De klassenfoto valt ook gewoon onder de privacywet!

De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen worden gepubliceerd. Iets waar maar weinig scholen zich aan houden.

Dat foto’s te zien zijn als persoonsgegevens, is op zich niet heel nieuw. Een persoonsgegeven zegt iets over een persoon, en die term is niet alleen bedoeld voor administratieve gegevens zoals namen en adressen of cijferlijsten. Ook een foto zegt iets – uiterlijk, geschatte leeftijd, in welke klas je zit, soms ook eventuele fysieke afwijkingen en ga zo maar door. Dat maakt een foto dus net zo goed een beschermd gegeven als een tussenrapport.

Voor scholen zijn foto’s traditioneel een leuke manier om iets extra’s naar de ouders te doen. De klassenfoto waarop de gehele school of klas poseert is het bekendste voorbeeld, maar ook de snelle snapshot in de klas of op kamp is natuurlijk erg populair. Voor al dat soort zaken geldt dat het valt onder de Wet bescherming persoonsgegevens valt. Ook als de leraar in een opwelling een leuke spontane foto maakt of als er een app wordt gebruikt die bedoeld is om het contact tussen ouders en school te stimuleren.

Publicatie van persoonsgegevens op internet (waar de discussie met foto’s meestal over gaat) vereist in principe toestemming van de betrokkenen. Of, omdat het hier om minderjarigen gaat, toestemming van hun ouders of verzorgers. En dat is de heikele praktijk: veel scholen werken nog steeds met wie-zwijgt-stemt-toe of nemen in op het inschrijfformulier op dat je toestemming geeft voor van alles en nog wat. Dat is dus illegaal.

Toestemming moet vrijwillig worden gegeven, en ondubbelzinnig zijn. Je moet dus kort gezegd apart de vraag krijgen, wilt u dit of niet. En wie nee zegt, moet daar geen negatieve gevolgen van ondervinden. Ik ken bijvoorbeeld een school waar is gedreigd met niet mee op kamp als er geen toestemming voor fotograferen & op de schoolwebsite kwam.

Daarnaast moet de toestemming specifiek zijn, dus “ik geef toestemming voor foto’s” is niet rechtsgeldig, omdat je dan niet weet wélke foto’s en wat daarmee gebeurt. Het beste is dus een protocolletje te maken als school waarin je uitwerkt welke toestemming en waar en hoe die wordt verkregen.

Een ander aspect is de beveiliging. Een foto zomaar op internet is een datalek. Ook als er toestemming was voor de foto – of is er bij het toestemming vragen ook gezegd, deze komt op internet en is voor iedereen zichtbaar? Beter is foto’s af te schermen zodat alleen de ouders uit die klas erbij kunnen.

De AP heeft een en ander nader uitgewerkt in haar Dossier Scholen en de AVG, waar het meteen vooruit blikt naar de nieuwe regels.

(Dit staat allemaal los van het portretrecht. Daar is onder omstandigheden toestemming niet nodig maar volgt een belangenafweging. Maar bij kinderen komt die belangenafweging eigenlijk altijd uit bij niet mogen gebruiken zonder toestemming, en bovendien verdwijnt het portretrecht volgend jaar zodra de Privacyverordening in werking treedt. Die regelt immers álles over persoonsgegevens, dus ook over fotoprivacy, en nationale regels over portretten mogen dan niet meer.)

Arnoud

28 reacties

        1. Dat is een goed punt. Als je de wet strikt leest, dan zijn foto’s inderdaad altijd bijzondere persoonsgegevens. Dat bepaalde de Hoge Raad expliciet in 2010. Het lastige is alleen dat je dan een vrijwel onwerkbare situatie krijgt, want foto’s zijn zo vaak en zo handig gebruikt. Cameratoezicht wordt bijvoorbeeld onmogelijk, en dat is maatschappelijk onaanvaardbaar. Vandaar dat de AP al geruime tijd een zelfbedacht doelgebonden criterium gebruikt:

          Alleen als een verantwoordelijke foto’s of ander beeldmateriaal publiceert met het uitdrukkelijke doel om onderscheid te maken naar ras, is bijzondere oplettendheid geboden. In dat geval acht het CBP het een redelijke wetstoepassing om het beeldmateriaal aan te merken als een bijzonder persoonsgegeven.

