Veel werkgevers maken direct of indirect gebruik van camera´s op de werkplek. Denk bijvoorbeeld aan de winkelier die een camera heeft opgehangen ter voorkoming van diefstal. Of aan een camera die geplaatst is bij de ingang van een bedrijventerrein. In sommige gevallen worden in het geheim videobeelden opgenomen, bijvoorbeeld als een concreet vermoeden bestaat van diefstal of verduistering door een specifiek persoon. 

Onder welke voorwaarden mag u als werkgever gebruik maken van camera´s op het werk? Welke maatregelen kunt u treffen om de privacy van het personeel zo goed mogelijk te waarborgen, en wat is bijvoorbeeld de rol van de ondernemingsraad bij het toepassen van cameratoezicht? En waar moet u rekening mee houden bij het inzetten van nieuwe technologieën zoals gezichtsherkenning? 

Werknemers hebben op het werk een recht op privacy. Dat betekent dat werkgevers tot op zekere hoogte moeten accepteren dat werknemers privézaken op het werk regelen. Denk bijvoorbeeld aan een kort telefoongesprek met de huisarts of een WhatsApp-bericht aan een partner (mits binnen proporties, zie bijvoorbeeld de uitspraak van de rechtbank Amsterdam van 15 september 2017).[1] Werkgevers mogen niet zonder meer e-mails van werknemers inzien die een duidelijk privékarakter hebben. Het monitoren van werknemers via cameratoezicht mag alleen onder bijzondere omstandigheden daar ook dit in principe een schending van iemand zijn privacy oplevert. 

Het recht op privacy is grotendeels uitgewerkt in de Algemene Verordening Gegevensbescherming (AVG) die sinds 2018 van toepassing is. In de AVG is voorgeschreven onder welke voorwaarden organisaties persoonsgegevens, zoals videobeelden van werknemers, mogen gebruiken.  

Zo schrijft de AVG voor dat een werkgever (als ´verwerkingsverantwoordelijke´) een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde moet hebben voor het toepassen van cameratoezicht.[2] Een voorbeeld van zo´n gerechtvaardigd doeleinde is het beveiligen van eigendommen tegen diefstal of het beveiligen van personen (werknemers, klanten, etc.) tegen fysiek geweld. Camera´s hebben dan een bewakingsfunctie. Belangrijk te onthouden is dat het doel duidelijk omschreven moet zijn. Is dat niet het geval, dan is cameratoezicht per definitie niet toegestaan. Een voorbeeld daarvan is het plaatsen van camera´s ´ter observatie van klanten´.[3] Dat zegt natuurlijk niets over waaróm camera´s zijn geplaatst c.q. klanten worden geobserveerd en is dus onvoldoende, en is daarom  niet toegestaan.

Van groot belang is dat u als werkgever een zogenoemde ´wettelijke grondslag´ moet hebben voor het toepassen van cameratoezicht. In de AVG worden 6 verschillende grondslagen genoemd op basis waarvan persoonsgegevens kunnen worden verwerkt (bijvoorbeeld toestemming van de betrokkene, nakoming wettelijke verplichting, gerechtvaardigd belang, etc.). Heeft een werkgever een gerechtvaardigd belang bij het verwerken van persoonsgegevens, dan is de verwerking toegestaan, tenzij het belang of de fundamentele rechten en vrijheden van de betrokken personen/werknemers zwaarder wegen.[4] Hoewel de AVG ook voorziet in andere wettelijke grondslagen voor het toepassen van cameratoezicht, zullen werkgevers in de meeste gevallen alleen een beroep kunnen doen op de hiervoor genoemde ´gerechtvaardigd belang´-grondslag. 

Om te bepalen of een werkgever een gerechtvaardigd belang heeft bij het toepassen van cameratoezicht, moeten 3 vragen met ‘ja’ beantwoord worden.

1. Ten eerste, is het noodzakelijk voor de werkgever om cameratoezicht toe te passen? Of anders gezegd: draagt het bij aan het beoogde doel en maakt het bijvoorbeeld de kans op diefstal of de kans op fysiek geweld jegens personeel of klanten kleiner?
2. Ten tweede, weegt het belang van de werkgever zwaarder dan het belang van de betrokken personen c.q. de mensen die gefilmd worden? Een juwelier zal doorgaans een groter belang hebben bij het tegen diefstal beschermen van zijn koopwaar dan bijvoorbeeld een slager of een groenteboer. Dit wordt ook wel aangeduid als het proportionaliteitsbeginsel. 

