Metavrij.nl logo

GDPR en metadata

Metadata in bestanden kan persoonsgegevens bevatten en valt daarmee onder de Europese privacywetgeving. Leer wat de AVG/GDPR betekent voor de bestanden die je deelt.

Metadata verwijderenMeer kennisartikelen

Wat is de AVG/GDPR?

De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation (GDPR), is de Europese wet die de verwerking van persoonsgegevens reguleert.

Sinds 25 mei 2018 is de AVG van kracht in de hele Europese Unie. De wet geeft burgers controle over hun persoonsgegevens en stelt strenge eisen aan organisaties die deze gegevens verwerken. Overtreding kan leiden tot boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Wat veel mensen niet weten: de AVG is ook van toepassing op metadata in bestanden. Zodra metadata herleidbaar is tot een persoon, wordt het beschouwd als persoonsgegevens en gelden alle regels van de AVG.

Metadata als persoonsgegevens

Volgens de AVG zijn persoonsgegevens alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. Veel vormen van metadata voldoen aan deze definitie:

GPS-locatiegegevens

GPS-coördinaten in foto's onthullen waar iemand is geweest. Dit is direct herleidbaar tot een persoon en geldt als persoonsgegeven.

Auteursinformatie

Namen, gebruikersnamen en organisatienamen in documenten identificeren direct de maker of bewerker van een bestand.

Apparaat-ID's

Unieke apparaat-identifiers en serienummers in foto- en videometadata kunnen indirect gekoppeld worden aan een specifiek persoon.

Tijdstempels

Datum- en tijdgegevens in combinatie met andere metadata vormen een patroon waarmee individuen geïdentificeerd kunnen worden.

Rechten onder de AVG

De AVG kent verschillende rechten die direct relevant zijn voor metadata in bestanden:

1Recht op vergetelheid (Art. 17)

Personen kunnen vragen om verwijdering van hun persoonsgegevens. Dit geldt ook voor metadata: als iemands naam, locatie of apparaat-ID in een bestand staat, kan diegene vragen om verwijdering van deze gegevens.

2Dataminimalisatie (Art. 5)

Organisaties mogen alleen persoonsgegevens verwerken die strikt noodzakelijk zijn voor het doel. Metadata die niet nodig is voor het gebruik van een bestand, moet in principe verwijderd worden voordat het gedeeld wordt.

3Toestemming en grondslag (Art. 6)

Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig, zoals toestemming. Als je bestanden deelt met metadata die persoonsgegevens bevat, heb je daar in principe toestemming voor nodig.

4Recht op informatie (Art. 13-14)

Betrokkenen hebben het recht om te weten welke persoonsgegevens worden verwerkt. Dit omvat ook metadata die in bestanden wordt opgeslagen en gedeeld.

Risico's voor organisaties

Boetes en sancties

  • Boetes tot 20 miljoen euro of 4% van de jaaromzet
  • Reputatieschade bij datalekken
  • Meldplicht bij de Autoriteit Persoonsgegevens
  • Schadeclaims van betrokkenen

Datalekken via metadata

  • Onbedoeld delen van medewerkersnamen
  • Locatiegegevens van werknemers lekken
  • Interne netwerkinformatie in documenten
  • Bewerkingsgeschiedenis met persoonsnamen

Praktische voorbeelden

Foto's delen met GPS-data

Een bedrijf plaatst foto's van een evenement op de website. De foto's bevatten GPS-coördinaten en cameragegevens. Bezoekers van het evenement zijn hierdoor indirect herleidbaar - een overtreding van het dataminimalisatieprincipe.

Oplossing: Verwijder alle EXIF-data uit foto's voordat je ze publiceert. Zo deel je alleen de afbeelding zelf, zonder verborgen persoonsgegevens.

Documenten met auteursinformatie

Een organisatie verstuurt een offerte als PDF. Het document bevat de naam van de medewerker, de organisatiestructuur en bewerkingsgeschiedenis. De ontvanger krijgt zo onbedoeld toegang tot interne persoonsgegevens.

Oplossing: Strip metadata uit documenten voordat je ze extern deelt. Dit beschermt medewerkers en voorkomt onbedoelde informatielekken.

Sociale media en apparaat-ID's

Een medewerker deelt een zakelijke foto op sociale media. De metadata bevat het unieke apparaat-ID van de bedrijfstelefoon en de exacte locatie van het kantoor. Dit kan een beveiligingsrisico vormen.

Oplossing: Stel een beleid in waarbij metadata automatisch wordt verwijderd voordat bestanden extern worden gedeeld.

Hoe voldoe je aan de AVG?

Met deze praktische stappen zorg je ervoor dat metadata in bestanden geen AVG-problemen veroorzaakt:

1

Inventariseer welke metadata je deelt

Breng in kaart welke bestanden je organisatie extern deelt en welke metadata deze bevatten. Denk aan foto's, documenten, presentaties en video's.

2

Verwijder onnodige metadata

Pas het principe van dataminimalisatie toe: verwijder alle metadata die niet strikt noodzakelijk is. Gebruik hiervoor een betrouwbare tool die lokaal werkt, zodat je bestanden niet naar externe servers hoeft te uploaden.

3

Stel een intern beleid op

Maak metadata-verwijdering onderdeel van je werkprocessen. Zorg dat medewerkers weten wanneer en hoe ze metadata moeten strippen voordat bestanden extern worden gedeeld.

4

Documenteer je aanpak

Leg vast hoe je omgaat met metadata als onderdeel van je verwerkingsregister. Dit is een vereiste onder de AVG en helpt bij eventuele audits.

Voldoe aan de AVG met metadata-verwijdering

Metavrij.nl helpt je om metadata veilig en privé uit je bestanden te verwijderen. Alles gebeurt lokaal in je browser - er worden geen bestanden geüpload naar een server.

Metadata verwijderen

Gerelateerde artikelen

Wat is metadata?

Leer wat metadata precies is, welke soorten er zijn en waarom het belangrijk is voor je privacy.

Waarom metadata verwijderen?

Ontdek de belangrijkste redenen waarom je metadata moet verwijderen voordat je bestanden deelt.

Hoe metadata verwijderen?

Stap-voor-stap uitleg over verschillende methoden om metadata uit je bestanden te verwijderen.