Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Lessen uit het KNLTB boetebesluit

Blog Duthler & Duthler: Sportief Nederland is begin deze maand opgeschrikt door de berichtgeving over het besluit van de Autoriteit Persoonsgegevens (AP) van 20 december 2019 om de KNLTB een bestuurlijke boete op te leggen van € 525.000. Na de schrik volgde de verontwaardiging: “dit hoge boetebedrag dupeert de sporters”, “KNLTB boete legt bom onder nieuw verdienmodel”. De KNLTB zelf is “onaangenaam verrast” en vreest dat door de uitspraak de sport duurder wordt en de ondersteuning van verenigingen in gevaar komt.

In deze blog gaan Anne-Wil Duthler, advocaat bij First Lawyers en Ans Duthler, senior adviseur bij Duthler Associates nader in op het KNLTB boetebesluit van de AP.

Wat is er gebeurd

De KNLTB heeft de boete opgelegd gekregen omdat ze in de zomer van 2018 persoonsgegevens van een groot deel van haar ledenbestand aan twee sponsoren, TennisDirect en de Nederlandse Loterij, heeft verkocht om zo extra inkomsten te genereren. De AP oordeelde dat de KNLTB hiermee in strijd heeft gehandeld met de Algemene verordening gegevensbescherming (Avg). Er was geen rechtmatige grondslag aanwezig voor de verkoop van de data aan de twee sponsoren. Een rechtsgeldige toestemming van de leden voor de verkoop van hun gegevens aan TennisDirect en de Nationale Loterij ontbrak namelijk. Daarnaast oordeelde de AP dat de KNLTB zich niet kon beroepen op een gerechtvaardigd belang als grondslag voor de dataverkoop.

Wat is er aan de hand?

In 2007 is de KNLTB gestart met het verkopen van ledengegevens aan commerciële partijen om zo extra inkomsten te genereren. Geld dat besteed zou worden aan bijvoorbeeld toptennis. In 2017 heeft het hoofdbestuur van de KNLTB besloten de direct marketing activiteiten uit te breiden. Het aantal leden bleef teruglopen en daarmee ook de inkomsten. Aan de ledenraad (bestaande uit 29 personen) is toen gevraagd om toestemming te geven voor het verstrekken van persoonsgegevens van de KNLTB leden aan huidige en toekomstige partners voor commerciële doeleinden. De ledenraad heeft deze toestemming gegeven. In de nieuwsbrief van 7 februari 2018 zijn de leden hierover als volgt geïnformeerd:

De KNLTB wil graag meerwaarde voor jouw KNLTB-lidmaatschap creëren door je tennis-gerelateerde en andere mooie aanbiedingen te kunnen doen. Daarnaast wil de KNLTB extra inkomsten genereren waarmee we de tennissport voor jou en je vereniging betaalbaar kunnen houden op de lange termijn. Daarom is in de Ledenraadsvergadering in december 2017 toestemming verkregen voor het verstrekken van jouw gegevens aan onze partners.”

Ook in de nieuwsbrief van de KNLTB van 7 maart 2018 was er aandacht voor de uitbreiding van de direct marketing activiteiten:

“De KNLTB is continu op zoek naar manieren om meerwaarde voor jouw KNLTB-lidmaatschap te creëren. Daarvoor is het nodig om over relevante data te beschikken en deze gegevens te mogen gebruiken, zodat we jou en andere tennisfans kunnen benaderen met tennis-gerelateerde en andere relevante aanbiedingen. De Ledenraad heeft in december 2017 ingestemd met het verstrekken van jouw gegevens aan onze partners.”

Via een opt-out hebben leden van de KNLTB de mogelijkheid gekregen om bezwaar te maken tegen deze verstrekking van hun persoonsgegevens aan partners van de KNLTB.  

Deze informatie in de nieuwsbrieven leidde tot klachten van een aantal KNTLB leden. Zij vroegen zich af of de verkoop van hun gegevens aan de twee sponsoren wel in overeenstemming was met de Avg. Naar aanleiding van de klachten, een gesprek met de KNLTB en aandacht in de media voor de dataverkoop is de AP een onderzoek gestart. Het onderzoek heeft zoals bekend geresulteerd in een bestuurlijke boete van € 525.000 . De AP is heel duidelijk, deze vorm van datahandel is niet rechtmatig en in strijd met de Avg.

