In september werd bij de ingang van TivoliVredenburg een bezoeker geweerd omdat hij een camerabril droeg. De man droeg een zonnebril met een onopvallende ingebouwde camera, wat door de beveiliging bij de ingang werd opgemerkt. Toen de man weigerde de bril af te zetten, is hem de toegang tot het poppodium ontzegd. Met dit besluit wil TivoliVredenburg de privacy en sociale veiligheid van bezoekers beschermen. De directe aanleiding voor deze maatregel was een incident tijdens een Rotterdams festival in augustus. Daar werd een man betrapt op het stiekem filmen van vrouwen bij de toiletten met een vergelijkbare camerabril. Beide voorvallen onderstrepen de groeiende zorgen rondom draagbare opnameapparatuur (wearables) en de privacy van bezoekers. Of u nu een evenementenlocatie, horecagelegenheid, kantoor, museum of winkelketen runt – als uw organisatie over publiek toegankelijke locaties beschikt, krijgt u vroeg of laat hoogstwaarschijnlijk te maken met wearables. In dit artikel leggen wij uit waar uw organisatie in dat geval op moet letten. We bespreken de belangrijkste risico’s, mogelijke maatregelen en hoe wij u daarbij kunnen helpen.

Risico’s en oproep tot beleid

Bezoekers kunnen met behulp van wearables ongemerkt beeld- en geluidsopnames maken, wat bij medewerkers, artiesten en andere bezoekers kan leiden tot inbreuken op de privacy en onveiligheidsgevoelens. Hierdoor kan uw organisatie klachten ontvangen of zelfs reputatieschade oplopen als er onvoldoende wordt opgetreden. Voor organisaties die publiekelijk toegankelijk zijn, is het daarom van belang om op de komst van wearables voorbereid te zijn.

Mogelijke maatregelen:

• Verbod op wearables: overweeg een algeheel verbod op het meenemen en/of gebruiken van wearables. Hiermee schept u duidelijkheid voor iedereen. TivoliVredenburg heeft inmiddels een verbod opgenomen in haar huisregels en bezoekersvoorwaarden.[1]
• Meldplicht: wilt u wearables niet volledig verbieden, dan kunt u eisen stellen aan het gebruik ervan, zoals een meldplicht. Bezoekers zijn dan verplicht om het bezit of gebruik van wearables vooraf of bij binnenkomst te melden bij de organisatie. Zo kan per geval worden beoordeeld of het gebruik verenigbaar is met uw privacybeleid en geen risico vormt voor anderen.
• Uitzonderingen voor pers of geaccrediteerden: bedenk of u bepaalde uitzonderingen wilt toestaan, bijvoorbeeld voor persfotografen, journalisten of influencers met officiële accreditatie.
• Handhaving en communicatie: train uw medewerkers en stel een intern communicatieprotocol op waarin staat wie bezoekers aanspreekt, wat zij mogen zeggen en hoe moet worden gehandeld bij eventuele inbeslagname van wearables. Combineer dit met zichtbare communicatie zodat bezoekers weten wat er van hen wordt verwacht. Duidelijke voorwaarden en communicatie scheppen niet alleen bewustwording bij bezoekers, maar geeft uw medewerkers ook handvatten als ze moeten ingrijpen.

Belangrijk is dat u beleid kiest dat past bij uw situatie. Een nachtclub of poppodium heeft te maken met grote, wisselende bezoekersaantallen, waardoor toezicht lastiger is en de kans op ongewenste opnames groter. Een strikt verbod op wearables ligt daar voor de hand. Daarentegen heeft een kantoor of winkel vaak een vaste klantenkring of beperkte bezoekersstroom, waarbij persoonlijk contact sneller mogelijk is en toezicht eenvoudiger. In zo’n omgeving volstaat meestal een interne richtlijn.

Wearables en de AVG

De opkomst van wearables werpt overigens een interessante vraag op onder de AVG: wordt een bezoeker die met gebruik van een wearable opnames maakt automatisch verwerkingsverantwoordelijke in de zin van de AVG? Het uitgangspunt is dat de AVG niet van toepassing is op de verwerking van persoonsgegevens door natuurlijke personen “bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit”[2]. Deze uitzondering geldt voor strikt privégebruik, zoals het bijhouden van een familiealbum of een persoonlijk adresbestand.

De rechtspraak maakt duidelijk dat de huishoudelijke exceptie zeer beperkt moet worden uitgelegd. Het Hof van Justitie heeft bijvoorbeeld geoordeeld dat het publiceren van persoonsgegevens op internet geen “huishoudelijke” activiteit is.[3] Ook een bewakingscamera die de openbare ruimte vastlegt, bijvoorbeeld een camera die niet alleen het eigen erf maar ook het erf van de buren filmt, valt buiten de uitzondering en is dus onderworpen aan de AVG.[4] Zodra persoonsgegevens in de publieke ruimte worden verwerkt of voor een onbeperkt aantal mensen toegankelijk zijn, is de AVG dus van toepassing. Dat betekent dat de verwerkingsverantwoordelijke de daaruit voortvloeiende verplichtingen moet naleven, zoals het beschikken over een wettelijke grondslag voor de verwerking.[5]

Huisregels vs. algemene voorwaarden

Bij het vastleggen van maatregelen over wearables is het belangrijk onderscheid te maken tussen huisregels (huisreglement) en de algemene voorwaarden van uw organisatie. Beide documenten kunnen bepalingen bevatten die helpen de privacy en veiligheid op locatie te waarborgen, maar hun juridische status verschilt.

