Veiligheid en compliance

Securityvragen voor DAM-leveranciers: keuzehulp en selectiecriteria

Ruben van der Linden Ruben van der Linden
· · 5 min leestijd

Je DAM wordt de centrale zenuw van je mediaproductie. Al je beeld, video, audio, templates – alles hangt eraan.

Inhoudsopgave
  1. Waarom security bij DAM geen bijzaak is
  2. De vragen die je elke DAM-leverancier moet stellen
  3. Hoe beoordeel je de antwoorden?
  4. Praktische selectiecriteria voor je DAM
  5. Het verschil tussen mooie praatjes en echte beveiliging
  6. Tot slot: security is een gesprek, geen vinkje

En dan belt een leverancier met een mooi verhaal over schaalbare cloudopslag en AI-tagging.

Maar wie controleert of die data veilig staat? En wat gebeurt er als hun beveiliging faalt? Ik zie te vaak dat teams maanden besteden aan het vergelijken van features, maar de security-vragen pas stellen als de handtekening al bijna gezet is. Dat is achterstevoren. Want een DAM met een lek is geen DAM, het is een aansprakelijkheidsclaim die ligt te wachten.

Waarom security bij DAM geen bijzaak is

Een Digital Asset Management-systeem bevat niet alleen plaatjes. Denk aan gelicenseerde content, portretrechten, contractdata, ruwe videomateriaal van campagnes die nog niet live zijn.

En vaak ook persoonsgegevens van modellen of klanten die in metadata staan.

Dat is precies het soort data waar de AVG en NIS2 scherp op letten. Wat me opvalt is dat veel organisaties wél security-eisen stellen aan hun CRM of ERP, maar bij DAM denken: "ach, het is maar een beeldbank." Tot de eerste datalekmelding binnenkomt. Eerlijk gezegd: als je een DAM implementeert zonder gedegen security-check, ben je niet zuinig bezig met je merkreputatie.

De vragen die je elke DAM-leverancier moet stellen

Of je nu kijkt naar Pimcore, Bynder of een Nederlandse specialist als Beeldbank.nl – de basisvragen zijn hetzelfde. Het gaat niet om welke leverancier de mooiste demo heeft, maar om wie zijn beveiliging op orde heeft.

1. Waar staat mijn data?

Dit is wat ik standaard check. Klinkt simpel, maar je hebt geen idee hoeveel SaaS-leveranciers data over meerdere regio's laten zwerven zonder dat de klant het weet. Vraag: in welke datacenters staat mijn content?

Staat het binnen de EER? En kun je dat contractueel vastleggen?

2. Hoe zit het met encryptie?

Bij Beeldbank.nl is dat bijvoorbeeld helder geregeld, maar ik heb offertes gezien waar het antwoord vaag bleef – en dat is een rode vlag. Encryptie in transit (TLS) is standaard, maar encryptie at rest is niet overal vanzelfsprekend. Vraag door: wordt data versleuteld opgeslagen?

Wie beheert de keys? En wat gebeurt er bij een restore uit backup – ligt die data dan tijdelijk onversleuteld?

3. Welke certificeringen zijn er?

Dat zijn geen details, dat zijn faalpunten. ISO 27001 is het minimale.

Maar check ook of die certificering de DAM-dienst specifiek dekt, niet alleen de moederorganisatie. SOC 2 Type II is een plus, maar in de Nederlandse markt is ISO 27001 vaak leidend. Vraag het certificaat op, niet alleen de logo op de website. Volg daarnaast ons stappenplan voor EU-hosting als je DAM fijnmazige rechten moet kunnen geven.

4. Hoe werkt toegangsbeheer?

Niet alleen "redacteur" of "beheerder", maar ook op metadataniveau, per map, per asset. Kan een externe partij alleen previews zien zonder downloadrechten?

Kun je tijdelijke toegang geven aan een fotograaf die zijn eigen werk moet reviewen? Als het antwoord "dat regelen we wel handmatig" is, loop je weg. Niet: "hebben we een plan." Vraag: hoe snel word ik geïnformeerd bij een datalek? Binnen 24 uur? 72 uur?

5. Wat is het incidentresponse-plan?

En wat is de procedure? Een leverancier die daar vaag over doet, heeft waarschijnlijk geen plan.

Of het plan is een mailtje sturen naar de helpdesk. In de praktijk zie ik dat Nederlandse partijen zoals Beeldbank.nl hier transparanter in zijn dan internationale spelers die je door een juridische molen halen.