          Onder de AVG worden foto’s “biometrische persoonsgegevens” genoemd (artikel 4 definitie 14). Deze gegevens zijn uitsluitend bijzondere persoonsgegevens als ze worden verwerkt met het oog op identificatie. Een straatfoto met daarop herkenbaar iemands gezicht is dus geen bijzonder persoonsgegeven. Een pasfoto op een identiteitskaart is dat wel. Bij een opname van een beveiligingscamera hangt het van het doel van de opname af.

          1. Maar… is het dan niet aan de wetgever om het verwerken van bijzondere persoonsgegevens in de vorm van cameratoezicht toe te staan onder voorwaarde van XYZ?

            Wat belet de rechter volgend jaar om rustig te stellen dat bij gebrek aan wetgeving cameratoezicht toch niet meer mag?

        1. Ah, etniciteit dus. Maar straks wordt ik nog voor etnicist uitgemaakt…

          Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan.
          Waarom “ras” dan wel noemen, eigenlijk? Maar goed, in de grondwet staat ook “ras”, dus whatever.

    1. Dat lijkt mij wel, maar het hangt er denk ik vanaf hoe lang het geleden is. Immers, op Schoolbank zitten ook personen die in de jaren 40/50/60 op school zaten. Wellicht dat die klassenfoto’s dan wél mogen gezien de ouderdom (verjaring?).

        1. Ik denk (maar IANAL) dat schoolbank.nl niet alleen de privacy van gefotografeerden negeert (want er wordt aangespoord om ook alle namen van gefotografeerden in te vullen), maar ook de auteursrechten van de schoolfotografen negeert!

          Ik denk alleen niet dat schoolfotografen hierover klagen, omdat ze realistisch gezien geen enkele inkomsten mislopen door deze website, en je zelfs kan zeggen dat het reclame is voor het idee “klassenfoto”.

  1. Hoewel de blog voornamelijk over situaties op het internet gaan, vraag ik ik me af of met de term “publiceren” zoals de AP het gebruikt ook het publiceren in bijvoorbeeld jaarverslagen of (school)introductiemateriaal bedoeld wordt. Ik probeerde dat te ontdekken op de site van AP maar dat lukte me niet zo snel.

    1. Ja. En zeker bij internet zie ik het voordeel ergens wel, want landsgrenzen spelen op internet maar een kleine rol. Dit soort zaken zouden nog veel breder geregeld moeten worden. Ik vraag me dan ook af of deze EU regelgeving effectief is en wat dit met de Europese internet economie gaat doen. Interessante diensten die tegen deze regelgeving in gaan, zullen waarschijnlijk (nog meer) naar niet-EU landen verschuiven …

      1. Zoals je zelf al lijkt te begrijpen: de grenzen van de EU zijn op internet net zo open als de nationale grenzen. EU-brede regels lossen dus niets op, zijn inderdaad slecht voor de EU-economie en schaden de soevereiniteit van de individuele lidstaten. Het alternatief van wereldwijde wetgeving waaraan niet te ontsnappen valt, vind ik heel eng klinken, en ik zou graag willen dat het er nooit van komt. Ik heb liever een internet dat de-facto wetteloos blijft.

        Waar het in lokale wetgeving om moet gaan is niet wat er op het internet gebeurt, maar wat lokale mensen doen. Als een foto ongewenst op het internet belandt, en ook maar een klein beetje viral wordt, dan kan je het niet meer af halen. Je moet dit dus op een eerder punt aanpakken: ergens in het pad van registratie (maken van de foto) tot aan het punt waar distributie onbeheersbaar wordt. Bij handhaving van nationale wetgeving geldt het kopiëren/verplaatsen naar het buitenland ook als het onbeheersbaar maken van de distributie, ongeacht of dit wel/niet via internet gebeurt. Privacy-bescherming moet primair bestaan uit dat je niet zonder jouw toestemming geregistreerd / gefotografeerd mag worden, en dat, als je die toestemming onder voorwaarden geeft, dat die voorwaarden (lokaal) gehandhaafd kunnen worden.

