AI Act voor camerabewaking en CCTV: regels voor security en beveiliging

Een moderne beveiligingscamera is geen passieve recorder meer maar een actief AI-systeem. Persoonsdetectie, voertuigherkenning, gedragsanalyse, kenteken-OCR, crowd analytics en in toenemende mate ook biometrische identificatie zijn out-of-the-box features bij grote videovendors. Voor security-managers, gebouweigenaren, retailers, gemeenten en particuliere beveiligers betekent dit dat de keuze van een nieuw camerasysteem direct AI Act-implicaties heeft. Sommige toepassingen zijn verboden, andere hoog-risico met zware verplichtingen, en weer andere mogen gewoon door.

Dit artikel zet alle drie de risicoklassen op een rij, behandelt de specifieke spelregels voor verschillende sectoren en eindigt met een checklist en vendor-vragen.

AI in moderne beveiligingscameras: capabilities in 2026

Het verschil met camerasystemen van vijf jaar geleden is dramatisch. De volgende functies zijn inmiddels standaard:

• Persoonsdetectie: het systeem herkent of er een persoon in beeld is (versus dier, voertuig, schaduw).
• Voertuig- en objectdetectie: classificatie van objecten in scene.
• Kenteken-OCR (ANPR): leesbaar maken van kentekenplaten in realtime.
• Gedragsanalyse: detectie van vechten, vallen, rondhangen, achterlaten van objecten.
• Crowd analytics: dichtheidsmeting, looprichtingen, opstoppingen.
• Mensentelling: hoeveel personen passeren een lijn of bevinden zich in een ruimte.
• Heatmaps: waar bewegen personen zich het meest.
• Valdetectie en hulproep-detectie: vooral in zorginstellingen en stations.
• Gezichtsdetectie: er is een gezicht in beeld (versus identificatie van wie).
• Gezichtsherkenning of -identificatie: wie is deze persoon, op basis van vergelijking met een gezichtendatabase.
• Re-identificatie: dezelfde onbekende persoon volgen tussen camerabeelden.
• Categorisatie van personen: leeftijd, geslacht, etniciteit (vaak verkocht als demografie-analytics).

Het AI Act-risico verschilt per functie. Twee functies kunnen optisch identiek lijken (allebei mens in beeld) maar onder totaal verschillende regimes vallen.

Drie AI Act-risiconiveaus voor camera-AI

De AI Act kent voor camerasystemen drie relevante categorieen: verboden toepassingen (artikel 5), hoog-risico (Bijlage III), en beperkt of minimaal risico. Onderstaand de scheidslijnen per situatie.

Verbod 1: realtime remote biometrische identificatie in publieke ruimtes door rechtshandhaving

Artikel 5 lid 1 sub h verbiedt het gebruik van real-time remote biometrische identificatiesystemen in voor het publiek toegankelijke ruimten door of namens rechtshandhavingsinstanties. Het verbod kent drie uitzonderingen (gericht zoeken naar slachtoffers van bepaalde misdrijven, voorkomen specifieke en aanwezige terroristische dreiging, opsporing van verdachten van zwaar omschreven misdrijven), maar elke uitzondering vraagt voorafgaande rechterlijke toestemming en een individuele beoordeling.

Voor private partijen geldt dit verbod onder de AI Act technisch niet, maar de combinatie met de AVG en politiewet maakt realtime biometrie door bewakingsdiensten in publieke ruimte in vrijwel alle gevallen onmogelijk.

Verbod 2: emotieherkenning op werkvloer

Artikel 5 lid 1 sub f verbiedt AI-systemen die emoties van personen afleiden op de werkvloer en in onderwijsinstellingen. Een camera in een callcenter of fabriekshal die met AI bepaalt of medewerkers gestrest, ongeconcentreerd of ongelukkig zijn is daarmee verboden. Dit geldt ook als het systeem alleen voor wellbeing wordt gebruikt en niet voor beoordeling. Lees onze diepere analyse over emotieherkenning op de werkvloer voor de juridische context.

Voor security-management is dit een aandachtspunt: vendors verkopen ook beveiligings-cameras met emotieanalyse als bedreigingsdetectie. Binnen een werkomgeving, ook gericht op klanten of bezoekers die in een werkrelatie staan, kan dit het verbod raken.

Hoog-risico camera-AI

De volgende camera-toepassingen vallen in de hoog-risico categorie van Bijlage III:

• Post-hoc biometrische identificatie: het achteraf identificeren van personen op basis van eerder opgenomen camerabeelden door vergelijking met een gezichtendatabase. Toegestaan, maar onder hoog-risico regime: FRIA, registratie in EU-database, menselijk toezicht, logging, technische documentatie, etc.
• Biometrische categorisatie: AI die personen categoriseert op gevoelige kenmerken zoals etniciteit, geloofsovertuiging, politieke voorkeur, seksuele orientatie. Veel demografie-analytics-tools raken hier het hoog-risico regime of zelfs het verbod uit artikel 5 lid 1 sub g, afhankelijk van de specifieke kenmerken.
• Veiligheidskritische AI: camerasystemen die de werking van kritieke infrastructuur sturen (spoorwegen, energie, water) vallen vanwege hun functie onder hoog-risico.
• Toegangscontrole-AI: AI-systemen die op basis van camerabeelden toegang verlenen tot beveiligde locaties, vaak hoog-risico vanwege de impact op personen.

De volledige hoog-risico verplichtingen leest u in onze gids over high-risk AI systemen.

