Mag je schoolfoto’s in een Dropbox delen met alle ouders?

Een lezer vroeg me:

Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we apart toestemming.) Maar nu klaagt een ouder dat dit zo niet mag en dat ook verspreiding in Dropbox alleen met aparte toestemming mag. Klopt dat?

Op grond van het portretrecht mogen portretfoto’s als deze (“portretten in opdracht”) niet worden gepubliceerd zonder toestemming van de geportretteerde. Omdat het hier nu gaat om kinderen, is toestemming van de ouders nodig voor publicatie.

De vraag is dan, is dit een publicatie? Je zou zeggen van niet, want slechts een groep ouders kan erbij en niet de hele wereld. Maar de Auteurswet is streng: zodra je buiten de directe familie- of vriendenkring komt, is al sprake van een ‘openbaarmaking’ oftewel een publicatie van het portret. Deze Dropbox-verspreiding is voor alle ouders van die klas beschikbaar, en het lijkt mij lastig verdedigbaar dat alle ouders van klasgenoten de “familie- of vriendenkring” vormt. En als het de hele school is, dan gaat het natuurlijk helemaal niet meer op.

Je kunt het ook via de privacywet (Wet bescherming persoonsgegevens, straks de Privayverordening) spelen maar dan kom je op hetzelfde uit. Verspreiding van een foto telt als een “verwerking van persoonsgegevens”, en dat mag alleen met toestemming of op grond van een andere grondslag uit die wet. Ik zie alleen geen grondslag die hier op kan gaan. Er is geen overeenkomst die verspreiding onder al die ouders rechtvaardigt, en een eigen gerechtvaardigd belang dat zwaarder weegt dan de privacy van de kinderen al helemaal niet.

Ik vrees dus dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan. Dat zou denk ik nog nét te verdedigen zijn als familie- of vriendenkring, of onder de privacywet een gerechtvaardigde verwerking. Je kunt immers moeilijk toestemming vragen voor een foto zonder de foto te laten zien aan de betrokkenen.

Arnoud

53 reacties

  1. Je kan ook wel erg moeilijk doen als ouder… Maar ik vraag me af hoe dat dan met de foto’s van de schoolfotograaf zit… Volgens mij kreeg iedereen vroeger naast zijn of haar pasfoto ook de klassenfoto mee naar huis.

    Komt dit dan ook niet neer op ‘openbaarmaking’ omdat ieder kind de klassefoto met daarop ook andere geportretteerden mee krijgt?

  2. “portretten in opdracht”

    Is hier wel sprake van ‘portretten in opdracht’ ? Wie is de opdrachtgever dan ? Meestal (dat is tenminste mijn ervaring) zal er sprake zijn van een of meerdere mensen die een camera of smartphone mee hebben voor de eigen foto’s waarna er behoefte is om daar een kopie van te krijgen. Dan wordt de vraag toch welk redelijk belang er is om de foto’s niet te verspreiden onder de (ouders van) deelnemers?

  3. Naar aanleiding van een discussie m.b.t. het zelfde thema heb ik, wonend in Bremen, de Datenschutzbeauftragte in Bremen aangesproken. Die kwam met een, voor allen die meenden iets te weten, met nog een ander argument: De dropbos bevindt zich op een server waarover ik geen zeggenschap heb. Ik kan niet nagaan of en hoe de gegevens daar beveiligd zijn. Dit is in Bremen voorwaarde om data te mogen opslaan: Als verantwoordelijke voor de opslag moet ik redelijkerwijs de veiligheid van de data kunnen garanderen en, zolang ik op een server buiten mijn bereik handel, kan ik dit niet – dus mag ik daar niets opslaan. Is dit niet een extra argument ook in Nederland, de betreffende ouders hebben eigenlijk geen invloed op de veiligheid van de opgeslagen data.

    1. Ik vind dat een vreemde argumentatie. Ik denk niet dat er veel private personen zijn die een ‘server binnen hun bereik’ hebben laat staan dat individueen servers beter kunnen beveiligen dan Dropbox doet. Volgens mij is een ouder die klant is van dropbox voldoende in control van de dataopslag om deze te mogen gebruiken onder die argumentatie en is een dropbox vrijwel altijd veiliger dan een zelf beheerde server.

