Privacy: AVG voor Fotografen

Opslaan in de cloud en andere SaaS diensten

Staan er gegevens in e-mails? Zorg voor een verwerkersovereenkomst met de e-maildienst die je gebruikt.
Sla je gegevens op in de cloud, op een server? Net zoals Smulders doet en deed? Dan moet je met die hostingpartij of clouddienst (zoals Dropbox) een verwerkersovereenkomst hebben.
Maak je gebruik van een online dienst voor je offertes en facturen, waarin je persoonsgegevens opneemt? Dan heb je met hen een verwerkersovereenkomst nodig.
Sla je foto’s online op en bied je ze bijvoorbeeld als online gallery aan je klanten aan? Je hebt metdie partij een verwerkersovereenkomst nodig.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een contract waar in opgenomen staat dat de andere partij de gegevens niet verder zal bewerken dan waarvoor jij toestemming hebt gegeven. Bovendien moeten ze een bepaald beveiligingsniveau bieden en zullen partijen uit het buitenland moeten beloven dat ze voldoen aan de Europese privacywetgeving. Ook moeten er afspraken gemaakt worden over datalekken (wat zal de verwerker doen wanneer een ze lek ontdekken etc).

Het zou logisch zijn als partijen die voor al hun klanten precies hetzelfde doen, daar zelf al een verwerkersovereenkomst voor hebben liggen die ze jou aanbieden. Die partijen krijgen als verwerker (voorheen bewerker) namelijk meer verantwoordelijkheden. Helaas is de praktijk anders. Probeer toch zo’n verwerkersovereenkomst op te vragen of laat er zelf een opstellen.

Privacyverklaring

Als je persoonsgegevens verwerkt heb je ook een privacyverklaring nodig. Je moet namelijk aan de ‘betrokkenen’ (de personen van wie de gegevens zijn) vertellen wat je met die gegevens doet.

De manier waarop je persoonsgegevens verzamelt is daarvoor niet relevant. Het is hooguit zo dat wanneer je gegevens voor het eerst via de website verwerkt (ontvangt), je het wat passiever aan kunt bieden, door een link naar de privacyverklaring te plaatsen, terwijl je anders de privacyverklaring actiever aan zult moeten bieden na de ontvangst van de gegevens.

Privacyverklaringen zullen per onderneming of organisatie verschillen. Dat komt omdat de privacyverklaring aan moet sluiten bij de bedrijfsvoering en daarom bijvoorbeeld afhankelijk is van welke gegevens er verzameld worden en hoe ze opgeslagen worden.

Wist je trouwens dat een privacyverklaring niet in documenten met andere informatie, zoals algemene voorwaarden, ‘verstopt’ mag zitten?

Meer over privacyverklaringen kun je lezen in de volgende twee artikelen:

• Checklist: is jouw privacyverklaring al AVG-ready?
• Waarom elke organisatie een nieuwe privacyverklaring nodig heeft

Privacyverklaring nodig?

Grondslag en doelbinding

Om persoonsgegevens te mogen verzamelen, heb je onder meer een grondslag en een gerechtvaardigd doel nodig.

Als fotograaf zul je meestal de grondslag ‘gerechtvaardigd belang’ gebruiken. Hierbij moet een afweging gemaakt worden tussen het belang van jou als fotograaf en/of ondernemer en het privacybelang van de betrokkene/geportretteerde. Als fotograaf moet je wel je werk kunnen doen. Je mag als fotograaf dus portretten maken, zolang de portretten dus niet te veel het privacybelang van de geportretteerde schaden (denk aan naaktfoto’s of schaarsgeklede personen of een situatie waarvan je objectief zou kunnen begrijpen dat een geportretteerde zich daar privé mocht wanen. Vergelijk hier de (oude) portretrecht rechtspraak).

Werk je in opdracht van de geportretteerde zelf, dan kun je meestal gebruik maken van de grondslag ‘noodzakelijk voor de uitvoering van de overeenkomst’. Wordt een beetje lastig om portretten te leveren, als je ze niet eens zou mogen maken, omdat je daarmee persoonsgegevens verwerkt. Deze grondslag gebruik je dus ook voor de facturen en dat soort zaken.

