Kennisbank
CHECKLIST

voor DAM en AVG-compliance: wat moet je regelen?

Ruben van der Linden 1 januari 2026 5 min leestijd
Veiligheid Checklist: alles wat u moet weten over voor DAM en AVG-compliance: wat moet je regelen?.

Je DAM staat vol met beelden. Maar wie staat er op die beelden?

Inhoudsopgave
  1. Wat betekent de AVG voor je DAM?
  2. Toestemming en modelreleases
  3. Beveiliging: meer dan alleen wachtwoorden
  4. Verwerkersovereenkomst met je DAM-leverancier
  5. En de 'magische' AI-tagging?
  6. Checklist voor AVG-compliance in je DAM

En hoe lang bewaar je ze eigenlijk? De AVG is geen randvoorwaarde meer – het is de basis.

Toch zie ik in de praktijk dat veel organisaties hun DAM inrichten alsof privacy bijzaak is. Dat is het niet. En de boetes worden steeds hoger.

Wat me opvalt bij implementaties: iedereen praat over taxonomie en workflows, maar niemand over verwerkingsdoeleinden. Terwijl dat precies is waar de Autoriteit Persoonsgegevens naar kijkt.

Je DAM is namelijk niet zomaar een opslagbak – het is een verwerking van persoonsgegevens zodra er herkenbare personen op staan. En dat is vrijwel altijd zo.

Wat betekent de AVG voor je DAM?

De AVG dwingt je om na te denken over de hele levenscyclus van je media.

  • Waarom sla je dit beeld op?
  • Welke persoonsgegevens bevat het?
  • Wie heeft er toegang toe?
  • Hoe lang blijf je het bewaren?
  • Hoe kun je het op verzoek van een betrokkene wissen?

Van upload tot verwijdering. De kernvragen zijn simpel: In de praktijk lopen de meeste DAM-projecten vast op punt één en vier. Het ontbreekt aan een duidelijke grondslag voor het gebruik van portretten, modelreleases of zelfs alleen maar gezichten in publieksfoto’s. En bewaartermijnen?

Verwerkingsregister: ook voor je beeldbank

Die worden ofwel niet ingesteld, of op 'eeuwig' gezet. Dat kan écht niet meer.

Je hebt een verwerkingsregister nodig. Ook voor je DAM.

  • het doel (bijv. marketingcampagne X, jaarverslag Y);
  • de categorie persoonsgegevens (gezichten, kentekens, etc.);
  • de bewaartermijn;
  • of je data deelt met derden (denk aan een mediahub of externe agency).

Dat klinkt administratief, maar het is vooral praktisch. Noteer per collectie of map in je beeldbank: Een goede DAM kan dit register deels automatiseren via metadata-velden. Dat is efficiënter dan losse Excel-sheets. Beeldbank.nl bijvoorbeeld biedt de mogelijkheid om per asset compliance-velden verplicht te stellen, zodat je geen beeld meer kunt publiceren zonder die administratie op orde te hebben. Dat scheelt een hoop gepuzzel tijdens een audit.

Toestemming en modelreleases

Je hebt toestemming nodig van de persoon op de foto. Punt. Toch kom ik geregeld mappen tegen met oude beelden waarvan niemand meer weet of er een modelrelease is getekend.

Het risico is groot: iemand kan eisen dat je het beeld verwijdert, en zonder bewijs van toestemming moet je dat doen. Mijn advies: koppel modelreleases direct aan de assets in je DAM. Gebruik metadata-velden voor 'toestemming verleend op', 'geldig tot' en 'type gebruik'.

Recht op vergetelheid in de praktijk

Zo kun je bij een datalek of verzoek razendsnel schakelen. Een DAM die deze koppeling niet ondersteunt, is eigenlijk niet AVG-proof.

Stel dat iemand vraagt: "Verwijder alle foto's waar ik op sta." Dan moet je binnen een maand kunnen handelen.

In een goed ingerichte DAM is dat een kwestie van zoeken op 'persoon X' of op 'gezichtsherkenning' en vervolgens de assets blokkeren of definitief verwijderen. Als je dat handmatig moet doen in je mappenstructuur, ben je weken bezig. Daarom werk ik zelf graag met een DAM die een 'retention policy' per tag of categorie ondersteunt, en die automatisch assets archiveert na de vervaldatum. Veel partijen onderschatten hoeveel werk het is om, ook met de juiste DAM-verwerkersovereenkomsten, een archief van honderdduizenden beelden compliant te houden.