      1. Eens, voorzover het gaat om het ‘redelijkerwijs garanderen van veiligheid’ is er lijkt mij wat betreft digitale opslag geen enkele reden om aan te nemen dat iemand zijn eigen PC of server veiliger is dan dropbox. Maar wellicht dat een expert hier een andere mening is toegedaan..

      2. De eigen computer wordt in dit geval als “server” gezien. Volgens de Datenschutzbeauftragte hier in Bremen ligt het probleem bij dropbox of andere clouds vooral daarin, dat ik uiteindelijk geen enkele invloed heb op wat er met de data gaat gebeuren. Besluit de beheerder in Verweggistan de gegevens te verkopen, mag ik wel boos worden, maar het heeft geen zin. Het aangesproken probleem betrof een server van een fruitcomputer, hier was in principe Amerikaans recht van toepassing, dat is niet zo streng als dat wat in Bremen geldt, dus mocht het niet.

        1. Ja maar die invloed heb je uiteindelijk nooit. 1) Al staat die server op het computerpark een kilometer verderop, en heb je vele contracten, dan nog kunnen ze doen wat ze willen. Contractbreuk? Ja, maar iemand die gegevens van zijn gebruiker verkoopt, bijv om een faillisement af te wenden, zal zich daar niet druk om maken. 2) een vaardige hacker die er perse aan wil, zal er toch wel aankomen 3) de meeste inlichtingendienst hebben de data waarschijnlijk toch al, of dat nu mag of niet.

  4. Op zowel de basisschool als vroeger de creche (KDV) van mijn kinderen is al bij de inschrijving gevraagd om toestemming om foto’s te maken tijdens schooltijd en uitjes, en om deze (zonder naamsvermelding) te publiceren op de schoolwebsite. Er werd onderscheid gemaakt tussen een individueel portret en groepsfoto’s. Er werd bij gezegd dat als voor het laatste geen toestemming gegeven werd het lastig was voor de school.

    Ik vond het netjes dat dit gevraagd werd en heb met plezier toestemming gegeven. Of er ouders zijn die geen toestemming hebben gegeven weet ik niet. Wel worden regelmatig een paar foto’s gepubliceerd, altijd groepsportretten, maar ik heb nooit gekeken of daar wellicht een bepaalde klas mist op dit foto’s.

    Wat mij betreft was het belangrijkste hiervan bewustwording. Het is een school, ze mogen ook best de ouders een beetje opvoeden :). Ik heb de indruk dat veel ouders lichtvoetig omgaan met de privacy van hun kinderen, en voor als criteria hanteren of ze het zelf leuk vinden om de foto te delen, niet of het kind dat wel of niet leuk vind. Dat moet de afweging zijn. Meteen dwars gaan liggen in een dergelijke corner-case heeft denk ik een averechts effect, omdat andere ouders dan gaan ageren tegen dit soort “privacy-zeikerds”.

    1. Probleem is alleen dat ze er daar nog niet mee zijn. Als jij vandaag toestemming geeft, ze plaatsen het morgen op website, en over 3 weken trek jij je toestemming weer in…. zullen zij het van de site moeten verwijderen

      1. Het intrekken van eerder gegeven toestemming betreft enkel de verwerking vanaf die intrekking. Gegevens die daarvoor verwerkt zijn, zijn niet met terugwerkende kracht onrechtmatig en hoeven niet alsnog verwijderd te worden.

  5. Blog gaat helder in op de distributie van foto’s, zijnde persoonsgegevens. Voorbijgegaan wordt aan de vraag of het maken van die foto’s op evenementen (in opdracht van de school) op zichzelf toegestaan is. Hier start de eerste verwerking van persoonsgegevens. Mag van andermans kinderen überhaupt een foto worden gemaakt zonder voorafgaande toestemming? Los van verdere verspreiding legt de fotograaf hiermee een verwerking aan die op zijn minst door hemzelf inzichtelijk wordt. En deze fotograaf is doorgaans niet iemand in de “familie- of vriendenkring” overigens.

