Deepfakes en de AVG

Deepfakes: de wat en de waarom
Volgens de Autoriteit Persoonsgegevens (AP) is een deepfake een video- of geluidsfragment dat bewerkt is door een algoritme, maar vaak nauwelijks van echt te onderscheiden is. Deepfakes doen het lijken dat er iets is gebeurd dat in werkelijkheid nooit heeft plaatsgevonden.1 Verreweg de meeste deepfakes zijn kunstmatige porno.2 Daarnaast worden deepfakes wel eens gebruikt om politieke desinformatie te verspreiden door een ‘politici’ iets te laten zeggen. Of simpelweg om satirische filmpjes te maken met bekende personen in de hoofdrol.
De AI-verordening definieert deepfakes als ‘door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien.’3
Het wetsvoorstel in het kort
Het Deense wetsvoorstel breidt het auteursrecht uit naar mensen hun stem, lichaam en gezicht. Deepfakes kunnen een inbreuk maken op dit auteursrecht. Onder andere deepfakes die bedoeld zijn als parodie, satire of maatschappijkritiek zijn uitgezonderd.4 Dat is geen absolute uitzondering, er moet dan wel een belangenafweging worden gemaakt tussen het belang van de afgebeelde persoon en de maker van de deepfake. Het wetsvoorstel legt sociale mediabedrijven de verplichting op om aanstootgevende deepfakes te verwijderen. Als de platforms een deepfake niet verwijderen kunnen ze hiervoor een boete krijgen.5
Motivatie voor het wetsvoorstel is dat huidige regulering van deepfakes gefragmenteerd en onduidelijk is. Het roept de vraag op in hoeverre Europese privacywetgeving deepfakes reguleert.
Het is toch nep? Hoezo dan privacy?
Wanneer je een deepfake maakt waarin iemands gezicht, lichaam of stem te herkennen is, verwerk je persoonsgegevens. Dat die gegevens misschien synthetisch gegenereerd of foutief zijn doet er niet aan af dat ze herleidbaar zijn tot een persoon. Als je als organisatie een deepfake wil maken, bijvoorbeeld om een reclamefilmpje te maken, moet je dus rekening houden met de regels uit de Algemene Verordening Persoonsgegevens (AVG).
Aandachtspunten onder de AVG
Onder meer betekent dit dat je een grondslag voor de verwerking moet hebben. Toestemming van de betrokkene, de afgebeelde persoon6 , of het gerechtvaardigd belang van de maker of een derde7 liggen het meest voor de hand.
Mogelijk valt een deepfake onder het verbod van artikel 9 AVG op het verwerken van bijzondere persoonsgegevens. Dit is het geval wanneer de deepfake gebruikmaakt van biometrische gegevens, zoals iemands gezicht of stem, met als doel die persoon te identificeren. Foto’s en video’s vallen niet automatisch onder dit verbod. Foto’s vallen alleen onder de definitie van biometrische gegevens ‘wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.’8 Het lijkt logisch om deze redenering door te trekken naar deepfakes, nu het in feite nepfoto’s en video’s zijn. Deepfakes lijken dus op zichzelf niet meteen binnen de scope van artikel 9 AVG te vallen. Dat is anders wanneer een deepfake bijvoorbeeld wordt verwerkt in een algoritme dat aan gezichtsherkenning doet.9
Ook als de gemanipuleerde inhoud iets suggereert over iemands ras, gezondheid, seksuele voorkeur of politieke overtuiging, kan er sprake zijn van bijzondere persoonsgegevens. Op bijzondere persoonsgegevens rust in principe een verwerkingsverbod. Om de deepfake toch te maken en te delen heb je dan de uitdrukkelijke toestemming nodig van de betrokkene.
