Ontwerp van bank-CCTV in 2026: Zone-voor-zone EN 62676-4 Identificatie + GDPR DPIA + Anti ML + NDAA §889

Waarom bankcamera's de lobby niet bewaken

Een winkelfiliaal lijkt op een kleine commerciële ruimte. Een toezichthouder ziet er echter vijf overlappende wettelijke regels op na: artikel 9 GDPR betreffende het risico op bijzondere categorieën persoonsgegevens bij elke transactie, de verplichting tot het bewaren van bewijsmateriaal bij elke kassabalie in het kader van de antiwitwaswetgeving, de Know Your Customer-procedure voor elke rekeningopening in het kader van sancties, artikel 889 NDAA betreffende de inkoop van camera's en de EN 62305-norm voor bliksembeveiliging bij elke geldautomaat aan de buitenkant. Elk van deze regels legt een andere parameter van dezelfde camera vast: de lens, het bewaarvenster, het modelmerk en de overspanningsbeveiliging. Eén fout leidt tot afkeuring bij de ingebruikname. Twee fouten leiden tot afkeuring bij de inkoop.

Onder alle vier de wettelijke kaders bevindt zich EN 62676-4 — de technische norm die definieert wat "de camera zag het gezicht" in cijfers betekent. Deze norm wordt vaak ondergewaardeerd in aanbestedingen, waardoor veel ontwerpen wel voldoen aan de eis voor het aantal camera's, maar niet aan de drempelwaarde voor pixels per meter. De wijziging van oktober 2025 introduceert het OODPCVS raamwerk (Overzicht, Schets, Onderscheiden, Waarnemen, Karakteriseren, Valideren, Onderzoeken) als een gedetailleerdere terminologie bovenop de bekende niveaus Detectie/Observatie/Herkenning/Identificatie ( DORI ). De drempelwaarden blijven ongewijzigd; OODPCVS biedt auditors alleen een preciezere taal voor tussenliggende gevallen. In de rest van dit artikel gebruiken we DORI waarden, met de OODPCVS -mapping in de onderstaande tabel ter referentie.

DORI (erfgoed)	px/m	OODPCVS (2025)	Typisch bankgebruik
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Dit artikel doorloopt de verschillende zones en legt de berekeningen expliciet uit. We besteden ongebruikelijk veel aandacht aan de pixel-per-meter-berekening, omdat uit onze ervaring met het auditeren van filiaalontwerpen van middelgrote Europese banken blijkt dat de belangrijkste reden voor mislukte ingebruikname is dat het ontwerp weliswaar voldeed aan de eisen voor het aantal camera's, maar de pixel-per-meter-drempel bij de balie niet haalde. De lobby was in orde. De kluis was in orde. De balie – de kritieke zone ML – kwam 14% tekort voor identificatie. Dat is de fout die een herontwerp en een vertraging van zes maanden met zich meebrengt.

Referentiekaart. Identificatie 250 px/m · Herkenning 125 px/m · Observatie 62 px/m · Detectie 25 px/m. Bankmedewerker, geldautomaatgebruiker, toegang, kluisas en toegang tot een kluisje vallen allemaal onder Identificatie. Al het andere is een verdedigbare stap lager met een gedocumenteerde onderbouwing.

Zone 1 — Ingang van de vestiging: elk gezicht, overlapping van twee camera's

De ingang van een filiaal is de eenvoudigste zone om correct te ontwerpen, maar ook de zone waar de specificaties het gemakkelijkst ondermaats zijn. Elke toezichthouder verwacht een gezichtsherkenning op identificatieniveau van elke volwassene die de deur binnenkomt – zonder uitzondering. Het nut hiervan is het daaropvolgende onderzoek: wanneer fraude, diefstal, beroving of identificatie van een verdachte met behulp van assistentie aan het licht komt in een latere ML -melding, biedt de toegangsregistratie het tijdstempel en de eerste duidelijke gezichtsopname. Een onscherp beeld bij de ingang is een van de meest voorkomende redenen waarom een fraudeonderzoek vastloopt.

