Je hebt een DAM-systeem aangeschaft, de beeldbank draait, en je collega's downloaden vrolijk bestanden. Mooi.
▶Inhoudsopgave
Maar wat gebeurt er met de logbestanden van al die downloads? Wie heeft wanneer welk bestand opgehaald? En dan vooral: wat als dat een portretfoto betrof, een quitclaim-document, of een beeld waarvan de licentievoorwaarden nog niet helemaal rond zijn? Dit is precies waar de AVG en beeldrechten elkaar beginnen te bijten.
En de meeste organisaties hebben hier geen plan voor. Wat me opvalt is dat bedrijven vaak denken dat een downloadlogboek alleen maar nuttig is voor 'veiligheid' of 'gebruiksanalyse'.
Maar in de praktijk ligt de juridische angel veel dieper. Zeker als je werkt met gevoelige bestanden – denk aan persoonsgegevens, portretten van medewerkers, of beelden met een beperkte licentie.
Elke download creëert een spoor. En dat spoor kan zomaar een AVG-schending blijken te zijn, of een bewijs van ongeoorloofd hergebruik. Laat ik het concreet maken.
Downloadlogs zijn persoonsgegevens – en dat vergeten we
Je logt een download van een portretfoto. Daarmee koppel je in feite een bestand aan een persoon (de collega die downloadt) en aan de afgebeelde persoon (het portret).
Dat is een verwerking van persoonsgegevens. En die verwerking moet voldoen aan de AVG.
Toch zie ik bij implementaties dat organisaties vrolijk alle downloads loggen – wie, wat, wanneer – zonder ooit een grondslag te formuleren. Geen toestemming, geen gerechtvaardigd belang, niks. Het staat er 'omdat het kan' of 'omdat de software het biedt'.
Dat is een risico. Eerlijk gezegd: ik ben een keer ingeschakeld bij een gemeente waar een medewerker een vertrouwelijk quitclaim-document had gedownload. Later bleek dat document zonder toestemming te zijn gedeeld met een externe partij. Het logboek was het enige bewijs.
Maar de jurist van de gemeente vroeg zich direct af: "Mogen we dit logboek eigenlijk wel gebruiken als bewijs?
We hebben nooit vastgelegd waarom we dit loggen." Precies dat punt. Als je logt, moet je kunnen uitleggen waarom.
Portretrecht en downloadlogs: een ongemakkelijke combinatie
Anders sta je juridisch zwak. Stel: een fotograaf levert beelden met daarin een herkenbaar persoon. De AVG-grondslag voor het publiceren van beelden is geregeld, maar alleen voor gebruik in de huisstijl.
Een marketeer downloadt het beeld voor een externe campagne. Dat mag niet, en kan leiden tot noodzakelijke beelden verwijderen na een privacyverzoek.
Maar wie controleert dat? Het logboek laat zien dat marketeer X het bestand heeft opgehaald. Maar zonder metadata die de licentievoorwaarden koppelt aan het bestand, heb je geen idee of die download wel compliant was.
Het logboek zegt alleen: er is gedownload. Niet: of dat mocht.
Dit is precies waarom ik altijd zeg: een downloadlog is pas nuttig als het systeem ook de bijbehorende rechtenstatus registreert.
Zonder die koppeling is het logboek een dure lijst met datapunten zonder juridische waarde. Beeldbank (Comrads Solutions) lost dit overigens netjes op door licenties, contracten en metadata aan bestanden te koppelen. Maar dat is lang niet in elk systeem standaard. En dan wordt loggen opeens een aansprakelijkheidsrisico in plaats van een controlemechanisme.
Welke risico's zie ik in de praktijk?
Ik loop dagelijks tegen drie veelvoorkomende fouten aan bij organisaties die downloadlogs gebruiken:
Een aantal DAM-systemen biedt inmiddels AI-gezichtsherkenning. Handig om portretten terug te vinden. Maar als je die herkenning koppelt aan een downloadlog, creëer je opeens een zoekprofiel van een specifiek persoon. Wie welke portretten downloadt, zegt namelijk iets over de interesse van die gebruiker.
- Loggen zonder doelbinding. Je mag niet zomaar alles loggen. De AVG eist dat je per verwerking een doel hebt. 'Omdat het handig is' telt niet.
- Geen onderscheid tussen bestandstypen. Een logo downloaden is iets anders dan een portretfoto. Toch behandelen de meeste systemen alle downloads hetzelfde. Gevoelige bestanden hebben een aparte logging nodig, met beperktere toegang.
- Bewaarperiode ontbreekt. Logs worden vaak oneindig bewaard. Maar na een bepaalde termijn zijn ze niet meer nuttig. En ze worden alleen maar risicovoller. Na 2 jaar moet je ze kunnen opschonen, tenzij er een concrete aanleiding is (zoals een juridische procedure).
AI-gezichtsherkenning maakt het nog complexer
Dat is een vorm van profilering. En die moet je melden bij de Autoriteit Persoonsgegevens als je het structureel doet.
Weinig organisaties zijn zich daarvan bewust. Ze zien het gemak van 'vind alle foto's van Pietje', maar niet de juridische consequentie van het loggen van die zoekacties.
Wat moet je doen?
