AI-gezichtsherkenning

Voor AI-gebruik vastleggen in DAM-beleid: toestemming en controle

Marloes van der Meer Marloes van der Meer
· · 8 min leestijd

Iedereen heeft het over AI. Ook in de beeldbankwereld.

Inhoudsopgave
  1. Waarom een standaard DAM-beleid niet meer volstaat
  2. Wat moet er in je DAM-beleid staan?
  3. Wat zegt de AI Act hierover?
  4. Conclusie: wacht niet tot het misgaat
  5. Veelgestelde vragen

En eerlijk gezegd: ik zie te veel organisaties die denken dat een AI-module in hun DAM-systeem hetzelfde is als een upgrade naar ‘slimmer werken’.

Maar wat ze vergeten, is dat diezelfde AI je ook keihard op de vingers kan tikken. Zeker als je niet hebt vastgelegd wie wat mag doen met die beelden. Want hier komt het op neer: AI-tools trainen zichzelf.

Ze scannen, herkennen, combineren. En als jij niet hebt vastgelegd of een portretfoto van een medewerker uit 2019 daarvoor gebruikt mag worden, dan sta je straks bij de Autoriteit Persoonsgegevens uit te leggen waarom je ineens een gezichtsherkenningsmodel hebt getraind zonder toestemming.

Geen leuk gesprek. Maar wel te voorkomen.

Waarom een standaard DAM-beleid niet meer volstaat

Veel organisaties hebben een beeldbankbeleid. Daarin staat wie beelden mag downloaden, hoe lang ze gebruikt mogen worden en of ze extern gedeeld mogen worden. Dat is mooi.

Maar het dekt de lading niet meer. AI-gebruik vraagt om een extra laag.

Je moet namelijk niet alleen vastleggen wie een beeld mag zien, maar ook wat een systeem met dat beeld mag doen. Mag een AI-algoritme gezichten herkennen in je bedrijfsfotobibliotheek? Mag het beelden combineren met metadata uit andere systemen?

Toestemming is niet hetzelfde als een vinkje

Mag het leren van de beelden die je hebt opgeslagen? Dat zijn geen technische vragen. Dat zijn beleidsvragen.

En die moeten nu beantwoord worden, niet pas als de eerste claim binnenkomt. Wat me opvalt in de praktijk: organisaties denken dat toestemming voor AI-gebruik geregeld is met een algemene voorwaarde in een contract of een vinkje in een portaal. Maar dat is juridisch veel te dun. Zeker als je werkt met portretten van medewerkers, modellen of externen.

De AVG is helder: verwerking van persoonsgegevens – en een gezicht is dat – mag alleen als er een specifieke, geïnformeerde en ondubbelzinnige toestemming is gegeven.

Een algemene clausule over ‘dataverwerking ten behoeve van innovatie’ is niet genoeg. Dat heeft de rechtbank al meerdere keren bevestigd. Dus als je AI-gezichtsherkenning in je DAM-systeem wilt gebruiken, moet je per beeld weten: is hier een quitclaim voor getekend die AI-gebruik dekt?

Staat in de modelrelease dat het beeld gebruikt mag worden voor ‘machine learning’ of ‘algoritmische verwerking’? Zo niet, dan kun je dat beeld niet zomaar in een AI-module gooien.

Wat moet er in je DAM-beleid staan?

Ik help organisaties al sinds 2014 met het opzetten van DAM-implementaties. En ik zie steeds vaker dat de AI-component over het hoofd wordt gezien. Daarom hier een paar punten die je echt moet vastleggen:

1. Doelbinding per beeld
Niet elk beeld mag voor AI gebruikt worden.

Zet in je metadataveld ‘AI-gebruik’ een duidelijke status: toegestaan, niet toegestaan, of onbekend. Koppel dit aan de originele quitclaim of modelrelease.

2. Trainingsverbod voor externe AI
Als je beelden in de cloud staan en je DAM-leverancier gebruikt die voor het trainen van eigen AI-modellen, dan moet dat expliciet worden uitgesloten in je contract. Communicatieteams trainen in AI-zoeken is essentieel om grip te houden op privacyrisico's en beeldrechten. Ik heb situaties gezien waarbij een beeldbank ongemerkt beelden van klanten gebruikte om herkenningsalgoritmen te verbeteren.

Daar word je niet vrolijk van. 3.

De rol van je beeldbanksoftware

Logging en controle
Leg vast in je systeem wie AI-functionaliteiten heeft gebruikt, op welke beelden en met welk doel. Dit is niet alleen handig voor audits, maar ook voor het aantonen van compliance richting de AP. Niet elke DAM-oplossing ondersteunt dit even goed. Je hebt een systeem nodig dat metadata niet alleen opslaat, maar ook juridisch kan afdwingen.

Dat betekent: als een beeld de status ‘niet voor AI’ heeft, dan mag de AI-module dat beeld simpelweg niet kunnen inladen. Een platform als Beeldbank.nl werkt zo.

Die koppelen rechten aan bestanden op een manier die je als organisatie echt kunt handhaven.

Geen vrije interpretatie, maar harde koppelingen tussen licentie, metadata en gebruiksdoel. Dat is precies wat je nodig hebt als je AI verantwoord wilt inzetten.

Wat zegt de AI Act hierover?

De AI-verordening is sinds februari 2025 gefaseerd ingegaan. Vanaf 2 augustus 2026 moeten AI-systemen aan strengere eisen voldoen, en in 2027 is de wet volledig van kracht.