Beperkt-risico tot minimaal: persoonsdetectie zonder identificatie

De meeste reguliere AI-camerafuncties vallen in de lage risicoklasse:

• Persoonsdetectie zonder identificatie: alleen weten dat er iemand is, zonder wie te bepalen.
• Motion detection en bewegingsanalyse: standaard CCTV-functionaliteit met AI.
• Dezone-monitoring: een persoon betreedt een gemarkeerd verboden gebied.
• Mensentelling en crowd density: aggregaten zonder individu-identificatie.
• Object-achterlatingsdetectie: koffer staat al twee minuten op de stationsperron.
• Kenteken-OCR: in veel toepassingen niet hoog-risico, maar wel AVG-relevant.

Voor deze toepassingen geldt vaak alleen artikel 50 transparantie (als het systeem interacteert met natuurlijke personen) en de algemene deployer-verplichtingen uit artikel 26. Een FRIA is niet verplicht, registratie in de EU-database niet vereist.

AVG-overlap

Camerabeelden zijn altijd persoonsgegevens als individuen herkenbaar zijn. Zodra biometrische identificatie aan de orde is, schakelt u door naar bijzondere persoonsgegevens (artikel 9 AVG) met strenge voorwaarden. Voor uw camera-AI betekent dit minimaal:

• Rechtmatigheidsgrond vaststellen (gerechtvaardigd belang in beveiligingscontext, of toestemming, of wettelijke verplichting).
• Informatieplicht naar betrokkenen via duidelijke bordjes en een uitgebreid camerareglement online.
• Bewaartermijnen kort houden: 7 tot 28 dagen is gebruikelijk in beveiligingscontext, langer alleen onderbouwd.
• DPIA verplicht bij biometrie of systematische monitoring van publiek toegankelijke ruimte.
• Verwerkersovereenkomsten met de vendor en eventuele cloud-aanbieders.

De DPIA en FRIA kunnen waar mogelijk worden geintegreerd, maar zijn juridisch twee verschillende documenten.

Particuliere beveiligingsbranche: wat mag wel, wat niet

Voor commerciele beveiligingsbedrijven en gebouweigenaren zien wij drie veelvoorkomende scenarios:

• Winkelpreventie: persoonsdetectie in winkels mag, gedragsanalyse op verdacht gedrag (rondkijken, bagage gedrag) mag onder voorwaarden, maar gezichtsherkenning van klanten via een database met eerdere winkeldieven loopt op tegen zowel de AVG (bijzondere persoonsgegevens) als de AI Act (hoog-risico tot mogelijk verboden). Een database moet aantoonbaar gevuld worden met juridisch onderbouwde matches.
• Evenementen: bij evenementen zien wij steeds vaker AI-camera-pakketten met gezichtsherkenning om incidenten te volgen. Dit is per definitie hoog-risico of verboden afhankelijk van de partij die het inzet. Drukte-analyse en gedragsanalyse op aggregaatniveau blijven mogelijk.
• Kantoorgebouwen: persoonsdetectie en bewegingsanalyse mag, gezichtsherkenning voor toegangscontrole is hoog-risico met FRIA en alternatieven moeten zijn afgewogen.

Gemeente-toezichtcameras met AI

Gemeenten en andere publieke entiteiten hebben extra verplichtingen. Bij elke nieuwe AI-camerafunctie geldt artikel 27 van de AI Act: een Fundamental Rights Impact Assessment voorafgaand aan inzet. Deze FRIA documenteert het doel, de doelgroep, de potentiele impact op grondrechten, de waarborgen en het menselijke toezicht. Daarnaast geldt registratie in de EU-database van hoog-risico systemen.

Voor de verhouding met de Wet politiegegevens en de Gemeentewet (artikel 151c voor toezichtcameras) is afstemming met de gemeentelijke FG en juridische dienst vereist. Lees ook onze sectorgids voor gemeenten en overheid.

Logistieke en industriele camera-AI

In logistiek, productie en bouw zien wij toenemend gebruik van camera-AI voor productiekwaliteit, voorraadtelling en veiligheidsinspecties. Belangrijk onderscheid:

• Productkwaliteit-controle via vision-AI (visual inspection van een gelaste naad, een verpakking, een onderdeel) is geen AI-systeem dat over personen oordeelt en valt buiten de hoog-risico categorie.
• Werknemersmonitoring via camera mag voor objectieve veiligheidsdoelen (PBM-controle, toegang tot gevaarlijke zones), niet voor emotionele staat of inzet.
• Productiviteits-AI op camerabeelden van medewerkers is een grijs gebied: meten hoe vaak een handeling wordt uitgevoerd kan, maar als het systeem oordelen velt over individuele werknemers wordt het hoog-risico onder Bijlage III punt 4(b).

8-punts checklist camera-AI naleving

Vendor-vragen aan uw camera-leverancier

Voor elke nieuwe aanschaf of upgrade van camera-AI:

1. Welke AI-functies zitten standaard ingeschakeld en welke moet ik bewust aanzetten?
2. Welke functies werken met biometrische data en wat is de exacte uitkomst-categorie?
3. Bent u onder de AI Act provider en heeft u een conformiteitsverklaring afgegeven voor de hoog-risico functies?
4. Welke logs houdt het systeem bij (artikel 12 AI Act) en hoe exporteer ik die voor mijn documentatieplicht?
5. Wordt menselijk toezicht (artikel 14) afdwingbaar afgedwongen door de software, of is dat aan mij?
6. Op welke serverlocatie worden beelden en biometrische templates verwerkt?
7. Wat zijn de bekende beperkingen van de AI (false-positive en false-negative rates per type detectie)?