Uitgewerkt voorbeeld — 4MP camera, 4mm lens, 4m tot de voordeur

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Een vrije ruimte van 1,9x boven de drempel van 250 ppm op 4 meter hoogte betekent dat het ontwerp gedeeltelijke verduistering, schemerige winterochtenden en kleine fouten in de montagehoogte verdraagt zonder onder de identificatievoorschriften te vallen. De positie op 6 meter hoogte is de achterkant van de vestibule – voorbij de binnendeur, waar de klant de openbare ruimte betreedt en de door de bank gecontroleerde ruimte binnenkomt.

Waarom twee camera's en niet één? Het systeem met twee camera's biedt bescherming tegen sabotage en obstructie. Een enkele camera vormt een zwak punt: graffiti, een hoed die het zicht belemmert, zonlicht dat vanuit een verkeerde hoek schijnt, of – in het meest pessimistische geval – fysieke manipulatie tijdens de inbraak zelf. Twee camera's, spiegelbeeldig gemonteerd in tegenoverliggende hoeken van het plafond, observeren elkaar en de inbraak gelijktijdig. De tweede camera legt ook de hoek vast die de eerste camera niet kan zien door paraplu's en hoge hoeden. De extra hardwarekosten bedragen één apparaat en een paar honderd meter Cat6-kabel – een klein bedrag in vergelijking met de kosten van één betwiste identificatie.

Privacy by design: de toegangscamera registreert rechtmatig elke klant die binnenkomt, omdat de wettelijke grondslag hiervoor het gerechtvaardigd belang is onder artikel 6(1)(f) van GDPR — het voorkomen van financiële criminaliteit is een van de in overweging 49 erkende gevallen — in combinatie met duidelijke signalering bij de deur. Uw DPIA moet de noodzakelijkheidstoets (zou u hetzelfde bewijsmateriaal kunnen verkrijgen met minder gegevens?), de proportionaliteitstoets (is de overlap van twee camera's noodzakelijk of excessief?) en het mechanisme voor de bescherming van de rechten van de betrokkene documenteren. Het standaardantwoord voor toegangscamera's is ja, ja en een gepubliceerde contactprocedure met de functionaris voor gegevensbescherming (DPO).

Voor een volledige uitleg van de pixel-per-meter-berekening die aan de bovenstaande cijfers ten grondslag ligt, zie de DORI calculation walkthrough, of ga direct naar de free DORI calculator om uw specifieke camera- en lenskeuze te valideren.

Zone 2 — Kassa: per loket + kassalade die over de schouder wordt gedragen

Het loket is de meest over het hoofd geziene zone in een typisch filiaalontwerp en de zone die het meest waarschijnlijk niet aan de eisen voldoet bij een herinbedrijfstelling. De verleiding is groot om één enkele dome te installeren die de hele balie bestrijkt – efficiënt, goedkoop en eenvoudig aan te sluiten. Het probleem is echter dat één enkel plafondapparaat niet tegelijkertijd aan twee verschillende DORI doelstellingen kan voldoen: het gezicht van de klant bij identificatie (250 ppm) en de kassalade bij herkenning (125 ppm). De ene bevindt zich ongeveer op ooghoogte en kijkt horizontaal; de andere op handhoogte en kijkt verticaal. De geometrie is fundamenteel verschillend.

Een toelichting waarom dezelfde cameraspecificaties wel door de balie komen, maar niet. Een 4 MP / 4 mm / 1/2.8" camera op 4 m zichtlijn levert ongeveer 476 ppm op een gezicht – ruim voldoende voor identificatie. Dezelfde camerabody met dezelfde lens, gemonteerd op dome op 2,7 m hoogte en gericht op een klant aan de balie op 4 m afstand, valt onder een schuine hoek. Het effectieve gezichtsvlak wordt met ongeveer cos(35°) ≈ 0,82 verkort en de diagonale zichtlijn is dichter bij 4,8 m dan bij 4 m. De effectieve ppm op het gezicht ligt dichter bij ongeveer 325 – nog steeds voldoende voor identificatie, maar zonder marge voor reflectieschermen, winterverlichting of een lange klant. Daarom wordt bij de baliecamera's een camera op gezichtshoogte gemonteerd op een kolom of baliefront, in plaats van een dome . Dezelfde specificaties, andere geometrie, ander resultaat.

