De nieuwe AVG (privacywet) en de fotograferende ondernemer
Geplaatst: vr mar 23 2018 1:06 pm
Enige tijd geleden was er op het forum een discussie over de nieuwe AVG in de context van fotografie op scholen. Naar mate de tijd vordert wordt er steeds meer duidelijk. Wat ook steeds duidelijker wordt is dat veel verenigingen en kleine ondernemers niet zijn voorbereid of zich zelfs niet bewust zijn van de AVG. Afgelopen week was er een voorlichtingsavond waarbij onder andere een paar ZZP'ers en eenmansbedrijven bijna van hun stoel vielen m.b.t. de zaken die ze nog moeten regelen.
Onder het motto 'een gewaarschuwd mens telt voor twee' leek het me handig om de fotografische gemeenschap alhier nogmaals te wijzen op deze regelgeving. Want deze geldt straks óók voor de ondernemende fotograaf; ben je ondernemer (al is het maar een parttime eenmansbedrijfje met eek kvk nummer), zodra je persoonsgegevens verwerkt en opslaat moet je al een aantal zaken regelen. En dat doe je al als je een nieuwsbrief uitstuurt, een factuur verstuurt of mailings de deur uit doet. Daarnaast is er nog de complicatie dat foto's die mensen bevatten die herkenbaar in beeld komen óók als persoonsgegevens worden beschouwd.
Voor diegenen die meer willen weten, zie deze links van de KVK als starter:
https://www.kvk.nl/advies-en-informatie/avg/dit-moeten-ondernemers-weten-over-de-avg/
https://www.kvk.nl/advies-en-informatie/avg/voorbereiden-op-de-avg-algemene-verordening-gegevensbescherming/
NB: Dit alles geldt dus niet voor de particuliere hobbyfotograaf! Of het geldt wanneer je als vrijwilliger in een club aan de slag gaat, hangt van de situatie in die club af.
De meest voorkomende zaken die je als ondernemer moet regelen:
- Je moet beschrijven hebben welke persoonsgegevens je verwerkt, waar ze opgeslagen zijn, wie toegang heeft en vooral welk doel ze dienen met een acceptabele grondslag. Dat geldt dus ook voor foto's met herkenbare personen erop.
- Veel kan geregeld worden met behulp van expliciete toestemming; maar deze moet wel expliciet zijn vastgelegd en zonder dwang zijn afgegeven.
- Je moet procedures hebben voor recht op inzage, verwijdering, correctie en het omgaan met datalekken. Dit zijn korte procedures maar ze moeten wel bestaan. Deze procedures mogen niet in algemene voorwaarden of juridische teksten weggestopt zijn; het moet eenvoudig toegankelijk zijn in leesbare mensentaal. Volg het one-click principe als je als fotograaf een website hebt waarbij de privacy regels prominent naar voren komen via een duidelijke link die prominent op je website staat.
- Heb je een site waar mensen zich registreren voor je foto's en staat er een vinkje voor een nieuwsbrief of iets dergelijks? Die moet standaard uit staan. Verstuur je mailings? Dat mag alleen nog met expliciete toestemming. Je moet ook alle adressen in de BCC zetten en mensen de mogelijkheid bieden zich uit te schrijven.
- Voor persoonsgegevens van minderjarigen gelden extra eisen.
En dan zijn er nog de vraagstukken die specifiek zijn voor de professionele fotograaf:
- Een interessante voor fotografen die ondernemen is dat mensen zonder toestemming of een zwaarwegend belang niet herkenbaar in beeld mogen worden gebracht. Dit staat geheel los van beeld- en portretrecht. Los van bepaalde journalistieke uitingen (vrije nieuwsgaring) zijn hier weinig tot geen uitzonderingen op. Dus als je als ondernemer een foto wilt publiceren waarop een toevallige passant herkenbaar in beeld komt, dan mag dat misschien wel vanwege het beeldrecht, maar niet van de AVG.
- Heb je als professioneel fotograaf foto's met herkenbare personen op flickr staan of een andere dienst? Dan moet je een dataverwerkingsovereenkomst aangaan.
- Kan de data van die diensten buiten europa belanden (waar parkeert flickr zijn data)? Dan moet je nog aan aanvullende criteria voldoen.
Dit heeft best veel impact. Ik mag als hobbyist op mijn site een foto van de eifeltoren plaatsen met passanten die herkenbaar in beeld komen. Als professioneel fotograaf mag dat volgens de AVG feitelijk alleen nog maar met expliciete toestemming. Als particulier mag ik de foto's opslaan, als ondernemer zou je formeel een grondslag moeten hebben. Hoe scheid je 'privé' fotografie van je professionele fotografie? Mag/kan dat ubethaupt. Stuur je foto's waar mensen op staan naar klanten via iets als dropbox of wetransfer, dan moet je jezelf afvragen of dat veilig is en die data niet ook in/via landen buiten europa gaan. Gebruik je dropbox? Standaard staat er geen wachtwoord op de download link (dat moet wel). Het moet via encryptie. Waar staat die data? Buiten europa? Hoe lang wordt die data bewaard? Heb je wel een dataverwerkingsovereenkomst met dropbox? Een gevolg van deze wet is dat veel grotere bedrijven gebruik van diensten als dropbox en wetransfer al verboden hebben.