3. En ten derde, kan hetzelfde resultaat worden bereikt met minder ingrijpende middelen of maatregelen? Zijn bijvoorbeeld al andere minder ingrijpende maatregelen getroffen, bijvoorbeeld extra verlichting op een parkeerterrein, eventueel een hek en wellicht een beveiligingsbeambte die van tijd tot tijd surveilleert?[5] De manier waarop een beveiligingscamera is ingesteld en of een camera bijvoorbeeld ook geluid opneemt, kan hierbij van belang zijn. Dit derde criterium wordt aangeduid als het subsidiariteitsbeginsel. 

Welke omstandigheden zijn nu relevant om vast te stellen of u als werkgever een gerechtvaardigd belang hebt? Uit de beleidsregels Cameratoezicht van de Autoriteit Persoonsgegevens (uit 2016) kan worden afgeleid dat bijvoorbeeld gekeken moet worden naar het aantal geplaatste camera´s, hoe lang de camera´s daadwerkelijk filmen (continue of alleen gedurende bepaalde periodes), hoeveel personen en/of plaatsen in beeld worden gebracht, waar de camera´s hangen (bijvoorbeeld niet in een behandelruimte of kleedkamer), of camerabeelden op internet worden geplaatst, de branche waarin de werkgever actief en de omgeving waar het cameratoezicht plaatsvindt (veel/weinig criminaliteit).[6] In alle gevallen moeten werkgevers van tijd tot tijd evalueren of de geplaatste camera´s nog wel noodzakelijk zijn. Stel dat het aantal diefstallen of vernielingen in een bepaald gebied aanmerkelijk is afgenomen de afgelopen jaren – in dat geval zou dat een reden kunnen zijn om het cameratoezicht stop te zetten of te beperken. 

Voor een voorbeeld van hoe dit in de praktijk werkt, verwijs ik naar een zaak die in 2016 speelde bij de rechtbank Oost-Brabant. De werkgever in kwestie, een producent van industriële computers, wilde twee camera´s installeren op het werk: één gericht op de productielijn en één gericht op een vergrendelde kast waarin componenten werden opgeslagen zoals SSD´s (solid state drives) en harde schijven. 

Vóór het installeren van de camera´s verzocht de werkgever de ondernemingsraad (OR) in te stemmen met het voorgestelde cameratoezicht. De OR ging hier niet mee akkoord, onder meer omdat de componenten volgens de OR niet diefstalgevoelig zouden zijn. Zij zouden namelijk niet, althans niet eenvoudig, gebruikt kunnen worden voor consumenten-pc´s.  

De rechter oordeelde uiteindelijk dat de werkgever een gerechtvaardigd belang had bij het voorgestelde cameratoezicht. Volgens de rechter waren de componenten wel degelijk diefstalgevoelig. Daarbij hechtte de rechter onder meer waarde aan de (hoge) inkoopwaarde van de componenten en het feit dat het ging om kleine onderdelen die makkelijk ongezien meegenomen konden worden. De rechter hechtte tevens waarde aan het feit dat de werkgever de laatste 3 jaar veel meer gebruik was gaan maken van flexibele krachten en uitzendkrachten (van 5% naar ruim 30%) en dat in het verleden componenten gestolen waren. Daarnaast telde de werkgever weliswaar dagelijks de componenten om vast te stellen óf onderdelen ontbraken c.q. waren gestolen, maar daarmee kon de werkgever nog niet vaststellen wíe de componenten had meegenomen. Het implementeren van visitatie-steekproeven en controle door middel van poortjes bij de uitgang van de productiehal waren geen geschikte alternatieven (te tijdrovend en vereisten bovendien medewerking van personeel). Tot slot hechtte de rechter belang aan het feit dat de camera´s duidelijk zichtbaar waren, alleen gebruikt werden om diefstal te voorkomen, en dat de opnames in beginsel maximaal 4 weken bewaard werden.

