Privacy en cameratoezicht op het werk

Privacy en cameratoezicht op het werk

Cameratoezicht op het werk is toegestaan in het kader van preventie tegen bijvoorbeeld diefstal of beschadiging van eigendommen. Door cameratoezicht worden persoonsgegevens verwerkt. De inbreuk op de privacy van de werknemers is bovendien groot. Daarom is cameratoezicht alleen toegestaan als aan een aantal voorwaarden is voldaan. Met het op 25 mei 2018 van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) worden de privacyregels nog eens aangescherpt.  Het niet houden aan de regels kan bovendien met hoge boetes worden afgestraft. Waar moet u als werkgever bij cameratoezicht aan denken?

Beperk de privacyinbreuk

In de eerste plaats moet de werkgever ervoor zorgen dat de inbreuk op de privacy zoveel als mogelijk wordt beperkt. Het is bijvoorbeeld niet toegestaan camera’s op te hangen in toilet- of doucheruimtes. De camera mag ook geen geluidsopnamen maken. Dit is voor het doel namelijk niet nodig.

Gerechtvaardigd belang

Omdat door cameratoezicht persoonsgegevens worden verwerkt dient de werkgever voor die verwerking een grondslag te hebben. Voor werkgevers die camera’s willen gebruiken is dat de grondslag van het gerechtvaardigd belang. Dit belang kan bijvoorbeeld bestaan uit het tegengaan van diefstal van eigendommen, het voorkomen van fraude of het beschermen van bezoekers. Het is dus niet nodig om toestemming te vragen aan werknemers voor het plaatsen van camera’s. Het is zelfs onverstandig om toestemming van werknemers te vragen omdat iedere werknemers die toestemming heeft gegeven, die toestemming kan intrekken. En dan mag de werkgever in principe niet meer terugvallen op de grondslag van het gerechtvaardigde belang.

Noodzakelijkheid van cameratoezicht

Alleen als het te bereiken doel niet ook op een andere manier kan worden bereikt, is cameratoezicht toegestaan. Dit houdt in dat het cameratoezicht noodzakelijk moet zijn. Als het doel van de camera’s bijvoorbeeld het voorkomen van diefstal of fraude is, moet dat doel niet op een andere minder vergaande manier bereikt kunnen worden. Op de werkgever ligt de verplichting dit eerst te onderzoeken voordat over wordt gegaan tot het plaatsen van camera’s. De werkgever moet de plannen voor cameratoezicht vooraf ook met de ondernemingsraad bespreken.

Data Protection Impact Assessment (DPIA)

Omdat de impact op de privacy van werknemers groot is, zal een werkgever ten minste een onderzoek moeten verrichten naar de privacyaspecten van het cameratoezicht. Kortom, er moet een privacytoets worden uitgevoerd. Dit betekent dat de werkgever de belangen en rechten van de werknemers afweegt tegen zijn eigen bedrijfsbelang.

Ook kan op de werkgever de verplichting rusten een Data Protection Impact Assessment - in het Nederlands: een “gegevensbeschermingseffectbeoordeling” - te houden. Dat gaat verder dan een privacytoets. Een DPIA is een proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken.

Als bijvoorbeeld door middel van het camerasysteem stelselmatig de activiteiten van de werknemers, inclusief hun werkplek, worden gemonitord en de beelden ook gebruikt (kunnen) worden bij de beoordeling van de werknemers, zal een DPIA gehouden moeten worden.

Informatieplicht cameratoezicht

De werkgever moet ervoor zorgen dat de werknemers en bezoekers geïnformeerd worden over het cameratoezicht. Deze informatieverplichting gaat verder dat alleen het plaatsen van een bordje met daarop de tekst dat er cameratoezicht plaatsvindt. Onder de AVG gelden vergaande informatieverplichtingen. Zo dienen de werknemers gewezen te worden op hun rechten, zoals het recht op inzage of correctie.

Omdat de verplicht te verschaffen informatie doorgaans niet op een enkel bordje past, is een oplossing om naar het bordje te verwijzen, bijvoorbeeld verwijziging naar een websitepagina. Op die pagina dient de verplichte informatie over het cameratoezicht te staan. In het geval van werknemers kan de informatie op een andere manier worden verstrekt. Bijvoorbeeld door opname in het personeelshandboek of het intranet.

Bewaartermijn camerabeelden

Voor het bewaren van persoonsgegevens – zoals camerabeelden – dienen bewaartermijnen te worden vastgesteld. De werkgever mag de camerabeelden niet langer bewaren dan noodzakelijk is. De richtlijn hiervoor is maximaal 4 weken. Als een incident is vastgelegd, bijvoorbeeld diefstal, dan mag de werkgever de betreffende beelden bewaren tot de diefstal is afgehandeld.

Overige verplichtingen

De AVG legt vergaande verplichtingen op aan werkgevers die gebruik (willen) maken van camerabeelden. Het niet naleven van die verplichtingen houdt een groot risico in. Als niet aan de eisen van de AVG wordt voldaan, kan dat krachtens de AVG tot gevolg hebben dat de Autoriteit Persoonsgegevens boetes oplegt. Als bijvoorbeeld geen DPIA wordt uitgevoerd terwijl dat voor de verwerking wel verplicht is of als een DPIA niet correct wordt uitgevoerd, kan dat leiden tot een administratieve boete van maximaal 10 miljoen euro of, in het geval van een onderneming, maximaal 2 % van de totale wereldwijde jaaromzet van het voorgaande boekjaar, waarbij het hoogste bedrag van toepassing is. Zo’n enorme boete zal niet snel worden opgelegd, maar de AVG zet wel de toon.

Laat u adviseren

Het gebruik van camera’s op de werkplek is aan strenge regels gebonden. Het verdient de voorkeur om voor het plaatsen van camera’s advies in te winnen. De advocaten privacyrecht van Delissen Martens helpen u graag bij het formuleren en de implementatie van beleid over cameratoezicht.

Heeft u naar aanleiding van bovenstaande vragen? Neem contact op met Mark Krul (mkrul@delissenmartens.nl) of met uw eigen contactpersoon bij Delissen Martens T + 31 70 311 54 11.

Deze weblog is slechts een algemene weergave van het geldende recht. Het kan op geen enkele wijze als advies in uw specifieke situatie dienen.

Linkedin Twitter