Een lezer vroeg me:
Bij onze schaakvereniging publiceren wij de wedstrijduitslagen inclusief namen van deelnemers op de site. Nu maakte een bezoeker daar bezwaar tegen, vandaar dat ik me nu afvraag hoe dit wettelijk zit, zeker onder de AVG die in mei van kracht wordt. Moeten wij toestemming vragen aan onze leden en hoe moeten we omgaan met bezoekers van andere verenigingen?
Voor publicatie van mensen hun persoonlijke informatie op internet is in principe altijd toestemming nodig, tenzij je een contractuele relatie met ze hebt waarbij dit noodzakelijk is, of wanneer je een eigen dringend belang hebt dat zwaarder weegt dan hun privacy. Een contractuele relatie zie ik hier niet – heel misschien met de eigen leden wel, het lidmaatschap van een vereniging is misschien als analoog met een overeenkomst te zien – en die eigen noodzaak kan ik ook zo niet bedenken.
Onder de AVG moet toestemming uitdrukkelijk, specifiek en apart worden gegeven. Dat mensen meedoen met een wedstrijd, is niet genoeg om toestemming uit af te leiden. Alleen als je bij inschrijving een kruisje laat zetten bij “Ik geef toestemming voor publicatie van mijn persoonsgegevens omtrent de wedstrijd op internet” dan gaat het goed.
Maar let op: mensen moeten dit vakje vrijelijk kunnen overslaan, én men moet de toestemming kunnen intrekken en dan van internet gehaald worden. Toestemming is immers op ieder moment zonder opgaaf van redenen intrekbaar.
Arnoud
Voor onze loopgroep zullen wij een soortgelijke situatie krijgen met een wedstrijd die we jaarlijks organiseren (ongeveer 300 deelnemers). Dus met een online registratie voldoe je dan met het plaatsen van een vinkje dat je toestemt. Zelf zou ik dit een verplicht veld van maken met een ja of nee keuze zodat er altijd een antwoord gegeven moet worden.
Blijft het dan wel bewerkelijk wanneer er mensen niet in de uitslagenlijst opgenomen willen aangezien dit bij ons allemaal handmatig verwerkt wordt, een extra check en eventueel aanpassen van de gegevens.
Maar wij hebben ook de uitslagen van de afgelopen jaren op onze website staan en aangezien er veel mensen ter plekke zich inschrijven hebben wij geen mogelijkheid om achteraf toestemming te vragen omdat we vrijwel geen gegevens van hun hebben. Zwart wit gezien zouden wij dus onze oudere uitslagen moeten verwijderen, klopt dit?
Hoewel strikt genomen de vraagstelling correct is, begint dit AVG voorbeeld naar mijn mening al enigszins op te schuiven naar “Als mensen mijn naam uitspreken kunnen anderen in de directe omgeving daar kennis van nemen, kan ik onder de AVG mensen verbieden mijn naam te noemen?”
Laten we onze maatschappij een beetje werkbaar houden alstublieft. Hier kan ik in mijn eigen omgeving ook mee te maken krijgen: ik maak startlijsten voor schaatswedstrijden op de Uithof in Den Haag, die publiceren we op Internet 2 dagen voor de wedstrijd. Stel je voor dat ik dan steeds met het handje moet napluizen welke mensen niet willen dat hun naam op de gepubliceerde startlijst komt. Op dat moment stop ik er dan dus ook meteen mee, daar ga ik als vrijwilliger gewoon niet aan beginnen….
Iets dergelijks geldt voor de KNSB (en andere sportbonden) zelf: zij houden wedstrijdresultaten bij in databases/ranglijsten die in het algemeen publiekelijk toegankelijk zijn. Ik denk niet dat veel sportbonden de AVG in het vizier hebben….
Dit soort reacties blijven me toch keer op keer verbazen. We hebben het hier over een wet die al op 27 april 2016(!!!) is aangenomen en bijna net zo lang al van kracht is (vanaf 4 weken later). Dat je er tot 28 mei 2018 “mee weg komt”, dankzij de overgangsregeling 2 jaar de tijd hebt om hieraan te voldoen, doet daar niks aan af.
