Privacy - Wat niemand over je mag weten

Hoe zit het met de bewaartermijnen van camerabeelden?

15-05-2023, 14:05 door JKnut, 4 reacties
Het bewaren van camerabeelden kan privacy risico's met zich meebrengen voor de betrokkenen, daarom zijn er bewaartermijnen bepaald voor camerabeelden. Ik had zelf altijd het idee dat dit een bewaartermijn betreft van 4 weken, maar in een recent artikel van privacy-web.nl wordt er gesproken over een discrepantie tussen een advies van de AP (4 weken) en de richtlijnen van de EDPB (72 uur). Welke adviezen moeten wij als bedrijf nu opvolgen en verschilt dit nog per camera met eventueel een verschillende grondslag?
https://privacy-web.nl/nieuws/een-privacygerichte-voorbereiding-op-cameratoezicht/
Reacties (4)
15-05-2023, 14:16 door Anoniem
Ik zou zeggen: hangt af van het doel van de camerabeelden.

Gebruik je ze om bewijs te hebben bij diefstal in/om huis, dan zal 72 uur waarschijnlijk wel voldoende zijn en houd je je aan die richtlijn.
Maar heb je ze langer nodig dan 72 uur, bijvoorbeeld voor op afstand waar je niet direct de misdaad ontdekt, dan zou ik toch wel liever zo lang mogelijk opslaan. (tot 4 weken dus, of langer als dat mag/kan op enkel eigen terrein.)

Maar dat is mijn persoonlijk advies, en ik ben geen advocaat of rechter.
15-05-2023, 15:53 door Anoniem
Zo kort mogelijk voor gewenste diensten of afwikkeling van cases echter wel overtuigend gemotiveerd.

Er is geen officiele bewaartermijn zoals zoveel zaken in AVG/GDPR. Zie bijgevoegd artikel.
https://blog.iusmentis.com/2021/07/22/nee-er-is-geen-officiele-bewaartermijn-voor-beveiligingscamerabeelden/
15-05-2023, 16:07 door Anoniem
Dat je vraagt naar de discrepantie doet vermoeden dat je niet de moeite hebt genomen om te lezen en te begrijpen wat AP en EDPB eigenlijk schrijven. De pagina waarnaar je verwijst (waarom geen hyperlink trouwens, zie de url-tag bij de ondersteunde bbcodes) verwijst door naar een vrij beknopte pagina van AP specifiek over cameratoezicht op de werkplek waar staat dat de beelden maximaal 4 weken mogen bewaard. Het verwijst ook door naar een zeer uitgebreid document van EDPB over cameratoezicht in het algemeen waarin inderdaad 72 uur wordt genoemd, maar niet als maximum. Wat ze schrijven is dat je camerabeelden niet langer moet bewaren dan je nodig hebt om (1) te constateren dat er iets is waarvoor je beelden moet bewaren en (2) om die beelden veilig te stellen voordat ze (liefst automatisch) gewist worden. Je bepaalt als bedrijf dus zelf hoe lang dat is. Maar meestal zullen enkele dagen genoeg zijn, en hoe langer je nodig hebt hoe beter je moet verantwoorden dat je meer tijd nodig hebt, speciaal als je over (daar is hij dan) 72 uur heengaat.

Zie je dat wat EDPB en AP schrijven helemaal niet met elkaar conflicteert, hoe ver de termijnen ook uit elkaar liggen? Hoe langer de bewaartermijn, hoe beter je moet verantwoorden waarom je dat nodig hebt, en als AP een maximum van 4 weken aanhoudt zeggen ze daarmee eigenlijk dat voor een termijn van meer dan 4 weken wat hun betreft geen enkele verantwoording nog geloofwaardig is, dat moet altijd genoeg tijd zijn om te ontdekken dat je de beelden nodig hebt en om ze veilig te stellen.

Als ik de AVG zelf lees, en lees wat AP en EDPB aan uitleg en richtlijnen publiceren, dan is er één ding dat zich steeds aan mij opdringt: de AVG is geen checklist van makkelijke punten die je kan afvinken, maar een wet die eist dat je als organisatie zelf heel goed nadenkt over wat je doet met persoonsgegevens, waarom je het doet, of je het werkelijk nodig hebt, waarom je het eigenlijk mag, hoe lang je het nodig hebt, en nog veel meer. Er zit ontzettend veel in dat niet precies is ingevuld maar wat je als organisatie voor jezelf moet bepalen en vervolgens moet kunnen verantwoorden. Je moet echt zelf nadenken, en grondig ook.

Niemand hier kan dus tegen je zeggen: doe maar 72 uur, of doe maar 4 weken, of iets anders. Want alleen jouw organisatie kan bepalen wat in jullie specifieke omstandigheden mogelijk en onmogelijk is, en wat onvermijdelijk is en wat op een andere manier te bereiken is. Je zal zelf je huiswerk moeten doen.

Dat document van EDPB is een richtlijn precies daarvoor. Als je dat stap voor stap, punt voor punt doorwerkt zou je alles tegen moeten komen om je cameratoezicht aan de AVG te laten voldoen. Maar bij elke stap moet je zelf nadenken, zelf bepalen hoe dat voor jouw organisatie zit, wat bijvoorbeeld precies het gerechtvaardigde belang is waarmee jij verantwoordt waarom je die beelden mag maken, waarom jouw belangen zwaarder wegen dan die van de betrokkenen, hoe je de beelden beveiligt tegen uitlekken en andere ellende, hoe lang je ze bewaart, noem maar op. Dat is geen middagje werk maar een stevige kluif.
16-05-2023, 11:52 door Anoniem
Door Anoniem: 16.07
Een mooie samenvatting. Jaren geleden als een uitgezocht: Er staan geen maximale bewaar termijnen in de wet. verder helemaal eens met commentaar van Anoniem 16.07.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.