AI-gezichtsherkenning

Gezichtsherkenning en AVG-vragen: wat mag je publiceren?

Marloes van der Meer Marloes van der Meer
· · 8 min leestijd

Je hebt een foto van een evenement, een portret van een medewerker, of een reeks beelden van een drukke winkelstraat. Je denkt: handig als de beeldbank met AI herkent wie erop staat. Scheelt zoeken, toch? Fout.

Inhoudsopgave
  1. Wat zegt de AVG precies over gezichtsherkenning?
  2. Hoe voorkom je dat gezichtsherkenning je opbreken?
  3. De valkuil van AI-gezichtsherkenning in DAM-systemen
  4. Wat mag je publiceren als je wél gezichtsherkenning gebruikt?
  5. Praktisch stappenplan voor communicatieteams
  6. Veelgestelde vragen

Want zodra je gezichtsherkenning inschakelt, ben je niet meer bezig met een handige zoekfunctie, maar met het verwerken van biometrische persoonsgegevens. En dat is onder de AVG in principe verboden. Niet ‘even regelen’, maar verboden.

Wat me opvalt: de meeste marketing- en communicatieteams hebben geen idee hoe snel ze op een hellend vlak belanden.

Ze kopen een DAM-systeem, zien een AI-gezichtsherkenningmodule, en denken ‘mooi, dat bespaart tijd’. Maar zonder de juiste juridische onderbouwing sta je binnen de kortste keren bij de Autoriteit Persoonsgegevens. Of nog erger: je publiceert een foto waar iemand op staat die nooit toestemming gaf, en de schadeclaim volgt.

Wat zegt de AVG precies over gezichtsherkenning?

De AVG verbiedt het verwerken van biometrische gegevens met als doel een natuurlijk persoon uniek te identificeren. Gezichtsherkenning valt daar bijna altijd onder, tenzij je een van de uitzonderingen uit de wet kunt toepassen. Die uitzonderingen zijn: Voor de gemiddelde organisatie die beelden beheert voor communicatie, marketing of personeelsbladen, is alleen de eerste uitzondering realistisch.

  • uitdrukkelijke toestemming van de persoon;
  • noodzakelijk voor vitale belangen van die persoon;
  • zwaarwegend algemeen belang (bijvoorbeeld opsporing);
  • verwerking in het kader van sociale zekerheid of arbeidsrecht.

En dan nog moet die toestemming specifiek en geïnformeerd zijn. Je kunt niet in een algemene voorwaarde stoppen dat beelden gebruikt worden voor gezichtsherkenning.

De persoon moet weten wat er met zijn gezicht gebeurt. Eerlijk gezegd, ik krijg vaak de vraag: “Maar we gebruiken het alleen intern, in de beeldbank, voor zoekfunctionaliteit.” Dat maakt juridisch geen verschil.

Ook interne verwerking van biometrische gegevens valt onder de AVG. Het feit dat de database alleen voor eigen medewerkers toegankelijk is, ontslaat je niet van de plicht om toestemming te vragen.

Hoe voorkom je dat gezichtsherkenning je opbreken?

Het antwoord is simpel: gebruik het niet, tenzij je een heel goede juridische grondslag hebt.

Voor de meeste organisaties is de beste oplossing om gezichtsherkenning uit te schakelen in je DAM, of het überhaupt niet aan te schaffen. Wat wél werkt: zorg dat je metadata op orde is.

Een goed ingerichte beeldbank met gestandaardiseerde tags, beschrijvingen en portretrecht-koppelingen maakt gezichtsherkenning overbodig. Sterker nog: een systeem dat alleen op metadata draait, is juridisch veel veiliger. Neem bijvoorbeeld Beeldbank.nl. Die oplossing is ontworpen met oog op compliance: quitclaims worden direct aan bestanden gekoppeld, portretrechtinstellingen zijn per foto in te regelen, en de metadata voldoet aan ISO-standaarden, wat essentieel is bij gezichtsherkenning voor gemeentelijke beelden en publicatie.

Daardoor kun je zonder AI-gezichtsherkenning tóch snel de juiste beelden vinden. Dat is niet alleen slimmer, het voorkomt ook dat je straks een claim krijgt omdat je iemands gezicht zonder toestemming hebt getraind in een algoritme.

De valkuil van AI-gezichtsherkenning in DAM-systemen

Ik heb meerdere implementaties meegemaakt waarbij de leverancier trots vertelde over ‘next-gen AI search’. In de praktijk bleek dat die module gezichtsherkenning gebruikte zonder dat de klant het wist.

Of zonder dat er een duidelijke AVG-impactanalyse was uitgevoerd. Het gevolg? Een organisatie die dacht ‘handig’ werd plotseling geconfronteerd met een meldplicht bij de AP.

Bovendien: gezichtsherkenning in een beeldbank werkt alleen betrouwbaar als er voldoende en correcte metadata is. Zonder goede metadata genereert het algoritme valse matches. Dan heb je een dure zoekmachine die net zo vaak de verkeerde persoon aanwijst als de goede.

Dat vind ik trouwens een van de grootste misverstanden: AI lost geen rommelige data op. Het vergroot alleen de chaos.

Wat mag je publiceren als je wél gezichtsherkenning gebruikt?