Dat werkgevers zorgvuldig moeten omgaan met het installeren van camera´s blijkt tevens uit een uitspraak van rechtbank Noord-Holland uit 2016. De werkgever in deze zaak (een groothandel in automaterialen met ongeveer 100 werknemers) had twee verborgen camera´s geïnstalleerd. Eén camera in een kantoortje waar het kasgeld werd geteld en één in de showroom gericht op een slagmoersleutel waarvan in het verleden blijkbaar een aantal was verdwenen. De tweede camera werd na een aantal maanden door medewerkers ontdekt. Pas toen vertelde de werkgever het personeel over het gebruik van verborgen camera´s binnen het bedrijf. Vervolgens maakte een aantal (17) werknemers bezwaar tegen het ingestelde cameratoezicht, onder meer tegen het belang van de geïnstalleerde camera´s, het voortdurend gebruik daarvan, de bewaartermijnen, etc. De werkgever stuurde vervolgens aan op het ontslag van de initiatiefnemers van dit bezwaar daar zij volgens de werkgever onrust zouden hebben veroorzaakt en het gezag van de leiding zouden hebben ondermijnd. 

Volgens de rechter hadden de werknemers echter een terecht punt aangevoerd aangaande het cameratoezicht. De rechter wees in dat kader bijvoorbeeld op het feit dat de OR niet was gevraagd in te stemmen met het cameratoezicht. Dat de werkgever weliswaar geen OR had ingesteld, was volgens de rechter niet relevant daar de werkgever al geruime tijd meer dan 50 werknemers telde en dus wettelijk verplicht was een OR in te stellen. Los daarvan had de werkgever het personeel ook niet op een andere manier ingelicht over de camera´s of gevraagd naar de mening van de medewerkers. De werkgever had evenmin een melding gedaan bij de Autoriteit Persoonsgegevens.[7] Ook het feit dat de werkgever het bezwaar van het personeel niet had aangegrepen voor een nader gesprek met de medewerkers, werd de werkgever zwaar aangerekend. Het ontslag van de initiatiefnemers van het bezwaar hield uiteindelijk stand (omdat zij daar feitelijk geen bezwaar tegen hadden gemaakt), maar de werkgever werd wel veroordeeld tot betaling van een forse ontslagvergoeding (transitievergoeding, plus een additionele vergoeding ter hoogte van 3 maal de transitievergoeding). 

Belangrijk is uiteraard dat de opgenomen beelden goed beveiligd worden. De AVG schrijft voor dat organisaties die persoonsgegevens verwerken daartoe passende technische en organisatorische maatregelen moeten treffen.[8] Denk bijvoorbeeld aan het versleutelen c.q. encrypten van opgeslagen beelden, het hanteren van een autorisatiebeleid (wie heeft toegang tot welke bestanden) en het automatisch vastleggen (loggen) van de activiteiten van de beheerders.[9] Het is aan te raden daarnaast een duidelijk en consequent beleid te voeren over de bewaring en opslag van persoonsgegevens zoals videobeelden, en dit beleid van tijd tot tijd goed te evalueren. Tot slot kan worden gedacht aan contractuele afspraken, zoals een geheimhoudingsbeding in de arbeidsovereenkomst met specifieke groepen personen (bijvoorbeeld ICT-beheerders), eventueel in combinatie met een boetebeding. 

Camerabeelden mogen op grond van de AVG niet langer bewaard worden dan noodzakelijk.[10] De AP hanteert daarvoor als richtlijn een bewaartermijn van maximaal 4 weken dan wel tot een geconstateerd incident is afgehandeld.[11]

De OR heeft een instemmingsrecht ten aanzien van alle bedrijfsregelingen die betrekking hebben op het verwerken en beschermen van persoonsgegevens van het personeel.[12]  De wet schrijft daarnaast uitdrukkelijk voor dat voorstellen tot het treffen van voorzieningen die gericht zijn op of geschikt zijn voor de waarneming of controle op aanwezigheid, gedrag of prestaties van het personeel, vooraf ter instemming aan de OR moeten worden voorgelegd.[13]

Dat betekent dat als een werkgever beveiligingscamera´s wil installeren in het bedrijf, hij dit vooraf aan de OR zal moeten worden voorleggen. Zie in dat kader ook de hiervoor aangehaalde uitspraken van de rechtbank Oost-Brabant en Noord-Holland.[14] Een werkgever is wettelijk verplicht tot het instellen van een OR indien binnen de onderneming structureel ten minste 50 personen werkzaam zijn.[15]

Bij het implementeren van cameratoezicht is het in sommige gevallen wettelijk vereist vooraf een data protection impact assessment (DPIA) uit te voeren.[16] Dat is in feite een onderzoek waarbij in kaart wordt gebracht in hoeverre het voorgenomen toezicht gerechtvaardigd is, wat de gevolgen zijn voor de privacy van de betrokken personen en hoe voorzien moet worden in de eventuele privacyrisico´s.  

