Nee, er is geen officiële bewaartermijn voor beveiligingscamerabeelden

| AE 12793 | Privacy, Regulering | 21 reacties

De Nederlandse politie heeft bijna 280.000 camera’s opgenomen in de Camera In Beeld-database. Dat meldde Tweakers onlangs. De meeste zijn van bedrijven, zo’n 15% is van particulieren. De database is handig als start voor opsporing: je weet precies waar je met je vordering afgifte camerabeelden moet zijn als agent (er is geen live toegang op afstand natuurlijk). En dan het ergerlijke stukje: “Publieke camerabeelden worden gemiddeld langer bewaard dan wettelijk toegestaan.” Dit is niet waar en ik wou dat men ophield dit te zeggen.

De motivatie is dan dat zowel politie als Autoriteit Persoonsgegevens ergens mompelen dat 28 dagen de maximale bewaartermijn is:

Het valt op dat de bewaartijd van beelden van de publieke camera’s langer is dan die van particuliere camera’s en mogelijk zelfs de wet overtreedt. Particulieren en bedrijven bewaren camerabeelden gemiddeld 21 dagen. Bij beelden van de overheid gaat het om 38 dagen. Dat is langer dan toegestaan. De politie verwijst zelf naar zijn eigen regels, waarin staat dat camerabeelden maximaal 28 dagen mogen worden bewaard. Ook de Autoriteit Persoonsgegevens noemt een maximale bewaartermijn van vier weken voor camerabeelden ‘van de politie’.
Alleen, volgens mij hebben politie en AP het over bewaartermijnen van overheids-camera’s, zoals die een gemeente op zou hangen voor toezicht in de openbare ruimte. In deze database zitten vooral particuliere camera’s (van burgers, zowel bedrijven als personen dus) en dat is juridisch iets heel anders. Die particulieren moeten zich aan de AVG houden, althans als de camera ook de openbare weg filmt. En in de AVG staat géén 28 dagen, daar staat alleen “niet langer dan nodig”.

Oftewel: het hele punt is dat wie een camera ophangt die meer dan eigen terrein filmt, zélf moet gaan bedenken hoe lang zhij de beelden bewaart. Dat moet gemotiveerd en gedocumenteerd (op zijn minst in je privacyverklaring). Er is geen vuistregel of basistermijn.

Heel, heel lang geleden was er een Wet bescherming persoonsgegevens. Die vermeldde ergens dat camerabeelden maximaal 28 dagen bewaard mochten worden. Dat was alleen in de context van de registratieplicht, in die tijd moest je je camera aanmelden bij de AP anders mocht deze er niet hangen. Maar wie de beelden binnen 28 dagen wiste, hoefte de camera niet te melden. Om mij nog steeds volstrekt onverklaarbare redenen zijn hele hordes mensen dit vrijstellingsbesluit gaan lezen als een toestemming om beelden 28 dagen te bewaren. En deze waanzinnige mythe leeft nog steeds door, ik zie ook in publicaties van overigens respectabele juristen anno 2021 doodserieus nog dat vrijstellingsbesluit als bron genoemd voor een bewaartermijn.

Het enige relevante juridische document is deze publicatie van de European Data Protection Board, de samenwerkende toezichthouders. Deze werkt het AVG-kader voor cameratoezicht nader uit, en vermeldt op pagina 28:

Taking into consideration the principles of Article 5 (1) (c) and (e) GDPR, namely data minimization and storage limitation, the personal data should in most cases (e.g. for the purpose of detecting vandalism) be erased, ideally automatically, after a few days. The longer the storage period set (especially when beyond 72 hours), the more argumentation for the legitimacy of the purpose and the necessity of storage has to be provided. If the controller uses video surveillance not only for monitoring its premises but also intends to store the data, the controller must assure that the storage is actually necessary in order to achieve the purpose. If so, the storage period needs to be clearly defined and individually set for each particular purpose.
De kern is dus: je beelden moeten zo snel mogelijk weg, en het liefst automatisch. En dat “zo snel mogelijk” druk je eerder uit in uren dan in dagen. Als jij iets anders wil, leg maar uit waarom jij in jouw situatie met die beelden voor jouw doeleinden meer nodig hebt. En dan willen we geen dooddoeners horen dat security-randvoorwaarden dit vereisen, dat je ISO auditor in het model 28 dagen had staan (ik citeer een vraagsteller) of dat je wellicht na enkele weken oude beelden wil terugkijken om incidenten te correleren.

Oké, dat was even erg cynisch allemaal. Laat ik het eens positief doen. Hier zijn een aantal voorbeelden van motivaties voor bewaartermijnen, met het verzoek aan jullie om aanvullende tekstvoorstellen te doen!

  • Bij dit woonhuis gebruiken wij camera’s om huis, erf en bewoners te beschermen en (pogingen tot) diefstal, braak en dergelijke vast te leggen. Wij kunnen dan aangifte doen of via de verzekeraar claims indienen. De beelden bewaren wij 72 uur omdat we niet meteen alles zullen opmerken. Periodes van vakantie rekenen we hierin niet mee.
  • Onze winkel is met camera’s beveiligd en we filmen ook de winkelruit in verband met ramkraken en inbraken. De beelden worden aan het einde van elke werkdag vernietigd.
  • Op deze camperstalling wordt met cameratoezicht gewaakt over de geplaatste caravans en campers. Omdat het terrein niet dagelijks door mensen gecontroleerd wordt, worden camerabeelden bewaard tot het einde van de betreffende huurperiode. Camerabeelden waar ook de openbare weg in beeld is, worden wekelijks uitgekeken en vernietigd tenzij incidenten zichtbaar zijn.
In het bijzonder ben ik op zoek naar een voorbeeld van een ‘gewoon’ bedrijf dat camerabeelden 28 dagen mag bewaren. Omdat je normaliter incidenten sneller opmerkt dan dat (de bekraste auto, de inbraak, de vechtpartij bij de personeelsingang) zie ik het niet. De angst voor een stakeout door georganiseerde criminelen die dan eens in de week komt posten om de geldloper te bespringen zodra ze het patroon door hebben voelt een vrij specifiek risico?

Arnoud