Dat mag dus toch niet, persoonsgegevens van je leden verkopen?

De KNLTB heeft van de Autoriteit Persoonsgegevens (AP) een geldboete gekregen van ruim een half miljoen euro voor het verstrekken van persoonsgegevens aan twee commerciële partners. Dat meldde het AD onlangs. De tennisbond gaat in beroep tegen de sanctie. De verstrekking is in strijd met de AVG, omdat er geen invulling van het eigen gerechtvaardigd belang mogelijk is wanneer je niets meer doet dan persoonsgegevens verstrekken tegen betaling. En ja, ik dacht dat het wel mocht maar ik ga dus toch proberen enigszins objectief een analyse te maken van de zaak. Want stiekem worden hier toch een paar best fundamentele standpunten ingenomen die laten we zeggen voor de markt een tikje verrassend waren.

In maart vorig jaar kwam in het nieuws dat de KNLTB op zoek was naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet. (En daar ging het overigens ook bij mis, uit het boetebesluit blijkt dat er wél zonder opt-in mailadressen zijn verhandeld. Maar dat terzijde.)

Een aantal leden pikte dat niet, en diende klachten in bij de AP. Die trad vervolgens zeer voortvarend op, inclusief een mediaoptreden van de voorzitter waaruit je zou kunnen afleiden dat een boete onvermijdelijk was. (De AP betreurt die gang van zaken maar stelt desondanks gewoon objectief te hebben gehandeld.) Na onderzoek kwam men dan ook direct met een boete aanzetten. Wat dus mag onder de AVG én de boetebeleidsregels van de AP zelf, als de overtreding ernstig genoeg is. En dat is dus hier het geval, aldus de toezichthouder.

Inhoudelijk komt het vooral neer op de vraag: wanneer mag je zonder opt-in commercieel handelen in persoonsgegevens? Daar is naar de letter van de AVG een antwoord op: als je je kunt beroepen op een eigen gerechtvaardigd belang, en daarbij een privacyafweging hebt gemaakt die in jouw voordeel afweegt. Een voorbeeld van zo’n afweging is dat je camera’s in kan zetten om je terrein te bewaken, maar dat je inzage in de beelden beperkt tot politie in geval van strafbare feiten. Het onderliggende belang is dan het beschermen van je eigendomsrecht.

De AP komt nu met het strenge standpunt dat commerciële belangen nooit gerechtvaardigd kunnen zijn. Die zijn namelijk niet als zodanig in de wet erkend, in tegenstelling tot zeg eigendomsrecht of de vrijheid van meningsuiting. Er is natuurlijk het grondrecht van de ondernemingsvrijheid, maar dat vindt men te onbepaald en generiek om als grondslag te kunnen dienen voor de handel in persoonsgegevens. Daarmee is er dus eigenlijk nóóit een rechtvaardiging te verzinnen om in persoonsgegevens te handelen, als ik even tussen de regels samenvat.

Daar komt bij dat tot 2007 de leden bij lid worden niet expliciet werden gemeld dat dit zou gaan gebeuren. Voor die categorie gaat het nog iets erger mis: de doelbinding tussen de oorspronkelijke verzameldoeleinden (de lidmaatschapsovereenkomst) en het nieuwe doel (de handel) ontbreekt volledig. En dan mag je simpelweg de gegevens niet inzetten voor het nieuwe doel, ook niet als je daar een mooie grondslag-redenering voor weet te verzinnen. En nee, dat krijg je ook niet recht door je privacystatement aan te passen, want de gegevens hád je dan al. Je moet het dus echt opnieuw vragen, maar in die situatie is het onvermijdelijk dat je toestemming gaat vragen.

En ja, ik vind dit controversiële standpunten, ik zou zelfs zeggen gedurfd. Het betekent natuurlijk de doodsteek voor datahandel, dus daarom volgt hoe dan ook bezwaar en daarna beroep bij de rechtbank. Maar het boetebesluit legt de pijn bloot van hoe datahandel werkt en hoe hard het eigenlijk niet klopt. Dus ik ben benieuwd.

