Kameraovervåking - prosedyre v. 1.2

Områder hvor barn og unge ferdesSikring av opptak og anlegg.Kameraovervåking -prosedyreVurdere lovlighetenKameraovervåking av ansatteKameraovervåking ved felles eierinteresserUtforming av kameraovervåkingSkilting og informasjonsskrivBruk, utlevering og sletting av opptak.Vedlegg og referanser

Hensikt

Sikre at kameraovervåking i regi av Kristiansand kommune er helhetlig forvaltet og skjer i samsvar med personvernlovgivningen.

Gjelder for

Systemeier, leder med personalansvar, fagsystemansvarlig, prosjektleder. 

Ansvar for gjennomføring

Systemeier og leder med personalansvar har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også Informasjonssikkerhet - policy (Ikke tilgjengelig) om roller og ansvar i sikkerhetsorganisasjonen.

Beskrivelse

Omfang 

Prosedyren gjelder alle innretninger for kameraovervåking som omfattes av følgende definisjon uavhengig av formålet med kameraovervåkingen:

“vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende overvåkningskamera eller annet lignende utstyr som er fastmontert. Som kameraovervåking anses både overvåking med og uten mulighet for opptak av lyd- og bildemateriale. Det samme gjelder uekte kameraovervåkingsutstyr eller skilting, oppslag eller lignende som gir inntrykk av at kameraovervåking finner sted”.

Kameraer som tar bilde av samme område med jevne mellomrom, er også å anse som kameraovervåking.

Kameraovervåking i Kristiansand kommune skal aldri gjøres med flyttbare eller håndholdte kamera, for eksempel babycall eller mobiltelefon.

Uekte kamerautstyr og falske skilt om kameraovervåking skal ikke benyttes.

Starte ny kameraovervåking 

Det er bare systemeier og leder med personalansvar som kan fremsette ønske om kameraovervåking. Ta kontakt med Eiendom ved rådgiver innen vakt og sikkerhet for veiledning i anskaffelse og drift av kameraovervåkning, se prosedyre Kameraovervåkning i By- og stedsutvikling

Kameraovervåkingsanlegg skal som hovedregel sentraliseres til driftsenteret hos Kristiansand parkering for å sikre tilstrekkelig informasjons- og personopplysningssikkerhet. 

Kommunen sin prosess for personvern og informasjonssikkerhet 

Behovet for kameraovervåking skal være vurdert og dokumentert før kameraovervåkingen starter. Vurderingen skal baseres på kommunen sin prosess for å ivareta personvern og informasjonssikkerhet . Se Sjekkliste for dokumentasjon av kameraovervåkning .

Hvert tilfelle av kameraovervåking skal ha egen vurdering. Like tilfeller kan vurderes sammen. Det er for eksempel nok å gjennomføre én risiko- og sårbarhetsanalyse (ROS) for alle skolene samlet forutsatt at kameraovervåkingen gjennomføres helt likt på alle skolene. Oversikt over behandling må uansett fylles ut med informasjon om hvordan kameraovervåkingen foregår på de ulike skolene og ha en beskrivelse av hvorfor kameraovervåkingen er nødvendig ved de ulike skolene. Kameraovervåking av personer i eget hjem/på institusjon/bofellesskap eller lignende krever alltid en egen vurdering. 

 

Vurderingen av behovet for kameraovervåkingen skal følges opp i samsvar med Årshjul for informasjonssikkerhet.

 

Ta kontakt med IKT sikkerhetsgruppen ved behov for råd og veiledning.

Formålsbegrensning

Formål skal være detaljert beskrevet slik at det ikke er tvil om hva kameraovervåkingen skal brukes til. 

Utgangspunkt for formål er beskrevet nedenfor. Fjern punktene som ikke er relevante og/eller tilpass punktene dersom noe mangler.

