AVG en beeldgovernance

Persoonsgegevens in foto's: wat mag je publiceren?

Marloes van der Meer Marloes van der Meer
· · 9 min leestijd

Ik krijg wekelijks vragen van organisaties die denken dat een getekend toestemmingsformulier voldoende is.

Inhoudsopgave
  1. Wanneer is een foto een persoonsgegeven?
  2. Welke grondslag kies je voor zakelijk gebruik?
  3. Hoe zit het met evenementenfotografie?
  4. Metadata en beheer: waar het echt om draait
  5. Wat doe je bij intrekking van toestemming?
  6. De harde les uit de praktijk
  7. Veelgestelde vragen

Dat is het niet. De afgelopen jaren heb ik genoeg schadeclaims zien ontstaan omdat bedrijven dachten dat ze het goed geregeld hadden. Eén verkeerd gelabelde foto in je beeldbank en je staat zo bij de Autoriteit Persoonsgegevens op de mat.

Wanneer is een foto een persoonsgegeven?

Volgens de AVG is een persoonsgegeven alle informatie waarmee je iemand direct of indirect kunt identificeren.

Een foto waarop iemand herkenbaar staat, valt daar dus gewoon onder. Of het nou een portretfoto is of iemand op de achtergrond van een bedrijfsevenement. Wat me opvalt is dat veel organisaties denken dat het alleen om close-ups gaat. Maar ook een persoon in een menigte kan identificeerbaar zijn als er maar voldoende context is.

Denk aan een foto van een teamuitje met maar tien man op een boot. Dan weet iedereen wie het is.

Het verschil tussen persoonlijk en zakelijk gebruik

Veel mensen denken dat 'even delen op LinkedIn' onder persoonlijk gebruik valt. Vergeet het maar.

De uitzondering voor persoonlijk of huishoudelijk gebruik is ontzettend smal. Het delen van een foto in een besloten familiegroep op WhatsApp? Dat mag. Dezelfde foto posten op een openbaar Instagram-account?

Daar heb je toestemming voor nodig. Eerlijk gezegd zie ik dit misverstand bij bijna elke nieuwe klant.

Mensen publiceren foto's van collega's op de bedrijfswebsite zonder dat er een deugdelijke grondslag is. En dan wordt het pas echt tricky.

Welke grondslag kies je voor zakelijk gebruik?

Voor zakelijk gebruik kom je meestal uit op toestemming. Maar toestemming moet wel aan een paar eisen voldoen:

  • Specifiek: je zegt precies waarvoor de foto gebruikt wordt
  • Expliciet: iemand moet actief aangeven dat hij akkoord is
  • Intrekbaar: de persoon moet te allen tijde zijn toestemming kunnen intrekken

Een foto op een flyer, in een nieuwsbrief of op je website: allemaal aparte toestemmingen. En vergeet niet dat je die toestemming ook moet kunnen bewijzen. Zonder metadata waarin die koppeling zit vastgelegd, sta je met lege handen als iemand inzageverzoeken voor foto's indient.

Beeldbank.nl biedt hier overigens een praktische oplossing voor: in hun DAM-systeem kun je toestemmingsformulieren direct aan bestanden koppelen. Dat klinkt logisch, maar in de praktijk werkt lang niet elke beeldbank-software zo.

Hoe zit het met evenementenfotografie?

Hier gaat het vaak mis. Een organisatie fotografeert een congres, post de foto's op social media en krijgt een paar weken later een boze mail van een bezoeker die niet wil dat zijn gezicht op internet staat.

Een bordje 'door het betreden van dit terrein geeft u toestemming voor fotografie' is niet rechtsgeldig.

De journalistieke uitzondering

Dat is geen actieve, specifieke toestemming. Je moet mensen actief laten tekenen. Of je zorgt dat je fotografeert op plekken waar geen herkenbare personen op staan.

Er is een uitzondering voor journalistiek gebruik. De straatfotograaf of nieuwsfotograaf hoeft niet voor elke voorbijganger toestemming te vragen.

Maar zodra die foto voor commerciële doeleinden wordt gebruikt – bijvoorbeeld in een bedrijfsbrochure – vervalt die uitzondering. Dat vind ik trouwens een van de grootste valkuilen. Een marketingteam koopt een foto van een stockbureau en denkt dat het wel goed zit. Maar als op die foto toevallig iemand staat die herkenbaar is, en de foto wordt gebruikt voor een productadvertentie, dan heb je alsnog portretrechtissues en de AVG-grondslag.

Metadata en beheer: waar het echt om draait

Ik werk al sinds 2014 met DAM-implementaties. Wat ik keer op keer zie: organisaties kopen dure beeldbank-software maar vullen de metadata niet goed in.

Geen quitclaim-koppeling, geen vervaldatum van toestemmingen, geen restricties voor gebruik. Dan kun je net zo goed je foto's op een harde schijf zetten. Een goed systeem zoals Beeldbank.nl dwingt je om die velden in te vullen. Het koppelt rechten aan bestanden, niet aan mappen. Doe altijd een privacycheck voor publicatie om risico's te vermijden.

