Kameraovervåking - hva er lov?

Kameraovervåking - hva er lov?

Kameraovervåking kan være et inngrep i personvernet. Det er derfor viktig at de som ønsker å bruke denne formen for overvåking, setter seg godt inn i regelverket før overvåkingen settes i gang.

Når er kameraovervåking lov?

I personvernregelverket finner man mange generelle regler for hvilke plikter en virksomhet har når den behandler personopplysninger - slik som opptak fra kamera. Disse pliktene må alle som driver kameraovervåking sette seg inn i. Denne veiledningen er ment som en utfylling til disse reglene.

Vi har samlet alle de generelle pliktene en virksomhet har etter personvernregelverket på en egen side

Kameraovervåking skal ikke godkjennes av Datatilsynet. Den som overvåker har selv ansvaret for å overholde alle reglene i loven før overvåkingen settes i gang. Nedenfor følger en oversikt over de viktigste kravene. Bruk av uekte kamerautstyr (dummyer eller lignende) og falske skilt om kameraovervåking må oppfylle de samme kravene.

Helt overordnet må overvåkingen ha et behandlingsgrunnlag for å være lov. Som regel er «interesseavveining» det eneste behandlingsgrunnlaget som er relevant å se på i denne sammenhengen, så denne veilederen tar utgangspunkt i hva som kreves for å bruke interesseavveiing som behandlingsgrunnlag.

1. Krav om formålsbegrensning

Prinsippet om formålsbegrensning setter noen rammer for når og hvordan man kan bruke kameraovervåking. Man må skriftlig definere et klart formål med overvåkingen. Overvåkingen kan ikke brukes på måter som er uforenlige med det definerte formålet. Kameraovervåking for sikkerhetsformål kan for eksempel ikke senere brukes til å sjekke de ansattes timelister.

Les mer om fastsetting av formål

2. Krav om nødvendighet

Kameraovervåkingen må være nødvendig for formålet. Man bør først tenke grundig gjennom om overvåkingen vil ha en forebyggende virkning eller betydning for oppklaring av hendelser. Vil det hjelpe, og i så fall mot hva? Kameraovervåking må være et egnet tiltak for det man ønsker å oppnå.

Særlig like etter hendelser som skaper utrygghet, sinne eller frustrasjon, vil et ønske om tiltak og handling melde seg. Kameraovervåking er noe synlig og konkret, og kan være lett å ty til for å vise at man har gjort noe. Det er ikke en god nok begrunnelse. Det må foreligge en vurdering som viser at overvåkingen kan være et egnet virkemiddel for å oppfylle formålet.

Deretter må man tenke over om problemet kan løses eller risikoen minimeres gjennom andre egnede, men mindre inngripende tiltak. Dersom det kan det, kan man ikke kameraovervåke. I enkelte tilfeller kan det kreves at den som vil overvåke har prøvd ut alternative løsninger uten å oppnå ønsket effekt.

Eksempler på alternative tiltak er

  • fysisk sikring
  • begrenset adgang eller adgangskontroll, samt låse- og alarmsystemer,
  • tilstedeværelse gjennom økt bemanning eller vakthold
  • økt lyssetting, og
  • oppmerksomme ansatte, opplæring og gode rutiner

3. Krav om interesseovervekt

Interessen i å kameraovervåke må veie tyngre enn personvernet til de som blir overvåket. Alle har en viss rett til sporfri ferdsel, og kameraovervåking er et inngrep i denne retten. Dermed må det tungtveiende interesser til for å kunne kameraovervåke. Interesseavveiningen påvirkes også av hvilke personvernvennlige tiltak man har iverksatt og hvordan de berørte opplever overvåkingen.

En virksomhet vil for eksempel ikke kunne bruke kameraovervåking til å følge med på arbeidstakernes arbeidsinnsats. I de tilfellene vil de ansattes krav på personvern veie tyngre enn arbeidsgiverens interesse i å følge med på det de gjør.

