Tekniske og organisatoriske tiltak
Som angitt i artikkel 32 nr. 1 i personvernforordningen må behandling av personopplysninger ved bruk av videoovervåking ikke bare være basert på et rettslig grunnlag, men den behandlingsansvarlige og databehandleren må i tillegg sikre den på en egnet måte. De gjennomførte tekniske og organisatoriske tiltakene må stå i forhold til risikoen forbundet med brudd på fysiske personers rettigheter og friheter som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som stammer fra videoovervåking.
Etter artikkel 24 og 25 må den behandlingsansvarlige gjennomføre tekniske og organisatoriske tiltak for å sikre at behandlingen utføres i samsvar med personvernsprinsippene, og legge til rette for at de registrerte kan utøve rettighetene sine som definert i artikkel 15–22 i forordningen. Den behandlingsansvarlige skal innføre interne rammeverk og retningslinjer som sikrer denne gjennomføringen (både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen), og gjennomføre egnede tekniske og organisatoriske tiltak, inkludert gjennomføre vurderinger av ved behov.
Oversikt over et videoovervåkingssystem
Et videoovervåkingssystem (artikkel 21 i personvernforordningen har ingen definisjon av det, men en teknisk beskrivelse finnes i EN 62676-1- 1:2014 Video surveillance systems for use in security applications – del 1-1: Video system requirements) består av analoge og digitale enheter samt programvare med formål om å ta bilder av et sted, behandle bildene og vise dem til en operatør. Bestanddelene deles inn i følgende kategorier (se også figur nedenfor):
- Videomiljøet: bildetaking, sammenkoblinger og bildebehandling
- Formålet med bildetaking er å generere et bilde av den virkelige verden i et format som kan brukes av resten av systemet.
- Sammenkoblinger beskriver all overføring av opplysninger innenfor videomiljøet, det vil si koblinger og kommunikasjon. Eksempler på koblinger er kabler, digitale nettverk og trådløse overføringsenheter. Kommunikasjon beskriver alle video- og kontrolldatasignaler som kan være enten digitale eller analoge.
- Bildebehandling omfatter analyse, lagring og presentasjon av et bilde eller en sekvens av bilder.
- Sett fra en systemadministrators perspektiv har et videoovervåkingssystem følgende logiske funksjoner:
- databehandling og aktivitetsadministrasjon, som omfatter bruk av operatørkommandoer og systemgenererte aktiviteter (alarmprosedyrer, varsling av operatører)
- grensesnitt til andre systemer, som kan omfatte tilkobling til andre sikkerhetssystemer (adgangskontroll, brannalarm) og systemer som ikke er sikkerhetsrelaterte (systemer for byggforvaltning, automatisk gjenkjenning av nummerskilt)
- Sikkerhet i forbindelse med et videoovervåkingssystem knytter seg til systemets og opplysningenes konfidensialitet, integritet og tilgjengelighet:
- Systemsikkerhet omfatter fysisk sikring av alle systemkomponenter og adgangskontroll til systemet.
- Datasikring omfatter forebyggelse av tap eller manipulering av opplysninger.
Figur 1 – videoovervåkingssystem:
Innebygd personvern og personvern som standardinnstilling
Som angitt i artikkel 25 i personvernforordningen, må de behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak så snart de planlegger videoovervåking, før de starter innsamlingen og behandlingen av videoopptak.
Disse prinsippene vektlegger behovet for teknologi som forsterker innebygd personvern, standardinnstillinger som minimerer behandlingen av personopplysninger og tilgang på nødvendige verktøy som sikrer best mulig vern av personopplysninger (WP 168, Opinion on the "The Future of Privacy", joint contribution by the Article 29 Data Protection Working Party and the Working Party on Police and Justice to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data (vedtatt 1. desember 2009)).
Den behandlingsansvarlige skal innføre tiltak som sikrer personvernet, ikke bare i teknologiens designmessige spesifikasjoner, men også i organisatorisk praksis. Når det gjelder organisatorisk praksis, skal den behandlingsansvarlige innføre et egnet rammeverk for administrasjon og etablere og håndheve retningslinjer og prosedyrer for videoovervåking. Fra et teknisk ståsted skal systemets spesifikasjoner og design omfatte krav til behandling av personopplysninger i tråd med prinsippene som angis i artikkel 5 (behandlingens lovlighet, formåls- og databegrensning, dataminimering som standardinnstilling som beskrevet i artikkel 25 nr. 2, integritet og konfidensialitet, ansvar og så videre).
Dersom en behandlingsansvarlig planlegger å anskaffe et kommersielt videoovervåkingssystem, må den behandlingsansvarlige ta med disse kravene i kravspesifikasjonen. Den behandlingsansvarlige må sikre samsvar med disse kravene og la dem få anvendelse på alle bestanddeler i systemet og alle opplysninger som behandles av det, gjennom hele levetiden til systemet.
Konkrete eksempler på relevante tiltak
De fleste tiltakene som kan brukes til å sikre et videoovervåkingssystem, spesielt ved bruk av digitalt utstyr og programvare, vil ikke skille seg fra de som brukes i andre IT-systemer. Den behandlingsansvarlige må likevel, uavhengig av løsningen som velges, sørge for tilstrekkelig vern av alle bestanddelene i videoovervåkingssystemet og alle opplysninger på alle trinn i prosessen. Det vil si under lagring (data at rest), overføring (data in transit) og behandling (data in use). For å oppnå dette må behandlingsansvarlige og databehandlere kombinere organisatoriske og tekniske tiltak.
