Of je nu vandaag enthousiast naar de camera’s zwaait, of ze liever weg zou bliksemen, we kunnen er niet omheen: Camera’s zijn overal. Je vindt ze op de werkvloer, in het straatbeeld, en jawel, zelfs binnenshuis. Het brengt voor veel mensen een gevoel van veiligheid en gebruiksgemak, maar kan ook onze privacy grondig aantasten.
Om die reden bestaat er een specifieke regelgeving wanneer het gaat over gebruik van camera’s voor bewaking; de camerawet. Afhankelijk van de situatie speelt de GDPR ook mee en is er CAO 68 wanneer je die camera’s wilt plaatsen op de werkvloer. Je denkt dus best twee keer na voordat je zomaar alles en iedereen begint te filmen. Hoe pas je daarenboven nog eens best Data Protection by Design toe?
De toenemende rol van cameragebruik in de samenleving.
Cameragebruik is in razendsnel tempo een integraal onderdeel geworden van onze samenleving. Van beveiligingscamera’s op openbare plaatsen tot slimme camera’s in onze woningen, ze spelen een cruciale rol bij het waarborgen van veiligheid en bieden tal van andere toepassingen, zoals bezoekersanalyse in winkels en verkeersmonitoring. Met deze groeiende rol van camera’s ontstaan echter ook uitdagingen op het gebied van gegevensbescherming en privacy.
Het concept Data Protection by Design en camera’s.
Essentieel is het Data Protection by Design principe (soms ook wel “gegevensbescherming door ontwerp”, Artikel 25 van de GDPR). Dit principe moedigt organisaties aan om vanaf de beginfase van een verwerkingsactiviteit stil te staan bij het wat en waarom en dus ook het beschermen van persoonsgegevens (die inherent heel vaak op camerabeelden staan).
Het is bovendien belangrijk om dit principe toe te passen vóór je een cameraproject opstart, en niet omgekeerd. Je bouwt ook niet eerst een huis om daarna pas na te denken over je kamerindeling. Dat zorgt voor problemen. Bij cameraprojecten en privacy is dit niet anders.
Door gegevensbescherming proactief in het ontwerp te verwerken en de juiste stakeholders bij het project te betrekken, kunnen privacyrisico’s worden beperkt en kunnen bedrijven voldoen aan de wet- en regelgeving op het gebied van gegevensbescherming. Data Protection by Design en camera’s gaan dus zéker samen.
Hoe Data Protection by Design toepassen bij cameragebruik in een organisatie?
Stel, je wilt een camera plaatsen binnen je organisatie; om welke reden dan ook? Hoe begin je daar dan aan?
1. Het identificeren van de doelstellingen.
De eerste, en belangrijkste stap, is het specifieke doel van je cameragebruik vastleggen. Waarom heb je die camera nodig? Welke data zal deze verzamelen en waarvoor wordt dit beeldmateriaal dan gebruikt?
Bijkomend moet je ook de vraag stellen of de camera wel de enige én beste oplossing is (en niet gewoon de makkelijkste). Is het cameragebruik wel proportioneel met het vooropgestelde doel? Vaak bestaan er ook andere valabele alternatieven die hetzelfde doel kunnen bereiken.
Concreet bekom je deze informatie door samen te zitten met de verschillende stakeholders en hen kritische vragen te stellen. Tijdens deze gesprekken kan je best ook aan verwachtingen management doen zodat meteen vanaf de start duidelijk is wat er mogelijk is en wat niet.
2. Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA).
Een tweede, minstens even belangrijke stap is het bepalen van de risico’s die verbonden zijn aan het plaatsen van die camera. Dit kan je doen in een gegevensbeschermingseffectbeoordeling (meerbekend als de DPIA). Meer dan een topwoord voor Scrabble, is dit een beoordeling waarmee je alle potentiële privacyrisico’s, die gepaard gaan met het project, gaat oplijsten. Op basis van deze risico’s, ben je dan weer in staat om de passende maatregelen te treffen om risico’s te verlagen naar een aanvaardbaar niveau en de regelgeving na te leven.
Een voorbeeld van een risico is het plaatsen van een camera in een magazijn louter om te kunnen bewijzen dat mensen hun pakketjes hebben opgehaald. Hoe lang ga je die gegevens dan bijhouden om als bewijsmateriaal te kunnen gebruiken? Dit zou een niet proportionele verwerking zijn als je weet er ook gewoon afgetekend kan worden bij de overhandiging.
