Is a CCTV pictogram alone enough under GDPR?

No. The pictogram is the layered approach's first level — the second level (controller name, contact, lawful basis, retention, DPO contact, link to full privacy notice) must be available either on the same sign or on a clearly visible companion sign nearby. The European Data Protection Board's 3/2019 guidance explicitly requires this two-level approach for any CCTV deployment processing personal data.

Can I use one sign for multiple cameras?

Yes, if the sign is positioned at every entry point to the monitored area and is visible before a person enters the camera coverage. For large sites with multiple zones (parking + lobby + corridors), a sign at each zone boundary is the safe pattern. A single sign at the main entrance is insufficient for visitors who enter via secondary doors.

What size and material should the sign be?

GDPR doesn't mandate a specific size, but DPAs across the EU consistently fine for signs that are too small or too high to be read at the natural approach distance. Practical rule: pictogram must be readable from 5 m, second-level text from 1.5 m. UV-stable PVC or aluminium dibond is standard for outdoor durability. Avoid laminated paper — sun and rain make it unreadable within months and the DPA treats illegible signs as no signage.

Do I need to translate the sign?

Yes, into every language a visitor would reasonably understand. In a tourist area or international airport that's typically English plus the national language. For workplace CCTV, every working language at the site. Single-language signs in multilingual contexts have been fined as inadequate notice. The pictogram itself is universal but the second-level text needs translation.

Naleving · Bewegwijzering · Bijgewerkt 2026-05-05

GDPR vereisten voor CCTV-signalering en pictogrammen

Een pictogram op de deur is op zichzelf geen GDPR conforme CCTV-signalering. De richtlijnen van het Europees Comité voor gegevensbescherming (EDPB) voor een gelaagde aanpak vereisen een eerste niveau (pictogram + minimale essentiële informatie) en een tweede niveau (volledige privacyverklaring, toegankelijk vanaf dezelfde locatie). De meeste handhavingsacties met betrekking tot CCTV in woningen en kleine bedrijven beginnen met een tekortkoming in de signalering, niet in de onderliggende verwerking.

De verplichte inhoud van de borden op het eerste niveau

Pictogram — Het universele CCTV-camera-icoon, groot genoeg om op een afstand van 5 meter te kunnen lezen.
Controller-identiteit — "De officiële naam van de exploitant (bedrijf, huishouden, overheidsinstantie). 'Eigenaar' alleen is niet voldoende."
Contact — Een e-mailadres is minimaal vereist; een telefoonnummer of postadres is nog beter.
Doel — Korte omschrijving van het beveiligingsdoel (bijv. "eigendomsbescherming", "diefstalpreventie").
Wettelijke grondslag — Doorgaans wordt verwezen naar "Artikel 6(1)(f) GDPR — gerechtvaardigd belang"; in de context van de werkplek dient de relevante verwijzing naar het arbeidsrecht te worden toegevoegd.
Bewaartermijn — in dagen, bijvoorbeeld "beeldmateriaal wordt 30 dagen bewaard".
Rechtenkennisgeving — Een korte verklaring dat betrokkenen GDPR rechten kunnen uitoefenen, met een link of contactgegevens om dit te doen.
DPO-contactpersoon — Verplicht voor organisaties die een gemachtigde hebben aangesteld; optioneel voor particuliere huishoudens en kleine bedrijven.
Verwijzing naar de volledige privacyverklaring — URL of QR-code die verwijst naar de kennisgeving op het tweede niveau.

Landspecifieke add-ons

Polen (richtlijnen van RODO en UODO). Het pictogram moet de volledige wettelijke naam en het adres van de verwerkingsverantwoordelijke, de bewaartermijn in dagen en een verwijzing naar de GDPR rechtencatalogus bevatten. UODO heeft bedrijven beboet voor het ontbreken van het adres van de verwerkingsverantwoordelijke en voor bewaarverklaringen die alleen verwijzen naar "de noodzakelijke periode".