Som hovedregel skal formålene med kameraovervåking av bygg/eiendom være:

  • å forebygge handlinger som fører til tap eller skade på bygg, eiendom og løsøre, slik som innbrudd, hærverk og tyveri.
  • å forebygge sykling/skating/rulleskøyting i parkeringshus for å ivareta trafikksikkerheten. 
  • å forebygge voldshendelser mot mennesker og dyr i parkeringshus.
  • å ivareta ansattes helse, miljø og sikkerhet ved å tilby ansatte en trygg arbeidshverdag på arbeidssted med en særskilt sikkerhetsrisiko.
  • å kunne følge opp hendelser som nevnt over, herunder å finne ut av hva som har skjedd og eventuelt identifisere gjerningspersoner for å bruke opptakene som underlag for eventuelle politianmeldelser eller søksmål.

Kameraovervåkingen skal ikke brukes til å følge med på brukere av bygget eller ansatte i deres hverdag.

 

Som hovedregel skal formålene med kameraovervåking av personer i eget hjem/på institusjon/bofelleskap eller lignende være:

  • å tilby nødvendig lovbestemt helsehjelp til brukere/beboere for å hindre alvorlig skade på eller tap av liv og helse.
  • å ivareta ansattes helse, miljø og sikkerhet ved å tilby ansatte en trygg arbeidshverdag på institusjoner/bofellesskap med en særskilt sikkerhetsrisiko.
  • å forebygge voldshendelser mot besøkende på institusjoner/bofellesskap med en særskilt sikkerhetsrisiko.
  • å kunne følge opp hendelser som nevnt over, herunder å finne ut av hva som har skjedd og eventuelt identifisere gjerningspersoner for å bruke opptakene som underlag for eventuelle politianmeldelser eller søksmål.

Kameraovervåkingen skal ikke brukes til å følge med på brukere av bygget eller ansatte i deres hverdag.  

 

Nødvendighet 

Kameraovervåking må være nødvendig for å oppnå formålet. Hvert tilfelle skal ha egen vurdering av om kameraovervåking er nødvendig. Nødvendigheten må vurderes fra for eksempel institusjon til institusjon eller fra område til område.

Kameraovervåking er nødvendig når både pkt. 1 og pkt. 2 nedenfor er oppfylt:

  1. Det foreligger et konkret og reelt problem av betydning ved det spesifikke bygget/området/personene som det er ønskelig å overvåke og det konkrete problemet kan dokumenteres. Ved overvåkning av fast eiendom kan problemet gjelde kommunen sine bygninger/eiendommer eller andre bygninger/eiendommer i nærområdet. Det er ikke tilstrekkelig at noe kan skje i fremtiden eller å vise til nasjonale eller generelle statistikker som viser kriminell aktivitet. Dokumentasjonen av problemet skal vise dato, omfang, eventuelt økonomisk tap og eventuelle straffereaksjoner.

 

  1. Det må alltid vurderes om problemet kan løses eller risikoen minimeres gjennom andre egnede, men mindre inngripende tiltak. Dersom andre tiltak som er mindre inngripende er egnet så kan det ikke fattes vedtak om kameraovervåking.

Eksempler på alternative og mindre inngripende tiltak kan være fysisk sikring, begrenset adgang eller adgangskontroll, låse- og alarmsystemer, sensorer, tilstedeværelse gjennom økt bemanning eller vakthold, økt lyssetting, oppmerksomme ansatte, opplæring og gode rutiner.

Kameraovervåking av personer i eget hjem, på institusjon, bofelleskap eller lignende er et av de mest inngripende tiltakene i retten til privatliv. Det må vurderes særlig grundig hva som er den minst inngripende formen for overvåkning i hjemlige situasjoner.

 

Kameraovervåking med lydopptak anses som så inngripende at det normalt ikke tillates. Skjult opptak av andres samtaler kan i tillegg være straffbart.

 

Behandlingsgrunnlag i personvernforordningen 

Enhver beslutning om kameraovervåking må ha et behandlingsgrunnlag i personvernforordningen.