    Omdat er hier geen sprake is van enige noodzaak (en het ook nog eens kinderen betreffen) is het antwoord ‘nee’. Deze toestemming moet vooraf gegeven zijn (door ouder/voogd). Deze moet ook ‘ondubbelzinnig’ zijn waaronder in ieder geval verstaan wordt dat je afdoende geïnformeerd wordt zodat je weet waar je toestemming voor geeft. Daarin zou dus al helderheid moeten zijn over wie inzage heeft en krijgt.

    Je vrees dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan, lijkt gebaseerd te zijn op de aanname dat de foto’s zonder ondubbelzinnige toestemming zijn genomen. Volgens mij ligt de oplossing voor de hand. Als iedereen het gewoon netjes volgens de privacyspelregels zou doen dan zou er dus best al toestemming kunnen zijn gegeven voor verdere distributie buiten de “familie- of vriendenkring”. Bijvoorbeeld naar de gehele klas. Weg vrees?

    1. Toestemming vragen als de foto’s worden genomen op openbaar terrein… dat lijkt me nogal stug. Als ik foto’s/video’s maak op straat of een andere openbare plek, dan hoef ik ook niet aan iedereen toestemming te vragen of ze er wel op willen. Als het op een besloten plek gebeurt, dan is het natuurlijk een ander verhaal.

  6. Ik begin steeds meer te vinden dat dat hele privacygedoe erg doorgeschoten en overdreven is. Ik herinner me een reünie van m’n middelbare school, al weer heel wat jaren terug, toen nog niemand het over zulke privacyregels had, en er hingen klassefoto’s van toen aan een wand. Enkele die ik zelf ook had, andere had ik niet maar ik zag er soms wel bekende gezichten op. Nostalgie.

    Onder de moderne regels zou zoiets totaal niet meer mogen. Maar dan mis je wel een boel leuke, gezellige dingen. Hoe heten die sites ook weer waar mensen vroegere klasgenoten opsporen? Die zullen binnenkort wel gesloten worden wegens niet meer te verenigen met de privacyregels.

    Raar en overdreven. Mijn mening.

    1. Lijkt me niet dat je geen klassefoto’s meer aan de muur mag hangen. Ik wil de rechter wel zien die dat gaat verbieden. Wat verder inderdaad doorgeschoten en overdreven is is niet zozeer het privacyrecht zelf maar hoe mensen er gebruik van maken. Komt ook door alle indianenverhalen die je overal leest, en die mensen onzeker maken. Ik kan echt bij G*d niet bedenken waarom een ouder bezwaar zou maken tegen het verspreiden van foto’s van een schoolreisje via dropbox.

      1. Een foto maken met een digitale camera is formeel echt een verwerking van persoonsgegevens. Vaak zal die vallen onder de uitzndering voor eigen privégebruik, maar bij publicatie/verspreiding van de beelden niet. Dus moet het maken van de foto met toestemming gebeuren of onder een eigen dringende noodzaak. De vrijheid van informatiegaring zal in beginsel zo’n noodzaak geven, maar de afweging moet wel worden gemaakt.

        En wat het bezwaar betreft: andere ouders hebben de neiging al die foto’s op Facebook te zetten zonder enige beperking, en met voor het gemak iedereen met voor- en achternaam getagd.

        1. Ik vrees dat we dus kunnen wachten op het schoolbestuur dat bij aanmelding een formulier voorlegt waarin om toestemming voor beperkte verspreiding van dergelijke foto’s wordt gevraagd en dat in geval van weigering of intreking van de toestemming de kinderen niet meer welkom zijn bij sinterklaas, kerst of carnavalvieringen. Waarom is dit zo’n probleem als het op school gebeurt maar is er niets aan de hand als de intocht van sinterklaas op tv of in de krant komt? Volgens mij slaan we serieus door hier.