Arnoud

46 reacties

  1. Zou het anders zijn geweest als zorgvuldig geselecteerde partners reclame materiaal aan zouden leveren en de distributie zouden betalen naast een bedrag voor de mogelijkheid de leden te benaderen? Dus dat de vereniging de adressen plakt en het versturen doet. Hiermee lever je immers niet de persoonsgegevens aan, maar help je de partners wel met adverteren.

  2. Data verkopen is ook commercieel gezien niet handig. Ze hadden er beter aan gedaan om het aanbod van de aanbieder via hun eigen kanalen (nieuwsbrief, website) onder de leden te verspreiden. Je data verkopen kun je maar 1x doen. Gesponsorde content kun je blijven verkopen.

    Dat terzijde, het lijkt mij ook niet dat een ledenlijst zomaar verkocht mag worden. Het enige belang wat ik daarbij kan bedenken is dat de vereniging (en dus de leden) profiteert van de inkomsten en/of daar zelfs van afhankelijk is.

  3. Ik vond het argument van Commercieel Belang altijd al absurd. Het kan toch nooit de bedoeling van de wetgever geweest zijn, dat je persoonsgegevens niet mag verhandelen, tenzij je er geld mee kunt verdienen. Giegeltoets?

  4. Het lijkt mij evident de correcte beslissing dat commerciele belangen geen grondslag mogen zijn als het gaat om dit soort gegevens (adres/contactgegevens van leden) van een vereniging. Zo’n vereniging heeft een bepaalde set aan gegevens nu eenmaal nodig om iemand lid te kunnen maken. Het verstrekken daarvan is dus niet optioneel voor die leden. Als het commercieel belang van de vereniging een grondslag zou vormen om die gegevens te verkopen (let wel dat de wetgever volgens mij (corrent me if I’m wrong) geen onderscheid maakt tussen “aan jan en alleman” en “aan zorgvuldig geselecteerde partners”. Dat laatste is sowieso een “red herring”, want zorgvuldig geselecteerd op welke grond dan? Prijs?) dan krijg je dus de absurde situatie dat wanneer iemand lid wil worden van een vereniging zhij maar moet accepteren dat zijn/haar gegevens verkocht zullen gaan worden. De enige andere keuze is dan niet lid worden. Dat lijkt me evident niet gerechtvaardigd, niet in het maatschappellijk belang en een overduidelijk ongewenst neveneffect van het toestaan van die grondslag in de wet.

  5. Ik zie niet in waarom de standpunten van AP controversieel zijn. Ik vind de uitspraak van AP volkomen logisch en helder. 1. AP sluit conform overweging 47 AVG gerechtvaardigd belang als rechtsgrond Direct Marketing niet per definitie uit (ik verwijs ‘Normuitleg grondslag ‘gerechtvaardigd belang’ waarin onder “Voorbeelden van belangen die kwalificeren als gerechtvaardigd zijn het belang om:” onder meer genoemd wordt “bestaande klanten na een aankoop te informeren over soortgelijke, eigen producten of diensten”. 2. Echter in deze casus gaat het niet om Direct Marketing die noodzakelijk is voor KNLTB om de ledenbelangen te behartigen maar om verkoop van gegevens aan derde partijen met een ander, commercieel, doel. De verwerking door KNLTB dient enkel als doel om extra inkomsten te genereren. Hiervoor zijn andere middelen beschikbaar, dus er wordt niet voldaan aan de noodzakelijkheidseis. 3. KNLTB is een non-profit organisatie. Het is geenszins redelijk te verwachten of te billijken dat van mensen die lid worden van de plaatselijk tennisvereniging (en daarmee automatisch ongevraagd, en in gevallen ook onwetend lid worden van de KNLTB) de persoonsgegevens met een commercieel oogmerk verkocht worden aan derde partijen. Extra zwaar weegt dat betrokkenen (leden van plaatselijke tennisverenigingen) geen enkele keuze hebben in lidmaatschap KNLTB. 4. Een van de doelstellingen van de AVG is juist om de privacy van burgers te beschermen.