 

De fleste tilfeller av kameraovervåking av bygg/eiendom er ikke regulert i lov eller forskrift. Behandlingsgrunnlaget for å iverksette kameraovervåking av bygg/eiendom vil da være personvernforordningen artikkel 6 nr. 1 bokstav f - berettiget interesse.

Behandlingsgrunnlaget krever en dokumentert interesseavveining. Kommunens interesse i å kameraovervåke må veie tyngre enn personvernet til de som blir overvåket. Alle har en viss rett til sporfri ferdsel, og kameraovervåking er et inngrep i denne retten. Det må listes opp hvilket saklig og reelt behov kommunen har for å kameraovervåke, og på den andre siden hva dette vil bety for de registrertes personvern. I interesseavveiningen må det komme frem hvilke tiltak som skal oppveie ulempene for de berørte, og om de berørtes synspunkter er hørt.

Bruk kommunen sinmal for vurdering av behandlingsgrunnlag, "berettiget interesse". Vurderingen av berettiget interesse skal arkiveres sammen med øvrig dokumentasjon fra denne prosessen.

 

Behandlingsgrunnlaget for å iverksette kameraovervåking av personer i eget hjem, på institusjon, bofellesskap eller lignende vil være personvernforordningen artikkel 6 nr. 1 bokstav c – rettslig plikt og artikkel 9 nr. 2 bokstav h – nødvendig i forbindelse med yting av helse- eller sosialtjenester. Det må i tillegg foreligge en lovhjemmel i helselovgivningen.

 

Områder hvor barn og unge ferdes 

Barn har krav på særskilt beskyttelse etter personvernregelverket. Det kreves høy aktsomhet ved kameraovervåking som inkluderer barn. Dette gjelder særlig i skole/barnehage hvor barn og unge oppholder seg i lengre tid. Kristiansand kommune skal sikre løsninger som gir barn en hverdag uten kameraovervåking ved at kameraovervåking foregår utenfor skolenes/barnehagenes åpningstider. 

 

Kameraovervåking av ansatte 

Kameraovervåking av ansatte må etterleve personopplysningsloven, arbeidsmiljøloven (kapittel 9 om kontrolltiltak) og forskrift om kameraovervåking i virksomhet. Se også Veileder om kontroll og overvåking i arbeidslivet.

Virkeområde

Kameraovervåking må vurderes etter arbeidsmiljøloven og forskrift om kameraovervåking i virksomhet dersom kameraovervåkingen anses som et «kontrolltiltak» etter arbeidsmiljøloven kapittel 9. Kameraovervåking kan være et «kontrolltiltak» selv om hovedformålet ikke er å overvåke arbeidstakere, men for eksempel å forebygge kriminalitet. Begrepet «kontrolltiltak» er vidt og skal favne så mange kontrolltiltak som mulig. Det er tilstrekkelig at det er mulig å bruke kameraovervåkingen til et kontrollformål. Kameraovervåking av arbeidsplass vil i de aller fleste tilfeller vil være et «kontrolltiltak». Dersom kameraovervåkingen bare foregår på utsiden av et bygg og kameraet ikke er rettet mot inngangsdører, vil det ikke være nødvendig å vurdere kameraovervåkingen etter kameraforskriften og arbeidsmiljøloven. De generelle reglene i personopplysningsloven må uansett etterleves. 

Kontrolltiltak etter arbeidsmiljøloven

Dersom kameraovervåkingen er et «kontrolltiltak» etter arbeidsmiljøloven kapittel 9, må kameraovervåkingen ha "saklig grunn i virksomhetens forhold", "ikke medføre en uforholdsmessig belastning for arbeidstakeren" og summen av kontrolltiltak må vektlegges, jf. aml.§ 9-1 (1). Kravet til vurderingen av saklighet og forholdsmessighet i aml. § 9-1 vil normalt være det samme som «berettiget interesse» etter personvernforordningen artikkel 6 nr. 1 bokstav f.