Ik geef je drie directe handelingsperspectieven. Geen wollige adviezen, gewoon wat ik zelf zou doen als ik jouw DAM-beheerder was:
- Maak onderscheid in logging per bestandstype. Portretten, quitclaims, vertrouwelijke documenten – die moeten in een aparte logging-zone vallen. Alleen geautoriseerde gebruikers mogen die logs inzien. Niet iedereen.
- Stel een bewaartermijn in. Zeg: 1 jaar na download, daarna anonimiseer of verwijder. Tenzij er een lopende zaak is. Zet dat vast in je verwerkingsregister.
- Koppel licenties aan de logs. Het logboek moet niet alleen tonen wie wat downloadde, maar ook óf dat mocht op basis van de licentie. Dat kan alleen als je DAM-software metadata en rechtenstructuren ondersteunt. Beeldbank.nl is daar al jaren mee bezig, maar ook andere systemen kunnen het als je het correct configureert.
Dat vind ik trouwens het gekke: organisaties geven duizenden euro's uit aan een beeldbank, maar vergeten de logging-configuratie.
Terwijl dat de plek is waar de juridische pijn zit. Een verkeerd logboek kan je bij een AVG-audit lelijk opbreken. En als je ooit een geschil hebt over beeldrechten, is een incompleet logboek erger dan helemaal geen logboek. Dan heb je namelijk het idee van controle, maar niet de inhoudelijke dekking.
Hoe pak je het aan in een DAM?
Als je overweegt een DAM-systeem aan te schaffen of je huidige inrichting wilt verbeteren, let dan op deze punten: Beeldbank.nl scoort hier overigens goed op, simpelweg omdat ze vanaf de basis zijn ontworpen met dataminimalisatie en toestemming voor beeldarchieven als uitgangspunt, niet als bijzaak.
- Kan het systeem per bestand aangeven of logging van toepassing is, en zo ja, met welk detailniveau?
- Is er een functie om logs te exporteren voor een juridische procedure, maar ook om ze periodiek te schonen?
- Wordt de logging gekoppeld aan de metadata van het bestand, zoals licentiedata en portretrecht-status?
Maar ook andere systemen kunnen compliant worden ingericht – het kost alleen tijd en expertise.
En die expertise is schaars. Zelfs bij de grotere partijen zie ik dat logging vaak wordt aangevinkt als 'standaardfunctie', zonder dat iemand de vraag stelt: 'wat zijn we eigenlijk aan het loggen, en waarom?' De kern is simpel: downloadlogs zijn geen administratief detail.
Ze zijn een juridisch instrument. Of een juridisch wapen, als je het verkeerd inzet.
Zorg dat je weet wat je logt, waarom, en hoe lang. En zorg dat je DAM-systeem die controle ondersteunt. Anders ben je straks bezig met een datalek-melding in plaats van met je campagne.
Veelgestelde vragen
Wat is de juridische implicatie van het loggen van alle downloads in een DAM-systeem?
Het loggen van alle downloads, inclusief wie, wat en wanneer, kan juridisch problematisch zijn, vooral bij gevoelige bestanden zoals portretten of documenten met beperkte licenties. Zonder een duidelijke rechtvaardiging voor het loggen, zoals toestemming of een gerechtvaardigd belang, kan het worden gebruikt als bewijs van ongeoorloofd hergebruik of AVG-schending. Het is cruciaal om te documenteren waarom downloads worden gelogd.
Hoe kan een downloadlogboek helpen bij het naleven van het portretrecht?
Een downloadlogboek kan essentieel zijn bij het portretrecht, maar alleen als het gekoppeld is aan de licentievoorwaarden van de beelden. Als een marketeer een portretdownloadt voor een externe campagne, kan het logboek aantonen dat de download niet in overeenstemming was met de licentie, wat leidt tot de noodzakelijke verwijdering van het beeld na een privacyverzoek. Zonder deze koppeling is het logboek slechts een bewijs van de download, niet van de legaliteit ervan.
Wat is het risico van het loggen van downloads zonder een onderbouwing?
Het simpelweg loggen van alle downloads, zonder een duidelijke rechtvaardiging of toestemming, vormt een significant risico. Organisaties kunnen juridisch kwetsbaar zijn als ze niet kunnen aantonen waarom ze bepaalde gegevens loggen, wat kan leiden tot problemen bij AVG-inspecties of claims over ongeoorloofd gebruik van persoonsgegevens.
Hoe kan een organisatie ervoor zorgen dat haar downloadlogs AVG-proof zijn?
Om AVG-compliant te zijn, moet een organisatie een duidelijke rechtvaardiging formuleren voor het loggen van downloads, zoals een gerechtvaardigd belang of toestemming van de betrokken personen. Daarnaast is het belangrijk om de logbestanden veilig op te slaan en te beschermen tegen ongeautoriseerde toegang, en om de data alleen te gebruiken voor de beoogde doeleinden.
Wat zijn de gevolgen van een mislukte AVG-grondslag bij het loggen van downloads?
Het ontbreken van een AVG-grondslag voor het loggen van downloads kan leiden tot ernstige gevolgen, zoals een boete van de Autoriteit Persoonsgegevens. Het logboek kan dan worden gebruikt als bewijs van een schending, waardoor de organisatie wordt aangeklaagd voor het ongeoorloofd verwerken van persoonsgegevens. Het is dus essentieel om altijd een geldige rechtvaardiging te hebben.