Daarnaast moet je je ook aan alle andere vereisten van de AVG houden, zoals transparantie, gegevensminimalisatie en beveiliging. Vraag is echter of er bij het maken van een deepfake überhaupt voldaan kan worden aan het datakwaliteitsbeginsel of de vereisten van doel en doelbinding.10
Rechten van betrokkenen
Niet geheel onbelangrijk zijn daarnaast de rechten van betrokkenen. Meest relevant voor betrokkenen is het recht om vergeten te worden: de verwerkingsverantwoordelijke moet persoonsgegevens verwijderen als de betrokkene daarom vraagt. De verwerkingsverantwoordelijken zijn in dit geval de personen of organisaties die de deepfake maken en verspreiden, maar vaak ook de platforms waarop dit gebeurt.
De verwerkingsverantwoordelijke moet ook het recht op informatie respecteren. De maker van de deepfake moet de afgebeelde persoon dus informeren dat zij een deepfake van diegene maken.
Ook de overige rechten van betrokkenen zijn gewoon van toepassing. Genoeg om op te letten dus. Het gebruik van deepfakes is juridisch risicovol en vraagt om zorgvuldige afweging.
Huishoudelijke uitzondering in de AVG
De AVG-regels gelden niet voor verwerkingen in de privésfeer. Dat betekent dat het delen en maken van een deepfake binnen persoonlijke kring niet binnen de reikwijdte van de AVG valt. Let op: dat een sociale media account persoonlijk is, betekent niet dat de huishoudelijke uitzondering van toepassing is. Bij openbare accounts is er waarschijnlijk geen sprake van zuiver persoonlijk gebruik.11 En dus moet je je aan de AVG houden. Voor zakelijke of commerciële verwerkingen is de huishoudelijke uitzondering uiteraard niet van toepassing.
Regulering van deepfakes in andere wetgeving
De Deense wetmakers hadden geen ongelijk – wetgeving over deepfakes is zeer gefragmenteerd. Dit artikel gaat specifiek in op de verplichtingen en rechten die volgen uit de AVG, maar het is goed om te weten dat ook andere wetgeving mogelijk van toepassing is.
Zo legt de AI-verordening bepaalde transparantievereisten op, hebben personen soms het recht om zich te beroepen op hun portretecht en zijn bepaalde vormen van deepfakes strafbaar. In het geval van pornografische deepfakes geldt dat het maken en delen ervan sowieso verboden en dus strafbaar is in Nederland.12 Hetzelfde geldt voor bijvoorbeeld telefoonscams door middel van deepfake stemmen.13 Voor aanbieders van digitale diensten, waaronder online platforms en sociale media, geldt onder de Digital Services Act (DSA) dat gebruikers illegale content moeten kunnen rapporteren.14 Aanbieders van zeer grote online platforms moeten daarnaast een risicobeoordeling uitvoeren waarin onder andere ze het risico op de verspreiding van illegale inhoud via hun diensten mee moeten nemen, en maatregelen nemen om de risico’s die ze vinden te beperken.15
Een herziening op het auteursrecht, wenselijk?
Niet duidelijk is of het wetsvoorstel ook inhoudt dat platforms proactief deepfakes moeten verwijderen. In feite lijkt de verplichting van platforms om deepfakes te verwijderen niet anders dan de verplichting om een verwijderverzoek uit te voeren die onder de AVG al bestaat. Daarnaast is de scope van het wetsvoorstel aanzienlijk kleiner dan die van de AVG: het is alleen van toepassing op Deens grondgebied, en satirische content is zo ongeveer uitgesloten.
De AVG is van toepassing op álle persoonsgegevens (ook onjuiste) en biedt bescherming aan iedereen in de EU. De AVG bevat niet zozeer een uitzondering voor satirische inhoud of maatschappijkritiek, maar het recht om vergeten te worden is niet absoluut. Het kan zo zijn dat er een belangenafweging wordt gemaakt tussen het belang van de persoon in de deepfake (privacy) en het belang van de maker van de deepfake (bijvoorbeeld vrijheid van meningsuiting).