Duitsland (AVG + richtlijnen van de gegevensbeschermingsautoriteiten van de deelstaten). Elke gegevensbeschermingsautoriteit van een deelstaat publiceert een eigen sjabloon; het minimum op federaal niveau omvat de verwerkingsverantwoordelijke, contactpersoon, doel, wettelijke grondslag, bewaartermijn, rechten en de functionaris voor gegevensbescherming (DPO). De gegevensbeschermingsautoriteiten van Beieren en Baden-Württemberg zijn bijzonder streng wat betreft de specificiteit van de bewaartermijn: "30 dagen" is acceptabel, "zolang als nodig" niet.

Italië (Garante-sjabloon). Garante publiceert een bindend pictogram + sjabloon van het tweede niveau. Bewegwijzering voor CCTV op de werkplek moet bovendien verwijzen naar de vakbondsovereenkomst of de machtiging van de Arbeidsinspectie op grond van artikel 4 van de Arbeidswet.

Spanje (AEPD-sjabloon). AEPD biedt een downloadbaar pictogram en een model voor een kennisgeving op het tweede niveau. Beide zijn praktisch verplicht; bij afwijking moet de controller aantonen dat de informatievoorziening gelijkwaardig of beter is.

VK (ICO-gedragscode voor werkgevers + gedragscode van de Surveillance Camera Commissioner). ICO publiceert geen bindend sjabloon voor bewegwijzering, maar de gedragscode voor werkgevers wordt als gezaghebbend beschouwd. De gedragscode van de Surveillance Camera Commissioner voegt punten toe voor goede praktijken van exploitanten (zichtbare signalering vanaf de naderingszijde, Engels en andere relevante talen, regelmatige controle op leesbaarheid).

Waar moeten de borden geplaatst worden?

Bij elke ingang van het bewaakte gebied, voordat een bezoeker het FOV van de camera betreedt. Voor een winkel met één ingang: één bord bij de deur. Voor een parkeerterrein met drie in- en uitgangen voor voertuigen plus een voetgangerspoort: minimaal vier borden. Voor een kantoorgebouw met meerdere verdiepingen: borden op elke verdieping bij de ingangen van de liften en trappenhuizen.

Het bord moet zich op ooghoogte bevinden (1,5–2,0 m) en mag niet worden belemmerd door bladeren, schappen, geparkeerde voertuigen of seizoensversieringen. De autoriteiten voor gegevensbescherming in de hele EU beboeten steevast voor borden die technisch gezien wel aanwezig zijn, maar in de praktijk onzichtbaar.

Voor drive-through winkels en parkeergelegenheden plaatst u het eerste bord bij de slagboom waar voertuigen stoppen, en het tweede bord bij de ingang van de parkeerplaats. Een bestuurder moet het bord hebben gelezen voordat hij of zij door de camera wordt vastgelegd.

Onderhoud — de stille storingsmodus

Buitenborden verouderen. UV-straling vervaagt het pictogram, regen spoelt de inkt weg en vandalisme kan ze beschadigen. Inspecteer de borden elk kwartaal, fotografeer elk bord en registreer de inspectie. Een bord dat bij installatie aan de eisen voldeed, maar onleesbaar is op het moment van de klacht, wordt beschouwd als geen bord. Garante, UODO en AEPD hebben allemaal boetes opgelegd voor gevallen waarin een bord bij installatie aan de eisen voldeed, maar bij controle onleesbaar bleek.

Genereer een plaatsingsplan voor de borden met behulp van uw CCTV-lay-out.

CCTVplanner exporteert een FOV kaart per camera waarmee u alle toegangspunten kunt identificeren die een bord nodig hebben. De gratis versie dekt 1 locatie.

Volledige RODO / GDPR referentie →

Onze complete referentie voor de naleving van de regelgeving voor CCTV-controllers.

Cameratoezicht op de werkplek volgens GDPR →

DPIA, ondernemingsraad, retentieregels voor werknemersbewaking.