Eksempler på tungtveiende interesser som derimot vil kunne veie tyngre enn personvernet til de berørte, er vern av liv og helse eller forebygging og oppklaring av straffbare handlinger der det er stor fare for kriminalitet. I slike tilfeller må det imidlertid foreligge et konkret problem av betydning – det er ikke tilstrekkelig at noe kan skje i fremtiden (i så fall kunne jo alle virksomheter ha brukt dette argumentet til å kameraovervåke alle områder).

Overvåking med lyd er så inngripende at det normalt ikke er tillatt. Skjult lydopptak av andres samtaler kan dessuten være straffbart.

Sensitive personopplysninger

Dersom overvåkingen går ut på å samle inn sensitive personopplysninger, stedet man overvåker er uløselig knyttet til sensitive forhold (for eksempel kameraovervåking ved inngangen til en moské) eller kameraene bruker ansiktsgjenkjenning, gjelder det strengere regler.

Les mer om behandling av sensitive personopplysninger

Les også mer om bruk av intelligent videoanalyse

Retningslinjer for kameraovervåking fra Personvernrådet

Det europeiske personvernrådet (European Data Protection Board - EDPB) har  laget retningslinjer for kameraovervåking. Retningslinjene skal sørge for større klarhet rundt kravene til kameraovervåkning og sikre lik praksis i hele EU og EØS. De gir praktiske og mer detaljerte retningslinjer for kameraovervåkning enn det som kommer frem av personvernforordningen.

I retningslinjene er det presiseringer om blant annet lagringstid, sletteplikt, ansiktsgjennkjenning og varsling/skilting. Der er også praktiske eksempler for hvor og når overvåking er tillatt.

Retningslinjer for kameraovervåking fra Personvernrådet

Hvor er kameraovervåking lov?

Det er vanskelig å definere helt klare og tydelige grenser for hvilke områder det er tillatt å overvåke. Det vil alltid finnes unntak. Denne siden gir derfor ikke en fullstendig oversikt, men er ment som et utgangspunkt.

Man må begrense overvåkingen til egen eiendom. En virksomhet kan for eksempel ikke overvåke nabobedriftens område.

I dette kapittelet vil vi se nærmere på:

Private hjem

En privatperson kan lovlig overvåke eget hus og hage. Kameraet kan imidlertid ikke samtidig fange opp deler av et offentlig område eller en annen persons eiendom. Privatpersoner kan heller ikke overvåke andres private sfære slik som leieboere og deres besøkende. Kameraovervåking kan føre til konflikter i naboforhold hvis den ene parten føler seg overvåket av den andre. Les mer om hva du kan gjøre dersom du føler deg ulovlig overvåket

Dersom det bor flere i huset (for eksempel familiemedlemmer) eller det er noen som har ditt hjem som arbeidsplass, må de selvsagt informeres om overvåkingen.

Vær oppmerksom på at selv om overvåkingen kan være lovlig, kan man ikke bruke opptaket helt som man vil. Slike private opptak kan for eksempel vanligvis ikke publiseres uten at de som er på opptaket har samtykket.

Les mer om publisering av bilder på nett

Pleietrengende

Kamera som er satt opp av pårørende for å overvåke pleietrengende i eget hjem, vil være lov etter personopplysningsloven når det gjøres for rent personlige eller andre private formål. Det kan for eksempel være for å overvåke den pleietrengende sitt behov for hjelp og utvikling i privat hjem. Hvis den pleietrengende har samtykkekompetanse, må hun/han gi sitt samtykke til overvåkingen.

Når overvåking av en pleietrengende samtidig fanger opp andre personer, fører det ofte til reaksjoner fra eksempel hjemmesykepleien, hjemmehjelp eller vaskehjelp som utfører arbeid i hjemmet til den pleietrengende. Vi får mange spørsmål om et samtykke fra slikt personell er nødvendig for at overvåkingen skal være lovlig. Hvis formålet til de pårørende er rent personlig eller privat og opptakene ikke vil deles eller publiseres, er det ikke noe krav i loven om et slikt samtykke.