        1. Veel van de discussie over privacy gaat over het beperken van het bezit van gegevens. Dit is een onhoudbaar uitgangspunt, omdat je niet kunt vaststellen welke gegevens iemand heeft (bij een bedrijf is dat soms iets makkelijker, omdat je met meerdere mensen te maken hebt, waarvan sommigen wel eens iets willen loslaten.) Bovendien schept dit een enorm machtsverschil tussen grote partijen (inclusief de overheid), die heel veel dingen wel mogen ‘weten’, en partijen die zich tegen die grote jongens willen beschermen, maar die niets mogen weten. De overheid gebruikt maar al te graag het woord ‘privacy’ om eigen falen te verhullen. Dat moet gewoon niet kunnen. In dat opzicht is de Finse benadering (alle overheidsbeslissingen zijn openbaar, dus ook elke individuele belastingaanslag) een veel gezondere.

          Een gezondere benadering is dus reguleren wat je met de gegevens kunt doen. Om twee redenen: 1. pas als men iets doet met de gegevens treedt de schade op. 2. pas als men iets doet met de gegevens wordt die actie voor het publiek kenbaar, en dus regels handhaafbaar. Privacy willen we met name om niet onredelijk behandeld te worden in allerlei situaties — om onze vrijheid van handelen te beschermen — en niet geconfronteerd te worden met onredelijke consequenties van ons gedrag. We moeten de onredelijke consequenties aanpakken (discriminatie of bedisselzucht van bemoeizuchtige moraalridders, de veroorzakers van het kwaad), en niet ons blindstaren op het onderdrukken van informatie dat toch niet werkt.

          Het beste is het als je regelingen zo in elkaar kunt steken dat informatie irrelevant wordt: een goed voorbeeld is de huidige opzet van onze gezondheidsverzekeringen: de aannameplicht maakt het hebben van gegevens over de gezondheidstoestand van verzekerden overbodig; de verzekeringsplicht zorgt ervoor dat zelfselectie geen probleem is.

          1. Je kunt in veel gevallen net zo min vaststellen wat iemand met die gegevens doet, en het is nog veel moeilijker om te bewijzen dat een handeling die een (rechts)persoon doet, het gevolg is van bepaalde gegevens of niet. Die benadering is dus allesbehalve gezond.

            1. In gevallen waar je dit wilt moet je het gedrag van de betreffende partij (bijv. een overheid) helemaal vastleggen, dus dat op basis van regels en wel toegestane gegevens helemaal valt te voorspellen hoe de betreffende partij zal oordelen / handelen. Elke handelingsvrijheid kan potentieel gestuurd worden door informatie die officieel niet gebruikt mag worden. Dit betekent ook dat het niet een algemeen houdbaar model is voor burgers onderling, tenzij je wilt dat burgers geen enkele handelingsvrijheid hebben.

              Ik ben het er wel mee eens dat regulering van bezit, of zelfs van onderhandse uitwisseling, van informatie onhoudbaar is. Er zit wel enig nut in een verbod, aangezien het bekend worden van gegevens ook bewijs kan zijn voor een overtreding, maar harde handhaving (bijv. controle van opslagmedia) zou juist een privacy-schending veroorzaken. Een goede balans neigt hier dus naar niet-effectieve handhaving.

              Je kunt wel privacy beschermen op het niveau van registratie (bijv. waar mag je camera’s ophangen?) en deels bij openbare uitwisseling van gegevens (publicatie). Publicatie kan nog steeds ongestraft, bijv. in het buitenland of via anonieme internet-systemen; om registratie tegen te gaan hebben we naast goede wetgeving (en het afschaffen van slechte wetgeving die registratie verplicht stelt!) ook goede technologie nodig, die mensen in staat stelt zichzelf te beschermen tegen de nieuwsgierigheid van anderen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.