De Autoriteit Persoonsgegevens heeft op 27 november 2019 een lijst vastgesteld van verwerkingen waarvoor een DPIA altijd verplicht is.[17] Hierin is onder meer te lezen dat een DPIA verplicht is ingeval werkgevers heimelijk cameratoezicht willen toepassen in het kader van diefstal- of fraudebestrijding door werknemers.  

Ook voor ´niet-heimelijk´ cameratoezicht kan een DPIA verplicht zijn. Zo schrijft de AP voor dat een DPIA eveneens verplicht is ingeval van grootschalige verwerking van persoonsgegevens en/of stelselmatige monitoring van activiteiten van werknemers. Naast cameratoezicht kan daaronder ook vallen het controleren van e-mail- en internetgebruik of het verwerken van locatiegegevens van (vracht)auto´s van werknemers. Het is aan te raden de door de AP gepubliceerde lijst goed te bestuderen. 

Veel camera´s kunnen tegenwoordig meer dan alleen maar videobeelden vastleggen. Denk bijvoorbeeld aan smartphones met gezichtsherkenning of camera´s die automatisch ´verdacht´ gedrag kunnen detecteren. Het gebruik van dergelijke technieken betekent doorgaans een grotere inbreuk op de privacy en persoonlijke levenssfeer van de betrokken personen.[18] Met behulp van camera´s met gezichtsherkenning kan iemand bijvoorbeeld worden getraceerd. Oftewel, wat iemand zijn ’whereabouts’ zijn geweest. Camera´s met gedragsherkenning leggen niet alleen de gedragingen van iemand vast, maar analyseren dit gedrag gelijktijdig. Bijvoorbeeld of iemand gewelddadig gedrag vertoont. Vervolgens kan een melding worden gedaan bij de politie. 

Voor het toepassen van dit soort technologieën zal in de regel een voorafgaande DPIA moeten worden uitgevoerd (zie hiervoor). Daarnaast zullen werkgevers in deze gevallen doorgaans bijzondere persoonsgegevens verwerken. Dit omdat de camera’s de gefilmde personen gelijktijdig identificeren aan de hand van onder meer hun ras en biometrische gegevens. Het verwerken van dergelijke persoonsgegevens is in beginsel verboden, tenzij aan specifieke voorwaarden is voldaan. Zie bijvoorbeeld onze eerdere blog over het gebruik van vingerafdrukken in de arbeidsrelatie. 

In principe is het de bedoeling dat werkgevers alleen camerabeelden opnemen op het eigen terrein en niet in de publieke ruimte, bijvoorbeeld op straat. Is het in beeld brengen van delen van de openbare ruimte echter onvermijdelijk ter beveiliging van personen en goederen voor wie de werkgever verantwoordelijk is, dan is dit niettemin toegestaan.[19]

Zo mag een juwelier bij de ingang van zijn winkel een camera plaatsen die een klein gedeelte van de openbare weg filmt omdat in de praktijk blijkt dat overvallers zich voor de winkel vaak vermommen.[20] Daarentegen mag een supermarkt bijvoorbeeld geen camera bij de ingang plaatsen om winkeldiefstal te voorkomen – een betere oplossing is namelijk om de camera’s te richten op de schappen en kassa’s. 

Werkgevers die gebruik willen maken van camera’s op het werk doen er goed aan van te voren de mogelijke privacyrisico’s in kaart te brengen. Voor welke doeleinden zal gebruik worden gemaakt van cameratoezicht? Heeft de werkgever wel een gerechtvaardigd belang bij het installeren van veiligheidscamera’s? Hoe lang worden de beelden bewaard en hoe worden deze beveiligd? In veel gevallen zullen werkgevers wettelijk verplicht zijn een voorafgaand onderzoek (DPIA) te verrichten en de ondernemingsraad te verzoeken in te stemmen met het beoogde cameratoezicht. Zeker bij het toepassen van nieuwe technologieën, zoals gezichtsherkenning, is het van belang dat werkgevers zorgvuldig van te voren afwegen hoe cameratoezicht het beste kan worden toegepast binnen de organisatie. Het is aan te raden hiervoor juridisch advies in te winnen.