    Als ik merk dat een vereniging waar ik lid van ben en waaraan ik contributie betaal zonder mijn explicite toestemming mijn privacy ernstig schendt door mijn gegevens te verkopen puur uit geldelijk gewin, dan sleep ik ze voor de rechter. Het is een fijne en geruststellende gedachte dat de AP waakt over mijn privacy en de wet (AVG) handhaaft.

  6. Eigenlijk is er voor het standpunt van AP dat “het enkel dienen van zuiver commerciële belangen, winstmaximalisatie” niet kwalificeert als gerechtvaardigd belang best wat te zeggen. Als dat namelijk wel een rechtvaardiging zou zijn, dan volgt daaruit impliciet dat privacy te koop is, of beter gezegd het schenden van privacy. We dienen in het achterhoofd te houden dat privacy een grondrecht is dat bescherming geniet. Het zijn toch raar zijn dat enkel geldelijk gewin een reden is om dit grondrecht te beperken vanwege de belangen van de partij die persoonsgegevens verwerkt?

    Het zou de belangenafweging absurd en onmogelijk maken. Hoe valt de belangafweging uit bij een vereniging die miljoenen eigen vermogen heeft? Of bij een vereniging die krap bij kas zit of een vereniging die op randje van faillissement verkeert ? Als puur geldelijk gewin als gerechtvaardigd belang zou kwalificeren dan zou in dit laatste geval (een op handen zijn faillissement) vanwege noodzakelijkheidseis een beroep op gerechtvaardigd belang anders beoordeeld moeten worden dan wanneer de vereniging ruim bij kas zit. Rare toestanden krijg je dan. Dan zou bijvoorbeeld wanbestuur van de tennisbond een rechtvaardiging vormen om persoonlijke gegevens te verkopen om zodoende de vereniging te redden.

      1. Misschien als “een”, of “een van meerdere” gronden voor het maken van de afweging of het opweegt tegen het schenden van de privacy, maar dan met niet genoeg waarde om te prevaleren boven dat schenden van die privacy. M.a.w als dit commercieel belang het enige belang is, is het niet voldoende en valt de afweging negatief uit. Het kan echter wel opgevoerd worden als een van meerdere belangen, waardoor het mogelijk is dat de afweging positief uitvalt.

        1. Ik denk het laatste, zie ‘Normuitleg grondslag ‘gerechtvaardigd belang’ van AP waarin onder “Voorbeelden van belangen die kwalificeren als gerechtvaardigd zijn het belang om:” onder meer genoemd wordt “bestaande klanten na een aankoop te informeren over soortgelijke, eigen producten of diensten”. Lijkt me dat Direct Marketing daaronder valt.

      2. Kan je dit niet linken aan het originele doel van de inzameling van persoonsgegevens? Het is natuurlijk een heel groot verschil tussen;

        Tennisvereniging A: Welkom bij Tennisvereniging A. Trainingen beginnen volgende week woensdag. Overmorgen is het welkomstfeest.” 10 jaar later “Voor extra geld verkopen we uw lidmaatschapsgegevens! Dat hoort ook bij tennis.”

        Marketingbureau B: Onze enige taak in het leven is u deze gratis pen geven in ruil voor uw gegevens die we voor grof geld doorverkopen.

        Het wordt interessant als we daarna bijvoorbeeld gaan kijken bij andere commerciële instellingen, zoals webshops.

        Webshop C: Bedankt voor uw bestelling! We sturen uw order zo snel mogelijk op. Oh ja, we hebben zojuist uw gegevens ook doorverkocht aan derden… dat is ook om geld te verdienen, dus dat mag.”

