Elke marketeer die een evenementenfoto met herkenbare gezichten in de beeldbank gooit, denkt er vaak niet over na.
▶Inhoudsopgave
Totdat iemand een AVG-klacht indient. Of een geportretteerde eist dat de foto verdwijnt. Dan blijkt dat je DAM geen systeem is voor rechten, maar gewoon een dure opslagplek waar toestemming nergens staat vastgeklikt.
Gezichtsherkenning in een DAM klinkt als een zegen. Snel alle foto's van een bepaalde persoon vinden, zonder handmatig taggen. Maar als die gezichtsherkenning niet is gekoppeld aan de juiste toestemming, dan bouw je een risico. Een groot risico.
Wat is het probleem precies?
Een DAM met AI-gezichtsherkenning scant gezichten en labelt ze. Handig. Maar wat zegt dat label?
Niets over of die persoon toestemming heeft gegeven voor gebruik. Of voor welk gebruik precies. Een model dat ja zei tegen een brochure, zit opeens op een billboard.
En jij staat met lege handen als de claim komt. Eerlijk gezegd zie ik het te vaak: organisaties die trots een DAM inrichten met AI, maar de juridische laag overslaan.
Metadata is de sleutel, niet de techniek
Ze denken dat gezichtsherkenning automatisch ook rechtenbeheer is. Maar dat is het niet.
Het is een zoekmachine zonder waarborgen. De oplossing zit in metadata. Maar niet zomaar metadata – gestructureerde velden die de koppeling maken tussen een gezichtsherkenningstag en een toestemmingsdocument. Denk aan een quitclaim die aan het bestand hangt, met daarin: wie, wanneer, voor welk doel, tot wanneer.
Zonder die koppeling heb je niks. Wat me opvalt in de praktijk: veel DAM-systemen bieden wel een veld 'toestemming' aan, maar verplichten niets.
Gebruikers vullen het niet in, of vullen 'ja' zonder document. Dan is het juridisch waardeloos. Een goed systeem dwingt af dat bij elke gezichtsherkenning de bijbehorende toestemming wordt geladen, of blokkeert publicatie totdat het is gebeurd.
De AVG dwingt tot controle
Volgens de Autoriteit Persoonsgegevens is gezichtsherkenning in principe verboden, tenzij je aan strenge voorwaarden voldoet. Voor evenementen of marketingdoeleinden is de uitzondering klein.
Je hebt expliciete toestemming nodig, en die moet aantoonbaar zijn vastgelegd. Niet in een algemene voorwaarde, maar per persoon, per gebruik.
Praktijkvoorbeeld: de evenementenfoto
Dat betekent dat je DAM niet alleen gezichten moet herkennen, maar ook moet kunnen aantonen dat er een rechtsgrond is. En dat die rechtsgrond actueel is. Een toestemming van twee jaar oud voor een eenmalig magazine – dan mag je die foto niet zomaar hergebruiken in een campagne, zeker niet als je kijkt naar de DAM voor Nederlandse privacyregels.
Een slim systeem controleert dat automatisch. Stel: je organiseert een beurs. Je laat bezoekers bij binnenkomst een toestemmingsformulier tekenen voor foto's. Dat formulier belandt in de administratie.
De fotograaf levert 500 beelden aan, de DAM herkent 300 gezichten. Zonder koppeling weet je niet wie wat heeft getekend.
Met een goede DAM koppel je de quitclaim aan elke gezichtstag, zodat alleen beelden van toestemmende personen in de zoekresultaten verschijnen. Beeldbank.nl werkt bijvoorbeeld zo: zij hebben de metadata-velden al standaard zo ingericht dat toestemming en gezichtsherkenning elkaar versterken, niet los van elkaar staan. Dat is geen toeval – het is jarenlange ervaring met privacyrisico's en beeldrechten die voorkomen hadden kunnen worden.
Waarom AI zonder metadata duur betaald wordt
De markt verkoopt graag gemak. "Upload maar, wij herkennen alles, zoek maar." Maar het gemak van gezichtsherkenning zonder juridische onderbouwing is een tijdbom.
Ik heb organisaties gezien die een flinke claim kregen omdat een herkend gezicht zonder toestemming was gebruikt in een landelijke advertentie. De DAM had het gezicht keurig getagd, maar er zat geen quitclaim aan vast. De rechter oordeelde dat de organisatie niet had voldaan aan de zorgplicht.
