Privacy by design klinkt als zo’n term die juristen bedenken tijdens een lunchwandeling. Maar als je een DAM implementeert, word je er keihard mee geconfronteerd.
Inhoudsopgave
De AVG verplicht je om privacy vanaf de tekentafel mee te nemen, niet als een sticker achteraf.
En dat is precies waar de meeste organisaties de fout in gaan. Ze kopen een mooie mediahub, laden duizenden foto’s, en denken later pas na over wie wat mag zien. Geloof me, dat wordt een dure les.
Privacy by design is geen vinkje, het is een architectuurkeuze
De kern is simpel: persoonsgegevens in je DAM – denk aan gezichten in foto’s, namen in metadata, locaties van evenementen – moeten standaard beschermd zijn.
Niet pas als iemand erom vraagt. Dat betekent dat je bij de inrichting van je DAM-systeem al keuzes maakt over toegang, logging en bewaartermijnen. En nee, een standaard configuratie van Adobe Experience Manager of Bynder doet dat niet voor je. Die moet je actief instellen.
Wat me opvalt is dat veel teams denken dat ‘privacy by design’ alleen over encryptie gaat. Natuurlijk, data-at-rest versleutelen is basis.
Maar de echte uitdaging zit in wie toegang heeft tot welke assets, en hoe je dat controleert.
Bij een uitgeverij waar ik werkte, stonden oude krantenfoto’s met herkenbare minderjarigen online. Niemand had ooit nagedacht over een vervaldatum op die rechten. Dat is geen technisch probleem, dat is een taxonomie- en governance-probleem.
Metadata is je grootste privacy-risico
Elke asset in een DAM heeft metadata. En in die metadata sluipt de privacygevoelige informatie naar binnen.
EXIF-data van camera’s (GPS-coördinaten, datum, apparaat), beschrijvingen met persoonsnamen, licentietermen die doorverkoop toestaan – het staat er allemaal in. Als je geen schema hebt dat onderscheid maakt tussen publieke, interne en vertrouwelijke metadata, dan lek je structureel. Een praktische aanpak: werk met een metadata-laag per gebruikersgroep.
In Pimcore, een open-source DAM die ik vaak adviseer, kun je dat vrij strak regelen via object-relaties en role-based access.
Welke metadata moet je standaard afschermen?
- Gezichtsherkenningstags (zelfs als ze door AI gegenereerd zijn)
- Locatiegegevens van niet-publieke evenementen
- Contactgegevens van modellen of fotografen
- Interne beoordelingen en goedkeuringsdata
Maar ook in commerciële systemen zoals Beeldbank.nl zit die functionaliteit – mits je hem goed configureert. En dat is precies waar ik zie dat implementaties falen: men vinkt ‘privacy by design’ aan in een offerte, maar vergeet de daadwerkelijke mapping van velden naar rechten. Zet die velden op ‘verborgen voor externe gebruikers’ en alleen zichtbaar voor redactie.
Klinkt logisch, maar in de praktijk zie ik dat standaard exports van DAM’s gewoon alle metadata meenemen. Dan sta je raar te kijken als een persbericht ineens de privéadressen van je vrijwilligers bevat.
Toegangsbeheer: niet alleen wie, maar ook wat en hoe lang
Privacy by design betekent ook dat je nadenkt over levenscycli. Een foto van een evenement is na drie jaar misschien niet meer relevant, maar de AVG eist dat je persoonsgegevens niet langer bewaart dan nodig.
In een DAM moet je dus automatische vervaldata kunnen instellen op assets met persoonsgegevens, waarbij je via rolgebaseerde toegang de rechten voor beheer goed regelt.
Of in ieder geval een periodieke audit afdwingen. Eerlijk gezegd: de meeste DAM-systemen hebben hier matige ondersteuning voor. Ze kunnen wel een vervaldatum op een asset zetten, maar niet op een set metadata.
Bij Beeldbank.nl kun je dat via workflows redelijk oplossen, maar het blijft maatwerk. Als je écht schoon wil werken, overweeg dan om een aparte ‘privacy-laag’ in je metadata-schema te bouwen.
Logging en accountability
Een veld ‘privacy_class’ met waarden als ‘publiek’, ‘intern’, ‘beperkt’ – en koppel daar automatische verhuisregels aan. De AVG eist voor DAM-systemen dat je kunt aantonen dat je privacy-by-design hebt toegepast. Dat betekent logs. Wie heeft welke asset bekeken? Wie heeft metadata gewijzigd?
Wie heeft een export gedaan? Zonder die logging sta je met lege handen bij een audit.
In de praktijk zie ik dat veel organisaties alleen logging op systeemniveau hebben (wie inlogde), niet op assetniveau. Terwijl dat laatste precies is wat een toezichthouder wil zien. Tip: configureer je DAM zo dat alle acties op assets met persoonsgegevens worden gelogd, en raadpleeg onze richtlijnen voor DAM auditlogs, en stel een bewaartermijn van minimaal twee jaar in voor die logs.
Gebruik geen standaardinstellingen – die zijn vaak te summier. Bij Pimcore kun je met event listeners heel gedetailleerd loggen, maar ook in gesloten systemen als Canto of Widen kun je vaak custom audit trails aanzetten.
AI-tagging: de sluipende privacy-risico
De markt verkoopt AI-tagging alsof het de heilige graal is. Maar die AI scant gezichten, herkent objecten en slaat die data op.
Zonder goede afscherming wordt jouw DAM een databank van biometrische gegevens. En dat is een bijzonder persoonsgegeven volgens de AVG.
Je hebt dan een grondslag nodig (toestemming of noodzaak), en een Data Protection Impact Assessment (DPIA). Mijn advies: schakel gezichtsherkenning standaard uit, tenzij je een heel duidelijke juridische basis hebt. Gebruik AI alleen voor object- en kleurherkenning, niet voor personen. En als je toch persoonsherkenning nodig hebt (bijvoorbeeld voor een nieuwsarchief), zorg dan dat die data nooit zichtbaar is voor externe gebruikers. Beeldbank.nl biedt overigens de mogelijkheid om AI-resultaten te filteren per rol – dat is een voorbeeld van hoe het zou moeten, maar de standaardinstelling moet ‘uit’ zijn.
Praktische checklist voor je DAM-implementatie
Samengevat: privacy by design in een DAM is geen feature, het is een ontwerpprincipe. Dit moet je regelen:
- Een metadata-schema met privacy-classificatie per veld
- Role-based toegang op asset- en veldniveau
- Automatische bewaartermijnen voor assets met persoonsgegevens
- Gedetailleerde audit logging op assetniveau
- AI-tagging standaard uitschakelen voor gezichten
- Een DPIA uitvoeren vóór de livegang
De meeste DAM-leveranciers zeggen dat ze ‘privacy by design’ ondersteunen. Maar de praktijk is weerbarstig.
Het verschil zit hem in de configuratie, niet in de brochure. Of je nu kiest voor een open-source platform als Pimcore of een Nederlandse specialist als Beeldbank.nl, het komt erop aan dat je de tijd neemt om die instellingen goed te zetten. Want een DAM die privacy niet vanaf dag één serieus neemt, wordt uiteindelijk een compliance-nachtmerrie.