      3. Het lijkt er op dat AP hiermee datahandel met als enig doel er geld meet te verdienen niet als gerechtvaardigd eigenbelang ziet. Ik ben wel blij met dit standpunt omdat het AP daarmee ook in de geest van wet handelt (bescherming van privacy) . Of deze redenering (uitsluiten van ‘zuiver commercieel’ doel, winstmaximalisatie als gerechtvaardigd belang) juridisch stand houdt, geen idee. Interessant om te volgen.

      4. @ Arnoud Engelfriet

        Ter verduidelijking, ik zie redenatie van AP als volgt (geen idee of AP dit ook zo ziet):

        [A] Bedrijven, organisaties mogen geld verdienen, er zijn situaties waarbij dit vergt dat er persoonsgegevens worden verwerkt (noodzakelijkheidseis) en waarbij geen beroep kan worden gedaan op andere gronden dan gerechtvaardigd belang, er kan een belangenafweging gemaakt worden waardoor de verwerking als rechtmatig kwalificeert. De verwerking van persoonsgegevens is in deze situatie een noodzakelijk bijkomend gevolg van de commerciële activiteiten (en niet het doel) en dient daarmee dus ook geen ‘zuiver’ commercieel doel.

        Direct Marketing aan bestaande klanten past binnen deze categorie. Immers de persoonsgegevens zijn verkregen als gevolg van commerciële activiteiten (verkoop aan de klant) en niet de oorsprong van die activiteiten. Het gebruik van deze persoonsgegevens dient dus geen ‘zuiver’ commercieel doel en verwerking op basis van gerechtvaardigd belang is dus mogelijk (geheel in lijn met WP29 zienswijze).

        [B] Bedrijven, organisaties mogen geen geld verdienen wanneer de verwerking van gegevens een zuiver commercieel doel heeft (de verwerking is hierbij niet een noodzakelijk gevolg van de commerciële activiteiten maar de oorsprong van die activiteiten). In andere woorden de privacy van burgers zou een verhandelbaar recht worden wanneer de verwerking enkel een zuiver commercieel doel dient. Dit laatste (voorkomen dat privacy een verhandelbaar goed wordt) lijkt mij uitgerekend een van de bestaansrechten van de AVG.

        Dit lijkt mij een heel plausibele redenering.

      5. @ Arnoud Engelfriet interessant dilemma: Stel ‘sec’ geldelijk gewin kwalificeert als mogelijk gerechtvaardigd belang (in tegenstelling to standpunt AP), er is sprake van een noodzakelijkheid (het geldelijk gewin is enkel realiseerbaar door het verkopen van de persoonsgegevens van leden) en de belangenafweging valt in het voordeel uit van de verwerkingsverantwoordelijke. Dat betekent dat de persoonsgegevens per lid (dat geen geen bezwaar maakt) een bepaalde waarde vertegenwoordigen. Bijvoorbeeld EUR 5 per lid per jaar. Leden die vervolgens bezwaar maken tegen de verkoop van hun gegevens en waarvan dit bezwaar wordt gehonoreerd, zorgen in die zin voor een verliespost (gederfde inkomsten). Mogen de andere leden (die wel bijdragen omdat zij geen bezwaar maken) dan van de bezwaarmakende leden eisen dat zij deze gederfde inkomsten compenseren door middel van een verhoogde contributie voor leden die bezwaar maken? Immers de verkoop van gegevens dient een gerechtvaardigd belang, bezwaar makende leden ondermijnen dus het gerechtvaardigde belang.

        Het is sowieso raar dat als een bezwaar van individuele leden wordt toegekend een gerechtvaardigd belang overeind kan blijven. Immers als je een bezwaar toekent, erken je dat de belangenafweging niet juist is geweest. Als lid X bezwaar maakt dat zijn gegevens worden verkocht aan een derde partij en dit bezwaar wordt toegekend dan blijft er mijns inziens geen rechtvaardiging meer over om de gegevens van de andere leden wel te verkopen op basis van gerechtvaardigd belang.