Uitgevoerd voorbeeld — 6 MP camera, 1/1.8" sensor (7,20 mm horizontaal), 8 mm lens, op een kolom gemonteerd op ooghoogte van de klant.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

De combinatie van 6 MP / 8 mm / 1/1.8" is de meest gebruikte camera aan de balie. De marge van meer dan 250 foto's per minuut is bewust gekozen: de camera compenseert de antireflectiefolie op de balie, de lage omgevingsverlichting in de winter, de wisselende lengte van klanten en de onvermijdelijke kleine verschuivingen in de montagepositie gedurende een levensduur van 10 jaar. De 5 meter geeft de positie aan van een klant die zich één stap achter de balie bevindt, nog steeds bij de identificatiebalie.

De bijbehorende camera wordt boven de kassier gemonteerd, achter de kassamedewerker, en kijkt naar beneden op de kassalade. Een gebruikelijke keuze: 4 MP met een groothoeklens van 2,8 mm en een zichtlijn van 1,2 meter op het oppervlak van de lade. Deze camera registreert de handelingen met de verschillende geldsoorten – tellen, inpakken, sorteren – en vormt het belangrijkste bewijsmateriaal bij eventuele geschillen over contant geld. De camera hoeft het gezicht van de klant niet te zien (de camera bij het raam doet dat). Wel moet de camera handen en biljetten duidelijk kunnen vastleggen, wat betekent dat er minimaal een herkenningscamera nodig is op een lade van ongeveer 0,6 meter breed.

Privacygrens — PIN-padmaskering. Geen van beide camera's dekt het toetsenbord van het PIN-pad aan de klantzijde. De PCI-richtlijnen stellen expliciet dat elk apparaat dat PIN-invoer registreert, PIN-verwerkingscontroles activeert, zoals encryptie van gegevens in rust, sleutelbeheer en audit. U wilt niet dat uw CCTV-systeem onder de PCI-regelgeving valt. De standaardoplossing is om camera's te monteren onder hoeken die het toetsenbord fysiek niet kunnen zien (scherpe hoeken vanaf de zijkant), of om het toetsenbordgebied te maskeren in de camerafirmware (de meeste professionele ONVIF camera's ondersteunen privacymaskering per zone). In beide gevallen moet in het ontwerpdocument worden vermeld welke methode is gebruikt en waarom.

Het aantal camera's per loket schaalt lineair: een balie met 6 posities krijgt 6 gezichtscamera's + 6 kassaladecamera's = 12 apparaten aan de baliezijde. Dat klinkt als veel, totdat je het vergelijkt met het alternatief van één betwiste contante transactie waarvoor geen bewijs is en die uiteindelijk bij de supervisor terechtkomt. De marginale kosten van twee camera's per positie liggen ver onder de kosten van één onduidelijke betwisting.

Zone 3 — Geldautomaat: gezichtsherkenning + schermgedrag + perimeter / kentekenplaat

Geldautomaten verdienen elk drie camera's. De gezichtscamera identificeert de gebruiker. De schermcamera registreert gedrag – zoals het afdekken van het toetsenbord, meekijken over de schouder en social engineering. De perimetercamera registreert het naderen en verlaten van de automaat en bij drive-throughautomaten registreert deze ook het kenteken. Elke camera is geschikt voor een andere categorie fraude of aanvallen: skimming van betaalkaarten (gezicht + gedrag), het stelen van betaalkaarten (gedrag), diefstal door afleiding (perimeter), overval bij een drive-throughautomaat (perimeter + kenteken) en reconstructie van accountovername (gezicht).