Det er ikke alltid helt klart når et formål er privat og ikke. For eksempel vil det vanligvis ikke kunne regnes som et privat formål dersom et kamera utelukkende brukes for å fange opp eventuelle feil personellet gjør. I tilfeller der det er satt opp kamera og feil personellet gjør mer "tilfeldig" fanges opp, vil kameraovervåkingen og bruken av opptak oftest regnes som privat.

Vi anbefaler en god dialog mellom pårørende og eventuelt personell før overvåkingskamera installeres og brukes der både personell og den pleietrengende ferdes. Ansatte har en viss rett til personvern på arbeidsplassen. Formålet med kameraovervåkingen bør derfor avklares på forhånd for å sikre at det ikke brukes til andre formål enn strengt private.

Borettslag, sameier og andre boligselskap

I et borettslag, boligsameie eller andre boligselskap skal all form for kameraovervåking (i tillegg til å oppfylle kravene i personvernforordningen) være forankret i et ønske blant beboerne, og det må være avklart at tiltaket har en sterk tilslutning. I praksis har to tredjedels flertall blitt lagt til grunn som en grense, og det anbefales at overvåkingen vedtektsfestes. Dette innebærer at saken legges frem på et allmøte, en generalforsamling eller lignende, og at vanlige vedtektsbestemmelser gjelder. Det er ikke tilstrekkelig at et flertall i styret er for overvåkingen.

Overvåking for å avklare etterlevelse av husordensregler, god kildesortering eller andre mindre tungtveiende formål, er ikke tillatt.

Porttelefon

Datatilsynet har tidligere godtatt systemer der et kamera er tilknyttet ringesystemet forutsatt at kameraet kun blir aktivert når det ringer på hos den enkelte beboeren. Det er også viktig at kameraet bare fanger opp området rett foran døren, og ikke mer enn det som er nødvendig for å se hvem som ringer på.

Offentlige myndigheters kameraovervåking

Offentlige områder, parker, strender og rekreasjonsområder

Private virksomheter kan vanligvis ikke overvåke offentlige områder. Med offentlige områder menes veier, gater, plasser, parker, strender og lignende. Offentlige områder skal kun overvåkes av offentlige myndigheter, slik som politiet. Dersom bare en helt uvesentlig del av offentlig område fanges opp, vil overvåkingen likevel kunne tillates. Dette betyr for eksempel at en butikk ikke kan sette opp kamera som overvåker gata utenfor. Å sette opp kamera som overvåker fasaden vil derimot kunne være greit.

Det skal mye til for at offentlige myndigheter skal kunne overvåke parker, strender og andre rekreasjonsområder. Dette er steder der den enkelte kommer for å slappe av, og derfor er overvåking her svært inngripende.

Skoler

Overvåking på skoler for å motvirke hærverk eller annen kriminalitet skal normalt avgrenses til perioder utenfor alminnelig skoletid. Dette gjelder både inne og ute på steder hvor elevene ferdes i sin skolehverdag, slik som skolegård, ganger, kantine eller klasserom. Elever og foresatte skal være godt informert om overvåkingen og når den skjer.

Private virksomheters kameraovervåking

Hjemlig eller privat situasjon

Det finnes enkelte områder som ikke er lov å kameraovervåke uansett årsak. Dette gjelder overvåking på steder hvor de overvåkede befinner seg i en hjemlig situasjon.

Det er for eksempel ikke lov å overvåke hotellrom, toalett, avkledningsgarderober, prøverom og lignende områder.

Trening, helse og basseng

Overvåking på steder der publikum normalt forventer privatliv og diskresjon, slik som legekontor, treningsstudio, spa og badebasseng, vil normalt ikke være tillatt.

Dersom det ligger helt spesielle sikkerhetshensyn til grunn, for eksempel ved overvåking av bassenganlegg, vil overvåkingen likevel kunne aksepteres hvis det foreligger et klart behov. Overvåkingen skal i disse tilfellene kun være et supplement til, og ikke i stedet for, vanlige vakter.

Utesteder og restauranter

På restauranter, kafeer, barer, nattklubber og lignende er kameraovervåking i liten grad tillatt. På steder som brukes til avslapning, rekreasjon eller sosialt samvær vil publikum i større grad ha en forventning om å ikke bli overvåket. Det skal derfor gode argumenter til for å kunne overvåke her.

