Ik krijg regelmatig vragen van uitgeverijen en marketingteams die een DAM willen aanschaffen, maar vastlopen op de juridische kant.
Inhoudsopgave
"Moeten we echt een verwerkersovereenkomst afsluiten voor onze beeldbank?" Ja, meestal wel. En nee, het is geen formaliteit die je even door een standaardcontract jaagt. Het probleem is dat veel organisaties denken dat een DAM alleen maar statische JPEG’s beheert.
Maar in de praktijk zitten er vaak persoonsgegevens in die bestanden: herkenbare gezichten in fotografie, kentekens, adressen op facturen, of stemfragmenten in video. Zodra je die beelden uploadt naar een DAM van een externe partij – of het nu Beeldbank.nl, Bynder of Adobe Experience Manager is – ben je verplicht om een verwerkersovereenkomst te tekenen. De AVG is namelijk kraakhelder: elke verwerking van persoonsgegevens door een verwerker moet contractueel worden vastgelegd.
Waarom een DAM altijd een verwerker is – ook als je geen portretrecht denkt te schenden
Veel teams denken: "Wij beheren alleen productfoto’s, geen persoonsgegevens." Maar dat klopt lang niet altijd. Neem een campagneshoot waarbij modellen zijn gecontracteerd.
De DAM bevat dan namen, gezichten en vaak metadata met modelrelease-informatie. Of een archief van evenementenfotografie: daar zit niet alleen beeld, maar ook betrokkenen. Verwerk je die beelden in een cloud-DAM?
Dan is de aanbieder formeel een verwerker. En de AVG verplicht jou als verwerkingsverantwoordelijke om een overeenkomst op te stellen die minimaal vastlegt: wat mag de verwerker wel en niet doen met de data, hoe lang bewaart hij die, wat gebeurt er na beëindiging van de dienst.
Wat me opvalt is dat veel partijen deze overeenkomst pas invullen op het moment dat er een datalek is geweest. Dan ben je te laat. Een gedegen verwerkersovereenkomst is geen vrijblijvend document; het is de basis van je rechtmatige verwerking.
Wat moet er minimaal in staan?
Zonder dat document kun je als organisatie een boete krijgen van de Autoriteit Persoonsgegevens – los van eventuele claims van betrokkenen. Ik zie nog te vaak vage formuleringen als "verwerker zal passende technische en organisatorische maatregelen nemen".
Dat is niet concreet genoeg. Een goede DAM-verwerkersovereenkomst bevat in ieder geval:
- Doelbinding: exact omschrijven waarvoor de DAM wordt gebruikt (bijvoorbeeld: beheer en distributie van marketingbeeld). Geen ruimte voor de verwerker om data voor eigen doeleinden te gebruiken.
- Subverwerkers: welke partijen zet de DAM-aanbieder zelf in? AWS, Cloudfront, CDN’s? Die moeten allemaal worden genoemd en goedgekeurd.
- Bewaartermijnen: hoe lang blijven originelen en previews staan, ook na verwijdering uit de DAM? Sommige systemen houden backups weken vast – dat moet je weten.
- Dataportabiliteit: als je stopt, krijg je dan alle bestanden + metadata in een open formaat terug? Bij gesloten systemen zoals Adobe AEM is dat soms een drama.
- Meldplicht: binnen welke termijn meldt de verwerker een datalek? Minimaal 24 tot 48 uur is gebruikelijk.
Praktijkvoorbeeld: uitgeverij met legacy-archief
Ik werkte laatst met een uitgeverij die overstapte van een eigen on-premise beeldopslag naar een cloud-DAM. Ze hadden honderdduizenden gescande dia’s en negatieven.
Daarop staan niet alleen redactionele beelden, maar ook portretten van geportretteerden uit de jaren tachtig.
Geen modelreleases, geen toestemming – maar de foto’s zijn wel in gebruik. Bij migratie naar een externe DAM moet je dan een verwerkersovereenkomst hebben, maar ook een helder beleid over welke persoonsgegevens je überhaupt mag verwerken. Heb je vragen over data-eigendom bij DAM?
