Nauwelijks hebben de deelstaten besloten om de politie uit te rusten met body-cam-technologie en deze in sommige deelstaten al met succes geïntroduceerd, of nu volgen ook particuliere beveiligingsbedrijven deze weg en rusten hun medewerkers uit met body-cams. Geen slecht idee, zou men kunnen denken, maar hoe ziet de realiteit eruit, hoe wordt aan de eisen van gegevensbescherming voldaan?
Als men de realiteit wat nader bekijkt en zich intensiever bezighoudt met het onderwerp gegevensbescherming en body-cams, kan men zich nauwelijks voorstellen dat de implementatie van gegevensbescherming ook maar enigszins kan worden nageleefd of gegarandeerd. Als men de richtlijnen van de gegevensbeschermingsautoriteiten voor het gebruik van body-cams bekijkt, lijkt het erop dat bedrijven al snel tegen hun grenzen aanlopen.
Waar komt het precies op aan bij het gebruik van body-cams in de particuliere beveiligingssector? 
RICHTLIJNEN VOOR HET GDPR-CONFORM GEBRUIK VAN BODY-CAMS IN DE PARTICULIERE BEVEILIGINGSSECTOR Ik wil hier nu nader beschrijven waar particuliere beveiligingsbedrijven precies op moeten letten en wat ze aantoonbaar moeten implementeren om body-cam-technologie GDPR-conform te kunnen gebruiken.
De AVG-onderdelen van het gebruik van body-cams Bij de aanschaf van een body-cam moeten in principe de volgende omstandigheden worden gecontroleerd: 1. Welke hardware/software wordt in aanmerking genomen? 2. Wie is verantwoordelijk voor de hosting en het beheer van de technologie? 3. Voor welk doel wordt de cameratechnologie gebruikt? 4. Zijn alle documenten voor de werking van de body-cam-technologie opgesteld? 5. Zijn alle benodigde contractdocumenten aanwezig? 6. Zijn alle medewerkers hierover geïnstrueerd? 7. Wordt er een dagelijks gebruiksprotocol bijgehouden? 8. Is het gebruik van de body-cam meegenomen in de dienstinstructies? In principe gaat het er nu alleen om de bovenstaande 8 punten zorgvuldig en nauwgezet af te werken om een hoog niveau van gegevensbescherming te bereiken. Hier volgen enkele tips en informatie over hoe u deze punten zonder veel stress, zonder hoge kosten en met zo min mogelijk tijdsbesteding kunt realiseren.
Punt 1: Welke hardware/software komt in aanmerking? Op de markt voor body-cam-technologie zijn tal van producten en oplossingen verkrijgbaar. In principe kan de beslissing welke body-cam-technologie en -software moet worden gebruikt vrij eenvoudig worden genomen. Hierbij is het belangrijk om af te zien van producten die worden geproduceerd en gehost in zogenaamde onveilige derde landen, zoals de VS of China. De aanschafprijs mag dan wel aantrekkelijk zijn, maar op het gebied van gegevensbescherming zijn er zeker hindernissen te overwinnen die de besparingen snel doen vergeten. Alleen technologie die in Duitsland of binnen de EU wordt geproduceerd en die voldoet aan de AVG-richtlijnen, moet in aanmerking worden genomen. Zo bespaart u uzelf veel problemen en minimaliseert u de kosten voor gegevensbescherming aanzienlijk.
Wij kunnen de body-cam van NetCo Professional Services GmbH uit Blankenburg in de Harz aanbevelen. De body-cam van NetCo voldoet op het gebied van technologie en software aan de eisen van de AVG en overtuigt ook door een interessante prijs-kwaliteitverhouding.
Punt 2: Wie is verantwoordelijk voor de hosting en het beheer van de technologie? Laten we bij de body-cam van NetCo blijven om het onderwerp beter te kunnen illustreren. Een body-cam bestaat altijd uit drie essentiële onderdelen. Dit zijn: * De body-cam * De serversoftware
- De clientsoftware voor de pc De serverapplicatie kan op twee manieren worden gebruikt: * Externe hosting door NetCo * Eigen hosting door de klant Beschrijving externe hosting door NetCo
Om de body-cam volledig te kunnen gebruiken, beheren en instellen, moet de bijbehorende beheersoftware (serverapplicatie) op een webserver worden geïnstalleerd en geëxploiteerd. NetCo biedt hier een volledige service, dat wil zeggen dat NetCo de hosting voor het bedrijf verzorgt en bovendien zorgt voor een veilige en actuele stand van de servertechnologie en software. Deze procedure wordt omschreven als externe hosting en vereist een overzicht van de technische en organisatorische maatregelen (TOM), dat moet worden aangetoond in een documentatie over gegevensbescherming (zie punt 5). Om aan dit punt te kunnen voldoen, stelt NetCo dit overzicht (TOM) ter beschikking van de klant. Analoog hieraan stelt NetCo een contract voor de overeenkomst inzake opdrachtgegevens ter beschikking, dat onmisbaar is voor punt 6.