Noe avhengig av situasjon og behov har det vært akseptert overvåking av inngangsparti og eventuelt av køen utenfor. Dette skal imidlertid avgrenses til de dager og tidspunkt da det som regel oppstår problemer. Overvåkingsutstyr som blir aktivisert i helt spesielle tilfeller, for eksempel i forbindelse med truende situasjoner, kan være akseptabelt ut i fra sikkerhetshensyn.

Butikk og bank

I publikumsområder i blant annet butikker, kiosker, bensinstasjoner, banker og postkontor vil publikum normalt ikke føle det som særlig krenkende at det finnes kameraovervåking. Disse områdene kan derfor overvåkes dersom man har et klart behov for å beskytte seg mot ulike typer kriminalitet. Overvåkingen må imidlertid stå i et rimelig forhold til den trusselen man står overfor.

Parkeringskontroll

Det vil kunne være tillatt å bruke kamera med automatisk skiltgjenkjenning (ANPR) i forbindelse med beboerparkering. Det kan også være tillatt for å registrere ut- og innpassering i parkeringshus og ettersende parkeringsavgift, men dette forutsetter at det finnes en mulighet til å betale på stedet og dermed få opplysningene slettet.

Transport

I transportmidler slik som buss, trikk, tog og på ferger vil kameraovervåking være tillatt dersom formålet er å ivareta passasjerenes eller de ansattes sikkerhet. Dette er områder som nærmest er å anse som offentlig sted, og der den enkelte vanligvis ikke vil ha en forventning om å være særlig privat. Kameraene bør kun fange opp de mest utsatte områdene. Overvåkingen bør også, dersom det er gjennomførbart, legges til de tidspunktene da behovet er til stede, og ikke foregå kontinuerlig. Forventningen om diskresjon er selvsagt individuell, men vil nok oppleves annerledes i en drosje enn på en bilferge.

I drosjer er det derfor ikke tillatt med kontinuerlig kameraovervåking. Her vil passasjerene normalt ha en helt annen forventning til privatliv. Dersom drosjeeieren ønsker tiltak for å øke egen eller passasjerenes sikkerhet, vil det være tilstrekkelig å ta et bilde ved turens start og/eller slutt, samt å gjøre det mulig å slå på kameraovervåkingen i truende situasjoner.

Spesielle typer overvåking

Viltkamera

Viltkamera er overvåkingskamera som plasseres i utmark for å fange opp dyreliv. Bruk av viltkamera er tillatt så lenge hensikten utelukkende er å ta bilder av dyr, og dersom det er truffet effektive tiltak for å unngå at det blir tatt bilder av mennesker.

Å kunne ferdes i skog og mark uten å bli overvåket er et viktig fellesgode. Viltkamera bør derfor bare plasseres der det er usannsynlig at mennesker ferdes. Kameraene bør uansett skiltes så man ser at området er overvåket. Hvis det blir fanget opp mennesker på opptakene, skal dette slettes.

Man må også kontakte grunneier før man eventuelt setter opp kamera. Dersom grunneier er Statskog, må man søke der om tillatelse. Skriftlig søknad med eksakt kartfesting av hvor kameraet skal stå sendes til Statskog friluftstorget på e-post .

Droner med kamera

En drone er et ubemannet fartøy. Det kan for eksempel være et fjernstyrt helikopter eller fly, og veier fra noen få gram til flere kilo. Noen droner er utstyrt med kamera.

Vi har laget en egen veileder for bruk av droner

Vær oppmerksom på at det ikke er fritt fram å legge ut opptak fra droner på nett. Man kan ha anledning til å legge noe man har filmet ut på nett, men ikke dersom det krenker andres privatliv. Man bør derfor alltid be om samtykke fra dem man har filmet før opptaket publiseres hvis de kan gjenkjennes på opptaket.

