De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, roept scholen op zorgvuldig om te gaan met beeldmateriaal van leerlingen. Dat meldde Nu.nl dinsdag. In een persbericht legt de privacytoezichthouder uit dat klassenfoto’s (en ander beeldmateriaal waar leerlingen herkenbaar op staan) ook gewoon onder de Wet bescherming persoonsgegevens vallen, en dus in principe alleen met toestemming mogen worden gepubliceerd. Iets waar maar weinig scholen zich aan houden.
Dat foto’s te zien zijn als persoonsgegevens, is op zich niet heel nieuw. Een persoonsgegeven zegt iets over een persoon, en die term is niet alleen bedoeld voor administratieve gegevens zoals namen en adressen of cijferlijsten. Ook een foto zegt iets – uiterlijk, geschatte leeftijd, in welke klas je zit, soms ook eventuele fysieke afwijkingen en ga zo maar door. Dat maakt een foto dus net zo goed een beschermd gegeven als een tussenrapport.
Voor scholen zijn foto’s traditioneel een leuke manier om iets extra’s naar de ouders te doen. De klassenfoto waarop de gehele school of klas poseert is het bekendste voorbeeld, maar ook de snelle snapshot in de klas of op kamp is natuurlijk erg populair. Voor al dat soort zaken geldt dat het valt onder de Wet bescherming persoonsgegevens valt. Ook als de leraar in een opwelling een leuke spontane foto maakt of als er een app wordt gebruikt die bedoeld is om het contact tussen ouders en school te stimuleren.
Publicatie van persoonsgegevens op internet (waar de discussie met foto’s meestal over gaat) vereist in principe toestemming van de betrokkenen. Of, omdat het hier om minderjarigen gaat, toestemming van hun ouders of verzorgers. En dat is de heikele praktijk: veel scholen werken nog steeds met wie-zwijgt-stemt-toe of nemen in op het inschrijfformulier op dat je toestemming geeft voor van alles en nog wat. Dat is dus illegaal.
Toestemming moet vrijwillig worden gegeven, en ondubbelzinnig zijn. Je moet dus kort gezegd apart de vraag krijgen, wilt u dit of niet. En wie nee zegt, moet daar geen negatieve gevolgen van ondervinden. Ik ken bijvoorbeeld een school waar is gedreigd met niet mee op kamp als er geen toestemming voor fotograferen & op de schoolwebsite kwam.
Daarnaast moet de toestemming specifiek zijn, dus “ik geef toestemming voor foto’s” is niet rechtsgeldig, omdat je dan niet weet wélke foto’s en wat daarmee gebeurt. Het beste is dus een protocolletje te maken als school waarin je uitwerkt welke toestemming en waar en hoe die wordt verkregen.
Een ander aspect is de beveiliging. Een foto zomaar op internet is een datalek. Ook als er toestemming was voor de foto – of is er bij het toestemming vragen ook gezegd, deze komt op internet en is voor iedereen zichtbaar? Beter is foto’s af te schermen zodat alleen de ouders uit die klas erbij kunnen.
De AP heeft een en ander nader uitgewerkt in haar Dossier Scholen en de AVG, waar het meteen vooruit blikt naar de nieuwe regels.
(Dit staat allemaal los van het portretrecht. Daar is onder omstandigheden toestemming niet nodig maar volgt een belangenafweging. Maar bij kinderen komt die belangenafweging eigenlijk altijd uit bij niet mogen gebruiken zonder toestemming, en bovendien verdwijnt het portretrecht volgend jaar zodra de Privacyverordening in werking treedt. Die regelt immers álles over persoonsgegevens, dus ook over fotoprivacy, en nationale regels over portretten mogen dan niet meer.)
Arnoud
Is een foto niet aan te merken als een bijzonder persoonsgegeven, omdat hieraan ras en fysieke afwijkingen (en daarmee gezondheid) te zien zijn?
In dat geval zou verwerking alleen toegestaan zijn als dat specifiek in de wet wordt genoemd. https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens:
Klopt. Vandaar mijn vraag. Wat maakt dat een klassenfoto een persoonsgegeven, maar wellicht geen bijzonder persoonsgegeven is?
Dat is een goed punt. Als je de wet strikt leest, dan zijn foto’s inderdaad altijd bijzondere persoonsgegevens. Dat bepaalde de Hoge Raad expliciet in 2010. Het lastige is alleen dat je dan een vrijwel onwerkbare situatie krijgt, want foto’s zijn zo vaak en zo handig gebruikt. Cameratoezicht wordt bijvoorbeeld onmogelijk, en dat is maatschappelijk onaanvaardbaar. Vandaar dat de AP al geruime tijd een zelfbedacht doelgebonden criterium gebruikt:
Onder de AVG worden foto’s “biometrische persoonsgegevens” genoemd (artikel 4 definitie 14). Deze gegevens zijn uitsluitend bijzondere persoonsgegevens als ze worden verwerkt met het oog op identificatie. Een straatfoto met daarop herkenbaar iemands gezicht is dus geen bijzonder persoonsgegeven. Een pasfoto op een identiteitskaart is dat wel. Bij een opname van een beveiligingscamera hangt het van het doel van de opname af.