Voor de beoordeling van de rechtmatigheid van de verkoop van de ledengegevens aan TennisDirect en de Nationale Loterij maakt de AP een onderscheid tussen twee situaties.

Situatie (1): de verwerking van persoonsgegevens vóór 2007

De eerste situatie heeft betrekking op de verwerking van persoonsgegevens van leden die vóór 2007 lid zijn geworden. Hierbij kwalificeert de AP het verstrekken van de persoonsgegevens van de leden aan sponsoren voor het genereren van extra inkomsten als een verdere verwerking, namelijk voor een ander doel dan dat waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. De persoonsgegevens waren oorspronkelijk verzameld voor het verwerken van de persoonsgegevens ter uitvoering van de lidmaatschapsovereenkomst met de KNLTB.  De grondslag voor deze verwerking was “noodzakelijk voor de uitvoering van een overeenkomst”.  De AP oordeelt dat de verstrekking van een ledenbestand aan twee sponsoren ten behoeven van marketingactiviteiten als verdere verwerking onverenigbaar is met het verzameldoel, en daarmee onrechtmatig. De verdere verwerking had rechtmatig kunnen zijn als de afzonderlijke leden hiervoor rechtsgeldige toestemming hadden gegeven.

Voor zover de KNLTB de instemming van de ledenraad als toestemming beschouwt maakt de AP hier korte metten mee. Het bestuur van de KNLTB heeft de ledenraad (29 leden)  inderdaad eind 2017 om toestemming gevraagd voor de verkoop van persoonsgegevens van zo’n 570.000 leden aan partners als TennisDirect en de Nationale Loterij. De ledenraad heeft deze toestemming ook gegeven.  Maar hiermee hebben de leden zelf nog geen toestemming gegeven voor het doorgeven van hun eigen persoonsgegevens aan de sponsoren, aldus de AP.

Om toestemming als grondslag te gebruiken voor het verwerken van persoonsgegevens moet de toestemming voldoen aan de eisen van de Avg. En dat betekent dat toestemming moet worden gegeven door middel van een duidelijke en actieve handeling waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van persoonsgegevens instemt. Daarvan was in dit geval geen sprake. De KNLTB had op zijn minst toestemming aan de leden zelf moeten vragen om een verdere verwerking van de persoonsgegevens verenigbaar te laten zijn met het verzameldoel. 

Situatie (2): de verwerking van persoonsgegevens vanaf 2007

De tweede situatie heeft betrekking op de verwerking van persoonsgegevens van leden die vanaf 2007 lid zijn geworden. In dat jaar heeft de KNLTB een nieuw verzameldoel geformuleerd, namelijk het genereren van inkomsten door het verstrekken van ledengegevens aan sponsoren ten behoeve van direct marketingactiviteiten. Naast het verwerken van persoonsgegevens ter uitvoering van de KNLTB lidmaatschapsovereenkomst was ook het verstrekken van ledengegevens aan sponsoren een verzameldoel geworden. De grondslag van deze verwerking van persoonsgegevens ten behoeve van het genereren van extra inkomsten vond de KNLTB in de “noodzaak voor de behartiging van haar gerechtvaardigde belangen”.

Als gevolg van de onrechtmatige verkoop van de ledengegevens aan de twee sponsoren hebben de leden de controle over hun persoonsgegevens verloren, zo stelt de AP. Hiermee is een inbreuk gemaakt op de persoonlijke levenssfeer van de KNLTB leden. Wat de ernst van deze inbreuk vergroot zijn de volgende  omstandigheden. Het ongewild ontvangen van een flyer of een verkooptelefoontje vinden veel mensen hinderlijk. Er zijn daarnaast veel meer persoonsgegevens verstrekt aan de sponsoren dan noodzakelijk was voor de marketing acties. En door zowel TennisDirect als de Nationale Loterij zijn ledengegevens verstrekt aan andere partijen, waarover de KNLTB leden niet of onvoldoende zijn geïnformeerd.