Les mer om publisering av bilder på nett

Webkamera

Bruk av fastmonterte kamera for publisering av oversiktsbilder på Internett er lov hvis det ikke kan identifiseres personer på bildene. Å legge ut oversiktsbilder på nett som for eksempel viser offentlige områder vil derfor kunne være lovlig.

Det er imidlertid ofte vanskelig å trekke en klar grense for når det mulig å identifisere enkeltmennesker. Tre gode råd er derfor

  1. å sikre at privatbebyggelse ikke kommer med på bildet
  2. lang avstand til det som fanges opp
  3. at bildekvaliteten gjør det vanskelig å se detaljer

Time lapse-videoer og jevnlig fotografering for å vise fremgang

Ofte ønsker en byggherre eller utbygger å montere et kamera som fotograferer byggeplassen med jevne mellomrom slik at det er mulig å lage en video (såkalt time-lapse) av byggeprosessen. Det forekommer også at den som monterer kameraet ønsker å legge bildestrømmen på nettet, for eksempel en kommune som ønsker å la borgerne følge med på byggingen av kommunens nye kulturhus.

Dette er lovlig hvis man følger disse to retningslinjene:

  1. Kameraets plassering og bildenes oppløsning må være slik at det ikke er mulig å gjenkjenne enkeltpersoner på bildene.
  2. Hyppigheten av fotograferingen må være så sjelden at det ikke er mulig for eksempel for byggearbeidernes arbeidsgiver å følge med på de ansattes arbeidsutførelse. Vi anbefaler at det ikke tas bilde oftere enn hvert tiende minutt.

De som er berørt av fotograferingen bør informeres om hvorfor dette er montert og hvordan det er ment å virke.

Hvordan skal kameraovervåkingen utformes?

Det finnes ulike overvåkingsformer som kan bidra til at situasjonen blir minst mulig krenkende for den som overvåkes og at potensialet for misbruk begrenses. Siden loven sier at man må holde seg innenfor det som er nødvendig, skal man velge den minst inngripende formen for kameraovervåking.

Overvåking uten opptak

Det er i mange tilfeller ikke nødvendig å gjøre opptak. Ofte er det nok med en monitor som viser hva som skjer. Monitorering uten opptak oppfattes vanligvis som mindre krenkende for den som overvåkes enn om det blir gjort opptak. Vær likevel oppmerksom på at monitorering også defineres som kameraovervåking, så må man forholde seg til regelverket akkurat som ved overvåking med opptak.

Kortvarig lagring av opptakene vil også redusere personvernulempene. 

Overføring av opptak i sanntid (streaming) og fjerntilgang

Noen kameraer tilrettelegger for at man kan se opptakene i sanntid på en mobiltelefon eller bærbar PC uansett hvor man befinner seg. Dette er mer inngripende enn lokal monitorering eller lagring. Dersom formålet kan oppnås med mindre inngripende overvåkingstiltak, skal slike tiltak velges i stedet. Denne typen kameraovervåking er altså vanligvis ikke tillatt.

Ikke lov å vise mer enn det som er relevant

Av og til viser overvåkingsbildene mer enn det man egentlig har til hensikt å overvåke. Det kan være at deler av et naboområde kommer med på bildeutsnittet, eller at overvåking av ferdsel inn til et bygg også fanger opp resepsjonisten, uten at det er hensikten.

Man har bare lov til å overvåke det som er relevant for formålet. Derfor må man unngå å filme mer enn man trenger, for eksempel ved å endre kameraplassering eller -vinkel, eller ved å snevre inn bildeutsnittet. En annen løsning kan være fysisk avskjerming av hva som filmes eller digital maskering/"sladding" av deler av bildet. En slik maskering må ikke kunne fjernes fra opptakene i ettertid. 

Tidsstyring – når skal man overvåke?

Overvåkingen må begrenses til de tidene eller situasjonene hvor behovet er størst. Overvåking kun på kvelds- og nattestid vil for eksempel være tilstrekkelig i noen tilfeller. Det vil også være en mer personvernvennlig løsning. Det betyr at hvis problemet er bråk i køen utenfor et utested, skal overvåkingen begrenses til det tidspunktet da folk faktisk står i kø.