Uitgewerkt voorbeeld — ATM-cluster met drie camera's

Gezichtscamera — 4 MP, 1/2.8", 6 mm lens op 1,5 m afstand van het gezicht van de gebruiker:

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Scherm-/gedragscamera — 4 MP, 1/2.8", 2,8 mm groothoeklens op 1 m afstand van het toetsenbordgebied:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Doorrijdbare kentekenplaatcamera — 8 MP, 1/1.8", 12 mm lens op 5–8 m afstand van de kentekenplaat:

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Doorrijhoek en vermindering van de sluitercapaciteit. Kentekenplaatcamera's zijn de enige plek in een filiaal waar statische positieberekeningen de benodigde lens onderschatten. Een voertuig dat met 5 km/u de geldautomaat nadert, beweegt ongeveer 1,4 m/s, en de kentekenplaat staat zelden loodrecht op de camera-as — de typische naderingshoek is 20°–35°. De effectieve ppm (aantal tekens per minuut) op de kentekenplaat wordt verminderd met cos(hoek): bij 30° verlies je ongeveer 13%, bij 45° verlies je ongeveer 30%. Bovendien zorgt bewegingsonscherpte ervoor dat de tekens vervagen, tenzij de sluitertijd ≤ 1/500 s is, wat een groter diafragma of een hogere gain vereist bij nachtelijke omstandigheden. Vuistregel: verdubbel de brandpuntsafstand die je zou kiezen voor een statische gezichtsopname op dezelfde afstand. Voor een drive-through op 5 meter afstand is 12 mm nodig in plaats van 6 mm. Zie de afstand en brandpuntsafstand van kentekenplaten voor de volledige berekening van de leesbaarheid van de plaat.

Buiten-ATM = bliksembeveiligingszone. EN 62305 classificeert elk apparaat dat buiten op een paal of onder een afdak is gemonteerd als een bliksembeveiligingszone (LPZ). De materiaallijst BOM moet daarom overspanningsbeveiligingen op zowel de voedingslijn als de datalijn bevatten. Een standaard PoE camera zonder overspanningsbeveiliging kan door één onweersbui onherstelbaar beschadigd raken – en de overspanning kan vaak ook de NVR poort beschadigen. Uw ontwerpdocument PDF moet expliciet het model overspanningsbeveiliging per buitencamera vermelden, de LPZ-classificatie en de aarding op het bliksembeveiligingssysteem van het gebouw, indien aanwezig. Het typische PoE budget voor een ATM-camera voor buiten met verwarming en overspanningsbeveiliging is 25-30 W per aansluiting op een PoE+ -switchpoort (60 W). dome 's voor binnen verbruiken 5-7 W. Dien de switch en de UPS in de meterkast hierop af.

Zone 4 — Kluis en geldkamer: dubbele camera overlapt, gekoppeld aan toegangscontrole

De kluis en de geldtelruimte zijn de meest risicovolle zones in elk filiaal en tegelijkertijd de zones waar het gemakkelijkst te veel en te weinig apparatuur wordt geïnstalleerd. Te veel apparatuur betekent bijvoorbeeld vier groothoek 4K-camera's die op dezelfde muur gericht zijn. Te weinig apparatuur betekent één hogeresolutiecamera zonder tweede kijkhoek. De juiste configuratie bestaat uit twee camera's met overlappende beeldvelden, gemonteerd in tegenoverliggende hoeken, elk met een pixeldichtheid die geschikt is voor identificatie, over de centrale as van de ruimte.

Uitgewerkt voorbeeld — 4MP-paar, 4mm-lens, tegenoverliggende hoeken op een hoogte van 2,7 m.

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Elke camera bestrijkt de ruimte vanuit één hoek. De hoekoverlap van 30-40% langs de centrale as betekent dat een poging tot sabotage van één apparaat het tweede apparaat als onafhankelijk bewijsmateriaal achterlaat, en de identificatiemarge (~1,9x boven de drempelwaarde) vangt redelijke montageafwijkingen en variaties in de belichting op.

Videotagging op basis van gebeurtenissen. De beelden van de kluis moeten worden gekoppeld aan het logboek met toegangscontrole-evenementen. Elke keer dat een deur in de kluis wordt geopend, moet het bijbehorende videosegment van de camera automatisch worden toegevoegd aan de gebeurtenisregistratie in de NVR. Dit is wat ML auditors zoeken wanneer ze vragen om "de kluisgegevens van de afgelopen 90 dagen te bekijken": geen lange tijdlijn van lege ruimtes, maar een lijst met toegangsgebeurtenissen met een vooraf gekoppeld fragment van 2 minuten per gebeurtenis. De meeste professionele NVR platformen ondersteunen het taggen van video op basis van gebeurtenissen. Het ontwerp hoeft alleen de koppeling, de bewaartermijn (meestal de langste van de bewaartermijnen van het toegangslogboek en ML ) en de compatibiliteit met de leverancier van de toegangscontrole te specificeren.