Maar dan nog, onder de huidige Wet bescherming persoonsgegevens is deze verwerking mijns inziens ook al niet toegestaan, tenzij deze verwerking uitdrukkelijk omschreven is. Volgens mij is het enige nieuwe aan de AVG, dat men hier afzonderlijk toestemming voor moet geven en dat men die toestemming “vrijelijk kunnen overslaan, én men moet de toestemming kunnen intrekken”, waarna alle verwerking waar geen andere grondslag voor is dan de toestemming moet stoppen (en die data dus ook verwijderd moet worden). (Disclaimer: dit is mijn interpretatie van de huidige en nieuwe wetgeving, corrigeer me a.u.b. waar ik er naast zit)
Ik ben zelf binnen meerdere sportbonden actief en die zijn allemaal al ruim een jaar bezig om zich hier klaar voor te maken en verenigingen te waarschuwen over de impact, ik kan me bijna niet voorstellen dat de KNSB dit niet doet.
In het geval van Jeroen Boschma zou ik het heel simpel oplossen: stuur een mailtje naar elke deelnemer met zijn eigen starttijd en publiceer het niet mee op internet. Er zijn meerdere programma’s die dit gemakkelijk voor je maken (vergeet dan niet een verwerkersovereenkomst met die partij te sluiten).
Waarom publiceren jullie die startlijsten op internet? Welke noodzaak is daarvoor, je kunt ingeschrevenen toch ook gewoon een mailtje sturen wanneer en waar ze starten?
Ja, je hebt gelijk. Publiceren is een ‘macht der gewoonte’ wat al 20 jaar zo gebeurt omdat iedereen altijd erg benieuwd is wanneer hij start en tegen welke tegenstander. Maar we zouden natuurlijk ook de complete startlijsten kunnen gaan rondmailen. Vergt uiteraard wel een (kleine) aanpassing in het inschrijfsysteem.
Neen, dat mag uiteraard niet. Je mag dergelijke gegevens gewoon niet zomaar met derden delen, ongeacht of het ongericht aan zeer velen is, of gericht aan een beperkte groep. Dat laatste maakt het aannemelijker dat mensen er minder bezwaar tegen hebben en sneller toestemmen, maar die toestemming is nog steeds nodig.
Sanne,
Maar mag Jeroen dan wel de naam van de tegenstander vermelden in die email, of is het gewoon: jij start in rit 3, om 10 uur 12. En je zult dan wel zien tegen wie.
Ja, ik zie ook niet in wat alleen een naam voor kwaad kan. Stel je krijgt een mailtje “je moet schaatsen tegen Jan Bos”. Hoeveel mensen heten er zo? Héél véél. Dus dat kan eigenlijk geen kwaad.
Dit is toch gewoon een journalistieke uiting? Het is verslag van een (sport) wedstrijd waar Mevrouw Van der Plas op bord 3 wint van De Heer Engelfriet. https://www.nu.nl/resultaten/voetbal/competitie/2/eredivisie.html is toch ook gewoon legaal? ( en dan bedoel ik het lijstje onder ’topscorers’, want het rijtje onder ‘stand’ zijn natuurlijk geen natuurlijke personen)
Hoe groot de nieuwswaarde is kun je over discussieren, maar uitslagen van lage klasse sportwedstrijden worden al sinds jaar en dag gepubliceert in de krant.
Bij een uitslag tussen teams gaat het niet om persoonsgegevens. Bij professionele sporters gaat het om mensen die meer te dulden hebben als bekende, althans zelf met hun activiteiten de openbaarheid zoekende, personen. Bij betaalde voetballers kan ik me zelfs voorstellen dat het in de openbaarheid treden als noodzakelijk de club ten goede komend onderdeel van de werkzaamheden te gelden heeft.