Behovet, utformingen, gjennomføringen og vesentlige endringer av kameraovervåkingen må drøftes med tillitsvalgte og skal dokumenteres. Kommunen skal sammen med tillitsvalgte jevnlig evaluere behovet for kameraovervåkingen, jf. aml. § 9-2. Drøftelsene skal skje så tidlig som mulig i prosessen, slik at arbeidstakere har en reell mulighet til å komme med sitt syn på kameraovervåkingen. 

Ansatte skal også få informasjon om kameraovervåkingen ved skilting og informasjonsskriv før kameraovervåkingen settes i gang.

Det skal alltid gjennomføres en personvernkonsekvensvurdering (DPIA) i forbindelse med systematisk monitorering av ansatte, herunder kameraovervåking.

Særlige regler hvor "en begrenset krets av personer ferdes jevnlig"

Det er særlige regler for kameraovervåking av arbeidsplass "hvor en begrenset krets av personer ferdes jevnlig". Dette omfatter ikke alle områder av en arbeidsplass. Det må gjøres en konkret vurdering av om det er områder i kommunen hvor ansatte vil oppleve at det er særlig inngripende å bli kameraovervåket, for eksempel personalrom.

I områder av kommunen «hvor en begrenset krets av personer ferdes jevnlig» kan kameraovervåking bare iverksettes når kommunen har «et behov for å forebygge at farlige situasjoner oppstår» og «for å ivareta de ansattes sikkerhet/andres sikkerhet» eller det er et "særskilt behov" for overvåkningen», jf. forskrift om kameraovervåking i virksomhet § 3. Bestemmelsen er et tilleggskrav til interesseavveiingen i artikkel 6  nr.1 bokstav f og aml. § 9-1. 

Hva som omfattes av «behov for å forebygge at farlige situasjoner oppstår» eller «særskilt behov» må vurderes konkret. Det må i det minste foreligge en identifisert og konkret trussel. Skader kan skje på alle arbeidsplasser, og det må være snakk om en sikkerhetsrisiko utover det vanlige. 

 

Kameraovervåking ved felles eierinteresser 

I utgangspunktet skal ikke Kristiansand kommune dele kameraovervåking med andre eiere av samme bygg. I noen tilfeller kan dette likevel ikke unngås, for eksempel hvis fylkeskommunen deler bygg med kommunen og har felles arealer inne og/eller ute.

I disse tilfellene foreligger det et felles behandlingsansvar mellom kommunen og den andre virksomheten. Det må inngås avtale om felles behandlingsansvar mellom virksomhetene. Kommunen har en mal for avtale om felles behandlingsansvar som kan benyttes. Underskrevet avtale om felles behandlingsansvar skal arkiveres sammen med øvrig dokumentasjon fra denne prosessen.

 

Utforming av kameraovervåking 

Ved valg av overvåkingsform skal det velges den minst inngripende formen for kameraovervåking som kan oppfylle formålet.

Overvåkning uten opptak 

Det bør velges en løsning som ikke gjør opptak dersom formålet med overvåkingen ikke nødvendiggjør opptak. Monitorering uten opptak oppfattes vanligvis som mindre krenkende for de registrerte, men det kommer an på hvilke områder som blir overvåket og hvem som har tilgang til monitoreringen.

Kortvarig lagring av opptak vil også redusere personvernulempene.

Overføring av opptak i sanntid og fjerntilgang 

Kameraovervåking som tilrettelegger for at opptak kan ses i sanntid på en mobiltelefon eller bærbar PC er vanligvis ikke tillatt. Denne typen overvåking er mer inngripende enn lokal monitorering eller lagring. Dersom formålet kan oppnås med mindre inngripende overvåkingstiltak skal slike tiltak velges i stedet.

Kun lov til å vise det som er relevant for å oppnå formålet 

Overvåkningskamera skal plasseres slik at det kun fanger opp det som er relevant for å oppnå formålet. Det må derfor velges en kameraplassering eller vinkel som ikke viser mer enn nødvendig, eventuelt snevrer inn bildeutsnittet. Alternativt kan det velges en løsning med fysisk avskjerming av hva som filmes, det vil si digital maskering/«sladding» av deler av bildet. Sladding må ikke kunne fjernes fra opptakene i ettertid.