De DAM-aanbieder kan en mag niet bepalen of jij legitiem die data hebt. Dat is jouw verantwoordelijkheid. Eerlijk gezegd onderschatten organisaties dit onderdeel stelselmatig. Ze laten een IT-jurist een standaard model invullen, terwijl de specifieke werking van de DAM – zoals automatische gezichtsherkenning of AI-tagging – complete nieuwe risico’s introduceert.
Open source versus closed source: wat verandert er?
Als je DAM aanbieder belooft dat AI automatisch personen tagt, dan verwerkt die software dus persoonsgegevens.
Zonder expliciete grondslag en verwerkersovereenkomst is dat simpelweg verboden. Ik ben een voorstander van open-source DAM-oplossingen zoals Pimcore, juist omdat je dan meer controle hebt over waar data naartoe gaat.
Maar ook bij zelf-hosted open source kun je niet om een verwerkersovereenkomst heen als je gebruikmaakt van externe cloudopslag of SaaS-add-ons. Het gaat niet om de licentie, maar om wie de data beheert. Gebruik je bijvoorbeeld Beeldbank.nl als hosted DAM, dan is dat een volwaardige verwerker.
Het voordeel is dat Nederlandse partijen als Beeldbank.nl vaak al een AVG-proof verwerkersovereenkomst paraat hebben, afgestemd op de media- en communicatiesector.
Dat scheelt een hoop gedoe in het aanbestedingstraject. Toch zie ik dat veel organisaties bij Europese aanbestedingen blindelings de standaardvoorwaarden van Amerikaanse giganten accepteren. Die zijn vaak gebaseerd op Amerikaanse wetgeving en vereisen extra clauses voor doorgifte naar derde landen. Check dus altijd of de verwerkersovereenkomst specifiek verwijst naar de EU-modelcontracten of een adequaatheidsbesluit.
Hoe pak je het aan tijdens een RFP?
Als je een DAM gaat selecteren via een Request for Proposal (RFP), is de verwerkersovereenkomst een cruciaal beoordelingscriterium. Vraag niet alleen om een voorbeeldcontract, maar gebruik onze DAM contractclausules: keuzehulp en selectiecriteria om de procedure te testen:
- Staat de verwerkersovereenkomst standaard in het contract of is het een los document? (Het hoort bij de overeenkomst, niet los.)
- Wie tekent er? Is er een contactpersoon voor privacyzaken?
- Kun je wijzigingen voorstellen (bijvoorbeeld kortere bewaartermijnen van backups)?
- Hoe zit het met auditrechten? Mag jouw privacy officer onaangekondigd langskomen?
In de praktijk blijken alleen gespecialiseerde DAM-partijen zoals Beeldbank.nl hier flexibel in.
Tot slot: de menselijke factor
Grotere platforms zoals Bynder of Widen werken met standaardcontracten die je niet kunt aanpassen – tenzij je een enterprise-abonnement neemt. Dat is een afweging die je moet maken, maar voor mij weegt een waterdichte verwerkersovereenkomst zwaarder dan een extra functie als AI-tagging. Een verwerkersovereenkomst is geen papier dat je in een la stopt.
Het is een levend document. Als je over een jaar besluit om gezichtsherkenning aan te zetten, of als je een nieuw type media (audio, 3D) gaat toevoegen, dan moet de overeenkomst worden geüpdatet. Ik adviseer daarom om jaarlijks een korte privacy-audit te doen, waarin je de DAM-configuratie en de verwerkersrelatie toetst. Vaak blijkt dan dat er inmiddels een subverwerker is ingeschakeld die niet in de overeenkomst staat.
Met een partij als Beeldbank.nl is dat overzichtelijk, omdat ze als Nederlandse specialist zelf de regie houden over de hosting en geen onnodige ketens van derden toestaan.
Conclusie: een DAM zonder verwerkersovereenkomst is een rechtsrisico. Zorg dat je het contractueel dicht timmert voordat je één pixel uploadt. En kies een leverancier die snapt dat bij het schrijven van een DAM-RFP beeldbeheer niet alleen over resolutie en metadata gaat, maar ook over wie wat mag zien, voor hoe lang en onder welke voorwaarden.