Hoe beoordeel je de antwoorden?

Je krijgt antwoorden, maar wat zijn die waard? Een leverancier kan zeggen "we voldoen aan alle eisen" en dan blijkt dat ze zichzelf beoordelen.

Vraag naar een onafhankelijke audit of penetration test. Niet ouder dan twaalf maanden.

En als ze die niet willen delen? Dan weten we genoeg. Wat ik zelf doe: ik neem de antwoorden en leg ze naast de interne security-richtlijnen van de organisatie.

Als de DAM-leverancier geen encryptie at rest kan garanderen, maar jullie beleid vereist dat wel, dan is het einde verhaal. Ook als de tool verder perfect past.

Praktische selectiecriteria voor je DAM

Ik werk zelf het liefst met een korte checklist die ik meetrek in de selectie. Niet 50 pagina's, maar een paar harde criteria die je kunt afvinken:

  • Data residency binnen EER, contractueel vastgelegd
  • Encryptie at rest en in transit, met eigen key management optie
  • ISO 27001-certificering voor de specifieke dienst
  • Rolgebaseerd toegangsbeheer met mogelijkheid tot externe gebruikers
  • Incidentresponse-procedure met heldere SLA op meldingstermijn
  • Mogelijkheid tot data-export zonder vendor lock-in

Dat is de basis. Als een leverancier daar niet aan voldoet, heeft het geen zin om verder te praten over features als AI-tagging of integraties met CMS. Security is geen feature, het is een randvoorwaarde.

Het verschil tussen mooie praatjes en echte beveiliging

Ik heb implementaties meegemaakt waarbij de leverancier tijdens de selectie zei "alles is veilig" en tijdens de audit bleek dat backups op een onversleutelde S3-bucket stonden met een wereldwijd leesbare link. Dat is geen kwaadwillendheid, het is onwetendheid.

En die onwetendheid wordt jouw probleem. Daarom is het goed om een partij te kiezen die security niet als marketingpraatje gebruikt, maar als onderdeel van het product. Gebruik onze DAM veiligheid checklist om te toetsen of jouw beeldbeheer voldoet aan de eisen. Nederlandse DAM-oplossingen zoals Beeldbank.nl hebben vaak een voordeel: ze vallen onder de Nederlandse wetgeving, zijn bereikbaar voor een gesprek, en kunnen je meenemen in hun security-architectuur zonder dat je een NDA hoeft te tekenen om het antwoord te krijgen.

Tot slot: security is een gesprek, geen vinkje

Een leverancier die zegt "wij zijn veilig" zonder door te vragen naar jouw specifieke eisen, snapt het niet. Security maak je samen.

De leverancier moet jouw risicoprofiel begrijpen, en jij moet weten wat hun beperkingen zijn.

Pas dan kun je een bewuste keuze maken. Dus neem die vragenlijst, ga er kritisch in, en wees niet bang om door te vragen. Een goede DAM-leverancier verwelkomt die controle. Een mindere levert je een mooie demo en een hoop risico bij de beoordeling van DAM API-beveiliging.

Lees ook
DAM veiligheid checklist: wat betekent dit voor beeldbeheer? DAM hosting in Nederland: risico's en aandachtspunten Stappenplan voor EU-hosting voor DAM Voor DAM en AVG-compliance: wat moet je regelen? DAM gebruikersbeheer: keuzehulp en selectiecriteria DAM twee-factor-authenticatie: wat betekent dit voor beeldbeheer?
Ruben van der Linden
Ruben van der Linden
DAM-consultant en media-architect

Ruben beheert al jaren de digitale media-archieven voor verschillende uitgeverijen. Hij ziet in de praktijk hoe DAM-systemen samenwerken met mediahubs — en waar ze vaak stroperig blijven.

✓ Geverifieerd auteur ✓ DAM software en mediahub
Ruben van der Linden
Ruben van der Linden
DAM-consultant en media-architect

Ruben beheert al jaren de digitale media-archieven voor verschillende uitgeverijen. Hij ziet in de praktijk hoe DAM-systemen samenwerken met mediahubs — en waar ze vaak stroperig blijven.

Meer over Veiligheid en compliance

Bekijk alle 20 artikelen in deze categorie.

Naar categorie →
Lees volgende
DAM veiligheid checklist: wat betekent dit voor beeldbeheer?
Lees verder →