Privacy in een notendop
Persoonsgegevens vormen het sleutelbegrip van de AVG. Persoonsgegevens zijn gegevens aan de hand waarvan iemand kan worden geïdentificeerd. Dit begrip is heel ruim. Daaronder vallen bijvoorbeeld een adres, telefoonnummer of een visitekaartje. Als je iets met die persoonsgegevens doet, dan noem je dat een ‘verwerking’ en is de AVG van toepassing. Degene van wie je de persoonsgegevens verwerkt is de ‘betrokkene’. Als professioneel fotograaf verwerk je veelal persoonsgegevens van je opdrachtgevers: denk hierbij aan zijn of haar NAW-gegevens, bankrekeningnummer of telefoonnummer. Maar ook een foto waarop iemand (direct of indirect) herkenbaar in beeld wordt gebracht, is een persoonsgegeven. Het maken van een portret is dus een verwerking van persoonsgegevens, waarbij de fotograaf rekening moet houden met de AVG. Als uitgangspunt geldt dat je alleen persoonsgegevens mag verwerken als je daarvoor een juridische grondslag hebt.(1) De verzamelde persoonsgegevens mogen vervolgens alleen verwerkt worden voor de doeleinden waarvoor deze verzameld zijn.(2)
Verwerkingsverantwoordelijke en verwerker
Wellicht heb je al eens gehoord van de – inmiddels gevleugelde – begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Als verwerkingsverantwoordelijke stel je het doel en de middelen van de gegevensverwerking vast. Je bepaalt waarom persoonsgegevens worden verwerkt en de manier waarop dit gebeurt. De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Een verwerker bepaalt niet zelf het doel en de middelen, maar verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke, waarbij de opdracht specifiek ziet op de verwerking van persoonsgegevens.
Klinkt abstract, maar dat valt wel mee. De salarisadministrateur is een klassiek voorbeeld van een verwerker. Een bedrijf besteedt zijn salarisadministratie uit aan een administratiekantoor. De opdracht aan de salarisadministrateur is het ongewijzigd verwerken van salarisgegevens ten behoeve van dat bedrijf. Als fotograaf ben je in veel gevallen verwerkingsverantwoordelijke. Jouw opdracht als fotograaf is immers niet hoofdzakelijk om persoonsgegevens te verwerken. De verwerking van persoonsgegevens is enkel een uitvloeisel van een andere vorm van dienstverlening. Dit vraagt om een voorbeeld. Je krijgt de opdracht een fotorapportage te maken van een bruiloft. Je krijgt daarbij de vrijheid van de opdrachtgever om op eigen initiatief te bepalen hoe je het bruidspaar en de gasten fotografeert, welke (na)bewerking je op de foto’s toepast, hoe de foto’s worden afgedrukt, enzovoort. Het feit dat je door het maken van de fotorapportage ook persoonsgegevens verwerkt, is dan slechts een uitvloeisel van de opdracht en niet de primaire opdracht. Kortom: een fotograaf is meestal zelf verwerkingsverantwoordelijk voor de verwerking van persoonsgegevens.
Verwerkersovereenkomst
Fotografen zetten op hun beurt echter wel vaak verwerkers in voor de uitvoering van een ontvangen opdracht. Zo kiezen veel fotografen ervoor om de gemaakte foto’s online op te slaan in de cloud, of maken zij gebruik van een automatische online back-up service. Deze foto’s bevatten zoals gezegd persoonsgegevens, en de leverancier van de clouddienst of back-up service heeft daar vaak toegang toe. Daarom is de leverancier verwerker van de persoonsgegevens. De fotograaf is in dat geval verplicht om met de leverancier een verwerkersovereenkomst te sluiten.