I noen tilfeller vil en ekstra streng tidsbegrensning være nødvendig for at overvåkingen skal oppfylle interesseavveiningen og dermed være lovlig.

Styrbare kamera og zoom

Man bør generelt unngå å installere utstyr med overvåkingsmuligheter man ikke har behov for. Bruk av styrbare kamera og zoom-funksjon krever en god begrunnelse. Denne type utstyr muliggjør en nærgående og oppfølgende overvåking, noe som er mer inngripende enn overvåking uten slike muligheter. Det vil også kunne gi mulighet til å overvåke mer enn det som er tiltenkt, og dermed mer enn det som er lovlig. Potensialet for misbruk er større, og det er viktig med oppfølging av hvordan slikt utstyr blir brukt. Dette betyr at man må legge ned et betydelig arbeid for å begrense hva man kan se ved å styre kameraet. 

Hvordan kan opptakene brukes?

Hva opptakene kan brukes til, kommer an på hva det forhåndsdefinerte formålet med overvåkingen er. Man har bare lov til å bruke opptakene i tråd med dette formålet. Det er heller ikke fritt frem å utlevere opptak til andre utenfor virksomheten.

Ved en hendelse må virksomheter ha rutiner for hvilke arbeidstakere som kan se på opptaket og hvordan personopplysningene håndteres i den videre prosessen.

Som regel kan opptak utleveres til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. Ut over dette er regelen at man må ha samtykke fra de som er på opptakene for å utlevere dem - med mindre man kan dokumentere at man har et annet behandlingsgrunnlag for utleveringen. Å legge ut opptakene på internett uten den enkeltes samtykke er i utgangspunktet en grov personvernkrenkelse, og Datatilsynet har tidligere gitt overtredelsesgebyr til virksomheter som har gjort dette.

Eksempel

En virksomhet har kameraovervåking for å avdekke hærverk. Virksomheten oppdager at det har blitt tagget på en bygning på virksomhetens eiendom. I tråd med interne rutiner ser sikkerhetsansvarlig på det aktuelle opptaket for å prøve å oppklare saken. Virksomheten bestemmer seg for å politianmelde forholdet og utleverer opptaket til politiet.

Alle som er registrert hos en virksomhet har rett til innsyn i opplysninger som er lagret om seg selv. Det gjelder også for overvåkingsopptak, men retten til innsyn gjelder bare for de delene av opptakene hvor vedkommende selv er avbildet. Det er viktig at virksomheten har rutiner for å etterleve alle rettighetene de som er registrert har.

Informasjon og sletting

Man skal gi informasjon når kameraovervåking eller annen behandling av personopplysninger skjer. Skjult overvåking er ikke tillatt. Opptak skal dessuten ikke oppbevares lenger enn nødvendig.

Informasjon

Les generelt om hvilke plikter virksomheten har når det gjelder informasjon

Den mest praktiske måten å informere om kameraovervåking på, er ved hjelp av skilt som informerer om at det kameraovervåkes, hvem som er behandlingsansvarlig (altså den som har bestemt formålet med overvåkingen, og dette kan være noen andre enn den som har montert kameraet), hva formålet er og hvor man kan lese mer informasjon. Dersom overvåkingen også skjer med lyd, skal det fremgå tydelig av skiltet, men som nevnt tidligere i denne veilederen er slik overvåking normalt ikke lov.

Skiltene må ha en størrelse, plassering og et antall som gjør det lett å få med seg at området er overvåket. De skal fortrinnsvis settes der hvor man går inn i det overvåkede området. Det er viktig at varslingsskiltene gjør det forståelig hvilke områder som er overvåket. Ofte går det frem av sammenhengen, men ikke alltid. Inne i bygg er det for eksempel viktig at det varsles på nytt hvis overvåkingen fortsetter i nye soner eller rom. Hvis det varsles om kameraovervåking i resepsjonsområdet, er det ikke alltid en selvfølge det også forgår overvåking i andre deler av bygget. Det kan gjerne også stå på varslingsskiltene hva som er overvåket.