Tidsstyring 

Overvåkingen skal begrenses til de tidene eller situasjonene der behovet er størst. I noen tilfeller vil det være nødvendig med en ekstra streng tidsbegrensing for at overvåkingen skal oppfylle interesseavveiningen og dermed være lovlig.

Kameraovervåking skal som hovedregel avgrenses til perioder utenfor bemannede åpningstider/vanlig arbeidstid. Dette gjelder både inne og ute på steder hvor ansatte, elever og andre ferdes i kommunale bygninger og tilknyttede areal.

Styrbare kamera og zoom

Det skal unngås å installere utstyr med overvåkingsmuligheter det ikke er behov for. Bruk av styrbare kamera og zoom-funksjon krever en god begrunnelse, fordi utstyr som muliggjør nærgående og oppfølgende overvåking er mer inngripende enn overvåking med utstyr uten slike muligheter. Utstyr med slike muligheter øker også muligheten for å overvåke mer enn det som er tiltenkt, og dermed mer enn det som er lovlig.

 

Skilting og informasjonsskriv 

Det skal gis informasjon til de registrerte om at det pågår kameraovervåking. Skjult kameraovervåking er ikke tillatt. Informasjonen skal gis i form av skilt og informasjonsskriv.

Informasjonen må gis på alle relevante språk. Hva som er relevante språk, må vurderes fra tilfelle til tilfelle.

Det skal også fremgå tydelig av informasjonen dersom overvåkingen skjer med lyd (normalt ikke tillatt).

Skilt 

Skilt skal vise symbol for kameraovervåking, behandlingsansvarlig, telefonnummer til behandlingsansvarlig, tidspunkt/ukedag for kameraovervåking og nettadresse til kommunens informasjonsside for kameraovervåking (www.kristiansand.kommune.no/kamera). Skiltdesignet i profilmanualen skal benyttes. Informasjonen på skiltdesignet som viser tidspunkt/ukedag for kameraovervåking og eventuelt felles behandlingsansvarlig må tilpasses den konkrete behandlingen. 

Skiltene må ha en størrelse, plassering og et antall som gjør det lett å få med seg at området er overvåket. Omfanget av nødvendig skilting må vurderes fra område til område. Fortrinnsvis skal skiltingen plasseres før personer går inn i det overvåkede området. Det er viktig at varslingsskiltene gjør det forståelig hvilke områder som er overvåket. Ofte går det frem av sammenhengen, men ikke alltid. Inne i bygg er det for eksempel viktig at det varsles på nytt hvis overvåkingen fortsetter i nye soner eller rom. Hvis det varsles om kameraovervåking i inngangsparti, er det ikke alltid en selvfølge at det også forgår overvåking i andre deler av bygget.

Informasjonsskriv 

Det må i tillegg til skilting utarbeides et informasjonsskriv (personvernerklæring) som gjøres kjent for de registrerte, se Personvern - informasjon til de registrerte - prosedyre. Informasjonsskrivet skal være tilgjengelig digitalt på kommunens nettside for kameraovervåking: www.kristiansand.kommune.no/kamera og deles med personer som oppholder seg i det overvåkede området dersom dette er en fast gruppe. 

 

Bruk av opptak og overvåkning i sanntid 

Hva opptak/monitorering i sanntid kan brukes til er avhengig av det forhåndsdefinerte formålet med overvåkingen. Det er kun lov å bruke kameraovervåkingen i tråd med dette formålet.

Opptak skal ikke brukes for å oppdage hendelser. Dersom det det først har skjedd en hendelse av alvorlighet (oppdaget eller rapportert inn på annet vis), kan opptak ses på for om mulig finne ut hva som har skjedd og for vurdering av anmeldelse. 

