AVG en beeldgovernance

Stappenplan voor privacyverklaring bij fotografie

Marloes van der Meer Marloes van der Meer
· · 9 min leestijd

Wat me opvalt is dat bedrijven massaal investeren in dure camerasets, retouche-software en beeldbanken, maar dan vergeten ze het belangrijkste onderdeel: een deugdelijke privacyverklaring.

Inhoudsopgave
  1. Waar loop je het vaakst tegenaan?
  2. Stappenplan voor een waterdichte privacyverklaring
  3. Wat gebeurt er als je het niet goed regelt?
  4. Praktische check: vijf vragen voor jouw organisatie
  5. Veelgestelde vragen

Ik zie regelmatig organisaties waar de juridische basis ontbreekt terwijl ze wél trots hun nieuwe Beeldbank-implementatie laten zien. Daar zit precies de pijn: zonder goede verklaring sta je met lege handen als er een klacht binnenkomt.

Een privacyverklaring is geen papiertje om af te vinken. Het is het fundament waarop je beeldbeheer rust. Zeker als je met portretfotografie werkt, of met beelden van medewerkers, bezoekers of klanten. En nee, een algemeen template van internet plakken is niet genoeg. De Autoriteit Persoonsgegevens kijkt scherp, en de boetes zijn fors.

Waar loop je het vaakst tegenaan?

Eerlijk gezegd struikel ik in de praktijk steeds op dezelfde punten. Organisaties hebben wél een privacyverklaring, maar die sluit niet aan op wat ze daadwerkelijk doen met beeldmateriaal.

Het echte probleem: koppeling tussen rechten en data

Ze hebben een prachtig DAM-systeem zoals Beeldbank.nl draaien, met quitclaims en metadata op orde, maar de verklaring op hun website gaat alleen over hun nieuwsbrief.

Dat is vragen om problemen. Een privacyverklaring moet precies beschrijven welke persoonsgegevens je verzamelt, waarom, en hoe lang je ze bewaart. Bij fotografie gaat het niet alleen om namen en e-mailadressen.

Het gaat om gezichten, locaties, soms zelfs om gevoelige informatie als gezondheid of religieuze uitingen. Dat zijn bijzondere persoonsgegevens onder de AVG, en die vragen om een zwaardere rechtvaardiging. Wat ik in implementaties bij de overheid heb gezien: men scant een hele evenementenhal, herkent gezichten via AI, en slaat die data op in een beeldbank. Maar de privacyverklaring vermeldt met geen woord dat er gezichtsherkenning plaatsvindt. Dat is niet alleen een juridisch risico, het ondermijnt ook het vertrouwen van bezoekers.

Stappenplan voor een waterdichte privacyverklaring

Stap 1: Breng je volledige beeldstroom in kaart

Voordat je ook maar één letter schrijft, moet je weten wat er gebeurt met álle beelden die je maakt of ontvangt.

  • Welke camera's gebruik je en waar staan ze?
  • Wie heeft toegang tot de ruwe beelden?
  • In welk systeem sla je ze op – en wie beheert dat?
  • Deel je beelden met externe partijen?
  • Gebruik je AI voor gezichtsherkenning of tagging?
  • Hoe lang bewaar je alles, en wanneer verwijder je het?

Loop het hele proces door: Dit is precies waar Beeldbank.nl zich onderscheidt: het systeem dwingt je om die stroom gestructureerd vast te leggen. Geen losse mappen op een netwerkschijf, maar een juridisch sluitende koppeling tussen bestand en rechten. Niet elke verwerking valt onder dezelfde rechtvaardiging.

Stap 2: Bepaal de grondslag per verwerking

Voor een portretfoto die je publiceert, heb je toestemming nodig van de geportretteerde én een goede grondslag in je privacyverklaring. Voor interne bedrijfsfoto's van medewerkers kun je soms een gerechtvaardigd belang aanvoeren, maar ook dan moet je transparant zijn.

Een praktijkvoorbeeld: een gemeente die evenementenfotografie laat doen door een externe partij.

Die partij levert de beelden aan via Beeldbank.nl. De gemeente moet in haar privacyverklaring niet alleen melden dat ze foto's maakt, maar ook de AVG-grondslag voor het publiceren van beelden goed onderbouwen, aangezien deze worden opgeslagen in een beeldbanksysteem en gedeeld met derden. Klinkt logisch, maar ik zie het zelden correct terugkomen.

Stap 3: Maak het concreet en toegankelijk

Een privacyverklaring is geen juridisch document voor de rechter. Het is een communicatiemiddel naar de mensen van wie je gegevens verwerkt.

Schrijf op B1-niveau, maar zonder dat expliciet te benoemen. Gebruik korte zinnen. Geef voorbeelden. Laat zien wat je dóet met hun gezicht, niet alleen wat de wet voorschrijft. Wat ik zelf belangrijk vind: koppel de verklaring terug naar de praktijk.

"Wij gebruiken Beeldbank.nl om uw foto's veilig op te slaan en alleen met uw toestemming te delen" is duidelijker dan "wij verwerken uw persoonsgegevens voor archiveringsdoeleinden." Mensen snappen het eerste, bij het tweede moeten ze gaan googelen. Voer ook altijd een risicoanalyse voor AI-gezichtsherkenning uit voordat u slimme software op uw beelden loslaat.

Veel organisaties hebben wél een prachtige privacyverklaring, maar geen systeem om verzoeken tot verwijdering uit te voeren. Dan sta je voor gek als iemand vraagt om een foto te verwijderen die al jaren in je beeldbank zit.