De bewaartermijn voor beelden uit de kluis is de langste van alle regelingen die hierop van toepassing zijn. In de EU hanteert de ML vertaalde praktijk een bewaartermijn van 6 maanden voor algemene toegang tot de kluis en onbeperkt voor gemarkeerde incidenten. In de VS schrijft de BSA/FFIEC-richtlijn een minimum van 1 jaar voor voor beelden uit de kluis en 5 jaar voor alle beelden die gekoppeld zijn aan een melding van verdachte activiteiten. Een kanttekening over lange bewaartermijnen: het principe van opslagbeperking van GDPR (artikel 5(1)(e)) werkt andersom: onbeperkte bewaring vereist een controleerbare trigger (de SAR-markering, het onderzoek-ID) die elk bewaard segment koppelt aan het rechtmatige doel ervan. Een algemene bewaartermijn van 5 jaar zonder rechtvaardiging op segmentniveau is op zichzelf al een overtreding. Raadpleeg een jurist voor grensoverschrijdende oplossingen. De opslagcalculator van CCTVplanner berekent de benodigde informatie. /rekenmachine/opslag waarbij de retentie per camera een variabele per zone is.

Zone 5 — Kluizengang: identificeer de ingang, neem nooit de inhoud mee.

De kluisruimte is de zone waar de privacygrens het scherpst is afgebakend en het meest wordt gewaarborgd door jurisprudentie in elke Europese jurisdictie. De klant heeft een expliciete verwachting van privacy met betrekking tot de inhoud van zijn kluis. Camerabewaking in de gang is acceptabel – soms zelfs verplicht – maar het vastleggen van de binnenkant van de kluis of zelfs de interactie van de klant met zijn geopende kluis kan in verschillende rechtsgebieden worden aangevochten op grond van artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Het standaardontwerp is: beveilig de ingang van de gang, beveilig de deur van de kluisruimte van binnenuit en richt nooit een camera op het kluisrek zelf.

Uitgewerkt voorbeeld — 4MP / 4mm bij de ingang van een gang, 3–5m zichtdiepte

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

De klant is herkenbaar bij de ingang van de gang. Een tweede camera in de opslagruimte filmt de deur, maar is zo gericht dat het dozenrek buiten beeld valt. De klant is te zien bij het in- en uitgaan; zijn of haar interactie met de eigen doos is niet vastgelegd.

Dit is het meest expliciete privacy-by-design-patroon in de hele branche en het patroon dat supervisors het meest royaal belonen tijdens DPIA-beoordelingen. Door de hoekbeperking, het diagram van het gezichtsveld van de camera met het rek buiten elk frame en de training van de operators over het beleid om niet in te zoomen op het rek te documenteren, verandert u een anders risicovolle zone in een duidelijke demonstratie van naleving. De PDF van het CCTVplanner-project bevat een annotatie per camera met de "omvang van de vastgelegde inhoud", specifiek voor dit soort documentatie voor toezichthouders.

Netwerkarchitectuur: VLAN, beheervlak, NDAA -software.

NDAA §889 beperkt zich niet tot de camerabody. De handhavingsrichtlijnen van federale instanties voor 2023-2024 maken duidelijk dat videomanagementsoftware, NVR firmware en cloudmanagement-backends van de betrokken partijen eveneens aan beperkingen onderhevig zijn. Een "conforme" Hanwha of Axis camera die is aangesloten op een Hikvision NVR is nog steeds een overtreding van §889. Uw ontwerp moet de volledige stack dekken: camerabody, recorder, VMS en eventuele cloud- of mobiele beheerservice.