Ved monitorering i sanntid er det viktig at skjermer som viser kameraovervåket område bare er tilgjengelig for personer med tjenstlig behov. 

Sjekk av anlegg 

Rutinemessig sjekk av anlegget slik at kommunen vet at det fungerer medfører at opptak i en viss grad blir sett på. Dette er et nødvendig og legitim bruk av anlegg og opptak. Sjekk skal utføres på en måte som gjør at man ikke går inn på mer opptak enn nødvendig. Sjekk av anlegg skal alltid logges. Logg skal som hovedregel være elektronisk. Dersom det ikke er mulig med elektronisk logg skal Manuell logg for kameraovervåking benyttes.  

Ansatte med tilgang 

Det er bare ansatte med tjenstlig behov som skal ha tilgang til kameraovervåking. Ansatte skal bare benytte kameraovervåkingen i jobbsammenheng. Det må evalueres jevnlig hvem som har tjenstlig behov. Det skal logges hvem som har sett på opptak og/eller har tilgang til monitorering i sanntid og hvorfor personen har tilgang. Logg skal som hovedregel være elektronisk. Dersom det ikke er mulig med elektronisk logg skal Manuell logg for kameraovervåking  benyttes.  

Utlevering og deling med politiet eller andre 

Opptak skal aldri legges ut på internett.

Utlevering og deling av opptak/monitorering til andre utenfor Kristiansand kommune kan bare skje i disse tilfellene:

  • Utlevering av opptak til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker.
    • Dersom politiet ønsker tilgang til videopptak skal henvendelsen som hovedregel skje via en skriftlig utleveringsbegjæring som henviser til relevant hjemmel for utlevering. Kommunen kan forberede og sikre bevis i påvente av begjæringen. Dette er særlig viktig dersom ønskede opptak nærmer seg automatisk sletting, eller for å spare tid dersom politiet har hast. Uttak av relevant opptak bør da primært gjøres til enheten anleggets løpende opptak lagres på. Det hender at opptak likevel ikke blir hentet/utlevert, eller at dette trekker ut i tid. Lagring på eksterne medier gir sikkerhetsmessige tilleggsutfordringer. Overføring til eksterne lagringsenheter skal derfor unngås så langt det er mulig før selve utleveringen.
    • Dersom Kristiansand kommune anmelder straffbare hendelser skal videopptaket vedlegges anmeldelsen.

Alle utleveringsbegjæringer og anmeldelser arkiveres i P360. Dersom utleveringsbegjæringen inneholder personopplysninger skal personopplysningene sladdes før begjæringen arkiveres.

Alle henvendelser om bruk og utlevering av opptak/tilgang til monitorering i sanntid gjøres til mail: post.tds@kristiansand.kommune.no som beslutter om opptakene skal utleveres.

  • Alle som er registrert hos en virksomhet har rett til innsyn i opplysninger som er lagret om seg selv. Dette gjelder også for overvåkingsopptak, men innsynsretten er begrenset til de deler av opptakene hvor vedkommende selv er avbildet. Det betyr at alt som kan gi informasjon om andre personer skal fjernes fra opptaket før det utleveres, for eksempel personer, skilt og spesielle biler. Retten til innsyn etter personvernregelverket gjelder også kun egne personopplysninger og ikke egne eiendeler, slik som en parkert bil eller sykkel. Dersom en registrert ber om innsyn i opptakene skal kommunens vanlige rutiner for innsyn (link) følges.

 

Sletting

Opptak skal ikke oppbevares lenger enn nødvendig for å oppfylle formålet.

Kameraovervåking kan ha til hensikt å virke både proaktivt (forebyggende) og reaktivt (oppklarende).

Der kameraovervåking virker proaktivt, skal opptakene slettes fortløpende med et rimelig intervall, med mindre man har oppdaget en hendelse. Normalt skal kameraopptak slettes etter 7 dager. Det må dokumenteres hvorfor det er nødvendig å lagre opptak utover én uke.

