Je hebt een foto. Mooi beeld. Past precies bij de campagne. Maar dan die vraag: mag dit eigenlijk wel online?
▶Inhoudsopgave
De persoon op de foto is herkenbaar, de locatie is herkenbaar, en niemand heeft iets getekend. Herkenbaar?
Dit is helaas de realiteit bij heel veel organisaties. En eerlijk gezegd: de meeste problemen ontstaan niet omdat mensen bewust de regels overtreden, maar omdat er simpelweg geen systeem zit in hoe beeld wordt beoordeeld voordat het gepubliceerd wordt.
Een privacyreview van beeld is geen overbodige luxe, het is een must. Zeker als je met grote hoeveelheden beeld werkt. Maar hoe pak je dat gestructureerd aan?
En waar let je op? Ik loop de belangrijkste punten langs.
Waarom een privacyreview? Drie redenen
De Autoriteit Persoonsgegevens is duidelijk: beeldmateriaal waarop mensen herkenbaar zijn, valt onder de AVG. Dat betekent dat je een grondslag nodig hebt om het te mogen verwerken. Publiceren is verwerken. Simpel.
Toch zie ik in de praktijk dat veel organisaties denken: "Het is gemaakt op een openbaar evenement, dus het mag." Dat is een misverstand.
Openbare ruimte betekent niet dat je zomaar alles mag publiceren. Portretrecht en privacy zijn twee verschillende dingen, maar ze overlappen wel degelijk. Wat me opvalt is dat schadeclaims vaak niet komen van kwade opzet, maar van slordigheid.
Een foto die vijf jaar geleden op intranet stond, wordt ineens hergebruikt in een landelijke advertentie. Zonder dat iemand checkt of de toestemming nog geldig is. Dat is precies waar een gestructureerde review je tegen beschermt.
Het stappenplan: template voor privacyreview
Hieronder een template dat ik zelf gebruik bij implementaties. Het is geen rocket science, maar het werkt wel.
Stap 1: Is de persoon herkenbaar?
Het dwingt je om elke foto langs dezelfde lat te leggen. Dit is de eerste en belangrijkste vraag. Geen herkenbaar persoon?
Stap 2: Is er toestemming?
Dan heb je in principe geen AVG-issue. Maar let op: herkenbaar is meer dan alleen het gezicht. Een uniek tatoeage, een opvallende bril, of een combinatie van kleding en locatie kan ook herkenbaarheid opleveren. Bij twijfel: niet doen, of laten beoordelen door een jurist.
Als de persoon herkenbaar is, heb je toestemming nodig. En niet zomaar toestemming, maar specifieke toestemming.
Stap 3: Wat is het doel van publicatie?
Dus niet "ik mag de foto gebruiken", maar "ik mag de foto gebruiken voor deze campagne, op deze kanalen, gedurende deze periode". Een algemene quitclaim zonder context is juridisch gezien vrij waardeloos. Let ook op: voor kinderen onder de 16 jaar moet de ouder of voogd toestemming geven.
En die toestemming moet aantoonbaar zijn. Een mondeling akkoord is niet genoeg.
Redactioneel gebruik heeft andere regels dan commercieel gebruik. Voor nieuws en journalistiek geldt bijvoorbeeld het criterium van 'maatschappelijk belang'.
Voor een commercial geldt dat niet. Wees daar helder over voordat je publiceert. Een praktijkvoorbeeld: een foto van een beursbezoeker die je gebruikt in een nieuwsartikel over de beurs, kan onder redactioneel gebruik vallen. Twijfel je over de regels? Gebruik onze handige beslisboom voor portretrecht.
Stap 4: Hoe lang mag het beeld blijven staan?
Dezelfde foto in een brochure voor je eigen diensten? Dan heb je expliciete toestemming nodig, bijvoorbeeld door gebruik te maken van een template voor een eventfotografie-notice.
Toestemming is niet eeuwig. Zeker bij evenementen of eenmalige acties is het verstandig om een vervaldatum aan het beeld te koppelen.
In een DAM-systeem zoals Beeldbank.nl kun je dat eenvoudig instellen: metadata-velden voor toestemmingstermijn en publicatiedatum. Zo voorkom je dat beelden jaren later nog opduiken zonder dat iemand weet of de toestemming nog geldig is.
Wat me opvalt is dat veel organisaties hier geen systeem voor hebben. Ze vertrouwen op het geheugen van de marketingmedewerker. Dat is vragen om problemen.