Een ‘beperking’ van de AVG is dat deze alleen van toepassing is op levende personen. In het Deense wetsvoorstel zou het auteursrecht op eigen stem, lichaam en gezicht gelden tot 50 jaar na overlijden.16 Daarnaast is het niet altijd even duidelijk of de huishoudelijke uitzondering van toepassing is.
Een wet is zo sterk als de handhaving ervan. Grootste kritiek op de AVG in de context van deepfakes is dan ook het gebrek aan handhaving. Maar ook voor het Deense wetsvoorstel is niet gezegd dat het toezicht effectief is. Het is dus afwachten wat de effecten zijn voor individuen als de wet wordt doorgevoerd.
Tot slot
Er lijkt op dit moment juridisch gezien weinig noodzaak om het Deense voorbeeld te volgen en het auteursrecht uit te breiden. Sterker nog, het zou het al gefragmenteerde reguleringslandschap verder versnipperen. De AVG legt strenge regels op aan verwerkingsverantwoordelijken, en kent tevens verschillende rechten toe aan betrokkenen om hun privacy te beschermen. Daarnaast is het maken van pornografische deepfakes strafbaar.
Voor organisaties betekent dit: denk als je een deepfake wil maken goed na over onder andere de grondslagen, beginselen van de AVG, de risico’s en de rechten van betrokkenen. Voor individuen geldt: herken je jezelf in een deepfake, dan heb je recht op transparantie, bezwaar, en in veel gevallen verwijdering.
Advies nodig over (ingewikkelde) gegevensbeschermingskwesties? Ontdek onze diensten. Heb je een introductie tot de AVG nodig? Volg dan onze training.
1. Autoriteit Persoonsgegevens, Deepfakes, URL: https://www.autoriteitpersoonsgegevens.nl/themas/internet-slimme-apparaten/beeldmateriaal/deepfakes, geraadpleegd op 18 juli 2025.
2. Bart van der Sloot, Yvette Wagensveld, Bert-Jaap Koops, (TILT), ‘Deepfakes: de juridische uitdagingen van een synthetische samenleving’, (2021)
3. AI Verordening, art. 3(60).
4. Luca Schirru, InfoJustice, Danish Bill Proposes Using Copyright Law to Combat Deepfakes, URL: https://infojustice.org/archives/46588#95246d81-3982-4261-b3c1-ccb36611baeb, geraadpleegd op 18 juli 2025.
5. The New York Times, Denmark Aims to Use Copyright Law to Protect People From Deepfakes, URL: https://www.nytimes.com/2025/07/10/world/europe/denmark-deepfake-copyright-ai-law.html, geraadpleegd op 18 juli 2025.
6. Algemene Verordening Gegevensbescherming, art. 6, lid 1 onder a.
7. Algemene Verordening Gegevensbescherming, art. 6, lid 1 onder f.
8. Algemene Verordening Gegevensbescherming, overweging 51.
9. Zie bijvoorbeeld: Autoriteit Persoonsgegevens, Decision to impose fines and orders subject to a penalty for non-compliance, 16 May 2024 (Clearview boete), para. 35 en 36.
10. Bart van der Sloot, Yvette Wagensveld, Bert-Jaap Koops, (TILT), ‘Deepfakes: de juridische uitdagingen van een synthetische samenleving’, (2021), p. 4-5.
11 Zie bijvoorbeeld: CJEU C-101/01 (Lindqvist).
12 Wetboek van strafrecht, art. 139h.
13 Zie bijvoorbeeld: Biometric Update, ‘Hi mom, it’s me’: voice cloning services demand stronger voice deepfake detection, URL: https://www.biometricupdate.com/202503/hi-mom-its-me-voice-cloning-services-demand-stronger-voice-deepfake-detection, geraadpleegd op 21 juli 2025.
14 Digital Services Act, art. 16, lid 1.
15 Digital Services Act, art. 34-35.