De voordelen van deze variant zijn duidelijk. De klant heeft zeer weinig werk en hoeft geen eigen documentatie op te stellen met betrekking tot de AVG, maar krijgt deze van de fabrikant ter beschikking gesteld. Bovendien bevindt de server zich in Duitsland en voldoet daarmee aan de eisen van de AVG.
Beschrijving van eigen hosting door de klant Uiteraard zijn er redenen en voorschriften om de Body-Cam Server-applicatie op eigen webservers te moeten draaien. Hierbij moet echter worden opgemerkt dat in deze variant de lijst met technische en organisatorische maatregelen (TOM) voor de serverwerking door de klant moet worden opgesteld en ook moet worden aangetoond. Het is ook belangrijk om ervoor te zorgen dat de server zich binnen de EU bevindt en dat er geen gegevens naar een onveilig derde land worden verzonden. Het is ook belangrijk dat het gebruik in cloudtoepassingen van Google en Amazon (AWS) afzonderlijk wordt gedocumenteerd en moet worden aangetoond door middel van een zogenaamde gegevensbeschermingseffectbeoordeling (DSFA).
Punt 3: Voor welk doel wordt de cameratechnologie gebruikt? Wanneer het gaat om het gebruik van body-cam-technologie voor het eigen bedrijf of in opdracht van derden, zijn de hindernissen op het gebied van gegevensbescherming relatief hoog en blijken veel vaak gegeven aanwijzingen over het gebruiksdoel niet in overeenstemming te zijn met de AVG. Dit roept de vraag op: wanneer is het gebruik van body-cams in overeenstemming met de wetgeving inzake gegevensbescherming? Het antwoord hierop wordt door de Duitse conferentie over gegevensbescherming als volgt gegeven: Het gebruik van body-cams in overeenstemming met de wetgeving inzake gegevensbescherming moet worden getoetst aan artikel 6, lid 1, onder f), van de Algemene Verordening Gegevensbescherming (AVG) en § 4 van de Duitse federale wet op de gegevensbescherming (BDSG). Volgens deze bepalingen is de verwerking van persoonsgegevens toegestaan voor zover deze geschikt (2) en noodzakelijk (3) is voor de uitoefening van het huisrecht of de behartiging van gerechtvaardigde belangen (1) van verantwoordelijken of derden, en voor zover de belangen of grondrechten en fundamentele vrijheden van de betrokkene, die de bescherming van persoonsgegevens vereisen, niet zwaarder wegen.
In principe kunnen de volgende redenen worden aangevoerd voor het gebruik van body-cams en mobiele camera’s (bijvoorbeeld voor bouwplaatsbewaking): * Bescherming van beveiligingsmedewerkers tegen geweld * Achteraf identificeren van de verdachte * Beveiliging van bewijsmateriaal voor eventuele civielrechtelijke vorderingen
Opmerking: redenen die onder bepaalde omstandigheden worden genoemd voor het oplossen van misdrijven, moeten hier echter worden vermeden, aangezien deze uitsluitend onder de verantwoordelijkheid van de wetshandhavingsinstanties vallen. ## Punt 4: Zijn alle documenten voor het gebruik van body-cam-technologie opgesteld? Het gebruik van body-cam- en mobiele cameratechnologie in overeenstemming met de AVG moet altijd vanuit twee perspectieven worden bekeken. Aan de ene kant staat de fabrikant van de technologie en aan de andere kant de gebruiker, dus de verantwoordelijke instantie. Als we ervan uitgaan dat de fabrikant aan alle vereisten van de AVG heeft voldaan, is het nu aan de verantwoordelijke instantie om de AVG-implementaties correct uit te voeren en ook dienovereenkomstig te documenteren. Hieronder vallen de volgende activiteiten: * Opstellen van een camerabeveiligingsconcept
- Het opstellen van een verwerkingsregister voor de cameratechnologie en voor de bijbehorende software * Het opstellen van een register van technische en organisatorische maatregelen (TOM) voor interne maatregelen * Als de softwaretechnologie op een eigen server wordt gebruikt, moet ook hiervoor een register van technische en organisatorische maatregelen worden opgesteld
- Het opstellen van een autorisatieconcept (Wie mag met de camera werken? Wie beheert de serversoftware? Wie bedient de clientsoftware? Wie heeft wanneer toegang tot de gegevens, enz.?
