Cookie Consent by TermsFeed

Hoe zit het met data privacy in fotografie volgens de AVG en waar moet je op letten?

Je fotografeert mensen die herkenbaar zijn in hun gezicht en plaatst ze online. Hoe zit het met hun privacy en hoe ga je daar als fotograaf mee om? DIt artikel gaat over data privacy en niet over het portretrecht of auteursrecht. 

unrecognizable


Laat ik even mijzelf en mijn website als voorbeeld nemen. De mensen die ik fotografeer, daarvan heb ik toestemming om mijn beelden op internet te plaatsen. We spreken ook af dat we de beelden niet verkopen. En als iemand dat wel wil doen dan vragen we daar vooraf aan elkaar schriftelijke toestemming voor.  

Ik weet wie die mensen zijn en heb hun gegevens. Die gegevens raadpleeg ik soms, omdat ik een nieuwe fotoshoot wil doen en dan moet ik die persoon kunnen bereiken. De gegevens zijn de naam waaronder de ander bekend wilt zijn. Sommige modellen hebben namelijk een pseudoniem. Verder heb ik hun contactgegevens in de vorm van social media en/of telefoonnummer. Dit zijn persoonlijke en deels gepseudonimiseerde gegevens. Die mag ik niet zomaar bewaren zodat iedereen daar bij kan. De gegevens staan  versleuteld opgeslagen in mijn cloud. Ik kan er alleen maar bij met mijn biometrische gegevens en met mijn wachtwoord door de dubbele verificatie methode via mijn smartphone. Als iemand dat bestand met persoonlijke gegevens hacked dan heeft hij er dus niets aan.


De privacy wetgeving in Europa wordt geregeld door Brussel en staat bekend als de GDPR. Dit staat voor General Data Protection Regulation. Ik ben een Nederlander en heb te maken met de AVG, de Autoriteit Verwerking Persoonsgegevens. De AVG is dus de uitvoerende instantie alleen in Nederland met de wetgeving van de Europese GDPR. 

Mijn website wordt echter gerund in Canada. De beelden staan ook in Canada op een server. Omdat het beelden van mensen zijn uit de Europese ruimte ben ik er verantwoordelijk voor dat de beelden in Canada ook komen te vallen onder de GDPR omdat de GDPR mij ziet als Data Processor en tegelijkertijd als Data Controller van gegevens die direct herleidbaar zijn tot privé personen. En Canada is geen Europa dus hoe zit het dan met de GDPR? Wel, de GDPR voorziet in een lijst van landen waar de wetgeving om data protectie omtrent personen geborgd is. En een van die landen is Canada. De Canadese privacy wetgeving is dus conform de eisen gesteld in de GDPR. En daarom is het dus geen probleem dat mijn foto’s in Canada op een server staan. 
Maar bovendien, je kan aan mijn online foto’s niet herleiden wie de persoon in privé is, waar die woont of wat het telefoonnummer is. De contactgegevens heb ik namelijk automatisch verwijderd uit de EXIF data van mijn beelden. Dat gaat heel makkelijk in Adobe Lightroom, tijdens het exporteren naar jpg zet je met een vinkje alle privé gevoelige data uit. En de namen van mijn beelden zijn ook niet herleidbaar naar een privé persoon. 
De instantie die mijn website controleert of ik wel aan de AVG voldoe is de AVG zelf. Dit doen ze steekproefsgewijs of als ze een klacht van iemand ontvangen. Het is dus zaak dat je als fotograaf er zelf verantwoordelijk voor bent dat je deze zaken goed uitzoekt om gedonder achteraf te voorkomen. 


Nu hoor ik je denken, ja maar wat als ik alles op bijvoorbeeld FaceBook zet. FaceBook is een bedrijf uit de USA.  En de USA staat niet in de lijst van approved countries. Daarom hebben de grote social media bedrijven vestigingen in Europa. FaceBook Europe zit in Ierland. En daarmee conformeert het bedrijf zich aan de Europese GDPR wetgeving. Dat neemt natuurlijk niet weg dat FaceBook in het ergste geval alles weet over diegene waarvan jij een beeld plaatst, vandaar dat er zoveel privacy aan/uit mogelijkheden zijn ingebouwd in FaceBook. Het kan echt geen kwaad om daar eens extra de tijd voor te nemen.


Tenslotte als algemene tip, kijk ook eens serieus naar cookie instellingen, lees eens wat er allemaal van je gegevens wordt verzameld en zie eens hoe er data profielen van je worden opgemaakt. Er zijn soms bedrijven bij die meer dan 100 verschillende cookies plaatsen, zoals Sanoma waar o.a. de RTL zenders en de website nu.nl onder vallen. De cookie bedrijven zijn verspreid over de hele wereld en verzamelen meer data van je dan je zomaar eens zou kunnen bedenken en het wordt openlijk beschreven wat er van jou wordt verzameld omdat dit moet volgens de GDPR. Surfgedrag, bestedingen, aankooppatronen, locatiegeschiedenis enzovoorts. De BBC news en CNN cookies zijn daarin bijvoorbeeld veel eenvoudiger en laten zich heel gemakkelijk uit zetten. Bij de meeste sites kan je de cookies tegenwoordig uitzetten en alleen de essentiële cookies honoreren, want anders werkt de website niet.  De GDPR of AVG is er voor alle Europeanen en voor alle digitale transacties uitgevoerd in Europa om jouw privacy gevoelige zaken niet online op straat te laten liggen. Maar je moet er zelf ook mee aan de slag en onthoud: Als de content gratis is, dan ben jij het product. Wees alert.


Ruud de Korte, fotograaf en auteur

Ruud de Korte

Using Format