In een verwerkersovereenkomst maken de verwerkingsverantwoordelijke en de verwerker afspraken over de verwerking van persoonsgegevens. In de AVG is bepaald welke afspraken precies gemaakt moeten worden. Het gaat daarbij onder meer om de verplichting dat persoonsgegevens alleen verwerkt mogen worden op (schriftelijke) instructies van de fotograaf, de verwerker de fotograaf moet helpen indien een betrokkene een beroep doet op een van haar rechten onder de AVG, en de verwerker zorg draagt voor een adequate beveiliging van persoonsgegevens.(3)
Goede beveiliging
In de praktijk zien wij vaak problemen ontstaan rondom de beveiligingsverplichting. De AVG verplicht zowel de verwerkingsverantwoordelijke als de verwerker om op een verantwoorde manier met persoonsgegevens om te gaan. Onderdeel daarvan is dat men passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen. Het vereiste beveiligingsniveau is met name afhankelijk van de gevoeligheid van de persoonsgegevens. Van een fotograaf wordt dus niet verwacht dat hij een beveiliger inhuurt om zijn foto’s en bijbehorende administratie te bewaken. Maar het is uiteraard wél van belang om de computer en opslagapparatuur waarop de persoonsgegevens staan opgeslagen, te beveiligen met een sterk wachtwoord en met versleuteling. Bij het bepalen van het benodigde beveiligingsniveau spelen onder meer de volgende gezichtspunten een rol: hoeveel persoonsgegevens worden er verwerkt, met welk doeleinde, en wat zouden gevolgen van een beveiligingsincident kunnen zijn?(4)
Van een fotograaf die zo nu en dan reguliere portretfoto’s maakt kan niet verwacht worden dat hij veel kosten gaat maken voor het hoogste niveau van beveiliging. Dit kan anders zijn voor een grote organisatie van persfotografen die op grote schaal privacygevoelige foto’s van BN’ers maakt. Met name bij het inschakelen van een verwerker – zoals een Cloud leverancier – is het raadzaam onderzoek te doen naar het beveiligingsniveau dat deze leverancier biedt. Ook hiervoor gelden de voornoemde gezichtspunten. Zijn de gevolgen van het uitlekken van de gegevens aanzienlijk, kies dan voor een verwerker die een zogenaamde twee-factor authenticatie(5) vereist en gebruikmaakt van een SSL-verbinding.(6) In de praktijk ben je als fotograaf al gauw gebonden aan de standaardvoorwaarden van een bekende clouddienst. Hoewel veel Cloud leveranciers tegenwoordig voldoen aan de AVG, is dat niet altijd zo: als verwerkingsverantwoordelijke blijf je altijd zelf verantwoordelijk. Ook als je een verwerker inschakelt. Overigens geldt ook dat het beveiligingsniveau moet meegroeien met de stand van de techniek. Wat tegenwoordig een passend beschermingsniveau is, kan over enkele jaren alweer sterk verouderd zijn.
Datalekken
Waarom is het nu zo belangrijk om persoonsgegevens adequaat te beveiligen? Een datalek zit in een klein hoekje. Een datalek wordt onder de AVG gedefinieerd als ‘een inbreuk in verband met persoonsgegevens’. Van een inbreuk is sprake wanneer door onjuiste beveiliging persoonsgegevens vernietigd worden, verloren raken, gewijzigd worden, verstrekt worden of toegankelijk gemaakt worden, terwijl dat niet de bedoeling was. Op grond van de AVG is het melden van een datalek in beginsel verplicht.(7)
Tot slot
Een laatste noot. Als professioneel fotograaf komen er allerlei privacy verplichtingen op je af. Een professioneel fotograaf die veel in opdracht werkt, zal wat betreft de verwerking van persoonsgegevens in veel gevallen de verwerkingsverantwoordelijke zijn. Dit betekent dat hij verantwoordelijk is voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. In deze bijdrage hebben wij aandacht besteed aan het maken van de juiste afspraken bij het inschakelen van verwerkers en de gezichtspunten geboden om een adequaat beveiligingsniveau te bepalen. Een datalek ligt immers altijd op de loer en goede afspraken en (technische) maatregelen kunnen dit risico zoveel mogelijk beperken.
Noten
1. Enkele voorbeelden van grondslagen: uitvoering van een overeenkomst (bijv. een opdracht tot het maken van portretfoto’s), een wettelijke plicht, een gerechtvaardigd belang of toestemming van de betrokkene.
2. Stel vooraf het doel van de verwerking vast: waarom (dus met welk doel) de foto’s worden gemaakt, bijvoorbeeld voor het gebruik in een smoelenboek.
3. Zie artikel 28 AVG.
4. Zie artikel 32 AVG.
5. Bij twee factor authenticatie gebruik je, zoals het woord al doet vermoeden, twee factoren om in te loggen. Naast het invoeren van je gebruikersnaam en wachtwoord heb je bijvoorbeeld ook nog een code nodig om in te loggen, die via sms of e-mail wordt gestuurd.
6. Een SSL-verbinding is een versleutelde verbinding tussen de server en de bezoeker.
7. Tenzij het onwaarschijnlijk is dat het geen risico vormt voor de rechten en vrijheden van de betrokkenen. Let wel, ook als er geen sprake van een meldingsplichtig datalek, moet je wél een datalekkenregister bijhouden waarin je informatie opneemt over het lek zelf, de genomen maatregelen en de overwegingen voor het wel of niet melden.
In Focus 7/8 2018 verscheen het eerste deel over dit onderwerp. Lees het hier terug
Waarom noem je hier de salarisadministratie als klassiek voorbeeld van de verwerker? Dat is namelijk onjuist. Zie hiervoor richtlijnen van de NBA (beroepsorganisatie) die in samenspraak met de Autoriteit Persoonsgegevens zijn opgesteld. Hierin staat dat salarisadministrateurs vrijwel altijd verwerkingsverantwoordelijken zijn en geen verwerkers. Alleen wanneer ze enkel de technische tooling (administratieprogramma) aanbieden zijn ze verwerker. Maar zodra ze expertise/advies toevoegen aan hun dienstverlening, wat bijna altijd zo is zeker in het MKB, dan zijn ze verwerkingsverantwoordelijke.