Skip to content
Nieuws calendar_today Bijgewerkt: 6 april 2026 schedule 6 min leestijd

Foto's van Personen op Instagram en Social Media: Wat Zegt de GDPR?

Mag je foto's van medewerkers, klanten of evenementen plaatsen op Instagram of andere sociale media? Dit artikel legt uit wanneer het wel en niet mag onder de GDPR, met praktische voorbeelden en handhavingszaken.

summarize Kernpunten
  • check_circle Een foto van een herkenbaar persoon is een persoonsgegeven onder de GDPR
  • check_circle Voor een portretfoto van een specifiek persoon heb je bijna altijd expliciete toestemming nodig
  • check_circle Voor groepsfoto's op een openbaar evenement kun je mogelijk gerechtvaardigd belang inroepen
  • check_circle Betrokkenen hebben altijd het recht om bezwaar te maken en verwijdering te vragen

Een foto is een persoonsgegeven

Het klinkt misschien verrassend, maar zodra een persoon herkenbaar is op een foto, is die foto een persoonsgegeven onder de GDPR (in het Nederlands ook AVG genoemd). Het maakt niet uit of het een professionele portretfoto is of een snelle snapshot met je telefoon. Herkenbaar = persoonsgegeven = GDPR van toepassing.

Dit geldt voor:

  • Foto’s van medewerkers op je bedrijfswebsite of LinkedIn-pagina
  • Foto’s van klanten of bezoekers op Instagram, Facebook of TikTok
  • Foto’s van deelnemers aan evenementen, trainingen of workshops
  • Foto’s van personen in je nieuwsbrief of marketingmateriaal

Je plaatst een foto van het teamuitje, een sfeerbeeld van je open dag, of een Instagram-post van een tevreden klant. Maar mag dat zomaar?

Wanneer mag het wel: de twee belangrijkste grondslagen

1. Toestemming (Artikel 6(1)(a))

De meest voor de hand liggende grondslag. Je vraagt de persoon op de foto om toestemming voordat je de foto plaatst. Klinkt simpel, maar er zitten haken en ogen aan:

  • De toestemming moet specifiek zijn: “ik geef toestemming dat deze foto wordt geplaatst op het Instagram-account van bedrijf X”
  • De toestemming moet vrij gegeven zijn: bij medewerkers is dit lastig vanwege de werkrelatie; ze moeten echt kunnen weigeren zonder gevolgen
  • De toestemming is intrekbaar: als iemand achteraf zegt “ik wil dat die foto verdwijnt”, moet je de foto verwijderen
  • Mondelinge toestemming is geldig, maar schriftelijk is bewijsbaar en dus sterk aan te raden

2. Gerechtvaardigd belang (Artikel 6(1)(f))

In sommige gevallen kun je foto’s plaatsen op basis van gerechtvaardigd belang, zonder expliciete toestemming. Dit is typisch het geval bij:

  • Groepsfoto’s op een openbaar evenement waar deelnemers redelijkerwijs konden verwachten gefotografeerd te worden
  • Sfeerbeelden waar individuele personen niet de focus zijn
  • Nieuwsverslaggeving over een publiek evenement

Maar: je moet altijd een belangenafweging maken. Jouw belang (promotie van je evenement) moet opwegen tegen het privacybelang van de gefotografeerde personen. En je moet betrokkenen vooraf informeren dat er gefotografeerd wordt.

Het verschil: groepsfoto vs. portret

Dit onderscheid is cruciaal in de praktijk:

Groepsfoto op een openbaar evenement. Je organiseert een netwerkborrel en maakt een overzichtsfoto van de zaal. Individuele personen zijn niet de focus. Je hebt vooraf gecommuniceerd dat er foto’s worden gemaakt. Gerechtvaardigd belang kan hier een geldige grondslag zijn.

Portret van een specifiek persoon. Je maakt een close-up van een bezoeker aan je stand en plaatst die op Instagram met de tekst “onze klanten zijn enthousiast!” Hier is de persoon de focus. Je hebt expliciete toestemming nodig.

De vuistregel: hoe herkenbaarder en centraler de persoon in beeld staat, hoe sterker de eis van toestemming.

Handhaving: het is geen theoretisch risico

Toezichthouders hebben al opgetreden tegen onzorgvuldig gebruik van foto’s:

Grieks telecombedrijf - 150.000 euro (HDPA, 2020). De Griekse toezichthouder beboette een telecombedrijf dat personeelsfoto’s op de bedrijfswebsite plaatste zonder geldige toestemming. Medewerkers gaven aan niet te hebben ingestemd, of dat de toestemming niet vrij was gegeven vanwege druk van het management.

Spaans fitnesscentrum - 10.000 euro (AEPD, 2022). Een fitnesscentrum plaatste foto’s van leden op Instagram zonder toestemming. Toen een lid om verwijdering vroeg, duurde het weken voordat het centrum reageerde.

Praktische do’s en don’ts

Wat je WEL moet doen

  • Informeer vooraf dat er gefotografeerd wordt, bijv. met een bord bij de ingang van een evenement
  • Vraag expliciete toestemming voor portretfoto’s en close-ups
  • Leg toestemming vast, bij voorkeur schriftelijk of via een digitaal formulier
  • Reageer snel als iemand vraagt om verwijdering van een foto
  • Wees extra voorzichtig met foto’s van kinderen; vraag altijd toestemming aan een ouder of voogd

Wat je NIET moet doen

  • Foto’s plaatsen zonder enige grondslag, niet op basis van toestemming en niet op basis van gerechtvaardigd belang
  • Aannemen dat aanwezigheid automatisch toestemming is voor close-ups op social media
  • Foto’s van medewerkers gebruiken na hun vertrek zonder te checken of de toestemming nog geldig is
  • Verwijderingsverzoeken negeren of er te laat op reageren
  • Foto’s taggen met namen zonder toestemming; dit koppelt de foto aan een identificeerbaar profiel

Wat moet je nu regelen?

  1. Inventariseer welke foto’s van personen je op sociale media en je website hebt staan
  2. Controleer of je voor elke foto een geldige grondslag hebt
  3. Stel een fotobeleid op over wanneer je fotografeert, hoe je toestemming vraagt en hoe je omgaat met verwijderingsverzoeken
  4. Train je medewerkers die verantwoordelijk zijn voor sociale media
  5. Documenteer je verwerkingen van foto’s in je verwerkingsregister
auto_awesome Weet je welke gegevens je verwerkt?

GDPRWise brengt automatisch in kaart welke persoonsgegevens je verzamelt en deelt, inclusief beeldmateriaal op je website en sociale media. Zo weet je precies waar je staat.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.