Særlig berørte parter skal informeres på en tydeligere og mer utfyllende måte. Informasjonsskriv kan være en løsning, for eksempel til nye beboere i et sameie eller skoleelever og foresatte.

Privatpersoner som kun overvåker eget hjem og hage behøver ikke å skilte, men Datatilsynet anbefaler likevel at dette gjøres. Skilting kan dessuten virke avskrekkende. Dersom overvåkingen berører andre som bor eller jobber i husstanden, bør disse uansett få informasjon om overvåkingen.

Sletting

Kameraovervåking kan virke både proaktivt (forhindre en hendelse) og reaktivt (oppklare en hendelse). Der kameraovervåking virker proaktivt, skal opptakene slettes fortløpende med et rimelig intervall – med mindre man har oppdaget en hendelse. I praksis kan syv dager være en tommelfingerregel, siden de fleste vil ha oppdaget relevante hendelser innen en uke. Loven åpner for at opptak kan lagres lenger enn dette, men i så fall må virksomheten kunne dokumentere hvorfor dette er nødvendig.

Der kameraovervåking virker reaktivt, kan man hente ut opptaket som viser den aktuelle hendelsen og ta vare på det så lenge som er nødvendig for å oppklare hendelsen, politianmelde eller fremme et rettskrav.

Sikring av opptak og anlegg

Det er viktig å sikre kameraovervåkingsanlegg på en god måte – enten overvåkingen utføres av en virksomhet, eller av en privatperson på privat grunn. Her følger noen råd om sikringen.

For virksomheter

Kravene til informasjonssikkerhet i personopplysningsloven gjelder også for kameraovervåkingsanlegg. Dagens overvåkningsanlegg er moderne informasjonssystem. Når disse knyttes til et nettverk må man være bevisst på sikringen av anlegget. Det må gjøres risikovurderinger og innføres sikkerhetstiltak. Sikkerhetstiltakene skal sikre at opptakene ikke kommer på avveier (konfidensialitet), at de ikke går tapt (tilgjengelighet), og at de er til å stole på – for eksempel hvor og når opptaket er gjort (integritet).

Det er et krav at virksomheten følger de samme prinsippene for sikring av et kameraovervåkingsanlegg som for et hvilket som helst annet informasjonssystem hvor personopplysninger blir behandlet:

  • Det er viktig å sikre opptakene slik at ikke uvedkommende får tilgang til dem. Her er fysisk sikring av stor betydning. Opptak på minnepinne, DVD eller lignende skal låses inne.
  • Ved lagring i skyen må det sørges for at leverandøren har god nok sikkerhet og at virksomhetens kundedata skilles fra andre virksomheter sine kundedata. Krav til sikkerhet skal formaliseres gjennom en databehandleravtale.
    Les eventuelt også om overføring til land utenfor EØS dersom det er aktuelt
  • Selve overvåkningsanlegget skal også sikres. Dette krever kunnskap, og dersom ikke virksomheten har det, må den skaffe profesjonell hjelp.
  • Gjør en risikovurdering: Hva kan gå galt og hva er konsekvensen hvis det går galt?
  • Dersom løsningen skal gjøres tilgjengelig fra utsiden av virksomheten må man sørge for sterk autentisering. Dette kan gjørs som en del av andre fjerntilganger til virksomhetens systemer (hjemmekontorløsning), eller som en egen løsning for overvåkningsanlegget. Det kan for eksempel være tilgang fra kun én dedikert pc, bruk av kodebrikke, sikkerhetskode tilsendt på SMS eller lignende. Både tilgang til opptak og overvåking i sanntid (monitorering) skal avgrenses etter tjenstlig behov, og som oftest vil det være nok at noen svært få har tilgang.
    Les mer om sterk autentisering
  • Sørg for at overvåkningsanlegget støtter logging. Det skal være mulig å kontrollere bruken i ettertid, for eksempel ved at brukerne får individuelle brukernavn og passord.
  • Sørg for at datatrafikken er kryptert.
  • Digitale overvåkingssystemer gjør det lettere både å kopiere og misbruke opptak. Gode rutiner og klare instrukser for bruk og kontroll av utstyret er derfor viktig. Ikke stol på at en ekstern leverandør kjenner alle kravene i regelverket, men sjekk at disse punktene er fulgt opp. Det er virksomheten som har ansvaret for at regelverket følges.