En zo kunnen we nog wel even doorgaan. Dit klinkt misschien wat 'alarmistisch', maar bij elke workshop en voorlichtingsbijeenkomst krijg ik steeds dezelfde respons van verschillende juristen. Over de details is nog niet alles duidelijk, zeker waar het fotografie betreft. Maar als ondernemer moet je dit soort zaken geregeld hebben.
Doe ermee wat je wilt, maar een gewaarschuwd mens (of in dit geval ondernemer) telt voor twee.
Onder het motto 'een gewaarschuwd mens telt voor twee' leek het me handig om de fotografische gemeenschap alhier nogmaals te wijzen op deze regelgeving. Want deze geldt straks óók voor de ondernemende fotograaf; ben je ondernemer (al is het maar een parttime eenmansbedrijfje met eek kvk nummer), zodra je persoonsgegevens verwerkt en opslaat moet je al een aantal zaken regelen. En dat doe je al als je een nieuwsbrief uitstuurt, een factuur verstuurt of mailings de deur uit doet. Daarnaast is er nog de complicatie dat foto's die mensen bevatten die herkenbaar in beeld komen óók als persoonsgegevens worden beschouwd.
Voor diegenen die meer willen weten, zie deze links van de KVK als starter:
https://www.kvk.nl/advies-en-informatie/avg/dit-moeten-ondernemers-weten-over-de-avg/
https://www.kvk.nl/advies-en-informatie/avg/voorbereiden-op-de-avg-algemene-verordening-gegevensbescherming/
NB: Dit alles geldt dus niet voor de particuliere hobbyfotograaf! Of het geldt wanneer je als vrijwilliger in een club aan de slag gaat, hangt van de situatie in die club af.
De meest voorkomende zaken die je als ondernemer moet regelen:
- Je moet beschrijven hebben welke persoonsgegevens je verwerkt, waar ze opgeslagen zijn, wie toegang heeft en vooral welk doel ze dienen met een acceptabele grondslag. Dat geldt dus ook voor foto's met herkenbare personen erop.
- Veel kan geregeld worden met behulp van expliciete toestemming; maar deze moet wel expliciet zijn vastgelegd en zonder dwang zijn afgegeven.
- Je moet procedures hebben voor recht op inzage, verwijdering, correctie en het omgaan met datalekken. Dit zijn korte procedures maar ze moeten wel bestaan. Deze procedures mogen niet in algemene voorwaarden of juridische teksten weggestopt zijn; het moet eenvoudig toegankelijk zijn in leesbare mensentaal. Volg het one-click principe als je als fotograaf een website hebt waarbij de privacy regels prominent naar voren komen via een duidelijke link die prominent op je website staat.
- Heb je een site waar mensen zich registreren voor je foto's en staat er een vinkje voor een nieuwsbrief of iets dergelijks? Die moet standaard uit staan. Verstuur je mailings? Dat mag alleen nog met expliciete toestemming. Je moet ook alle adressen in de BCC zetten en mensen de mogelijkheid bieden zich uit te schrijven.
- Voor persoonsgegevens van minderjarigen gelden extra eisen.
En dan zijn er nog de vraagstukken die specifiek zijn voor de professionele fotograaf:
- Een interessante voor fotografen die ondernemen is dat mensen zonder toestemming of een zwaarwegend belang niet herkenbaar in beeld mogen worden gebracht. Dit staat geheel los van beeld- en portretrecht. Los van bepaalde journalistieke uitingen (vrije nieuwsgaring) zijn hier weinig tot geen uitzonderingen op. Dus als je als ondernemer een foto wilt publiceren waarop een toevallige passant herkenbaar in beeld komt, dan mag dat misschien wel vanwege het beeldrecht, maar niet van de AVG.
- Heb je als professioneel fotograaf foto's met herkenbare personen op flickr staan of een andere dienst? Dan moet je een dataverwerkingsovereenkomst aangaan.
- Kan de data van die diensten buiten europa belanden (waar parkeert flickr zijn data)? Dan moet je nog aan aanvullende criteria voldoen.
Dit heeft best veel impact. Ik mag als hobbyist op mijn site een foto van de eifeltoren plaatsen met passanten die herkenbaar in beeld komen. Als professioneel fotograaf mag dat volgens de AVG feitelijk alleen nog maar met expliciete toestemming. Als particulier mag ik de foto's opslaan, als ondernemer zou je formeel een grondslag moeten hebben. Hoe scheid je 'privé' fotografie van je professionele fotografie? Mag/kan dat ubethaupt. Stuur je foto's waar mensen op staan naar klanten via iets als dropbox of wetransfer, dan moet je jezelf afvragen of dat veilig is en die data niet ook in/via landen buiten europa gaan. Gebruik je dropbox? Standaard staat er geen wachtwoord op de download link (dat moet wel). Het moet via encryptie. Waar staat die data? Buiten europa? Hoe lang wordt die data bewaard? Heb je wel een dataverwerkingsovereenkomst met dropbox? Een gevolg van deze wet is dat veel grotere bedrijven gebruik van diensten als dropbox en wetransfer al verboden hebben.
En zo kunnen we nog wel even doorgaan. Dit klinkt misschien wat 'alarmistisch', maar bij elke workshop en voorlichtingsbijeenkomst krijg ik steeds dezelfde respons van verschillende juristen. Over de details is nog niet alles duidelijk, zeker waar het fotografie betreft. Maar als ondernemer moet je dit soort zaken geregeld hebben.
Doe ermee wat je wilt, maar een gewaarschuwd mens (of in dit geval ondernemer) telt voor twee.