Huisregels zijn interne gedragsregels die gelden binnen uw organisatie. Ze zijn bedoeld om de orde, veiligheid en omgangsvormen op locatie te bewaken. Ze kunnen bijvoorbeeld bepalen dat gebruik van wearables verboden is, of aangeven welke maatregelen volgen bij overtreding. De inhoud van deze regels bepaalt u zelf, zolang die binnen de wettelijke grenzen blijft. Het is belangrijk dat iedereen duidelijk en tijdig kennis kan nemen van de huisregels. Denk aan borden bij de ingang, flyers bij de kassa of vermelding op de website. Werknemers kunnen deze regels doorgaans eenzijdig opgelegd krijgen mits de regels voorafgaand zijn verstrekt. Een handtekening is in dat geval niet vereist. Daarnaast geldt voor publiek toegankelijke locaties dat bezoekers bij het betreden van het terrein doorgaans stilzwijgend instemmen met de huisregels, mits die ook hier zichtbaar en begrijpelijk zijn.

In situaties waarin bezoekers een overeenkomst aangaan – zoals bij het kopen van een ticket of het maken van een reservering – kunnen huisregels de status krijgen van algemene voorwaarden.[6] Algemene voorwaarden hebben een andere functie dan huisregels. Ze gelden bij het aanbieden van een product of dienst en bevatten uitgebreidere bepalingen, zoals over aansprakelijkheid, betaling en garanties. Algemene voorwaarden zijn alleen geldig als ze vóór het sluiten van de overeenkomst aan de bezoeker ter hand zijn gesteld en niet in strijd zijn met de wet.

Of u maatregelen opneemt in de huisregels of in de algemene voorwaarden, hangt af van het moment waarop u deze maatregelen wilt laten gelden: bij het betreden van de locatie (huisregels) of bij de verkoop of levering van een product of dienst (algemene voorwaarden). In de praktijk combineren veel organisaties beide documenten: de huisregels voor gedrags- en veiligheidsaspecten en de algemene voorwaarden voor juridische en contractuele bepalingen. Zo ontstaat een samenhangend en afdwingbaar kader.

Hoe kunnen wij helpen?

Het opstellen en implementeren van een goed privacybeleid vergt de nodige expertise. Ons kantoor is gespecialiseerd in privacyadvies en het praktisch toepassen van wetgeving op uw dagelijkse bedrijfsvoering. We denken graag pragmatisch met u mee. Enkele manieren waarop wij kunnen ondersteunen:

• Check van uw huisregels en/of algemene voorwaarden: wij screenen uw huidige huisregels en algemene voorwaarden en passen deze aan waar nodig. Denk aan het toevoegen van bepalingen die aansluiten bij uw beleid, wensen, of het scherper formuleren van al bestaande bepalingen. Wij leveren bepalingen die juridisch waterdicht zijn én begrijpelijk zijn voor uw bezoekers en klanten.
• Privacy Quick Scan: met een snelle privacy scan brengen we in kaart of uw organisatie op koers ligt wat betreft AVG-compliance, speciaal gericht op nieuwe technologieën op de werkvloer en in uw organisatie. We signaleren eventuele lacunes in uw privacybeleid en doen concrete aanbevelingen om uw beleid up-to-date te maken.
• Training en bewustwording: beleid en eventuele maatregelen hebben minder effect als uw medewerkers er niet van op de hoogte zijn of deze niet goed kunnen uitleggen aan klanten. Wij bieden trainingen op maat aan voor personeel en securityteams, zodat zij de privacyregels en interne huisregels goed kennen en ermee uit de voeten kunnen. In interactieve workshops behandelen we praktijkcases en geven we praktische checklists mee. Zo wordt privacybewustzijn onderdeel van uw bedrijfscultuur.
• Maatwerkclausules en advies: elke sector en organisatie is anders. Heeft u te maken met specifieke omstandigheden? Wij leveren maatwerkclausules en advies afgestemd op uw situatie en risico’s en zorgen dat alles naadloos aansluit bij zowel de AVG als uw behoeften.

Proactief handelen loont – neem contact op

Bent u benieuwd of uw huidige voorwaarden en privacybeleid nog voldoen aan de AVG? Of heeft u andere privacy gerelateerde vragen? Neem dan gerust contact met ons op. Samen zorgen we ervoor dat de privacy van uw bezoekers gewaarborgd wordt én uw organisatie compliant blijft met de AVG. Want een veilige en privacy-vriendelijke omgeving begint bij duidelijke regels en deskundig advies. We helpen u daar graag bij!

Lees ook ons artikel over het filmen van PSV vanaf een balkon.

[1] Artikel 30 Huisregels TivoliVredenburg; Artikel 4.5 Algemene (bezoekers)voorwaarden TivoliVredenburg.

[2] Artikel 2 lid 2 sub c AVG.

[3] HvJ EU 6 november 2003, C-101/01, Lindqvist.

[4] HvJ EU 11 december 2014, C-212/13, Ryneš.

[5] Artikel 6 AVG; HvJ EU 10 juli 2018, C-25/17, Jehovan todistajat.

[6] Rb. Zeeland-West-Brabant 26 juli 2023, ECLI:NL:RBZWB:2023:5433, r.o. 4.2.