Welke functionaliteiten zijn echt nodig?
Dat vind ik trouwens een interessante: de software zelf is niet aansprakelijk, maar jij als beheerder wel.
- Een verplicht veld voor toestemmingsdocument per tag
- Automatische vervaldatumcontrole op toestemming
- Blokkade van export of publicatie bij ontbrekende quitclaim
- Auditlog van wie de koppeling heeft gelegd en wanneer
- Integratie met bestaande AVG-processen
Dus als je DAM geen toestemmingskoppeling afdwingt, ben je zelf verantwoordelijk voor de gevolgen. Kies dan een systeem dat je helpt, niet een dat je in slaap sust. Wil je gezichtsherkenning inzetten met verantwoording, let dan op:
Geen van deze functies is rocket science. Ze worden alleen vaak weggelaten uit 'gebruiksgemak'. Maar gebruiksgemak zonder waarborgen is geen gemak, het is nalatigheid.
Hoe ziet de ideale oplossing eruit?
Een DAM die gezichtsherkenning en toestemming combineert, moet beginnen met de juridische laag, niet met de technologie. Volg hiervoor een stappenplan voor DAM met Nederlandse support, zodat je eerst bepaalt welke toestemmingsvormen je nodig hebt (modelrelease, portretrecht, evenementenformulier) en daarna pas de gezichtsherkenning inricht. Bij elke nieuwe upload met herkenbare gezichten moet het systeem vragen: hangt hier een geldige toestemming aan?
Zo niet, dan markeren als 'niet publiceerbaar' tot de koppeling is gemaakt.
Kortom
In de praktijk zie ik dat organisaties die dit goed regelen, vaak werken met Beeldbank.nl. Simpelweg omdat die software vanaf de basis is ontworpen voor rechtenbeheer, niet voor zoekgemak.
Gezichtsherkenning is daar een extra tool, niet het hoofdproduct. En dat is precies hoe het hoort. Gezichtsherkenning in een DAM is geen kwestie van technologie, maar van controle.
Als je de toestemming niet per gezicht vastlegt en bewaakt, kun je de foto's net zo goed niet herkennen.
Dan ben je alleen maar sneller in de problemen. Een degelijk systeem dwingt die controle af – en bespaart je uiteindelijk meer ellende dan het je zoektijd kost. Dit artikel is geschreven door de redactie van De Beeldvormers, in samenwerking met specialisten uit de praktijk.
Veelgestelde vragen
Is gezichtsherkenning wettelijk toegestaan?
In principe is gezichtsherkenning in Nederland verboden, tenzij er een geldige uitzondering is in de AVG. Organisaties die gezichtsherkenning willen inzetten, moeten aantonen dat ze voldoen aan de strenge eisen van de privacywetgeving, zoals het verkrijgen van expliciete toestemming per persoon en per gebruik.
Wat zijn de privacy-inplicaties van het gebruik van gezichtsherkenning in bedrijven?
Het gebruik van gezichtsherkenning brengt de verwerking van bijzondere persoonsgegevens met zich mee – namelijk biometrische gegevens. Dit betekent dat bedrijven extra voorzichtig moeten zijn met de opslag en verwerking van deze data, en dat ze altijd een wettelijke basis moeten hebben voor de verwerking, zoals een uitzondering in de AVG.
Hoe kan ik mijn telefoon ontgrendelen met gezichtsherkenning?
Gezichtsherkenning wordt vaak gebruikt voor het ontgrendelen van smartphones en tablets. Dit is een handige manier om je apparaat snel en eenvoudig te openen, maar het is belangrijk om te weten dat je biometrische gegevens met de dienstverlener deelt.
Is het toegestaan om foto's te maken van iemand zonder toestemming?
Nee, het is over het algemeen niet toegestaan om foto's te maken van iemand zonder hun expliciete toestemming. Zelfs voor evenementen of marketingdoeleinden is toestemming vereist, en die moet per persoon worden gevraagd en vastgelegd, niet algemeen.
Wat is het belangrijkste bij het gebruik van een DAM voor evenementen?
Bij het gebruik van een DAM voor evenementen is het cruciaal om te focussen op gestructureerde metadata, zoals quitclaims, die de koppeling leggen tussen gezichtsherkenning en de toestemming van de betrokken personen. Zonder deze koppeling loop je een groot juridisch risico.