Dank voor de toelichting!
Valt een foto in een smoelenboek ook onder de noemer “met het oog op identificatie”?
Maar… is het dan niet aan de wetgever om het verwerken van bijzondere persoonsgegevens in de vorm van cameratoezicht toe te staan onder voorwaarde van XYZ?
Wat belet de rechter volgend jaar om rustig te stellen dat bij gebrek aan wetgeving cameratoezicht toch niet meer mag?
Ik ga ervan uit dat het ras gewoon Homo sapiens is?
Voor juristen slaat die term op groeperingen als “Afrikaans” of “Caucasisch”. Er staat in de AVG expliciet dat je die term niet mag opvatten als zou de EU meerdere mensenrassen onderscheiden.
Ah, etniciteit dus. Maar straks wordt ik nog voor etnicist uitgemaakt…
Waarom “ras” dan wel noemen, eigenlijk? Maar goed, in de grondwet staat ook “ras”, dus whatever.Dat staat er vanwege backward compatibility met oudere wetgeving, jurisprudentie en verdragen.
En gaan ze ook handhaven als scholen zich er niet aan houden of wordt het weer een document dat zonder gevolgen genegeerd kan worden?
Zou dit dan ook betekenen dat er geen foto’s van festivals in de krant mogen worden gezet zonder iedereen op de foto toestemming te vragen? Daar gelden toch dezelfde argumenten voor?
In principe maar de vrije nieuwsgaring weegt zwaarder bij volwassenen die vrijwillig op festivals zijn dan bij kinderen in een besloten schoolsituatie.
Telt dit ook voor organisaties als http://www.schoolbank.nl/ ?
Dat lijkt mij wel, maar het hangt er denk ik vanaf hoe lang het geleden is. Immers, op Schoolbank zitten ook personen die in de jaren 40/50/60 op school zaten. Wellicht dat die klassenfoto’s dan wél mogen gezien de ouderdom (verjaring?).
Voor zover ik weet zijn gegevens van overleden personen geen persoonsgegevens zijn. Verjaring van persoonsgegevens? Ik ben benieuwd.
Ik denk (maar IANAL) dat schoolbank.nl niet alleen de privacy van gefotografeerden negeert (want er wordt aangespoord om ook alle namen van gefotografeerden in te vullen), maar ook de auteursrechten van de schoolfotografen negeert!
Ik denk alleen niet dat schoolfotografen hierover klagen, omdat ze realistisch gezien geen enkele inkomsten mislopen door deze website, en je zelfs kan zeggen dat het reclame is voor het idee “klassenfoto”.
Hoewel de blog voornamelijk over situaties op het internet gaan, vraag ik ik me af of met de term “publiceren” zoals de AP het gebruikt ook het publiceren in bijvoorbeeld jaarverslagen of (school)introductiemateriaal bedoeld wordt. Ik probeerde dat te ontdekken op de site van AP maar dat lukte me niet zo snel.
Is dit weer een stap van de EU om ons recht af te nemen om onze eigen wetten te maken?
Yep, en meteen toestemming om die achterlijke BSN nummers wel te gebruiken. want dat levert zoveel voordeel op. Vraag me dan alleen af voor wie
Ja. En zeker bij internet zie ik het voordeel ergens wel, want landsgrenzen spelen op internet maar een kleine rol. Dit soort zaken zouden nog veel breder geregeld moeten worden. Ik vraag me dan ook af of deze EU regelgeving effectief is en wat dit met de Europese internet economie gaat doen. Interessante diensten die tegen deze regelgeving in gaan, zullen waarschijnlijk (nog meer) naar niet-EU landen verschuiven …
Zoals je zelf al lijkt te begrijpen: de grenzen van de EU zijn op internet net zo open als de nationale grenzen. EU-brede regels lossen dus niets op, zijn inderdaad slecht voor de EU-economie en schaden de soevereiniteit van de individuele lidstaten. Het alternatief van wereldwijde wetgeving waaraan niet te ontsnappen valt, vind ik heel eng klinken, en ik zou graag willen dat het er nooit van komt. Ik heb liever een internet dat de-facto wetteloos blijft.
