SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Beveiliging van organisaties krijgt steeds meer aandacht. Zeker met de dreigingen van tegenwoordig staat beveiliging hoog op de prioriteitenlijst binnen veel organisaties. Van u wordt dan ook steeds meer kennis van zaken verwacht.
Vraag & antwoord sessie wetgeving & security
Wanneer u een prangende vraag, een probleem of onduidelijkheid heeft op het gebied van Wetgeving en Security kunt u hiervoor bij ons terecht. Wij leggen u vraag dan voor aan Felix Olijslager, corporate anti-fraud officer bij een financiële instelling en hoofddocent van de cursus Wetgeving & Security.
Het gebruik van een toegangsregistratiesysteem
Een vakgenoot van u kwam recent bij ons met de volgende casus:
Een bedrijf heeft een toegangscontrolesysteem en beheert dit zelf, en heeft daarnaast de licenties en het systeem aangemeld bij het College Bescherming Persoonsgegevens. Het systeem wordt gebruikt voor aanwezigheidsregistratie in geval van een veiligheidsissue of calamiteit. Tevens beschikt het systeem over tijdregistratie hetgeen impliceert dat de in- en uitlog tijdstippen gelogd worden en vanuit de historie kunnen uitdraaien gegenereerd worden. Ook deze functie is aangemeld bij het College Bescherming Persoonsgegevens. Van het toegangsregistratiesysteem moet een ieder gebruik maken, dus ook medewerkers van ingehuurde organisaties, servicebedrijven die tijdelijk een klus komen doen of bezoekers.
Bij grotere onderdelen van het bedrijf krijgen medewerkers een beperkte autorisatie om voor bepaalde area’s de autorisatie te regelen. Bij grotere projecten en inhuur worden ook uitdraaien gemaakt op de tijdsregistratie ivm de financiële afhandeling cq check daarop. Allemaal in lijn met hun aanmelding. Nu wil men een ingehuurd bedrijf een soort monitor laten verrichten op de aanwezigheidsregistratie van de medewerkers van dat ingehuurde bedrijf.
Het is de vraag of dit mogelijk is? Belangrijk in dit geval is wie de eigenaar is van de te controleren/gevraagde informatie? Is dat de eigenaar/beheerder van het toegangscontrolesysteem of is dat de werkgever van de betreffende persoon of is dat het individu zelf?
Indien deze vraag te beantwoorden is dan kan ook gemakkelijker een advies of goedkeuring gegeven worden om op een bepaalde wijze autorisaties te verlenen waarbij informatie gegenereerd wordt en al dan niet gedeeld wordt met anderen.
Juridische (on)mogelijkheden van een toegangsregistratiesysteem
Het antwoord van Felix Olijslager op de casus luidde als volgt:
Veel verplichtingen die uit de WBP voortvloeien liggen op het bordje van “de verantwoordelijke”. Dat is degene die het doel en de middelen bepaalt die betrekking hebben op de verwerking van persoonsgegevens. Zo bepaalt de verantwoordelijke wat de doelen zijn waarvoor persoonsgegevens worden vastgelegd die verkregen worden met het toegangsbeheersingssysteem, hoe lang deze gegevens bewaard worden en wie de vastgelegde gegevens mogen ontvangen. In feite is de verantwoordelijke de eigenaar van de persoonsgegevens die worden vastgelegd met de haar ten diensten staande systemen. Als een toegangsbeheersingssysteem slechts door één bedrijf gebruikt wordt, is vrij gemakkelijk vast te stellen wie de “logische” ontvangers van de gegevens zijn.
Twee voorbeelden:
Voor het doel: ”het vastleggen van beslissingen over het verlenen van toegang tot gebouwen van XYZ-bedrijf dan wel onderdelen daarvan, alsmede het vastleggen van de aanwezigheid in deze gebouwen met het oog op calamiteitenbeheer en ontruimingen” zijn de bedrijfshulpverleners de logische ontvangers van de vastgelegde gegevens. Zij moeten immers kunnen vaststellen wie het gebouw/terrein betreden heeft voor de ontruiming.
Voor het doel: ”het vastleggen van aanwezigheid met het oog op werktijdregistratie voor medewerkers (waaronder ingehuurd personeel van derden) zijn direct leidinggevenden en de personeelsdienst de logische ontvangers. Ook procurement is een logische ontvanger in geval van ingehuurde derden als de gegevens van het toegangsbeheersingssysteem gebruikt worden om juistheid van de ingediende urendeclaraties te checken. Het rechtstreeks verstrekken van aanwezigheidsgegevens van ingehuurd personeel aan de formele werkgevers van die derden (bijvoorbeeld uitzendbureau) ligt minder voor de hand.
Tot slot
De wet bescherming persoonsgegevens is overigens niet de enige wet waar rekening mee moet worden gehouden. Werktijdregistratie raakt het concept “aanwezigheid, gedrag en prestaties” uit art. 27 van de Wet op de ondernemingsraden, wat betekent dat de ondernemingsraad haar instemming moet geven voor het vastleggen van de aanwezigheidsgegevens.
Als sprake is van een bedrijventerrein waar meerdere bedrijven gebruik maken van 1 toegangsbeheersingssysteem van een gezamenlijk ingehuurde service verlenende organisatie , ligt de beantwoording iets complexer. In ieder geval te complex voor een snelle beantwoording in deze rubriek.
Meer weten?
Op de cursus Wetgeving & Security leert u van Felix Olijslager wat de juridische mogelijkheden en onmogelijkheden zijn op het terrein van security.
Beste Felix Olijslager,
Onderstaand bericht heb ik, met foto van een camera, verzonden aan de Gelderlander. Dit betreft mijn correspondentie met Bussloo.
U geeft in een interview aan dat er geen camera’s hangen in de kleedruimten van sauna Bussloo.
Wij waren er afgelopen zaterdag en er hangen wel degelijk camera’s
We bezochten eergisteren sauna Bussloo. Er bleken camera’s te hangen in de kleedruimten. Bij de receptie vroeg ik waarom de camera’s er hangen en wat er met de beelden gebeurd. Er werd aangeven dat ze niet meer actief zijn. Op mijn vraag waarom ze niet verwijderd zijn, kreeg ik geen reactie.
vervolgens heb ik een mail gestuurd naar de kwaliteitsmanager van sauna Bussloo, met hierin dezelfde vragen. Uiteindelijk was er telefonisch contact. De kwaliteitsmanager gaf aan dat de camera nog actief is maar gericht op de ingang van de kleedruimte. mijn vraag was, waarom dan niet aan de andere kant van de deur, en waarom boven de kleedkasten. Zeker omdat het een 360° graden camera betreft. Ik kreeg daar geen duidelijke reactie op.
Verder is niet aangeven dat er camera’s hangen en waarom.
Graag hoor ik uw reactie.
Gr Meindert de Jong