Het is (naar mijn mening) in het belang van “de sport”, en dus indirect ook in het belang van de sportverenigingen, dat als er wedstrijden of een competitie zijn dat die ook transparant zijn. Het publiceren van wedstrijdresultaten verhoogt de transparantie en daardoor heeft de vereniging er een gerechtvaardigd belang bij.
Ik heb het idee dat de wijze waarop er normaal gesproken door verenigingen gepubliceerd wordt (naam + resultaat, eventueel aangevuld met verenigingsnaam of leeftijd) maatschappelijk geaccepteerd is als goede balans tussen privacy van de deelnemers en de gewenste transparantie.
Ik zou altijd beginnen met de vraag waarom een dergelijke publicatie eigenlijk überhaupt nodig is. In de reacties hierboven lees ik steeds “wij publiceren uitslagen op het internet, hoe moeten we dit afdekken” terwijl ik hoop dat de AVG veel meer leidt tot vragen als “waarom publiceren we dit eigenlijk op het internet”?
Ik ben dan geen hardloper maar het ontgaat me wiens belang erbij gediend is dat complete uitslagenlijsten tot in lengte van dagen op de verenigingswebsite staan. “Privacy by design” verwacht van ons dat we niet zomaar gaan kijken hoe we bestaande praktijken in de normen kunnen proppen, maar juist opnieuw afvragen: gegeven dat we deze uitslagen hebben, wat is een handige manier om die met de deelnemers te delen?
Is het publiceren van wedstrijdresultaten (tbv een competitie, wedstrijdladder, etc) dan geen eigen dringend belang? Je kunt moeilijk een competitie organiseren zonder standenlijst, lijkt me. De vraag lijkt me dan wel of het echt openbaar op internet moet, in plaats van op een clubwebsite die alleen voor leden en/of deelnemers toegankelijk is.
Nee, maar die is ook niet nodig. Gezien hun sportactiviteiten algemeen interesse genieten, mag er een legitiem maatschappelijk debat gevoerd worden over hoe zij dat doen. Daarmee is de vrijheid van meningsuiting het legitiem belang onder artikel 8 sub f Wbp. De privacyafweging brengt met zich mee dat het in principe alleen moet gaan over de sportieve prestaties en wat daarmee direct samenhangt.
“Gezien hun sportactiviteiten algemeen interesse genieten, mag er een legitiem maatschappelijk debat gevoerd worden over hoe zij dat doen.” Dit is natuurlijk uiterst arbitrair. De briljante spits van de plaatselijke buurtvoetbalclub in een gehucht is natuurlijk de “Talk of the town” voor een handjevol mensen, maar daarbuiten zou op grond van de wet weleens de privacy van deze spits moeten prevaleren?
Voor insiders is bekend dat de wet al is aangenomen in 2016. Helaas is het overgrote deel van de bevolking leek op dit gebied (en ja, het is ook mij bekend dat iedereen de wet behoort te kennen). Het punt van een “leefbare/werkbare samenleving”, dat Jeroen Boschma terecht aankaart, geeft blijk van een gezond gevoel voor wat zich op dit moment in de samenleving afspeelt.
Het recht en de interpretatie daarvan is of behoort in beginsel dienend te zijn aan een samenleving. Het zou mooi zijn als alle wetgevende instanties daarvan doordrongen zijn/waren. De Cookiewet uitglijder was een goed voorbeeld van hoe het niet moet. Dat was nog op nationaal niveau en kon, mede daardoor, nog gecorrigeerd worden. Stel dat een vergelijkbaar scenario zich ontspint bij de AVG, zal dan de EU dit ook zo “slagvaardig” gaan corrigeren?
Ach, wat heet “de wet kennen”? Er zijn zoveel wetten en dan nog blijkt in een hoop gevallen dat het OM en/of een rechter een andere interpretatie geeft aan een bepaalde wet. Dus eigenlijk, strikt genomen, kun je ‘de wet’ nooit kennen.
Hoe vrijwillig is het als je een toernooi organiseert en zo’n ja/nee vinkje opneemt en bij de keuze nee zegt: helaas, dan kan je niet aan ons toernooi meedoen?