        1. Een bezwaar kan alleen worden toegewezen als het is gebaseerd op “vanwege met zijn specifieke situatie verband houdende redenen” (art. 21 lid 1 AVG). Ik vind het niet raar dat een algemene belangenafweging een specifieke situatie over het hoofd ziet. Ik had ooit een advies over cameratoezicht in een bedrijf bij alle branddeuren. Lijkt me heel redelijk om daar te filmen wie ze open doet (brand, misbruik, gevaar) dus belangenafweging in voordeel verantwoordelijke. Echter, één camera hing naast de kassa van de bedrijfskantine want daar was een branddeur. De kassadame werd zo continu gefilmd en zij had daarmee een specifieke situatie die een grond voor bezwaar gaf. Camera de andere kant op hangen dus.

          1. Dank, helder. Mee eens. Weet wat geleerd ! Interessante casus ook.

            Echter in casus KNLTB zie ik weinig specifieke situaties. Als lid A bezwaar maakt want inperking van privbacy maar leden B en C maken geen bezwaar om het simpele feit dat zij de berichtgeving over verkoop van hun gegevens gemist hebben, dan doet dat aan de afbreuk niets af.

            1. Ik kan ook niet direct specifieke redenen bedenken waarmee een lid bezwaar zou kunnen maken. Iets realistischer is dat het lid zegt, dit is direct marketing en daarom maak ik bezwaar (artikel 21 lid 2 en 3 AVG). Daarna moet je stoppen, er is dan geen belangenafweging meer. Maar dat is niet hetzelfde als “je mag het niet doen”, dit is gewoon een opt-out systeem waar leden wel of niet gebruik van kunnen maken.

              Blijft de vraag wat “direct marketing” dan is…

              1. Ik snap die vraag eerlijk gezegd niet. 1. Direct Marketing is wat het is; 2. AVG sluit in overweging 47 gerechtvaardigd belang niet bij voorbaat uit als rechtsgrond voor Direct Marketing. In deze overweging staat ‘kan worden beschouwd’ er staat niet ‘dient (te allen tijde) te worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang’. 3. Vervolgens verwijst de wetgever (EU) naar WP29 artikel “Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG” (844/14/NL WP 217), hierin valt af te leiden dat, kort gezegd, Direct Marketing naar bestaande klantrelaties kan worden gebaseerd op gerechtvaardigd belang, en Direct Marketing naar nieuwe relaties toestemming (opt-in) vereist.

                Komt op mij duidelijk over. Maar misschien zie ik het verkeerd of dingen over het hoofd?

              2. Het punt is dat KNLTB data heeft verkocht, dat is geen Direct Marketing. Dat vervolgens de verkrijgende partij er Direct Marketing mee bedrijft is een andere zaak. Lijkt mij dat bezwaar maken tegen Direct Marketing dient te geschieden bij de partij die daadwerkelijk de Direct Markering bedrijft (sponsoren KNLTB). Als de KNLTB het bezwaar in behandeling neemt, lijkt me dat geen bezwaar tegen Direct Marketing maar bezwaar tegen de verkoop van gegevens. Subtiel verschil.

              3. Toch nog een poging: 1. Direct Marketing is het direct, één op één benaderen van (mogelijke) klanten; Direct Marketing is onder voorwaarden toegestaan 2. De persoonsgegevens nodig voor Direct Marketing, kunnen reeds eerder zijn verkregen (bestaande klanten). Verwerking kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang (zorgvuldige belangenafweging vereist). Art 6.1(f) AVG, overweging 47 AVG, WP29 advies 844/14/NL WP 217 3. De persoonsgegevens van potentiële klanten dienen door opt-in verkregen te worden want kunnen niet worden gebaseerd op gerechtvaardigd belang (WP29 advies 844/14/NL WP 217).

                Helder toch?

  7. Overigens is het opvallend dat als het om Direct Marketing gaat in relatie tot gerechtvaardigd belang de EC nadruk legt op bestaande klantrelaties. Zie hieronder voor voorbeelden. Denk dat we kunnen stellen dat de bedoeling van de wetgever is om Direct Marketing op bestaande relaties op grond van gerechtvaardigd belang toe te staan maar Direct Marketing op nieuwe relaties (vergt aanschaf, althans verkrijging, van persoonsgegevens van derde partij) niet. Lijkt me eigenlijk wel een helder verschil.