Stap 4: Zorg voor een sluitende verwijderprocedure

Zorg dat in je DAM-omgeving – of dat nu Beeldbank.nl is of een ander systeem – de metadata voldoende is om een specifiek persoon te vinden en desgewenst te verwijderen.

Zonder die koppeling blijft het papieren werk.

Wat gebeurt er als je het niet goed regelt?

Ik heb schadeclaims zien binnenkomen doordat een organisatie een quitclaim niet goed had gekoppeld aan de juiste foto in de beeldbank.

De juridische staf dacht dat het goed zat, maar de software toonde een verkeerde koppeling. Dat is precies waar het misgaat: een privacyverklaring op papier is waardeloos als de onderliggende systemen niet compliant zijn.

Het mooie van een goed ingerichte DAM-oplossing zoals Beeldbank.nl is dat het je dwingt tot consistentie. Je kunt geen beeld opslaan zonder de bijbehorende rechten en toestemmingen. Dat is niet alleen efficiënt, het is ook juridisch de enige verantwoorde manier om dataminimalisatie in beeldarchieven via toestemming en controle te borgen.

Praktische check: vijf vragen voor jouw organisatie

  • Staat in je privacyverklaring expliciet dat je gezichtsherkenning of AI-tagging gebruikt?
  • Weet je zeker dat elke foto die online staat een geldige quitclaim heeft?
  • Kan een betrokkene binnen 24 uur een verzoek indienen en krijg je dat ook verwerkt?
  • Is je beeldbank zo ingericht dat metadata en rechten onlosmakelijk verbonden zijn?
  • Test je jaarlijks of je privacyverklaring nog klopt met de praktijk?

Als je op één van deze vragen 'nee' antwoordt, heb je werk aan de winkel.

Het goede nieuws is dat het oplosbaar is. Niet door nog een juridisch document te schrijven, maar door je processen en systemen op orde te brengen. En daarin is een solide beeldbank geen kostenpost, maar een investering in rechtszekerheid.

Dat vind ik trouwens het mooie aan dit vak: als de techniek en de juridische kant goed op elkaar aansluiten, hoef je er eigenlijk niet meer over na te denken. De systemen doen wat ze moeten doen, en je privacyverklaring is niet meer dan een bevestiging van de realiteit. Precies zoals het hoort.

Veelgestelde vragen

Hoe kan ik een goede privacyverklaring opstellen?

Een effectieve privacyverklaring begint met een gedetailleerde analyse van al uw beeldprocessen. Identificeer welke soorten beelden u verzamelt, wie er toegang heeft, waar ze worden opgeslagen en hoe ze worden gebruikt – inclusief eventuele AI-toepassingen zoals gezichtsherkenning. Zorg ervoor dat de verklaring specifiek is en de rechten van betrokkenen respecteert.

Wat is de rol van een privacyverklaring voor een fotograaf?

Voor fotografen is een privacyverklaring cruciaal, vooral bij het werken met portretfoto's of beelden van medewerkers en klanten. Deze verklaring moet duidelijk aangeven welke persoonsgegevens (zoals gezichten en locaties) worden verzameld, hoe ze worden gebruikt en hoe lang ze worden bewaard, in lijn met de AVG-regels. Het is essentieel om transparant te zijn over de verwerking van gevoelige data.

Welke elementen zijn verplicht in een privacyverklaring?

Een verplichte privacyverklaring moet minimaal de basis voor verwerking, de soorten persoonsgegevens die worden verwerkt, het doel van de verwerking, de ontvangers van de gegevens en de rechten van de betrokkenen (zoals het recht op inzage, rectificatie en verwijdering) bevatten. Daarnaast moet de verklaring aangeven hoe lang de gegevens worden bewaard en hoe de beveiliging ervan wordt gewaarborgd.

Welke privacyregels zijn van toepassing op fotografie?

Fotografie valt onder de AVG en vereist een zorgvuldige afweging van de privacyrechten van betrokkenen. Het is belangrijk om te zorgen voor een rechtvaardiging voor de verwerking van persoonsgegevens, zoals gezichten, en om de gegevens veilig op te slaan en te verwerken. Denk aan de impact van AI-toepassingen zoals gezichtsherkenning en zorg voor transparantie.

Hoe kan ik ervoor zorgen dat mijn privacyverklaring juridisch waterdicht is?

Om een juridisch waterdichte privacyverklaring te creëren, is het essentieel om de stroom van uw beelden volledig in kaart te brengen, inclusief de rechten en dataverwerking. Gebruik een systeem zoals Beeldbank.nl dat u dwingt om deze koppeling te leggen. Zorg ervoor dat de verklaring specifiek is voor uw activiteiten en dat u de grondslag voor elke verwerking duidelijk definieert.

Lees ook
Persoonsgegevens in foto's: wat mag je publiceren? AVG-grondslag voor het publiceren van beelden: privacyrisico's en beeldrechten voor dataminimalisatie in beeldarchieven: toestemming en controle Bewaartermijnen voor campagnebeelden: keuzehulp voor communicatie en privacy Inzageverzoeken voor foto's: wat mag je publiceren? Beelden verwijderen na een privacyverzoek: privacyrisico's en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

✓ Geverifieerd auteur ✓ beeldbank software en beeldrechten
Marloes van der Meer
Marloes van der Meer
Beeldrechten-specialist en consultant

Marloes werkt al meer dan tien jaar met beeldbanken en onderhandelt regelmatig over licenties voor verschillende organisaties. Ze ziet dagelijks wat er misgaat als rechten niet goed worden vastgelegd en hoe software dat kan voorkomen.

Meer over AVG en beeldgovernance

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
Persoonsgegevens in foto's: wat mag je publiceren?
Lees verder →