3. Het selecteren van geschikte cameratoepassingen en -technologieën.
Het doel van je cameraproject ligt vast en de risico’s zijn beheersbaar? Dan kan je nu gaan kijken naar het technologische luik van je project.
Ook bij het kiezen van cameratoepassingen en -technologieën is het belangrijk om rekening te houden met gegevensbeschermingsoverwegingen. Kies voor camera’s waarmee je kan voldoen aan de geldende privacyregels en die geavanceerde beveiligingsfuncties bieden.
Opteer ook voor camera’s die niet meer gegevens verzamelen dan strikt noodzakelijk (dataminimalisatie) voor het beoogde doel, én die gemakkelijk kunnen worden geïntegreerd in een veilig IT-ecosysteem. Dit kan je bijvoorbeeld doen door te werken met camera’s die enkel filmen wanneer er beweging is op een bepaalde plaats in het beeld, of door een bewegingssensor geactiveerd worden. Je kan ook spelen met resolutie of aantal beelden per seconde, zodat je zo weinig mogelijk beeldmateriaal opneemt en toch jouw doel kan bereiken.
Kunnen camera’s ook weer weggehaald worden?
Na verloop van tijd is het slim om een evaluatie uit te voeren van je cameraproject. Een camera installeren én onderhouden kan een kostelijke zaak zijn. Je maakt dan best de afweging of je je beoogde doel bereikt hebt, of je je camera eventueel voor een ander doeleinde kan gebruiken.
In dit geval, moet je dezelfde stappen opnieuw doorlopen. Je mag je camera enkel en alleen gebruiken voor je initiële doel. Wanneer je dit na verloop van tijd toch wilt aanpassen of uitbreiden, dan dien je een nieuwe risicoanalyse uit te voeren.
Dit alles omdat de GDPR heel duidelijk voorschrijft dat gegevens niet zomaar voor een extra doel mogen worden ingezet (art 5; is zelfs 1 van de beginselen).
We moeten ook “Function Creep” voorkomen. Bij “Function Creep” breidt het gebruik van een bepaalde technologie, geleidelijk aan en vaak ongemerkt, uit buiten het oorspronkelijke doel van het project. Hierdoor kan er een inbreuk ontstaan op de privacy van de betrokkene.
Bijvoorbeeld: Er staan gemeentecamera’s op de markt als bewakingscamera. De marktkramers vragen of de gemeente in kaart kan brengen hoe mensen over de markt wandelen, om zo de plaatsing van hun kraampjes beter te organiseren. Met deze camera’s, en hun intelligente verwerking, is dit praktisch mogelijk. Maar, het wil niet zeggen dat het kan, dat het ook zomaar mag. In dit specifieke geval is het zelfs quasi onmogelijk om conform aan de wetgeving te zijn. Hoe zou jij jezelf voelen als je weet dat camera’s je volgen doorheen de stad?
Enkele praktische tips voor Data Protection by Design en cameragebruik
- Wees altijd transparant en informeer betrokkenen over het gebruik van camera’s en verzamelde gegevens. Je bent meestal bij wet verplicht om een camera pictogram te plaatsen wanneer je betrokkenen filmt. Dit pictogram moet zichtbaar zijn voordat de betrokkene gefilmd wordt.
- Plan bij de installatie al een moment in voor de toekomstige evaluatie. Zo kan je je beoordeling regelmatig herbekijken en bijsturen waar nodig. Het kan handig zijn om je DPIA er na verloop van tijd weer bij te nemen en te evalueren of het vooropgestelde doel wel degelijk behaald is en of de risico’s nog steeds onder controle zijn. Verder bijsturen is vaak nodig.
- Check zeker ook of alle geformuleerde eisen in het kader van de DPIA zijn opgevolgd.
- Camera’s gebruiken voor andere doeleinden dan de initiele is een economisch goed idee, vergeet evenwel niet heel de oefening voor deze, andere, doeleinden ook te maken.
- Tegenwoordig zijn ook goedkope camera’s uitgerust met slimme technologieën, maak er gebruik van en film zo weinig mogelijk overbodig materiaal terwijl je toch je doeleinde bereikt.
Een camera hoeft niet per se haaks te staan op de privacy van de betrokkenen. Wél is het belangrijk om altijd kritisch te zijn en niet zomaar in het wilde weg camera’s te plaatsen en mensen te beginnen filmen. Dat vindt niemand fijn, en al zeker de autoriteiten niet.