Een sport toernooi is geen eerste levensbehoefte, je kan de sport nog steeds recreatief beoefenen of een andere sport doen. Desnoods organiseer je zelf een toernooi. Hoe dan ook er is geen plicht voor deelname, dus verplicht akkoord gaan als je mee wil doen lijkt mij geen probleem.
Mij wel. Als die samenhang er zo duidelijk is, zou toestemming niet de juiste grond zijn, dan is dat het gerechtvaardigde belang. Toestemming die gekoppeld wordt (niet is!) aan niet rechtstreeks causaal met de toestemming verbonden gevolgen, is niet vrij en dus nietig.
Bovendien: toestemming kan op ieder moment onbeargumenteerd ingetrokken worden, en dan heb je ernaar te handelen. Wat, in je voorbeeld, als iemand zich inschrijft, deelneemt, en direct na deelname, voor publicatie, haar toestemming intrekt?
Verwijderen en nooit meer toelaten op een volgend toernooi.
Als ik een toernooi organiseer, bepaal ik wie ik toelaat. En als ik alleen mensen wil toelaten die het toestaan dat ik de toernooi resultaten publiceer, dan is dat mijn zaak. Zou mooi worden als de overheid gaat bepalen met wie ik zaken doe…
Ik gebruik nu een toernooi als voorbeeld, maar dit geld natuurlijk ook gewoon voor ‘gratis’ diensten op het internet. Je betaalt daar met je gegevens, dat is duidelijk uit de privacy voorwaarden, wil je die niet bepalen, dan lever ik de dienst niet. Geef je die aan wel te willen betalen en trek je het daarna in, dan houd ik mij aan de wet, maar kan je mijn dienst nooit meer gebruiken, ook niet als je daarna plechtig belooft wel te zullen betalen. Het vertrouwen is immers weg.
Dan loop je de kans dat een toezichthouder, al dan niet op basis van een klacht, oordeelt dat je hele toestemmingssystematiek ongeldig is, omdat zulke toestemming (en het intrekken ervan) helemaal niet vrij is. Daarmee is dan je hele verwerking onwettig. Per overtreding staat daar een boete van 20M€ op.
Nog los daarvan: hoe stel je je eigenlijk voor rechtmatig een register bij te houden van toestemmingintrekkers?
Hoezo niet vrij? Je hoeft mijn dienst toch niet af te nemen? En het bijhouden van een lijst met mensen die zich niet aan de voorwaarden van gebruik houden is zwaarwegend belang.
Ik kan je verzekeren dat als ik een winstgevend idee zou hebben voor een online product, dat tegen deze problemen aanloopt, ik een bedrijf in de VS zou opzetten, zonder aanwezigheid in de EU. Hoeveel succes heeft justitie tot nu toe met het verwijderen van de lijst met Nederlandse pedofielen van die Amerikaanse server? Precies.
Bij een competitie is iets minder vrijheid dan bij gewoon een bedrijf. Als ik meedoe aan de competitie, dan móet ik bij al die wedstrijden langs anders kan ik geen kampioen worden. Als er dan een club is met rare regels dan kan ik dat dus niet met goed fatsoen weigeren. Daar zit hem het probleem. Maar in principe wordt dat vanzelf opgelost omdat de bond waar het onder valt, kaders voor die regels zou moeten stellen. Eigenlijk zou de schaakbond en niet de individuele clubs moeten bepalen wat er op internet komt en hoe vrijelijk dat openbaar moet zijn.
En zullen we het gewoon hebben over het onderwerp van vandaag, wtf man.
Logisch verhaal in casu een competitie, dan is het inderdaad niet vrij op club/wedstrijd niveau en ik weet uit mijn tijd als bestuurder bij een badminton vereniging dat de publicatie van competitie uitslagen inderdaad via de bond liepen.
Toernooien stonden daar wel helemaal los van, deze werden door de individuele clubs georganiseerd en telden niet mee voor competitie resultaten. Daarnaast waren er ook veel toernooien die ook niet meededen voor de speler ranking. Ik zou zeggen dat deelname daaraan wel een vrije keuze is.