For privatpersoner

Overvåker du som privatperson, er du normalt ikke omfattet av disse reglene, men sikkerhet er allikevel viktig. Sjekk derfor at kameraanlegget ikke ligger åpent tilgjengelig på nett. Her er det fort gjort å tråkke feil. Hvis du ikke sikrer anlegget på riktig måte kan du risikere at andre får tilgang til opptakene, men også at andre kan gå inn og styre kameraene.

  • Gjør en risikovurdering
    Er det nødvendig at kameraet skal være tilgjengelig på internett?
  • Bytt standardpassordet
    Mange enheter kommer utstyrt med standard brukernavn og passord. Bytt disse.
  • Ta sikkerhetsoppdateringer
    Hackere finner stadig sårbarheter i kameraene, det er derfor viktig at du regelmessig sjekker om det finnes sikkerhetsoppdateringer til kameraet ditt.
  • Forstå hjemmeruteren
    Forstå konsekvensene av de endringer du gjør i hjemmeruteren for å få tilgang til kameraet fra Internett, feilkonfigurasjon kan føre til at også andre tjenester blir tilgjengelige for uvedkommende.
  • Bruk sikker kommunikasjon
    Når du logger deg på kameraet ditt, så husk å kun benytte sikre forbindelser/kryptering. Dette hindrer at brukernavn og passord kommer på avveie. Eksempel på sikker forbindelse er nettsider som starter med https:// og ikke http://

Hvis du er i tvil om du har gjort dette riktig, be profesjonelle om hjelp.

Spesielt om kameraovervåking i arbeidslivet

Når en arbeidsgiver ønsker å installere overvåkingskamera på arbeidsplassen, gjelder både reglene i personvernforordningen, reglene om kontrolltiltak i arbeidsmiljøloven og spesialreglene i forskriften for kameraovervåking i virksomhet.

Det er flere ulike interesser som må veies mot hverandre nr denne typen kontrolltiltak skal innføres: På den ene siden har arbeidstakerne rett til privatliv, noe som også gjelder på arbeidsplassen. På den andre siden kan arbeidsgiveren ha et legitimt behov for kameraovervåking for å løse problemer med for eksempel innbrudd eller nasking.

Vi har utarbeidet en egen, utdypende veiledning om kameraovervåking på arbeidsplassen der vi ser nærmere på regelverket, hva som må gjøres før overvåkingen kan starte og hvordan behandlingen kan gjennomføres for å være lovlig.

Hva gjør jeg hvis jeg opplever ulovlig kameraovervåking?

Selv om et overvåkingskamera kanskje er ulovlig, kan det være at den som kameraovervåker ikke ønsker å ta ned kameraet. Denne siden inneholder informasjon om hva du kan gjøre i disse tilfellene.

Kontakt Konfliktrådet

Du kan vurdere å ta kontakt med konfliktrådet i din kommune. Konfliktrådet er en statlig tjeneste som tilbyr megling som metode for å håndtere konflikter

Krenking av privatlivets fred

Dersom noen overvåker hjemmet ditt eller krenker privatlivets fred, kan du politianmelde vedkommende for brudd på straffeloven §266

Overvåket av nabo eller andre?

Du kan gå til domstolene og kreve fjerning av kameraovervåkning som er i strid med personopplysningsloven. Hvis den som overvåker deg er en nabo, kan det også være aktuelt å argumentere med at slik kameraovervåkning er i strid med naboloven §2. Naboloven har regler som forbyr naboer å ha tiltak på eiendommen som er til urimelig ulempe for naboene.

I arbeidslivet

Dersom du er en arbeidstaker, kan du ta opp saken med tillitsvalgt. Hvis overvåkingen utgjør et kontrolltiltak etter arbeidsmiljøloven, gjelder egne regler. Les mer på Arbeidstilsynet sine nettsider.