Ernstige overtreding

De AP beschouwt de dataverkoop door de KNLTB als een ernstige overtreding van de Avg, en maakt dan ook gebruik van haar boetebevoegdheid.

Gelet op de focus van de AP op onrechtmatige datahandel kan dit boetebesluit  niet als een verrassing komen.  Sinds 2018 geeft de AP uitgebreide informatie over de spelregels voor direct marketing. De belangrijkste regel is dat organisaties alleen persoonsgegevens mogen gebruiken voor direct marketing als de betrokkene zelf hiervoor toestemming heeft gegeven. In het geval van de dataverkoop door de KNLTB ontbrak die toestemming en kon de KNLTB in de ogen van de AP geen gerechtvaardigd belang aanvoeren als grondslag voor de dataverkoop.

In de media wordt momenteel veel geschreven over deze wijze van datahandel door sportbonden. De toezichthouder merkt in het boetebesluit terloops op dat klachten over datahandel door andere sportbonden ook kunnen leiden tot nader onderzoek en eventueel tot handhavend optreden.

Het KNLTB  boetebesluit zal veel organisaties wakker hebben geschud. Het laat zien dat privacy & gegevensbescherming een serieuze zaak is en dat de toezichthouder daadwerkelijk optreedt indien de Avg niet zorgvuldig wordt nageleefd.

Lessen uit het boetebesluit

Wat kunnen we leren van het KNLTB boetebesluit:

  • Datahandel, het verkopen van persoonsgegevens, zonder toestemming van de betrokkenen zelf is onrechtmatig
  • Er kan geen beroep worden gedaan op de grondslag “gerechtvaardigd belang” voor het rechtmatig verkopen van persoonsgegevens
  • De AP geeft in het KNLTB boetebesluit uitgebreid aan wanneer wel en wanneer niet een geslaagd beroep kan worden gedaan op de grondslag “gerechtvaardigd belang”
  • Een gerechtvaardigd belang moet terug te voeren zijn op een grondrecht of rechtsbeginsel
  • De AP heeft een beginselplicht om handhavend op te treden tegen overtredingen, gelet op het algemeen belang dat hiermee is gediend.
  • De AP komt vrijheid toe in de keuze van het handhavingsinstrument, mits het gekozen instrument voldoende effectief is
  • Wat de rol van de FG van een organisatie is tijdens een onderzoek door de AP
  • Dat klachten van betrokkenen kunnen leiden tot nader onderzoek door de AP en zelfs tot handhaving en een boete.

Voor organisaties die een verwerking baseren op de grondslag “gerechtvaardigd belang’’ is het KNLTB boetebesluit aanleiding om deze grondslag nog eens kritisch tegen het licht te houden.

Het KNLTB boetebesluit benadrukt in onze ogen nog eens extra dat privacy  een grondrecht is, dat  de zeggenschap over de persoonsgegevens berust bij een betrokkene  en dat iedere verwerking van persoonsgegevens in beginsel onrechtmatig is,  tenzij aangetoond kan worden dat er sprake is van een rechtmatige verwerking op grond van de Avg. Ook benadrukt het KNLTB boetebesluit dat organisaties zelf verantwoordelijk en aansprakelijk zijn voor de aantoonbare naleving van de Avg.

Trainingen

Wilt u meer weten en leren over hoe om te gaan met handhavingsacties door de AP? Duthler Academy biedt regelmatig cursussen en Company Training Gegevensbescherming aan. Vanwege het Corona virus zullen de eerstvolgende cursussen via een webinar worden aangeboden. Houdt de website of de nieuwsbrief in de gaten voor meer informatie

Meer informatie

Heeft u vragen of interesse? Neem contact met ons op door een e-mail te sturen naar info@duthler.nl of +31 0(70) 392 22 09. Wij zullen zo snel mogelijk contact opnemen. Wij gebruiken uw gegevens alleen om uw bericht te beantwoorden en de folder digitaal op te sturen.

Schrijf in voor de nieuwsbrief