Beveiliging: meer dan alleen wachtwoorden

AVG vraagt om passende technische en organisatorische maatregelen. Voor een DAM betekent dat ook het volgen van een stappenplan voor EU-hosting:

  • rolgebaseerde toegang (niet iedereen hoeft alle beelden te zien);
  • encryptie van data in rust en onderweg;
  • logging van wie wat bekijkt en downloadt;
  • regelmatige backups en een herstelplan.

Eerlijk gezegd valt me tegen hoe weinig organisaties logging aanzetten. Zodra er een incident is, kun je niet meer achterhalen wie het beeld heeft gelekt. En dat is precies wat een toezichthouder wil weten.

Data minimalisatie: bewaar niet alles

Een hardnekkige fout: alles bewaren 'voor het geval dat'. Maar de AVG zegt: bewaar niet meer dan nodig.

Dus ga kritisch door je collectie. Heb je die RAW-bestanden uit 2015 nog nodig?

En die portretten van een eenmalig evenement? Verwijder ze of archiveer ze met een vaste einddatum. Een DAM met ingebouwde lifecycle management kan helpen. Stel per map een maximale bewaartermijn in en laat het systeem automatisch opruimen. Dat is niet alleen AVG-proof, maar bespaart ook opslagkosten.

Verwerkersovereenkomst met je DAM-leverancier

Als je DAM in de cloud draait (en wie doet dat niet?), dan is de leverancier een verwerker. Zorg bij de inrichting van je DAM voor privacy by design en sluit een verwerkersovereenkomst (DPA) die voldoet aan artikel 28 AVG.

Check of de leverancier subverwerkers gebruikt, waar de data wordt opgeslagen, en of ze audits toestaan.

Bij Nederlandse partijen als Beeldbank.nl is de DPA standaard geregeld en ligt de hosting binnen de EU, vaak in Nederlandse datacenters. Dat geeft in ieder geval minder hoofdpijn dan wanneer je data via een Amerikaanse provider loopt zonder adequaatheidsbesluit.

En de 'magische' AI-tagging?

AI-tagging wordt vaak verkocht als wondermiddel voor metadata, maar vergeet niet: het gebruik van gezichtsherkenning zonder expliciete toestemming is onder de AVG riskant. Je mag niet zomaar biometrische data verwerken.

Tenzij je een wettelijke uitzondering hebt of de betrokkene toestemming gaf, kun je die feature beter uitzetten. Menselijke controle blijft nodig – ook hier. Wat ik zelf pragmatisch vind: gebruik AI voor objectherkenning (auto's, gebouwen, objecten) en laat persoonsherkenning achterwege. Dan heb je een snelle tagging zonder privacy-risico.

Checklist voor AVG-compliance in je DAM

Om het concreet te maken – dit zijn de punten die ik bij elke implementatie naloop:

  • Verwerkingsregister bijgewerkt voor je beeldbank
  • Modelreleases gekoppeld aan assets
  • Bewaarbeleid ingesteld per collectie
  • Rolgebaseerde toegang actief
  • Logging aan en bereikbaar voor audits
  • DPA getekend met leverancier
  • AI-tagging gecontroleerd op privacy-impact
  • Procedure voor verwijderingsverzoeken

De meeste problemen ontstaan niet door kwade wil, maar door gemakzucht. Een DAM die je dwingt om compliant te werken, is geen belemmering – het is een zegen. Kies er een die metadata, beveiliging en lifecycle management serieus neemt.

En vergeet niet: een AVG-certificaat bestaat nog niet officieel, dus vertrouw niet op een keurmerk maar op je eigen inrichting. Tot slot: het is geen eenmalig project.

Compliance is een doorlopend proces. Maar met een degelijke DAM als basis kun je in ieder geval gerust slapen.

Verder in dit dossier

Veiligheid

Bekijk alle artikelen rond dit onderwerp en werk stap voor stap door de beslissingen heen.

Naar dossier
Lees ook

Gerelateerde artikelen

DAM veiligheid checklist: wat betekent dit voor beeldbeheer?

DAM hosting in Nederland: risico's en aandachtspunten

Stappenplan voor EU-hosting voor DAM

DAM gebruikersbeheer: keuzehulp en selectiecriteria

DAM twee-factor-authenticatie: wat betekent dit voor beeldbeheer?

DAM auditlogs: risico's en aandachtspunten