          1. Dat komt omdat televisie lange tijd analoog was en daarom buiten de Wbp viel, en omdat mensen dachten dat de pers vrijgesteld was van de Wbp (wat niet zo is, maar artikel 3 Wbp lijkt dat wel te suggereren). En als je maar lang genoeg denkt dat je ergens niet onder valt, dan wordt het vanzelf onvoorstelbaar dat de wet zodanig is (of wordt) dat je er wél onder valt. Zie zo ongeveer alle regels ter bescherming van de consument (hoi Wet Van Dam).

        2. Maar het ophangen van klassefoto’s op school zal toch geen probleem opleveren of verwacht je anders?

          Wat betreft het bezwaar: je ziet het bezwaar dan in wat ouders vervolgens doen met die foto’s die ze via Dropbox verkregen hebben, bijvoorbeeld verder verspreiden via Facebook. Dat kan ik dan nog wel begrijpen, maar dat is wel een brug verder dan slechts verspreiding via Dropbox en lijkt me zowiezo niet toegestaan zonder toestemming van de maker van de foto’s.

          1. Nee, maar ik reageerde op je laatste stuk over verspreiding via dropbox. Je moet wel een héél formeel lezer van de AVG zijn om die geprinte foto te zien als een papieren kopie van een elektronisch persoonsgegeven en daarop dan de regels over elektronische verwerking van toepassing verklaren.

  7. Scholen zijn verplicht toestemming te vragen aan de ouders (van basisschool kinderen). Niet eenmalig bij aanmelding, maar herhaaldelijk moeten zij aan ouders kenbaar maken hoe school met bijv. foto’s van kinderen omgaat op website, social media, enz. Ouders kunnen dan alsnog bezwaar maken tegen gebruik van. Ten tweede moeten scholen dit doen volgens de Europese wet en regelgeving. Dat zou dus in principe betekenen dat Dropbox, Facebook en Twitter al niet zijn toegestaan !?

    1. En als die sociale media die u noemt servers in de EU hebben? Dan valt het onder de EU. In het geval van Twitter is dat sowieso het geval want alle Europese gegevens (d.w.z.: afkomstig van een Europees IP-adres) slaat Twitter op op een server in Ierland.

        1. Dat is echt onzin. Allereerst doe je als Europees burger zaken met bv. Facebook Ierland en niet de Californische moeder. Ten tweede verklaren Europese wetten zichzelf gewoon van toepassing als je je richt op Europese burgers. De nieuwe Europese privacywet doet dat in ieder geval expliciet, en er is jurisprudentie uit andere rechtsgebieden te over. Het handhaven van zo’n wet is vers 2, maar dat is een implementatiedetail.

          1. Europese wetten kunnen zich van toepassing verklaren, maar Amerikaanse wetten kunnen dat ook, zeker bij bedrijven waar moeder of dochter in de VS zit? Ook als geen van de mensen in de klas ook een Amerikaans paspoort blijkt te hebben.

            Het mag een implementatiedetail heten, maar je kunt je afvragen of je zorgvuldig om gaat met persoonsgegevens als je weet dat gegevens incl. gag order kunnen worden opgevraagd zonder tussenkomst van een NL/Europese rechter. Ik doe misschien zaken met Facebook Ierland (is dat zo, ook als een deel van mijn vriendengroep pak-em-beet Chilenen zijn?) maar Facebook Ierland legt verantwoording af aan, en wordt aangestuurd door, Facebook US.

            Dat in de praktijk iedereen gewoon mailt via Gmail, naakttoto’s via Whatsapp stuurt en een backup van de financiële administratie van de buurman op Dropbox zet, doet daar niet aan af.. Toch terug naar de praktijk: het is zo lekker makkelijk en goedkoop / gratis. Iedereen in de klas gebruikt het toch al dus die gaan klagen als je moeilijk moet doen en inloggen op een of andere vage slecht beveiligde niet onderhouden zelfbouwportaal die is geoptimaliseerd voor Internet Explorer 8.0.