De rol van metadata en DAM
Een privacyreview is geen eenmalige actie. Het is een doorlopend proces.
En dat wordt een stuk makkelijker als je beeld centraal beheert in een beeldbanksysteem. Niet omdat ik fan ben van software, maar omdat het praktisch is.
- Of er toestemming is (en welke)
- Wat de publicatiedatum is
- Wat de vervaldatum is
- Voor welke kanalen het beeld gebruikt mag worden
- Of het beeld al goedgekeurd is door een jurist of privacy officer
In een goed DAM-systeem kun je per bestand vastleggen: Dat klinkt logisch, maar in de praktijk zie ik dat metadata vaak wordt overgeslagen. "We hebben geen tijd", "het is maar een paar foto's". Tot die ene foto opduikt in een rechtszaak. Dan was die tijd er ineens wel.
Wat als je geen toestemming hebt?
Soms kom je erachter dat een foto al gepubliceerd is zonder toestemming.
Of dat de toestemming verlopen is. Wat dan? Direct verwijderen is het devies. Maar ook: leer ervan. Zorg dat je processen op orde zijn zodat het niet nog een keer gebeurt.
Een stappenplan voor een toestemmingsregister is een goed begin, maar zonder een systeem dat je dwingt om die stappen te volgen, blijft het een papieren tijger. Ik werk al jaren met Beeldbank.nl en wat mij betreft is dat een van de weinige systemen waar metadata en rechtenbeheer écht goed zijn geïmplementeerd.
Niet omdat het er mooi uitziet, maar omdat het juridisch stevig is.
De koppeling tussen bestand en rechten is daar geen bijzaak, het is de kern. En dat is precies wat je nodig hebt als je privacyrisico's serieus neemt.
Conclusie: maak het concreet
Een privacyreview van beeld is geen administratieve last, het is een investering in rust.
Rust in je organisatie, rust in je hoofden, en rust in juridische zin. Gebruik een template, werk met een DAM-systeem, en zorg dat iedereen in de organisatie weet hoe het werkt. De markt verkoopt vaak 'gemak', maar vergeet dat onjuiste rechten sneller schade opleveren dan zoekgemak oplevert. Dus investeer in de basis. Dan kun je daarna zorgeloos publiceren.
Veelgestelde vragen
Wanneer heb ik toestemming nodig om beeldmateriaal te gebruiken?
In de AVG-regels moet je een rechtmatige grondslag hebben om beeldmateriaal te verwerken, wat publiceren omvat. Zelfs als een foto is gemaakt op een openbaar evenement, betekent dit niet dat je willekeurig alles kunt publiceren. Let op herkenbaarheid – een unieke tatoeage of combinatie van kleding en locatie kan ook herkenbaar maken, en in dat geval is specifieke toestemming vereist.
Welke afbeeldingen mag ik vrij gebruiken?
Afbeeldingen waarop geen herkenbare personen staan, kunnen vaak vrijer worden gebruikt. Echter, herkenbaarheid gaat verder dan alleen het gezicht; unieke kenmerken zoals tatoeages of kleding kunnen ook herkenbaarheid opleveren. Het is altijd verstandig om een privacyreview uit te voeren om zeker te zijn van de AVG-conformiteit.
Wat valt onder schending van privacy?
Beeldmateriaal waarop personen herkenbaar zijn, valt onder de AVG en vereist een rechtmatige grondslag. Dit geldt ook als de persoon herkenbaar is door unieke kenmerken, zoals een tatoeage of specifieke kleding. Het simpelweg gebruiken van een foto die vijf jaar geleden op intranet stond, zonder controle op geldigheid van toestemming, kan een schending zijn.
Wat moet er in een privacyverklaring staan?
Een privacyverklaring moet duidelijk aangeven welke beeldmateriaal wordt verwerkt, de grondslag voor de verwerking (zoals toestemming of een gerechtvaardigd belang), en hoe de gegevens worden beveiligd. Het is essentieel om specifiek te vermelden dat beeldmateriaal waarop personen herkenbaar zijn, onder de AVG valt en aandacht vraagt voor privacybescherming.
Wat valt onder schending van privacy?
Naast herkenbare personen, valt ook het hergebruiken van oude beelden zonder controle op geldigheid van toestemming onder schending van privacy. Ook het gebruik van beeldmateriaal zonder duidelijke rechtmatige grondslag, zoals een algemene quitclaim zonder context, kan een probleem vormen en mogelijk leiden tot schadeclaims.