    (https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_nl)

    Wat betekent „grond van gerechtvaardigd belang”? Voorbeeld Uw onderneming/organisatie heeft een gerechtvaardigd belang wanneer de verwerking binnen een klantrelatie plaatsvindt, wanneer zij persoonsgegevens verwerkt voor direct-marketingdoeleinden, om fraude te voorkomen of om de netwerk- en informatiebeveiliging van haar IT-systemen te waarborgen.

    (WP19 Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG). pagina 55: … Overeenkomstig artikel 13 van de richtlijn betreffende privacy en elektronische communicatie geldt voor sommige soorten, meer inbreukmakende, direct-marketingactiviteiten (zoals marketing via e-mail en automatische oproepautomaten) toestemming als grondregel. Als uitzondering is het, bij bestaande klantrelaties waarbij een voor de verwerking verantwoordelijke zijn eigen “soortgelijke” producten of diensten adverteert, voldoende om een (onvoorwaardelijke) opt-outmogelijkheid te bieden zonder rechtvaardiging.

    https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_nl.pdf

  8. Het heeft er alle schijn van dat in de geest van AVG datahandel (mede ten behoeve van Direct Marketing) niet toegestaan is maar Direct Marketing op adressen die rechtstreeks van betrokkene zijn verkregen wel is toegestaan. Vanuit die redenering en vanuit dat licht bezien snijdt het standpunt en uitleg AP hout.

  9. Waar het uiteindelijk om gaat is dat de KNLTB op zoek is naar nieuwe inkomstenbronnen. Datahandel kan een zeer lucratieve inkomstenbron zijn. Maar waarom zou je daarbij persoonsgegevens verhandelen? Dat is helemaal niet nodig. De sponsors hoeven helemaal niet te weten wie je bent. Hun belang is dat zij aanbiedingen kunnen doen aan personen die aan een bepaald profiel voldoen. De KNLTB zou de leden van de aangesloten tennisverenigingen kunnen vragen om, in het belang van de club en de tennissport, anoniem (in vakjargon: op basis van een pseudo-identiteit) hun interesses en voorkeuren kenbaar te maken. Deze anonieme profielen kunnen vervolgens aan de sponsors ter beschikking worden gesteld. Die weten dan zeker dat hun aanbiedingen door de ontvangers gewenst en voor hen relevant zijn. Er zijn al oplossingen in de markt beschikbaar die dit kunnen implementeren. Deze oplossingen maken gebruik van het door de stichting Qiy Foundation ontwikkelde en door haar beheerde stelsel (het ‘Qiy Scheme’) dat dit mogelijk maakt en faciliteert.

    1. De KNLTB zou de leden van de aangesloten tennisverenigingen kunnen vragen om, in het belang van de club en de tennissport, anoniem (in vakjargon: op basis van een pseudo-identiteit) hun interesses en voorkeuren kenbaar te maken. Deze anonieme profielen kunnen vervolgens aan de sponsors ter beschikking worden gesteld. Die weten dan zeker dat hun aanbiedingen door de ontvangers gewenst en voor hen relevant zijn.

      Ja daaag en nee bedankt. Ik wil niet aan de tennis-vereniging mijn interesses en voorkeuren kenbaar maken, dat zie ik in en van zichzelf al als een schending van mijn privacy. Ik wil niet in een “profiel” zitten, ook niet als dit “pseudo-anoniem” is. Ik wil niet dat als ik lid wordt van een sportclub mijn gegevens, welke dat dan ook moge zijn, gebruikt worden voor wat voor soort of vorm van commerciele uiting dan ook. Ik wens ook niet dat mijn gegevens die ik daarvoor heb verstrekt gebruikt worden om zelfs maar om iets als dit te vragen. Er is ook daadwerkelijk geen een aanbieding die door mij gewenst is; de enige gewenste hoeveelheid commerciele uitingen of aanbiedingen is nul. Ik begrijp dat, als ik lid wordt van een sportclub, ik ze moet vertellen wie ik ben en hoe ze incasso kunnen doen, maar daar moet het stoppen, punt. Als de vereniging niet genoeg geld heeft dan moeten ze de prijs van het lidmaatschap verhogen. Ik kan me niet voorstellen dat ze met het verkopen van data meer dan een paar dubbeltjes per lid kunnen verdienen, dus dat kan prima ook in de vorm van een kleine prijsverhoging.