Ik heb op het onderwerp van vandaag ook gereageerd, ik ben namelijk een privacy wetgeving allergie aan het ontwikkelen.
Bij hardlopers is het eigenlijk normaal dat je in een uitslaglijst staat. Met onze wedstrijd ben ik er altijd even wat tijd mee kwijt om alles te verwerken en ik krijg bijna altijd reacties wanneer er iets niet klopt. Mensen willen het graag zien en het moet kloppen. (wij doen alles handgeklokt, geen meetmatten met rifd)
Je kan dan ook mooi zien hoe je tijd was ten opzichte van de overigen van de wedstrijd, hoeveelste man/vrouw je bent geworden en direct zien hoe vrienden/kennissen/clubgenoten hebben gelopen. Dit zal in principe komen te vervallen indien men niet vooraf er mee instemt dat de publicatie van de finishtijd gedeeld mag worden als ik het goed begrijp. Dus dan wordt het of berichtjes sturen, vragen als je weer mensen ziet en je zal het nooit weten dat die hardloopkennis van vroeger die je uit het oog verloren bent de zelfde wedstrijd gelopen heeft.
Wij zijn een loopgroep en ik heb zelf geen informatie via de Atletiekunie gezien dat we nu al in overtreding zouden zijn. Privacywetgeving is niet waar mijn sterkste kennis ligt, ik vind het wel interessant en door de aandacht die de AVG nu in “mijn” Joomla wereldje krijgt ben ik me er meer in aan het verdiepen. Tot nu toe vind ik het maar een monster, tot hoe ver moet je gaan? Moet ik persoonlijke data uit backups verwijderen bijvoorbeeld als ik uit de online versie iets verwijder?
Ik zal tijd gaan vrijmaken om me beter in deze materie te gaan verdiepen, wat nu al de wetgeving is pik ik daarbij vanzelf mee op lijkt me.
Zou de transparantie en mogelijkheid tot controle geen dringend belang kunnen zijn? Als ik aan een schaaktoernooi mee zou doen, individueel of in clubverband, dan zijn de uitslagen van andere wedstrijden zeker van belang voor mij. Bijvoorbeeld om te controleren of Alice en Bob niet een setje bloedeloze remises hebben gespeeld waardoor zij allebei door zijn naar de volgende ronde, terwijl als Alice Bob zoals gebruikelijk ingemaakt zou hebben, ik door was geweest.
De vraag blijft dan wel of dat op een openbare website moet, of een afgesloten deel voor clubleden.
Het doorgeven aan andere clubs (of de bond) voor het bijhouden van ELO scores (en eventueel fraudepreventie/valsspelen) is iets heel anders. Dat kan ofwel als onderdeel van het contract (deelnemers hebben een legitieme verwachting dat hun schaakpartijen officieel zijn) ofwel uit noodzaak (lastiger).
Dus als een voetballer, basketballer, tafeltenniser, tenniser of wat voor een sporter dan ook, een wedstrijd speelt moet de recensist eerst toestemming vragen om diens naam te mogen publiceren? Ik denk dat de toestemming hier al voortvloeit uit de wedstrijdreglementen, niet akkoord is niet spelen. Dat is een keuze die vrij gemaakt kan worden. Misschien is het bij een schaakvereniging anders, maar het wordt wat als die bezwaarmaker ooit eerste wordt en je mag hem niet bij naam noemen, maar bijvoorbeeld: Op (datum) heeft onze speler X gewonnen van Speler Y.
Niet perse, maar zonder toestemming moet je een afweging maken hoe privé de informatie is die je gaat onthullen versus hoe belangrijk het is dat je deze informatie gaat onthullen.
Misschien gek voorbeeld, maar stel je hebt een BN-er in je team die gewoon even wil ontspannen in een wedstrijd. Dan wil hij misschien niet dat overal staat dat hij die wedstrijd speelt, staan er weer groepies bij de poort.