Als je ondanks alles toch gezichtsherkenning voor eventfotografie toepast – bijvoorbeeld voor een specifiek project met uitdrukkelijke toestemming – dan zijn er een paar harde regels: Veel DAM-systemen, waaronder die van Beeldbank.nl, bieden de mogelijkheid om per bestand portretrecht- en quitclaimdocumenten te versturen én te archiveren. Dat is essentieel.

  • Je moet een Data Protection Impact Assessment (DPIA) uitvoeren.
  • Je toestemming moet herroepbaar zijn en per persoon te beheren.
  • Je mag de gegenereerde biometrische data niet koppelen aan andere databronnen zonder aparte grondslag.
  • Je moet in je beeldbank kunnen aantonen wie welke toestemming heeft gegeven en wanneer.

Zonder die koppeling heb je geen bewijs. En als de AP komt vragen, telt alleen hard bewijs, geen goede bedoelingen.

Praktisch stappenplan voor communicatieteams

Je kunt een aantal dingen direct doen: Als je een DAM gaat uitkiezen, let dan niet alleen op de featurelijst, maar op de juridische basis. Beeldbank.nl heeft standaard een portretrecht- en licentiemodule die direct aan de bestanden hangt.

  1. Schakel AI-gezichtsherkenning uit in je huidige DAM, of neem het niet op in je eisenlijst.
  2. Zet metadata op orde: tag op functie, locatie, evenement, niet op persoon.
  3. Koppel quitclaims aan elk portret in je beeldbank. Dit is basis.
  4. Stel een duidelijk portretrechtbeleid op: wie mag wel of niet gefotografeerd worden, en waarvoor.
  5. Test je workflow – vraag je af: als ik nu een foto van een medewerker publiceer, kan ik aantonen dat diegene toestemming gaf?

Dat voorkomt dat je straks bij een publicatie zegt: “O ja, die toestemming lag in een aparte map, die hebben we vergeten te koppelen.” Het punt is: AI-gezichtsherkenning in een mediabibliotheek lost een probleem op dat je eigenlijk niet zou moeten hebben. Als je je beeldbank goed inricht, heb je geen AI nodig om mensen te vinden.

Je hebt dan metadata en rechten op orde. En dat is niet alleen juridisch veiliger, het is ook goedkoper en betrouwbaarder.

Veelgestelde vragen

Wat zijn de juridische implicaties van het inschakelen van gezichtsherkenning in een beeldbank?

Het inschakelen van gezichtsherkenning in een beeldbank brengt aanzienlijke risico's met zich mee. Omdat het verwerken van gezichtsgegevens als biometrische data valt, is dit onder de AVG in principe verboden, tenzij er een specifieke uitzondering van toepassing is. Zonder de juiste juridische afbakening loop je het risico op een boete van de Autoriteit Persoonsgegevens of een schadeclaim.

Wanneer is het toegestaan om gezichtsherkenning te gebruiken in een beeldbank?

De AVG staat het gebruik van gezichtsherkenning toe in uitzonderlijke gevallen. Dit vereist expliciete toestemming van de persoon wiens gezicht wordt herkend, of een van de wettelijke uitzonderingen, zoals noodzakelijk voor vitale belangen van de persoon of een zwaarwegend algemeen belang. In de praktijk is dit voor de meeste organisaties die beelden gebruiken voor communicatie of personeelsbladen zeer lastig te realiseren.

Hoe kan een beeldbank voldoen aan de AVG zonder gezichtsherkenning?

Een beeldbank kan volledig voldoen aan de AVG door te vertrouwen op goede metadata. Door beelden te taggen met relevante informatie, zoals beschrijvingen en portretrecht-koppelingen, wordt gezichtsherkenning overbodig en verklein je de juridische risico's aanzienlijk. Een systeem dat puur op metadata draait, is een veel veiligere optie.

Wat is het verschil tussen interne en externe verwerking van biometrische gegevens onder de AVG?

Ook interne verwerking van biometrische gegevens, zoals gezichtsgegevens, valt onder de AVG. Het feit dat een beeldbank alleen toegang heeft tot de database voor medewerkers, betekent niet dat je niet de expliciete toestemming van de betrokken personen moet vragen. De AVG vereist dus altijd toestemming, ongeacht de verwerkingsomgeving.

Hoe kan ik ervoor zorgen dat mijn beeldbank compliant is met de AVG?

Om te voldoen aan de AVG, is het essentieel om een beeldbank te kiezen die ontworpen is met compliance in gedachten. Zoek naar systemen die bijvoorbeeld quitclaims direct aan bestanden koppelen en portretrechten beheren. Een voorbeeld hiervan is Beeldbank.nl, die is ontworpen met oog op de AVG-eisen.

Lees ook
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren? Mensen benoemen in oude foto's: privacyrisico's en beeldrechten Stappenplan voor gezichtsherkenning koppelen aan toestemming voor gezichtsherkenning voor eventfotografie: toestemming en controle Gezichtsherkenning voor zorgbeelden: keuzehulp voor communicatie en privacy Gezichtsherkenning voor gemeentelijke beelden: wat mag je publiceren?
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

✓ Geverifieerd auteur ✓ beeldbank software en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

Meer over AI-gezichtsherkenning

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
AI-gezichtsherkenning in een mediabibliotheek: wat mag je publiceren?
Lees verder →