      1. Helemaal eens David, zo sta ik er ook in.

        Die zogenaamde interessante aanbiedingen die ze doen, die zogenaamde ‘voordelen’ (10 of 20 % korting of zo, of een gratis hoesje bij een tennisracket) zijn met 10 seconden Googlen ook wel te vinden, en waarschijnlijk zelfs beter.

        Die voordelen/kortingen, dat is gewoon een marketingsmoes om hun gedrag nog enigszins te kunnen verantwoorden. Ik vind het jammer dat de AP niet op dat aspect (voordelen die eigenlijk geen voordelen zijn) is ingegaan, want daar wordt, naar mijn mening, veel te vaak mee geschermd door direct marketeers om een vermeend belang van het slachtoffer te fabriceren.

      2. Volledig mee eens. Maar in hoeverre is dit ook af te dwingen? Als bij nieuwe leden dwingend in de voorwaarden staat dat “wij uw adres mogen delen met geselecteerde partners voor het doen van relevante aanbiedingen”, valt daar dan nog onderuit te komen? Of moet je dan maar geen lid worden? Wat in een aantal gevallen zal betekenen dat je je sport niet kan uitoefenen.

        1. Inderdaad, de KNLTB heeft in deze een monopoliepositie, dus wat mij betreft zouden ze dat soort voorwaarden niet mogen stellen. (Als ze zich ineens als commerciele artij willen opstellen dan moeten ze ook worden opgesplitst zodat je de keus hebt om lid te worden van meerdere tennisbonden, om het even in het absurde te trekken)

        2. Natuurlijk is dat af te dwingen. Dat is immers geen vrij gegeven toestemming. Je wilt gewoon lid worden omdat je wilt (competitie-)tennissen, en nergens anders om. Dat de bond het ook belangrijk vind om aan topsportontwikkeling te doen, of lobbyactiviteiten wil uitvoeren, of een sjiek hoofdkantoor met standing wil hebben, of externe geldbronnen wil aanboren met jou data, is allemaal leuk, maar daar heb jij als lid niets mee te maken. Jij wilt gewoon op een normale manier tennissen, meer niet.

  10. In aanvulling op eerdere opmerkingen,

    (WP19 Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG) pp 22-23, waarin de grond uitvoering van overeenkomst wordt besproken : … Ook direct marketing op initiatief van de detailhandelaar/voor de verwerking verantwoordelijke is niet mogelijk op basis van deze grond. In sommige gevallen kan artikel 7, onder f), een passende rechtsgrond bieden in plaats van artikel 7, onder b), mits er voldoende waarborgen zijn en maatregelen zijn genomen en de belangenafweging plaatsvindt. In andere gevallen, waaronder gevallen waarin sprake is van intensieve profilering, het delen van gegevens, online direct marketing of advertenties op basis van surfgedrag (“behavioural advertisement”) moet toestemming overeenkomstig artikel 7, onder a), worden overwogen, zoals volgt uit de analyse hieronder. …

    Het delen van gegevens in het kader van Direct Marketing vereist volgens WP29 dus toestemming en mag niet op basis van gerechtvaardigd belang plaats vinden.