Netwerksegmentatie is evenmin optioneel. Een CCTV-netwerk van een bank is een waardevol doelwit, zowel omdat de camera's zelf een bevoorrechte positie bieden ten aanzien van de geldstromen, als omdat PoE -switches met standaard inloggegevens een bekende toegangsweg vormen tot het bedrijfsnetwerk. Het minimale ontwerp:

Aparte VLAN voor camera's, geen routering naar het bedrijfs-LAN, geen internetuitvoer behalve naar goedgekeurde cloud-eindpunten van leveranciers.
Het beheervlak bevindt zich op een apart VLAN met multifactorauthenticatie op de VMS-console.
Het firmware-updateproces is gedocumenteerd: handmatige update zonder fysiek contact of automatische update met alleen ondertekende firmware, nooit een gewone HTTP-download.
De standaard inloggegevens zijn tijdens de ingebruikname verwijderd, zoals vastgelegd in de overdrachtsdocumenten.

Dit is de laag die een CCTV-systeem transformeert van een aansprakelijkheidsrisico naar een voordeel op het gebied van compliance. Auditors vragen steeds vaker om het netwerkdiagram naast het cameraschema.

Standaardisatie van meerdere branches op meer dan 10 locaties

Een retailbank met 50 filialen hanteert in elk filiaal dezelfde vijf zones, maar de filialen verschillen in grootte, indeling en straatbeeld. Het handmatig ontwerpen van elk filiaal vanaf nul is de eerste stap in het ontstaan van afwijkingen van de richtlijnen: filiaal 23 krijgt een 6mm-lens bij de ingang, terwijl alle andere filialen 4mm-lenzen gebruiken, omdat de ontwerper zich dat die dag vergist heeft. Drie maanden later blijkt bij de controle dat filiaal 23 bij de ingang de zone 'Herkenning' in plaats van 'Identificatie' heeft, en het hele filiaal moet opnieuw ontworpen worden.

Het gestandaardiseerde model maakt gebruik van drie archetypesjablonen: doorgaans klein (2 balies, één geldautomaat, geen drive-through), middelgroot (4 balies, twee geldautomaten, geen drive-through) en groot (6 of meer balies, drive-through, meerdere kluizen). Elk archetype is een volledig uitgewerkt ontwerp volgens EN 62676-4 waarbij het aantal camera's, de lenskeuze, de montagehoogtes en DORI berekeningen zijn ingebouwd. Elk filiaal begint als een afsplitsing van het dichtstbijzijnde archetype, met locatiespecifieke aanpassingen voor perimetercamera's en plattegrondgeometrie. De conformiteit blijft behouden; alleen de geometrie varieert.

Het CCTVplanner-projectmodel is ontworpen voor dit patroon. De actie "project dupliceren" kloont een archetype met alle zones, alle DORI berekeningen en alle compliance-metadata intact. Het gedupliceerde project accepteert vervolgens een nieuwe plattegrond, een nieuwe satellietkaart en camera-aanpassingen per vestiging zonder de EN 62676-4 basislijn te verliezen. Elke vestiging produceert zijn eigen auditor- PDF , maar de onderliggende ontwerpvoorschriften zijn identiek en opnieuw te verifiëren.

BOM , bewaartermijn en het PDF voor de auditor

Een bankontwerp dat niet als één bestand aan de auditor kan worden overhandigd, is geen afgerond ontwerp. Het PDF bestand bevat:

Plattegrond met alle camera's gemarkeerd
Zonematrix met DORI niveau per camera per zone
Cameraschema met model + objectief + vatting + voeding
Kabeltrajecten en PoE budget per kast (typisch: 25-30 W per ATM-camera buiten, 5-7 W per dome binnen)
NVR en opslagcapaciteit voor de bewaartermijnen per zone
SPD-lijst voor LPZ-apparaten voor buitengebruik
NDAA §889-markering per camera, recorder en VMS-component
Netwerkarchitectuurdiagram (VLAN, beheervlak, firmwarebeleid)
Sjabloon voor een DPIA-werkblad volgens artikel 35 GDPR