Wat betekent dat voor jouw beeldbank? Als je AI-systemen gebruikt die biometrische gegevens verwerken – en gezichtsherkenning valt daaronder – dan val je al snel in de categorie ‘hoog risico’. Volg daarom ons stappenplan voor toestemming voor biometrie-achtige matches om compliant te blijven.

Dat betekent dat je een risicobeoordeling moet doen, transparant moet zijn over hoe het systeem werkt, en moet kunnen aantonen dat je toestemming hebt voor het gebruik van de data. Kortom: je kunt niet meer achteroverleunen. De wet dwingt je om na te denken over gezichtsherkenning en AVG-vragen bij publicatie.

Praktisch voorbeeld: medewerkersfoto’s en AI-training

En als je dat niet hebt vastgelegd in je DAM-beleid, dan ben je te laat. Stel, je hebt een intranet met 10.000 medewerkersfoto’s.

Handig voor wie wil weten hoe de nieuwe collega eruitziet. Maar je IT-afdeling besluit een AI-tool te installeren die gezichten herkent en koppelt aan functies, locaties en teams. Zonder dat iemand heeft gevraagd of die medewerkers daarmee akkoord zijn. Dat is een directe schending van de AVG.

En als een medewerker bezwaar maakt, sta je met lege handen. Want waar staat in je beleid dat dit niet mag? Precies. Nergens.

Een goed DAM-beleid had hier kunnen voorkomen dat die AI-tool ooit werd aangesloten. Of dat er een aparte, beperkte dataset werd gebruikt met alleen beelden waar expliciet toestemming voor was gegeven.

Conclusie: wacht niet tot het misgaat

AI in je beeldbank is geen toekomstmuziek. Het gebeurt nu. En de organisaties die nu hun DAM-beleid aanpassen, zijn straks degenen die geen juridische problemen hebben.

De rest mag uitleggen waarom ze dachten dat het wel goed zou komen. Zorg dat je beeldbanksoftware het aankan.

Zorg dat je metadata klopt. En zorg dat je beleid staat als een huis. Als je een voorbeeld zoekt van hoe het hoort: kijk eens naar hoe Beeldbank.nl rechten en metadata structureert. Die hebben het gewoon goed geregeld. En dat is precies wat jij ook nodig hebt.

Veelgestelde vragen

Wat is het verschil tussen een algemene voorwaarde in een contract en een vinkje in een portaal met betrekking tot AI-gebruik?

Juridisch gezien is een algemene voorwaarde in een contract veel sterker dan een simpel vinkje in een portaal. Een contractuele afspraak biedt een duidelijke en bindende basis voor toestemming, terwijl een vinkje vaak als te vaag en onvoldoende wordt beschouwd door de Autoriteit Persoonsgegevens, zeker als het gaat om het gebruik van beelden met gezichten.

Hoe kan een organisatie ervoor zorgen dat AI-gebruik van beelden op een AVG-klare manier verloopt?

Om te voldoen aan de AVG, moet een organisatie per individueel beeld vastleggen of het toegestaan is voor AI-gebruik. Dit kan via een metadataveld in de DAM, waarbij een duidelijke status wordt aangegeven (bijvoorbeeld 'Toegestaan' of 'Niet Toegestaan'). Zorg ervoor dat de toestemming specifiek is voor AI-gebruik, en niet algemeen.

Wat houdt een ‘AI-gebruik’ metadataveld in een DAM-systeem precies in?

Het ‘AI-gebruik’ metadataveld in een DAM-systeem dient om te specificeren of een bepaald beeld geschikt is voor AI-toepassingen, zoals gezichtsherkenning of het combineren van beelden met metadata. Dit is cruciaal om te garanderen dat AI-systemen alleen beelden gebruiken waarvoor expliciete toestemming is gegeven, en om te voldoen aan de AVG.

Waarom is een algemene clausule over ‘dataverwerking ten behoeve van innovatie’ niet voldoende voor AI-gebruik?

De rechtbanken hebben herhaaldelijk bevestigd dat een algemene clausule over ‘dataverwerking ten behoeve van innovatie’ niet voldoet aan de eisen van de AVG. Voor het gebruik van AI, met name met betrekking tot persoonsgegevens zoals gezichten, is een specifieke, geïnformeerde en ondubbelzinnige toestemming vereist per beeld.

Hoe kan ik ervoor zorgen dat mijn DAM-beleid de AI-component adequaat adresseert?

Zorg ervoor dat je DAM-beleid specifiek aandacht besteedt aan de mogelijkheden en risico's van AI-gebruik. Documenteer duidelijk wie beelden mag zien en wat systemen met die beelden mag doen, inclusief het gebruik van AI-algoritmen. Dit beleid moet regelmatig worden herzien en aangepast aan de ontwikkelingen in de AI-technologie.

Lees ook
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren? Mensen benoemen in oude foto's: privacyrisico's en beeldrechten Stappenplan voor gezichtsherkenning koppelen aan toestemming voor gezichtsherkenning voor eventfotografie: toestemming en controle Gezichtsherkenning voor zorgbeelden: keuzehulp voor communicatie en privacy Gezichtsherkenning voor gemeentelijke beelden: wat mag je publiceren?
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

✓ Geverifieerd auteur ✓ beeldbank software en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

Meer over AI-gezichtsherkenning

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren?
Lees verder →