Waar het in lokale wetgeving om moet gaan is niet wat er op het internet gebeurt, maar wat lokale mensen doen. Als een foto ongewenst op het internet belandt, en ook maar een klein beetje viral wordt, dan kan je het niet meer af halen. Je moet dit dus op een eerder punt aanpakken: ergens in het pad van registratie (maken van de foto) tot aan het punt waar distributie onbeheersbaar wordt. Bij handhaving van nationale wetgeving geldt het kopiëren/verplaatsen naar het buitenland ook als het onbeheersbaar maken van de distributie, ongeacht of dit wel/niet via internet gebeurt. Privacy-bescherming moet primair bestaan uit dat je niet zonder jouw toestemming geregistreerd / gefotografeerd mag worden, en dat, als je die toestemming onder voorwaarden geeft, dat die voorwaarden (lokaal) gehandhaafd kunnen worden.
Veel van de discussie over privacy gaat over het beperken van het bezit van gegevens. Dit is een onhoudbaar uitgangspunt, omdat je niet kunt vaststellen welke gegevens iemand heeft (bij een bedrijf is dat soms iets makkelijker, omdat je met meerdere mensen te maken hebt, waarvan sommigen wel eens iets willen loslaten.) Bovendien schept dit een enorm machtsverschil tussen grote partijen (inclusief de overheid), die heel veel dingen wel mogen ‘weten’, en partijen die zich tegen die grote jongens willen beschermen, maar die niets mogen weten. De overheid gebruikt maar al te graag het woord ‘privacy’ om eigen falen te verhullen. Dat moet gewoon niet kunnen. In dat opzicht is de Finse benadering (alle overheidsbeslissingen zijn openbaar, dus ook elke individuele belastingaanslag) een veel gezondere.
Een gezondere benadering is dus reguleren wat je met de gegevens kunt doen. Om twee redenen: 1. pas als men iets doet met de gegevens treedt de schade op. 2. pas als men iets doet met de gegevens wordt die actie voor het publiek kenbaar, en dus regels handhaafbaar. Privacy willen we met name om niet onredelijk behandeld te worden in allerlei situaties — om onze vrijheid van handelen te beschermen — en niet geconfronteerd te worden met onredelijke consequenties van ons gedrag. We moeten de onredelijke consequenties aanpakken (discriminatie of bedisselzucht van bemoeizuchtige moraalridders, de veroorzakers van het kwaad), en niet ons blindstaren op het onderdrukken van informatie dat toch niet werkt.
Het beste is het als je regelingen zo in elkaar kunt steken dat informatie irrelevant wordt: een goed voorbeeld is de huidige opzet van onze gezondheidsverzekeringen: de aannameplicht maakt het hebben van gegevens over de gezondheidstoestand van verzekerden overbodig; de verzekeringsplicht zorgt ervoor dat zelfselectie geen probleem is.
Je kunt in veel gevallen net zo min vaststellen wat iemand met die gegevens doet, en het is nog veel moeilijker om te bewijzen dat een handeling die een (rechts)persoon doet, het gevolg is van bepaalde gegevens of niet. Die benadering is dus allesbehalve gezond.
In gevallen waar je dit wilt moet je het gedrag van de betreffende partij (bijv. een overheid) helemaal vastleggen, dus dat op basis van regels en wel toegestane gegevens helemaal valt te voorspellen hoe de betreffende partij zal oordelen / handelen. Elke handelingsvrijheid kan potentieel gestuurd worden door informatie die officieel niet gebruikt mag worden. Dit betekent ook dat het niet een algemeen houdbaar model is voor burgers onderling, tenzij je wilt dat burgers geen enkele handelingsvrijheid hebben.
Ik ben het er wel mee eens dat regulering van bezit, of zelfs van onderhandse uitwisseling, van informatie onhoudbaar is. Er zit wel enig nut in een verbod, aangezien het bekend worden van gegevens ook bewijs kan zijn voor een overtreding, maar harde handhaving (bijv. controle van opslagmedia) zou juist een privacy-schending veroorzaken. Een goede balans neigt hier dus naar niet-effectieve handhaving.
Je kunt wel privacy beschermen op het niveau van registratie (bijv. waar mag je camera’s ophangen?) en deels bij openbare uitwisseling van gegevens (publicatie). Publicatie kan nog steeds ongestraft, bijv. in het buitenland of via anonieme internet-systemen; om registratie tegen te gaan hebben we naast goede wetgeving (en het afschaffen van slechte wetgeving die registratie verplicht stelt!) ook goede technologie nodig, die mensen in staat stelt zichzelf te beschermen tegen de nieuwsgierigheid van anderen.
Hoe zit het met het publiceren van archieffoto’s van voor de inwerkingtreding van de AVG? Mag een school in een jubileumboek bijvoorbeeld klassenfoto’s publiceren uit het verleden?