Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Compliance · Bijgewerkt 2026-05-05

Camerabewaking op de werkplek conform GDPR / RODO / DSGVO

Een routekaart voor naleving in 2026 voor HR-, operationele en beveiligingsmanagers die werkplekbewaking implementeren in de EU. De wettelijke ondergrens is GDPR ; de bovengrens wordt bepaald door nationaal arbeidsrecht en medezeggenschap van de ondernemingsraad, wat sterk verschilt per lidstaat.

De zeven verplichtingen met betrekking tot CCTV op de werkplek volgens GDPR

Wettelijke grondslag. Artikel 6(1)(f) rechtvaardig belang is de enige realistische optie — toestemming is onvoldoende omdat werknemers niet vrijelijk kunnen weigeren, en artikel 6(1)(b) (uitvoering van het contract) is te beperkt. De afweging van het rechtmatige belang moet worden gedocumenteerd en jaarlijks worden herzien.
DPIA (Artikel 35). Camerabewaking op de werkplek is "systematische monitoring op grote schaal" en vereist een verplichte gegevensbeschermingseffectbeoordeling (DPIA) in elk EU-land. De DPIA documenteert het doel, de proportionaliteitstoets, de overwogen alternatieven (en de redenen daarvoor) en de genomen maatregelen om de impact te minimaliseren.
Transparantie (Artikelen 13-14). Elke medewerker moet vóór de tewerkstelling worden geïnformeerd over wat er wordt vastgelegd, waar, waarom, door wie, hoe lang en hoe hij of zij zijn of haar rechten kan uitoefenen. Een privacyverklaring in het personeelshandboek en bewegwijzering bij de ingang van het gebouw voldoen hieraan.
Behoud. De minimaal noodzakelijke termijn is doorgaans 7 tot 30 dagen. De meeste DPA's beschouwen 30 dagen als een standaardtermijn; een langere termijn vereist een specifieke rechtvaardiging.
Zichtbare signalisatie. Pictogram + naam van de verwerkingsverantwoordelijke + contactgegevens + wettelijke grondslag + bewaartermijn + contactpersoon voor gegevensbescherming. Te plaatsen bij elke ingang en op elke verdieping van gebouwen met meerdere verdiepingen.
Toegang tot informatie. Iedere medewerker kan een kopie aanvragen van de beelden waarop hij of zij te zien is. De reactietermijn bedraagt 30 dagen.
Minimalisering. FOV van de camera moet zo smal mogelijk zijn om het beveiligingsdoel te bereiken. Camera's die op bureaus gericht zijn, op afgescheiden rustruimtes of die een groter deel van de openbare ruimte bestrijken dan nodig is voor de beveiliging, voldoen per definitie niet aan deze eis.

Landspecifieke add-ons

Duitsland (DSGVO + BDSG + BetrVG). Onder BetrVG §87(1)(6) is medezeggenschap van de ondernemingsraad verplicht voor alle technologie voor werknemersbewaking, inclusief CCTV. De werkgever mag het systeem niet installeren, uitbreiden of wijzigen zonder toestemming van de ondernemingsraad. De gegevensbeschermingsautoriteiten van de deelstaten (16 Länder) leggen regelmatig boetes op voor het niet raadplegen van de ondernemingsraad. BDSG §26 stelt strengere bewaartermijnen dan de algemene GDPR – 72 uur is de gebruikelijke bovengrens.

Polen ( RODO + Kodeks pracy). Artikel 22² van het Arbeidswetboek staat cameratoezicht op de werkplek toe, maar alleen voor het waarborgen van de veiligheid, het beschermen van eigendommen, het monitoren van de productie of het bewaren van vertrouwelijkheid. De inzet moet worden geregeld in het reglement van orde op de werkplek en ten minste 14 dagen voor de ingebruikname aan de werknemers worden aangekondigd. De UODO (Uniform Office of the Office of the Occupational Disaster Officers) treedt steeds vaker op – boetes voor ontoereikende signalering en het onrechtmatig behouden van camera's komen regelmatig voor.