            1. Europese wetten kunnen zich van toepassing verklaren, maar Amerikaanse wetten kunnen dat ook, zeker bij bedrijven waar moeder of dochter in de VS zit? Ook als geen van de mensen in de klas ook een Amerikaans paspoort blijkt te hebben.

              Je kunt als (dochter)bedrijf meestal een bevel van een land afwijzen als dat strijdig is met de wetgeving van het land waar je in gevestigd bent land. Het moeder bedrijf kan aan de rehter an geven dat de gegven niet verstrekt mogen worden of in beroep gaan tegen het bevel. Een rechter uit het opvragende zou in kunnen stellen dat zijn jurisdictie voorgaat op die van een ander land maar dat is niet zo evident zeker niet als er bijvoorbeeld een verdrag is tussen beide landen om juridische bijstand te verlenen. Het zou heel bizar worden als een rechter iemand oplegt in een ander land een misdrijf te plegen.

  8. Op onze website (www…….nl) en facebook pagina (https://www.facebook.com/…….) zetten wij regelmatig foto’s van actuele gebeurtenissen op onze school. Uiteraard gaan wij hier zo zorgvuldig mogelijk mee om. Mocht u er bezwaar tegen hebben dat uw kinderen op de website te zien zijn, laat u dit dan weten aan de ICTcoördinator (……..)

    Dit staat in de schoolgids. Ouders maken zelf ook fotos tijdens openbare gebeurtenissen (sinterklaas, sportdag, etc) en die zullen ook wel overal en nergens terecht komen. Het is dus opt out. Zelf geen bezwaar tegen, ik plaats zelf ook nog wel eens een foto.

    1. Hier MAAKT de school er een opt out van maar dat betekent niet dat het dan ook een opt out IS. De wijze waarop de school er in de praktijk mee omgaat, doet niets af aan privacywet- en regelgeving. Heel pragmatisch en fijn dat niemand er moeite mee heeft, maar het is daarmee nog steeds niet toegestaan.

  9. De verordening (AVG) ziet voor een aantal elementaire onderwerpen op herstel van eerdere foutieve implementatie van de richtlijn. Voor overheden worden expliciet de mogelijkheid van informed consent en gerechtvaardigd belang buiten werking gesteld. Dat is gemotiveerd met het ontbreken van voldoende vrijheid in de machtsverhouding burger – overheid. Diezelfde vrijheid ontbreekt tussen ouder en school, waarbij de school een wettelijke opdracht uitvoert om scholing aan te bieden en voor de ouder (/het kind) de leerplicht geldt. De werkwijze van de school zou voor de ouder al bekend moeten zijn op het moment vooraf aan de schoolkeuze om het maken van de foto’s te rechtvaardigen. Het gebruik van Internet kan eenvoudig achterwege worden gelaten (default) en kan, bij gebrek aan strikte relatie met de scholing, wel via instemming verlopen. Dit soort problematiek is m.i. het gevolg van eisen die voor zowel de markt als voor de overheid moeten gelden.

    1. Ik heb wat gemist, waar staat in de AVG dat artikel 6(1)(a) over toestemming niet geldt voor overheden? Bij artikel 6(1)(f) staat dat er wel, en dat is ook logisch want de overheid moet die afweging gewoon in een wettelijke regeling zetten.

      Daarnaast zijn bijzondere scholen volgens mij geen overheid, openbare scholen wel maar of ze ook onder die beperking van artikel 6(1)(f) vallen dan?

      1. Overweging (43) die geeft mij de logische afbakening, ongeacht de letterlijke tekst. Uitgangspunt is dat overheden de wet nakomen en dat gespecificeerde uitleg voor hen niet nodig is. Of dat volstaat is een 2e

        1. Ik lees die overweging als een sterke afkeuring maar geen categorisch verbod. De overweging zegt, bij een duidelijke wanverhouding kan geen toestemming worden gegeven. En van een wanverhouding is met name snel sprake bij de overheid. Maar dat is niet “is altijd sprake bij de overheid”. Ik denk dat het eerder ziet op situaties als een UWV-medewerker die toestemming vraagt een woning te betreden en te inspecteren en bij weigering de werkeloosheidsuitkering kort of zelfs opschort.

