dat gebaseerd is op onze uitgebreide ervaring en diepgaande kennis. Onze specialisten werken efficiënt en zorgvuldig, waardoor we de complexiteit van de DPIA voor u kunnen vereenvoudigen. We nemen de volledige verantwoordelijkheid op ons, van begin tot eind, zodat uw organisatie met betrekking tot gegevensverwerking en het proces geen vertraging op zal lopen en u snel weer verder kunt. Ons doel is om u dat gevoel van rust en vertrouwen te geven, wetende dat uw DPIA in deskundige handen is bij ons. We geloven in een aanpak waarbij samenwerking centraal staat. Wij werken nauw met u samen, bespreken alle mogelijkheden, en zorgen ervoor dat alles duidelijk en transparant op papier staat.

Bent u geïnteresseerd in meer informatie of wilt u een op maat gemaakt advies? Neem gerust contact op met een van onze privacy specialisten. Wij staan klaar om uw vragen te beantwoorden en u te begeleiden in elke stap van het DPIA-proces.

Meer weten? Advies nodig? Neem contact op!

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

"*" geeft vereiste velden aan

Volledige naam*

Chat
1
Heeft u zakelijke vragen? Neem contact met ons op.