Frankrijk (CNIL-richtlijnen + Code du travail). Overleg met de ondernemingsraad is vereist op grond van artikel L2312-38. De CNIL heeft bindende richtlijnen gepubliceerd die de bewaartermijn beperken tot 30 dagen, tenzij er sprake is van specifieke incidenten. Camera's mogen de werkplekken van werknemers niet continu filmen en moeten pauzeruimtes volledig vermijden. De boetes van de CNIL voor overtredingen van de regels voor camerabewaking op de werkplek variëren van € 1.000 tot meer dan € 600.000.

Italië (Garante + Statuto dei Lavoratori artikel 4). Een van de strengste regimes. Artikel 4 van het werknemersstatuut verbiedt de installatie van bewakingsapparatuur voor de directe monitoring van werknemers en vereist een collectieve overeenkomst (met de ondernemingsraad of, indien die er niet is, toestemming van de regionale arbeidsinspectie) voordat een systeem dat incidenteel de activiteiten van werknemers vastlegt, in gebruik mag worden genomen.

VK (Britse GDPR + Wet bescherming persoonsgegevens 2018 + Gedragscode voor werkgevers van de ICO). Overleg met de ondernemingsraad wordt aanbevolen, maar is niet verplicht. De gedragscode voor werkgevers van de ICO wordt als gezaghebbend beschouwd en wordt vaak aangehaald bij handhaving van de AVG. De standaard bewaartermijn is 30 dagen; bij een langere bewaartermijn is een gedocumenteerd incident vereist.

Veelvoorkomende overtredingen van de regelgeving (en de bijbehorende kosten)

Camera's in toiletten, kleedkamers of rustruimtes leiden automatisch tot boetes van zes cijfers in de hele EU.
Onbepaalde tijd of langer dan 90 dagen in bewaring houden zonder gedocumenteerde rechtvaardiging — vaak met boetes van een laag vijfcijferig bedrag.
Geen of slechts in één taal weergegeven bewegwijzering op meertalige werkplekken — typische kosten: € 5.000 - € 25.000.
Geen DPIA-rapport aanwezig — wat steeds vaker wordt gezien als een verzwarende omstandigheid die de onderliggende boete verhoogt.
Geen ondernemingsraadpleging in Duitsland, Frankrijk of Italië — de gehele tewerkstelling kan met terugwerkende kracht ongeldig worden verklaard.
De livestream is toegankelijk voor managers zonder dat er toegangsgegevens worden geregistreerd, wat in strijd is met zowel het principe van minimalisering als van verantwoording.
Audio-opnames zonder aparte rechtvaardiging worden strenger behandeld dan audio-opnames van gesprekken op de werkplek.

Een checklist voor de voorbereiding op de uitzending die standhoudt

Voordat de eerste kabel wordt getrokken: (1) een DPIA opstellen met daarin het doel, de proportionaliteit, alternatieven, FOV minimalisatie en bewaartermijn; (2) de privacyverklaring en het personeelshandboek bijwerken met de nieuwe verwerking; (3) de ondernemingsraad/vakbond raadplegen waar van toepassing en schriftelijke toestemming verkrijgen; (4) de FOV -kaart ontwerpen met de exacte dekking en de proportionaliteitstoets per camera; (5) bewegwijzering maken in elke bedrijfstaal; (6) bewaarregels en de technische controle die deze handhaaft definiëren; (7) de beheerder van het toegangslogboek aanstellen; (8) het beveiligingsteam trainen in de workflow voor toegang tot persoonsgegevens.

CCTVplanner produceert (4) direct — plaats de cameraposities op de plattegrond, vergrendel de FOV kegels, exporteer een gelabelde PDF met de proportionaliteitstestannotatie per camera en voeg deze toe aan de DPIA-bijlage. De DPA-beoordelaar leest hetzelfde document dat u hebt beoordeeld.

Maak de FOV kaart van de werkplek voor uw DPIA.

Plaats camera's op uw plattegrond, vergrendel de FOV en exporteer de PDF die in de DPIA-bijlage moet worden opgenomen. De gratis versie dekt 1 locatie.

RODO / GDPR -referentie →

Ons complete naslagwerk voor CCTV-operators in de EU.

Toepassingsvoorbeeld industriële CCTV →

Camerabewaking op fabrieksniveau met FOV rekening houdend met de eisen van de ondernemingsraad.