Elk van deze onderdelen beantwoordt een vraag van de toezichthouder. De zonematrix beantwoordt de vraag: "Heeft iedereen die ertoe deed zich geïdentificeerd?". Het cameraschema beantwoordt de vraag: "Zijn er verboden merken aanwezig in een filiaal dat grenst aan een federaal filiaal?". De bewaartabel beantwoordt de vraag: "Bewaar je ATM-beelden lang genoeg om te voldoen aan de 90-dagenregel van de BSA, en kort genoeg om de bewaartermijn GDPR te respecteren?". Het DPIA-werkblad beantwoordt de vraag: "Heb je artikel 35 toegepast op deze verwerking?". Een enkel PDF dat duidelijk aansluit op deze vragen, verkort het interview met de toezichthouder van een halve dag tot een half uur.

De BOM wordt apart geëxporteerd als CSV voor de inkoopworkflow. De DXF-export gaat naar de elektricien met kabeltrajecten, montageposities en PoE budget per aansluiting. Beide bestanden verwijzen naar dezelfde canonieke PDF , zodat de inkoopafdeling, de installateur en de auditor altijd dezelfde bron van informatie raadplegen. Dit is het multi-outputpatroon dat een professioneel ontwerpprogramma onderscheidt van een generieke cameraplanner.

Veelgemaakte fouten die je moet vermijden

Een enkele dome boven het loket, die zowel de voorkant als de kassalade bedekt.
Verschillende DORI doelstellingen, verschillende geometrieën, één apparaat kan niet aan beide eisen voldoen. Een ML audit wijst specifiek de kassamedewerker aan — de meeste inbedrijfstellingsfouten komen hier terecht.
Het integreren Hikvision of Dahua in een aan de federale overheid gelieerde vestigings BOM — inclusief de NVR en VMS.
NDAA §889 dekt de volledige reeks. Een conforme camera in combinatie met een niet-conforme recorder is nog steeds een overtreding. Dit leidt tot intrekking van federale financiering en heraanschaffing van de apparatuur.
Het omzeilen van de GDPR artikel 35 DPIA bij een "kleine herontwerp"
Elke wijziging in het aantal camera's, de montage ervan of de bewaring ervan in een vestiging is een wijziging in de verwerkingsactiviteit. Zelfs een project waarbij "slechts twee camera's zijn toegevoegd" vereist een bijgewerkte DPIA. Toezichthoudende instanties houden dit steeds vaker in de gaten.
Geen overspanningsbeveiliging op de buitencamera's van de geldautomaat
EN 62305 vereist een LPZ-classificatie + SPD voor elke buitencamera die aan de elementen is blootgesteld. Een tyfoon, een transformatorstoring of een directe blikseminslag op het bladerdak kan de camera en vaak ook de NVR poort onbruikbaar maken. De aanschaf van de SPD is een kleine investering.
Geldautomaat met één camera en zonder back-up
Een poging tot manipulatie of obstructie van de enige ATM-camera laat geen sporen achter. Het ATM-systeem met drie camera's (voorkant + scherm + omtrek) is zowel fraudebestendig als fraudewerend.
De bewaartermijn is afgestemd op het kortst mogelijke tijdsvenster.
Een vestiging die actief is in zowel de EU als de VS moet voldoen aan zowel de anti-witwaswetgeving ML ) als de Bank Secrecy Act (BSA). Het beperken van de opslagcapaciteit tot de EU-termijn, terwijl de BSA een langere termijn vereist, is een vermijdbare ontwerpfout die zes maanden later aan het licht komt tijdens een gesprek met de toezichthouder. Dezelfde fout – algemene, onbeperkte bewaring zonder rechtvaardiging per segment – voldoet niet aan de opslagbeperkingen GDPR.
Camera-VLAN is gelijk met het bedrijfs-LAN.
Switches en IP-camera's met standaard inloggegevens PoE -apparaten zijn gedocumenteerde paden voor laterale beweging. Segmentatie is geen optie die "leuk is om te hebben".

Veelgestelde vragen

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Ontwerp van bank-CCTV 2026: Geldautomaat, kluis, balie en filiaalingang — Zone-voor-zone EN 62676-4 Walkthrough

Kort samengevat: de 5 dingen die je goed moet doen.

Inhoudsopgave