      1. Of een school tot de overheid behoort is ook niet de vraag. Het gaat om de vraag of een ouder / voogd jegens een school een vrije instemming mogelijk is, en dat is niet zo. Dus kan een instemming alleen nimmer voldoende zijn als grondslag.

        1. Waarom zou een dergelijke instemming niet ‘vrij’ kunnen zijn? Als ouder respecteer en bescherm ik de privacy van mijn kinderen. Welke druk ervaar ik jegens een school om afwegingen daarin niet zonder druk te kunnen maken? Ik zie daarin geen probleem. Nee is nee.

        2. Met name in kleinere plaatsen zie dat er vaak maar een school is (en regelmatig is dat dan geen ‘openbare’, al zijn ook die vrijwel altijd 100% gefinancierd met belastinggeld, en daarmee wat mij betreft dus overheidsscholen); er is dan voor de ouders weinig keuzevrijheid: ja, je kan verhuizen als je niet wilt dat je kinderen met overheidsgeld geïndoctrineerd worden in een godsdienstige overtuiging waar je niet achter staat, of een privacy regeling waar je niet mee kunt leven, maar dat gaat mij te ver. Het instemmen met privacy-regelingen die meer toestaan dan de wettelijke basis moet dus los staan van het inschrijven op een school (het laten volgen van indoctrinatielessen ook, maar dat is een andere issue.)

  10. Als de school dergelijke foto’s toegankelijk maakt via een shared gedeelte van Dropbox, leidt dit ertoe dat ouders om toegang te krijgen tot het fotomateriaal een account bij Dropbox moeten aanmaken. Maar de privacy- en gebruiksvoorwaarden van Dropbox zijn op zijn minst eenzijdig in het belang van Dropbox te noemen. Ouders kunnen door de wettelijke leerplicht al gauw niet om dit soort zaken heen en hebben geen reële mogelijkheid om over die voorwaarden te onderhandelen. Daarom dienen scholen zich verre van clubs als Dropbox te houden.

  11. Dit is een mooie casus waar uit blijkt dat de samenleving nog niet precies de implicaties van de verschuiving naar de digitale wereld doorgrondt. Los van de onveiligheid van Dropbox, is het delen in besloten digitale kring niet anders dan op een prikbord fysieke foto’s hangen en de mogelijkheid bieden tot nabestellen. Dat de normen uit Wbp/AVG toe te passen zijn, maakt deze feitelijke constatering niet anders. Op schoolgebied is een andere, vermoed ik aan toepassen Wbp/AVG gecorreleerde, uitwas dat leerlingen op de basisschool die net 18 zijn zelf absentiebriefjes moeten schrijven en exclusief toegang tot alle materiaal hebben waar ouders tot hun 18de bijkonden. Dat laatste (dus inzage in alles tot 18de) is overigens ook enigszins doorgeschoten, de ouders zien precies als een kind te laat is, niet verschenen is, welke cijfers het haalt. Dat was vroeger ook nog wel anders.

  12. Wanneer je kiest voor het delen van persoonlijke foto’s via online cloudoplossingen, dan zou ik kiezen voor Nederlandse Providers die privacy zeer hoog in het vaandel hebben staan. Niet alleen omdat je te maken hebt met de Nederlandse privacy regels, die over het algemeen meer garantie bieden, maar ook omdat deze providers over het algemeen beter te bereiken zijn mocht je vragen hebben. Wij hebben voor ons bedrijf gekozen voor een Nederlandse oplossing http://www.vboxxcloud.nl, tot nu toe echt een aanrader wat betreft veiligheid en transparantie.

      1. Ik snap je punt, alleen was het veilig delen van bestanden niet de enige reden waarom wij kozen voor vboxxcloud, we zochten ook naar andere functies, vandaar. TransIp was voor ons ook een goede optie alleen, na het testen kwamen we er achter dat het gebasseerd is op OwnCloud, waar wij ook niet de beste ervaring mee hadden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.