Ved valg av tekniske løsninger skal den behandlingsansvarlige vurdere personvernvennlig teknologi også fordi det gir økt sikkerhet. Eksempler på slik teknologi er systemer som muliggjør sladding eller forvrengning av områder som ikke er relevante for overvåkingen, eller fjerning av bilder av tredjeparter i forbindelse med utlevering av videoopptak til registrerte. (Bruken av slik teknologi kan til og med være obligatorisk i enkelte tilfeller, for å overholde artikkel 5 nr. 1 bokstav c. Slik teknologi kan i alle tilfeller fungere som eksempler på beste praksis.)
På den annen side skal ikke de valgte løsningene ha funksjoner som ikke er nødvendige (for eksempel ubegrenset kamerabevegelse, zooming, radiooverføring, analyse og lydopptak). Tilgjengelige funksjoner som ikke er nødvendige, må deaktiveres.
Det finnes mye litteratur om dette emnet, inkludert internasjonale standarder og tekniske spesifikasjoner om fysisk sikring av multimediesystemer (IEC TS 62045 – Multimedia security – Guideline for privacy protection of equipment and systems in and out of use) og sikring av generelle IT-systemer (ISO/IEC 27000 — Information security management systems series). Derfor gir denne delen bare en generell oversikt over emnet.
Organisatoriske tiltak
I tillegg til en potensiell vurdering av personvernkonsekvenser (se kapittel 10 i denne veiledningen, "Vurdering av personvernkonsekvenser") må den behandlingsansvarlige vurdere følgende punkter når de skal utforme sine egne retningslinjer og prosedyrer for videoovervåking:
- hvem er ansvarlig for å administrere og drifte videoovervåkingssystemet
- formålet med og omfanget av videoovervåkingssystemet
- lovlig og ulovlig bruk (hvor og når videoovervåking er tillatt, og hvor og når det ikke er det, for eksempel bruk av skjulte kameraer og lyd i tillegg til videoopptak). Dette kan avhenge av nasjonal lovgivning og sektorregulering.
- tiltak for å sikre åpenhet, som angitt i kapittel 7, "Krav til åpenhet og informasjon"
- hvordan videoopptakene blir gjort, og hvor lenge opptakene varer, inkludert arkivering av videoopptak i forbindelse med sikkerhetsbrudd
- hvem som må gjennom relevant opplæring, og når opplæringen skal gjennomføres
- hvem som har tilgang til videoopptak, og hva som er formålet med tilgangen
- driftsmessige prosedyrer (hvem som følger med på videoovervåkingen, og hvor det utføres fra, og hva som skal gjøres i tilfelle avvik
- hvilke prosedyrer eksterne aktører må følge for å anmode om videoopptak, og hvilke prosedyrer som gjelder for avslag og aksept av slike anmodninger
- prosedyrer for innkjøp av videoovervåkingssystemer, installasjon og vedlikehold
- administrasjon av hendelser og prosedyrer for gjenoppretting
Tekniske tiltak
Systemsikring innebærer fysisk sikring av alle bestanddelene i systemet, samt systemintegritet som omfatter effektivt og robust vern mot og under tilsiktet og utilsiktet forstyrrelse av systemets normale drift og adgangskontroll. Datasikkerhet innebærer sikring av opplysningenes konfidensialitet (opplysningene er bare tilgjengelige for de som har fått tilgang til dem), integritet (forebyggelse av tap eller manipulering av opplysninger) og tilgjengelighet (opplysningene er tilgjengelige ved behov).
Fysisk sikring er en viktig del av personvernet og førstelinjeforsvaret da det beskytter videoovervåkingsutstyr mot tyveri, hærverk, naturkatastrofer, menneskeskapte katastrofer og utilsiktede skader (for eksempel fra elektrisk støt, ekstreme temperaturer og kaffesøl). Ved bruk av analoge systemer er fysiske sikkerhetstiltak den viktigste delen av vernet.
System- og datasikring innebærer vern mot tilsiktet og utilsiktet forstyrrelse av systemets normale drift, og kan omfatte:
- vern av hele infrastrukturen i videoovervåkingssystemet (inkludert eksterne kameraer, kabler og strømforsyninger) mot fysisk manipulering og tyveri
- vern av opptaksoverføring, med kommunikasjonskanaler som er sikret mot innbrudd
- datakryptering
- bruk av maskinvare- og programvarebaserte løsninger slik som brannmurer, antivirusprogrammer og varslingssystemer mot nettangrep
- deteksjon av feil på bestanddeler, programvare og koblinger
- midler for å gjenopprette tilgjengeligheten og adgangen til systemet i tilfelle fysiske eller tekniske hendelser
Adgangskontroll sikrer at bare autorisert personell har tilgang til systemet og opplysningene, mens andre nektes tilgang. Tiltak som understøtter fysisk og elektronisk adgangskontroll, omfatter
- å sikre alle steder hvor videoovervåking foregår, og hvor videoopptak lagres, for å hindre at tredjeparter får utilsiktet tilgang
- å plassere skjermer (spesielt når de står i åpne landskap, for eksempel en resepsjon) slik at bare autoriserte operatører kan se dem
- å utarbeide og håndheve prosedyrer for å gi, endre og trekke tilbake fysisk og elektronisk tilgang
- å implementere metoder og midler for autentisering og autorisasjon av brukere, for eksempel passordlengder og endringsfrekvens
- å registrere og regelmessig gjennomgå handlinger utført av brukere (både i forbindelse med systemet og opplysningene)
- å kontinuerlig overvåke og avdekke eventuell adgangssvikt og å løse identifiserte svakheter så snart som mulig