Q: Fotograaf inhuren? Vergeet de AVG niet.
"Ja. Als mensen herkenbaar in beeld komen, is dat persoonsgegevens. Dat betekent dat je een duidelijk contract nodig hebt (met AVG-afspraken, niet alleen auteursrecht), anders loop je kans op boetes én verlies je de controle over je foto’s."
Francesco Cattaneo
Wanneer een fotoshoot gegevensverwerking wordt
Een fotograaf inhuren lijkt een creatieve keuze. Maar het resultaat is niet alleen beeld: het is data. Medewerkers, klanten, zelfs vage figuren op de achtergrond vallen onder de AVG zodra ze identificeerbaar zijn. Elke shoot is dus een gegevensverwerkingshandeling, met wettelijke verplichtingen die je niet kunt omzeilen.
Wie beslist wat: Verwerkingsverantwoordelijke vs. Verwerker
De lijn is helder. Jouw bedrijf is de verwerkingsverantwoordelijke, omdat jij bepaalt hoe en waarom de foto’s worden gebruikt, website, LinkedIn of brochure. De fotograaf is de verwerker: hij of zij legt vast, bewerkt, slaat op en levert uitsluitend volgens jouw instructies. Artikel 28 AVG verplicht die relatie vast te leggen in een Verwerkersovereenkomst (DPA).
De onzichtbare stappen die óók verwerking zijn
Fotografie is meer dan de sluiter indrukken. Retoucheren, croppen, bestanden opslaan op harde schijven of in de cloud, bestanden via tools versturen, al die stappen zijn verwerking van persoonsgegevens, ongeacht de artistieke bedoeling.
De DPA die je niet mag overslaan
Een contract met een fotograaf waarin mensen herkenbaar zijn, moet altijd DPA-clausules bevatten of een aparte DPA als bijlage hebben. Een goede DPA bepaalt:
- Doel en reikwijdte: van opname tot bewerking en oplevering.
- Beveiligingseisen: opslag, versleuteling, bewaartermijnen.
- Subverwerkers: cloudproviders, freelance retouchers.
- Einde opdracht: wissen of teruggeven van alle data.
De risico’s van niets regelen
De DPA is geen papierwerk om het papierwerk. Zonder het stelt u uw bedrijf bloot aan regelgevende boetes, reputatieschade en een verlies van controle over waar foto's circuleren.
| Risicogebied | Als je het negeert | Gevolg voor MKB |
|---|---|---|
| Geen DPA | Verwerking onrechtmatig (art. 28) | Boetes toezichthouder; reputatieschade |
| Geen bewaartermijnen | Foto’s blijven eindeloos rondzwerven | Schending bewaarplicht; verlies van controle |
| Verborgen subverwerkers | Onduidelijke datastroom | Aansprakelijkheid bij misbruik door derden |
| Alleen auteursrecht, geen dataclause | Contract incompleet | Dubbel risico: auteursrecht + AVG |
Twee contracten in één: Auteursrecht en AVG
Elke fotograaf draagt twee petten: kunstenaar en dataverwerker. Alleen auteursrecht regelen is niet genoeg. Zie het contract als gelaagd: auteursrechten aan de ene kant, AVG-plichten aan de andere.
Vooruitlopen
Fotografie is kunst, maar óók compliance. Negeer dat laatste en je gokt met boetes én vertrouwen. Combineer auteursrecht met een AVG-proof DPA en je beschermt niet alleen creativiteit, maar ook je bedrijf.
Snelcheck voor ondernemers
- Herken persoonsgegevens in elke shoot.
- Voeg een DPA toe aan het contract.
- Leg opslag, overdracht en verwijdering vast.
- Keur subverwerkers goed of wijs ze af.
- Splits auteursrecht nooit los van AVG-afspraken.
Head of Compliance and Legal Department
Francesco Cattaneo is Hoofd Juridische Zaken & Compliance bij XTROVERSO™. Een gekwalificeerde Italiaanse advocaat en CIPP/E-gecertificeerde privacy-expert, hij overbrugt het burgerlijk recht, digitale regelgeving en strategisch bestuur. Zijn schrijven daagt de valse scheiding tussen recht en innovatie uit, en toont aan hoe duidelijke regels, wanneer goed geformuleerd, geen beperkingen zijn, maar instrumenten van vrijheid, bescherming en langetermijnontwerp.