Hvis det er sannsynlig at opptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker så kan opptaket oppbevares inntil 30 dager. Dette er mest aktuelt når politiet ber om dette og opptak skal da tas ut og lagres eksternt. Opptak som er tatt ut, men som ikke blir utlevert likevel, skal destrueres på forsvarlig måte.

Der kameraovervåking virker reaktivt kan behandlingsansvarlig hente ut opptaket som viser hendelsen og bevare det så lenge som nødvendig for å oppklare hendelsen, politianmelde eller fremme et rettskrav.

 

Sikring av opptak og anlegg 

Kameraovervåkingsanlegg skal som hovedregel sentraliseres til driftsenteret hos Kristiansand parkering for å sikre tilstrekkelig informasjons- og personopplysningssikkerhet. 

Det må innføres sikkerhetstiltak for å sikre at opptakene ikke kommer på avveie (konfidensialitet), at de ikke går tapt (tilgjengelighet), og at de er til å stole på, (integritet). Det må derfor gjennomføres en Risikovurdering av personopplysningssikkerheten ved behandling av personopplysninger , som omfatter hva som kan gå galt og hva som er konsekvensen hvis det går galt.

Loven stiller krav om at de samme prinsippene følges for sikring av et kameraovervåkingsanlegg som for andre informasjonssystemer hvor personopplysninger blir behandlet. Dette omfatter blant annet å sørge for:

  • Fysisk sikring av opptak: Tilgangsstyring til lokalene og opptakene må være på plass. Som hovedregel så skal ikke opptak oppbevares på minnepinne, DVD eller lignende. Dersom det er nødvendig å lagre opptak på minnepinne, DVD eller lignende fordi det ikke er mulig å oppbevare opptaket på en annen måte så skal det låses inne.
  • At selve overvåkningsanlegget sikres.
  • Ved lagring i skyen må det sørges for at leverandøren har tilfredsstillende sikkerhet og at virksomhetens kundedata skilles fra andre virksomheter sine kundedata. Krav til sikkerhet skal være formulert i en databehandleravtale.
  • Som hovedregel skal ikke skybaserte løsninger for kameraovervåking benyttes. Dersom løsningen skal gjøres tilgjengelig fra utsiden av kommunen må det sørges for sterk autentisering (fler-faktorautentisering). Dette kan gjøres som en del av andre fjerntilganger til virksomhetens systemer, eller som en egen løsning for overvåkningsanlegget. Det kan f.eks. være tilgang fra kun én dedikert pc, bruk av kodebrikke, sikkerhetskode tilsendt på SMS eller lignende. Både tilgang til opptak og overvåking i sanntid (monitorering) skal avgrenses etter tjenstlig behov. Ansatte hos leverandør skal ikke ha tidsutbegrenset administratortilgang.
  • Overvåkningsanlegget støtter logging. Det skal være mulig å kontrollere bruken i ettertid, ved at brukerne får individuelle brukernavn og passord.
  • At datatrafikken er kryptert.
  • At det er gode rutiner og klare instrukser for bruk og kontroll av utstyret, for å forhindre kopiering og annet misbruk av opptak.

 

Definisjoner

Personopplysning: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

 

Vedlegg og referanser

Vedlegg

Stegene du må følge for å ivareta personvern og informasjonssikkerhet i nye og eksisterende arbeidsprosesser i kommunen

Sjekkliste for dokumentasjon av kameraovervåkning

Mal for vurdering av behandlingsgrunnlag "berettiget interesse"

Mal for avtale om felles behandlingsansvar

Manuell logg for kameraovervåking

Referanser

Personopplysningsloven

Personvernforordningen

Arbeidsmiljøloven kapittel 9

Forskrift om kameraovervåking i virksomhet

Retningslinjer for bruk av kameraovervåking | Datatilsynet

Veileder om kontroll og overvåking i arbeidslivet 

EDPB Guidelines 3/2019 on processing of personal data through video devices