Is er nou geen sprake van een overeenkomst met de geportretteerde en kun je geen gebruik maken van de grondslag gerechtvaardigd belang, dan zou je nog terug kunnen vallen op de grondslag toestemming.

Het doel van de fotografie moet ook gerechtvaardigd zijn en eventueel terug te vinden zijn in de privacyverklaring. Het doel is gerechtvaardigd als het de privacybelangen van de geportretteerde niet te veel inperkt. Je ondernemingsbelang kan een gerechtvaardigd doel zijn. Om te publiceren kan de vrijheid van meningsuiting een gerechtvaardigd doel zijn, al zal er dan altijd per publicatie een belangenafweging plaats moeten vinden.

Portretfoto, een bijzonder persoonsgegeven

Een portretfoto waar iemand herkenbaar op staat, is een persoonsgegeven. Het kan zelfs een bijzonder gegeven worden wanneer uit die foto een ras afgeleid kan worden of wanneer het portret wordt ingezet ter identificatie (biometrisch gegeven).

Bijzondere persoonsgegevens mogen niet zomaar verwerkt worden, tenzij er een uitzondering geldt, zoals toestemming, eerder door iemand zelf openbaar gemaakt gegeven of wanneer er een journalistiek, wetenschappelijk of artistiek belang is. Dat je een portretfoto in je portfolio of blogpost wil opnemen om er klanten mee aan te trekken, is dus niet altijd voldoende reden.

Heeft de persoon van wie je portretten hebt gemaakt, zelf eerder al eens (recente) portretfoto’s van zichzelf openbaar gemaakt, dan kunnen deze portretten ook opgenomen worden in je portfolio, maar blijf uitkijken met gebruik voor echte advertentiedoeleinden.
Voor portretten die bij redactionele publicaties worden gebruikt, is ook niet altijd toestemming vereist. Dit valt dan onder het journalistiek belang van het medium dat die portretten publiceert.

Kun je gebruik maken van een van de uitzonderingen, dan heb je nog steeds een geldige grondslag en gerechtvaardigd doel nodig.

Meer over Privacy, Portretrecht en Persoonsgegevens leer je tijdens de Webinar (opname kun je zo vaak terugkijken als je wil)

AVG voor Fotografen

Zorg voor goede beveiliging

Vooral wanneer je gegevens opslaat in de cloud of op apparaten die verbonden zijn me het internet, is het noodzakelijk de gegevens goed te beveiligen. Denk niet dat ze jou overslaan, want er zijn genoeg hackers die gewoon alles proberen wat ze tegenkomen en als je beveiliging zwak is zijn ze zo binnen.

Denk vooral niet dat je hostingpartij alles voor je zal regelen. Die fout maakte Edwin Smulders ook. Je hoeft geen volledige technische kennis te hebben, maar laat je dan in elk geval adviseren over de beveiliging of vraag wat de hosting service of softwareleverancier voor je kan doen.

Zorg in elk geval altijd dat al je wachtwoorden sterke wachtwoorden zijn en dat je ze regelmatig wijzigt. Sla je wachtwoorden niet online op, want als ze dan gevonden worden, kan iedereen overal bij. Vergeet ook niet je harde schijven te beveiligen met een wachtwoord! Overigens is alleen een wachtwoord gebruiken nog niet genoeg.

Verantwoordingsplicht

Elke organisatie heeft een zogenaamde verantwoordingsplicht naar de Autoriteit Persoonsgegevens. Dat wil zeggen dat als ze komen controleren, je vanalles moet kunnen vertellen over de gegevens die je verzamelt, op grond waarvan je dat doet, met welk doel, hoe lang je het bewaart, wie er allemaal bij de gegevens kunnen, hoe je het beveiligt en meer.

Het is daarom belangrijk in elk geval te inventariseren wat je eigenlijk verzamelt, welke services je gebruikt waar persoonsgegevens worden gebruikt, welke beveiligingsmaatregelen je getroffen hebt en of je met elke service wel een verwerkersovereenkomst hebt.

Als je dan toch bezig bent met inventariseren, zet dat dan meteen even op papier, dan heb je voor jezelf en voor de Autoriteit Persoonsgegevens een document waar alles in staat. Dan hoef je het niet meer allemaal uit te zoeken wanneer er naar die informatie gevraagd wordt.

Mail ons voor hulp en info