Een lezer vroeg me:
Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk bevel worden afgegeven?
Er is geen harde regel die inzage door derden verbiedt behalve bij gerechtelijk bevel. Sterker nog, er is slechts een bevel officier van justitie nodig om camerabeelden te vorderen door Justitie (art. 126nd Strafvordering). Tenzij je de strenge lijn van de Hoge Raad volgt die zegt dat camerabeelden ‘bijzondere’ persoonsgegevens zijn, dan is een bevel rechter-commissaris nodig.
Maar goed, dat gaat over strafrecht. Hier gaat het om inzage door een private partij. Daarbij is het strafrecht en het wetboek van strafvordering niet relevant.
De beveiliging middels camera’s is op zich al een onderwerp dat gerechtvaardigd moet worden onder de Wet bescherming persoonsgegevens, aangezien camera’s persoonsgegevens verwerken. De gebruikelijke grond is artikel 8 sub f: er is een dringende noodzaak (men kán niet anders), er is geen reële mogelijkheid toestemming te vragen en men heeft alles gedaan dat gedaan kan worden om de privacy van de gefilmde mensen te beschermen.
Als je het filmen an sich kunt rechtvaardigen onder dit artikel, dan lijkt me “controleren dat het filmen werkt” eigenlijk automatisch ook wel door de beugel kunnen. Maar je zult wel wat specifieke waarborgen moeten inbouwen. Kan de software automatisch gezichten blurren bijvoorbeeld? Doe dat dan wanneer de auditor de beelden kijkt. Of kan de auditor in een apart kamertje kijken met achterlating van zijn telefoon, zodat hij wel kijkt maar niet kan kopiëren? Misschien kun je op een rustig moment de beste man (m/v) zélf even voor de camera laten staan, en daarna samen constateren dat hij inderdaad in beeld was.
Arnoud
Je zou in dit specifieke geval bijna zeggen dat het een instinker van de auditor is, omdat het tonen van camerabeelden van klanten aan derden niet conform de PCI-DSS is. 🙂
Sowieso mag je zelf bedenken hoe je aan gaat tonen dat de camera’s werken. Een auditor mag van alles vragen maar hij mag niet voorschrijven op welke wijze het bewijs geleverd wordt. Een verklaring van de onderhoudsmonteur zou bijvoorbeeld ook voldoende moeten zijn.
Een auditor is geen willekeurige derde, het is iemand die in opdracht van een klant werkt… zie hem/haar als ingehuurde kracht. Ik neem aan dat een bedrijf richtlijnen heeft waarin (onder andere) staat wanneer klanten de videopnames mogen bekijken. Het lijkt me vreemd dat je aan een klant niet mag laten zien wanneer er onderdelen van zijn server zijn verdwenen. Het is dus een geval van de regels kennen en de toestemming vragen die je nodig hebt. (Ik neem aan dat de auditor een audit-NDA getekend heeft: “Ik zal zaken geheim houden die ik niet voor mijn rapport nodig heb.”)
De wet is hier wel redelijk: je hebt een argument om te kijken, en daarmee de privacy te schenden. Geschonden privacy is niet plotseling weer heel omdat er maar een paar mensen mogen kijken. (Kan Opstelten nog wat van leren)