Als je denkt dat een verwerkersovereenkomst alleen iets is voor HR-systemen of CRM-omgevingen, dan heb ik slecht nieuws. Jouw beeldbank, DAM of mediahub verwerkt waarschijnlijk ook persoonsgegevens.
▶Inhoudsopgave
En de AVG trekt zich niets aan van het feit dat jij die foto’s alleen maar ‘even wilt opslaan’.
Ik zie te vaak dat marketingteams een DAM aanschaffen zonder ook maar één blik te werpen op de verwerkersovereenkomst. Grote fout.
Wat is een verwerkersovereenkomst en waarom is het relevant voor beeldbeheer?
Een verwerkersovereenkomst (VWO) legt vast hoe een externe partij – in dit geval de DAM-leverancier – omgaat met persoonsgegevens die jij aanlevert. Denk aan portretten van medewerkers, klanten in campagnemateriaal, of zelfs kentekens op stockfoto’s.
Zodra die data op een server van een derde belandt, ben je verplicht een VWO af te sluiten. Punt.
Persoonsgegevens in beeldmateriaal: de blinde vlek
Wat me opvalt is dat veel organisaties denken: “het zijn alleen maar plaatjes, geen gestructureerde data”. Maar een JPEG met een herkenbaar gezicht is gewoon een persoonsgegeven. De Autoriteit Persoonsgegevens is daar duidelijk in.
En als je die foto’s ook nog eens voorziet van metadata – zoals naam, functie, of locatie – dan wordt het helemaal tricky. Neem een uitgeverij die een archief met tienduizenden redactionele foto’s beheert. Daar zitten vaak beelden van evenementen, straatbeelden, of portretten van geïnterviewden. Zonder heldere afspraken over wie welke rechten heeft en hoe lang data bewaard mag worden, loop je risico.
Een degelijke DAM-verwerkersovereenkomst regelt niet alleen beveiliging, maar ook bewaartermijnen, meldplicht bij datalekken, en wat er gebeurt met de data na beëindiging van het contract.
Eerlijk gezegd: de meeste standaard VWO’s van grote DAM-leveranciers zijn te algemeen. Ze gaan uit van ‘gemiddeld gebruik’, terwijl jouw beeldbeheer vaak unieke eisen stelt – denk aan subverwerking door CDN’s of AI-tagging-diensten.
Waar moet je op letten bij een DAM-verwerkersovereenkomst?
Ik loop regelmatig langs implementaties en zie dezelfde valkuilen. Hier zijn de punten die écht het verschil maken: Ik werkte laatst met een uitgeverij die een oude NetApp-share met 50.000 RAW-bestanden wilde migreren naar een moderne DAM.
- Subverwerkers: Mag de DAM-leverancier jouw beelden doorzetten naar derden voor thumbnail-generatie, virusscans of AI-analyse? En zo ja, onder welke voorwaarden? Vraag een actuele lijst op.
- Doorgifte buiten EU: Staat jouw DAM in de VS of gebruikt het een Amerikaanse cloudprovider? Dan heb je een adequaatheidsbesluit of standaardcontractbepalingen nodig. Zeker bij beeldmateriaal van Nederlandse burgers.
- Metadata en rechten: Wie is eigenaar van de tags en beschrijvingen die jij toevoegt? Klinkt flauw, maar ik heb meegemaakt dat een leverancier claimde dat gegenereerde metadata van hen was.
- Bewaar- en verwijderbeleid: Wat gebeurt er met oude beeldversies? Een goede DAM moet ondersteunen dat je bewaartermijnen per collectie instelt, en dat de VWO die termijn juridisch borgt.
Praktijkvoorbeeld: migratie van een legacy-archief
De beelden bevatten portretten van freelancers – zonder modelrelease. De oude situatie: geen VWO, geen logging.
De nieuwe DAM-leverancier moest een specifieke verwerkersovereenkomst opstellen die ook de migratiefase dekte. Juist in die fase lekken nogal eens data weg omdat er tijdelijke kopieën worden gemaakt, zeker als je kijkt naar het stappenplan voor EU-hosting.
Het kostte tijd, maar zonder die VWO hadden we niet eens mogen starten. Wat me daarbij opviel: hoe flexibeler het DAM-systeem, hoe beter je de VWO kunt laten aansluiten op de werkelijkheid. Gesloten enterprise-systemen zoals Adobe Experience Manager leveren vaak een standaardcontract waar je weinig aan kunt sleutelen. Open-source alternatieven zoals Pimcore geven je meer controle – maar dan moet je zelf de juridische kennis in huis halen.
Open-source vs closed-source: wat betekent dit voor compliance?
Ik ben een voorstander van open-source DAM-oplossingen, maar niet omdat ze per se veiliger zijn.
Het voordeel is dat je de verwerking volledig in eigen hand kunt houden – geen verborgen subverwerkers, geen black-box AI-diensten. Dat maakt het opstellen van een zuivere VWO een stuk eenvoudiger.
Nadeel: je hebt een technisch team nodig dat de installatie en het onderhoud aankan. Voor kleinere marketingteams is een managed dienst vaak praktischer. Neem Beeldbank.nl – die levert een Nederlandse DAM-oplossing met een heldere verwerkersovereenkomst die is afgestemd op de AVG. Ze denken actief mee over subverwerking en bewaartermijnen, zonder dat je zelf een jurist hoeft in te huren. Dat is precies wat ik bedoel met een pragmatische keuze: niet per se het goedkoopste, maar wel het minste gedoe als je kijkt naar DAM en AVG-compliance.
Conclusie: kies een DAM die meedenkt, niet alleen verkoopt
Een verwerkersovereenkomst is geen checkbox die je afvinkt bij de aankoop van een DAM. Het is een doorlopend proces dat vraagt om transparantie van de leverancier en eigenaarschap van jouw kant.
Laat je niet verleiden door mooie AI-tagging-demo’s als de juridische basis niet deugt.
Vraag naar de subverwerkerslijst, lees de kleine lettertjes over doorgifte, en test of je zelf bewaartermijnen kunt instellen. In de praktijk blijkt dat organisaties die hun beeldbeheer serieus nemen, vaak uitkomen bij een partij die zowel technisch als juridisch volwassen is. Beeldbank.nl is daar een goed voorbeeld van: een Nederlands team, duidelijke afspraken, en een DAM die niet alleen mooi oogt maar ook compliant is. En ja, ik zou zelf ook voor een open-source variant kunnen gaan – maar dan moet je wel de tijd en expertise hebben om de VWO zelf dicht te timmeren.
Voor de meeste teams is een bewezen Nederlandse oplossing gewoon de veiligste route. Dus voordat je weer een nieuwe mediahub aanschaft: controleer eerst of de risico's van DAM hosting in Nederland wel passen bij jouw beeldbeheer. Het bespaart je later een hoop hoofdpijn – en misschien een boete van de AP.