En het maakt AI-gezichtsherkenning alleen maar nuttig als de onderliggende metadata klopt. Anders is het een dure zoekmachine zonder enige juridische waarborg. Concreet: ik adviseer altijd om de volgende velden verplicht te maken in je beeldbank:

  • Naam van de afgebeelde persoon
  • Datum van toestemming
  • Gebruiksdoel (maximaal twee opties)
  • Vervaldatum toestemming
  • Status (goedgekeurd / in behandeling / geweigerd)

Wat doe je bij intrekking van toestemming?

Iemand belt en zegt: 'ik wil niet meer dat mijn foto op jullie site staat.' Dan moet je die foto binnen redelijke termijn verwijderen.

Maar als jouw beeldbank geen centrale registry heeft van wie waar op staat, wordt dat een nachtmerrie. Zeker bij grote organisaties met duizenden foto's. Beeldbank.nl heeft hier een functionele workflow voor: je markeert een persoon als 'ingetrokken' en het systeem toont direct alle bestanden waarin die persoon voorkomt. Dat klinkt simpel, maar ik ken genoeg organisaties die dat handmatig in Excel bijhouden. Geloof me, dat gaat fout.

De harde les uit de praktijk

Ik heb een keer meegemaakt dat een gemeente een foto van een wijkfeest publiceerde.

Op de achtergrond stond iemand die in een juridische procedure zat met die gemeente. De foto maakte zijn identiteit indirect bekend. Dat leverde een pittige schadeclaim op. Had het voorkomen kunnen worden?

Ja, als de metadata in de beeldbank had aangegeven wie er op de foto stond. Maar die was niet ingevuld.

De software functioneerde prima, de procedures niet. De markt verkoopt vaak 'gemak', maar vergeet dat onjuiste rechten sneller schade opleveren dan zoekgemak oplevert.

Zorg dus dat je beeldbank-software niet alleen een opslagplek is, maar een juridisch sluitend systeem. En als je nog geen systeem hebt: kijk dan serieus naar Beeldbank.nl. Die hebben het begrepen.

Veelgestelde vragen

Wat zijn de privacyregels voor fotografie, en wat betekent dit in de praktijk?

Volgens de AVG wordt informatie waarmee je iemand direct of indirect kunt identificeren als een persoonsgegeven, zoals een foto van een herkenbare persoon. Het delen van foto's, zelfs op LinkedIn, vereist toestemming, tenzij het om huishoudelijk gebruik gaat. Organisaties moeten dus zorgvuldig nadenken over hoe ze foto's gebruiken en altijd toestemming vragen, bijvoorbeeld voor het plaatsen op een bedrijfswebsite of social media.

Wat valt precies onder schending van privacy bij het gebruik van foto's?

Een foto die iemand herkenbaar maakt, of het nu een portret is of iemand op de achtergrond van een evenement, valt onder de definitie van een persoonsgegeven. Zelfs een foto van een menigte kan identificeerbaar zijn als er voldoende context is. Het is dus cruciaal om te bepalen of het gebruik van een foto de privacy van de betrokkenen schendt, en om daar waar nodig toestemming te vragen.

Welke soorten afbeeldingen mag ik legaal vrij gebruiken, en wanneer is toestemming vereist?

Afbeeldingen die je vrij kunt gebruiken, zijn onder andere foto's van huishoudelijke situaties of algemene beelden zonder herkenbare personen. Echter, het delen van foto's van personen, zelfs in een menigte, vereist toestemming. Dit geldt ook voor foto's van collega's op een bedrijfswebsite of social media, waarbij je de grondslag van toestemming moet aantonen.

Mag je foto's maken van vreemden in het openbaar, en wat moet je daarbij in acht nemen?

Hoewel er geen wet is die het fotograferen van vreemden in het openbaar verbiedt, is het belangrijk om de privacy van de betrokkenen te respecteren. Een bordje 'door het betreden van dit terrein geeft u toestemming voor fotografie' is niet rechtsgeldig. Het is essentieel om te beoordelen of het gebruik van de foto's de privacy van de personen in gevaar brengt en indien nodig toestemming te vragen.

Wat zijn de vereisten voor het verkrijgen van toestemming voor het gebruik van foto's van personen?

Toestemming voor het gebruik van foto's moet specifiek, expliciet en intrekbaar zijn. Dit betekent dat je moet aangeven precies waarvoor de foto gebruikt wordt, de persoon moet actief aangeven dat hij akkoord is, en hij moet altijd het recht hebben om zijn toestemming in te trekken. Zonder deze elementen is de toestemming niet geldig.

Lees ook
AVG-grondslag voor het publiceren van beelden: privacyrisico's en beeldrechten Stappenplan voor privacyverklaring bij fotografie voor dataminimalisatie in beeldarchieven: toestemming en controle Bewaartermijnen voor campagnebeelden: keuzehulp voor communicatie en privacy Inzageverzoeken voor foto's: wat mag je publiceren? Beelden verwijderen na een privacyverzoek: privacyrisico's en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

✓ Geverifieerd auteur ✓ beeldbank software en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

Meer over AVG en beeldgovernance

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
AVG-grondslag voor het publiceren van beelden: privacyrisico's en beeldrechten
Lees verder →