- Opstellen van een verwijderings- en back-upconcept * Opstellen van het dagelijkse gebruiksprotocol voor het gebruik van de camera
- Beschikken alle medewerkers die met persoonsgegevens werken over een passend opleidingscertificaat? Toegegeven, dit is veel papierwerk, maar het is absoluut noodzakelijk. Om precies aan deze documentatieverplichtingen te kunnen voldoen, wordt het gebruik van zogenaamde gegevensbeschermingsbeheersoftware aanbevolen. Gegevensbeschermingsbeheersoftware
Om uw gegevensbescherming overzichtelijk en actueel te kunnen documenteren en ook aantonen, raden wij onze software voor gegevensbeschermingsbeheer aan. Met onze DMS kunt u met een paar muisklikken alle benodigde documenten (verwerkingsregisters, TOM, DSFA) aanmaken en krijgt u bovendien alle benodigde informatie ter beschikking gesteld. Daarnaast beschikt onze software over een geïntegreerd en AVG-conform videoconferentiesysteem, een klokkenluidersysteem en een e-learningplatform voor interne opleidingen.
Punt 5: Zijn alle benodigde contractdocumenten aanwezig? Zonder contractdocumenten is een volledige en AVG-conforme documentatie ondenkbaar. In principe moet u alle partners en bedrijven die direct of indirect invloed hebben op uw gebruik van body-cams, verplichten tot het sluiten van contracten voor gegevensverwerking en ook de geschiktheid van de betreffende bedrijven garanderen. Om kort enkele voorbeelden te noemen van contractpartners die voor uw project in aanmerking kunnen komen, volgt hier een klein overzicht: Contract voor gegevensverwerking * Fabrikant/distributeur van de body-cam * Bij hosting op eigen server: contract met hostingprovider * Bij gebruik van een externe functionaris voor gegevensbescherming * Bij gebruik van externe DPM-software
Overeenkomst voor gezamenlijke verantwoordelijkheid Bij particuliere beveiligingsbedrijven moet er bovendien op worden gelet dat, indien de body-cam in opdracht van de klant wordt gebruikt (bijv. bij ShopGuards, Doorman, enz.), er een overeenkomst voor gezamenlijke verantwoordelijkheid bestaat. ## Punt 6: Zijn alle medewerkers opgeleid op het gebied van gegevensbescherming? Bij het gebruik van body-cam-technologie moet rekening worden gehouden met 3 soorten medewerkers.
- Medewerkers die een camera gebruiken * Medewerkers die het betreffende beeld-/videomateriaal achteraf bewerken * Medewerkers die in geval van “eigen hosting” de software en servers beheren Afhankelijk van de manier waarop met de technologie wordt omgegaan, moeten de trainingen verschillende aandachtspunten hebben, zodat de betreffende medewerkers precies voor hun taak zijn opgeleid en de betreffende vakkennis kunnen aantonen. De trainingen moeten om de 12 maanden worden herhaald. Via het door ons geleverde DPMS Management System zijn alle trainingen in de Pro-versie al voorbereid, waardoor een snel en soepel trainingssucces mogelijk is.
Punt 7: Wordt er een dagelijks gebruiksprotocol bijgehouden? Om de gebruiksperiode en de werkelijke opnametijden volledig te kunnen registreren en aantonen, is het verplicht om een zogenaamd gebruiksprotocol bij te houden. Hoe dit wordt bijgehouden en welke software hiervoor wordt gebruikt, speelt daarbij een ondergeschikte rol. Sommigen denken nu wellicht dat alle essentiële details door de cameratechnologie worden geregistreerd en opgeslagen in zogenaamde logbestanden, maar er zijn nog enkele gegevens nodig die niet door de technologie kunnen worden vastgelegd. Voor geïnteresseerde gebruikers bieden wij ons gedigitaliseerde gebruiksprotocol voor body-cams aan in twee verschillende vormen.
- Inzetprotocol voor gezamenlijke verantwoordelijkheden * Inzetprotocol voor gebruik in het openbaar vervoer U kunt ons digitale inzetprotocol voor gezamenlijke verantwoordelijkheden vrijblijvend bekijken. Gebruik hiervoor de volgende link en de volgende gebruikersgegevens:
Digitaal inzetprotocol Klant-ID: 86e0b665-2022 | Klantnummer: 50500