    Het lijkt mij steeds duidelijker te worden. DM op bestaande relaties kan op basis van gerechtvaardigd belang (mits natuurlijk de belangenafweging dit ook rechtvaardigt), DM op nieuwe relaties en DM waarbij delen van gegevens vereist is (dus bijvoorbeeld het verrijken van van de eigen klantgegevens met gegevens over dezelfde klanten die van derden worden verkregen) kan enkel op basis van toestemming.

    Wellicht kan DDMA “WP19 Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG)” nog eens goed doornemen ?!

  11. Ik vind het een zwaktebod van de autoriteit persoonsgegevens dat ze eerst achter de zwakke non-profit broeders aangaan en niet grote commerciële multinationals aanpakken. Ze hadden de niet commerciële sportbonden gewoon kunnen waarschuwen of initieel een bod een wat lagere boete kunnen opleggen om ze een kas te geven hun leven te beteren.

    Hier hebben de leden dubbel schade aan want die boete komt natuurlijk weer uit hun contributie

        1. Wie zegt dat ze dat niet doen? Dit is een vrij eenvoudige maar wel belangrijke zaak, dus kan ook met weinig middelen afgedaan worden. Het gaat om persoonsgegevens van meer dan 300.000 personen. Waarom zou KNLTB boven de wet mogen staan? Onzin argument.

          Mijnheer de agent, u bekeert mij nu voor rood rijden maar die meneer aan de overkant doet het ook. Het is niet eerlijk…

        2. Er waren ook concrete klachten door leden van KNLTB bij AP binnen gekomen. Lijkt me gezond dat AP klachten serieus neemt, vind u niet?

          N.B. AVG is een belangrijk wet, geen vrijblijvende exercitie. Iedere Nederlander wordt geacht de wet te kennen, geldt ook voor de KNLTB. Er is zelfs een VVD TK-lid dat kamervragen heeft gesteld over het optreden van AP. Moet niet gekker worden, de VVD die (1) grondbeginselen van trias politca niet respecteert, (2) klassejusitie predikt want die arme tennisbond wordt aangepakt.

  12. In aanvulling op eerdere opmerkingen,

    N.B. Aritkel 7 Richtlijn 95/46/EG correspondeert met art 6 AVG

    pp 22-23 van “Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG” (Wp29), waarin de grond uitvoering van overeenkomst wordt besproken : … Ook direct marketing op initiatief van de detailhandelaar/voor de verwerking verantwoordelijke is niet mogelijk op basis van deze grond. In sommige gevallen kan artikel 7, onder f), een passende rechtsgrond bieden in plaats van artikel 7, onder b), mits er voldoende waarborgen zijn en maatregelen zijn genomen en de belangenafweging plaatsvindt. In andere gevallen, waaronder gevallen waarin sprake is van intensieve profilering, het delen van gegevens, online direct marketing of advertenties op basis van surfgedrag (“behavioural advertisement”) moet toestemming overeenkomstig artikel 7, onder a), worden overwogen, zoals volgt uit de analyse hieronder. …

    Het delen van gegevens in het kader van Direct Marketing vereist volgens WP29 dus toestemming en mag niet op basis van gerechtvaardigd belang plaats vinden.

    Het lijkt mij steeds duidelijker te worden. DM op bestaande relaties kan op basis van gerechtvaardigd belang (mits natuurlijk de belangenafweging dit ook rechtvaardigt), DM op nieuwe relaties en DM waarbij delen van gegevens vereist is (dus bijvoorbeeld het verrijken van van de eigen klantgegevens met gegevens over dezelfde klanten die van derden worden verkregen) kan enkel op basis van toestemming.

    Wellicht kan DDMA “WP19 Advies 06/2014 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG)” nog eens goed doornemen ?!

  13. Nou ben ik zeker niet juridisch onderlegd, maar hoe zit dat dan met bedrijven die dataverzameling als belangrijkste doel hebben? Ik doel dan op bedrijven als Focum die betaalgedrag van personen verzameld en daarmee een risicoanalyse maken voor bedrijven. Ik heb dergelijke bedrijven nooit toestemming gegeven voor het verzamelen van mijn gegevens en andere bedrijven ook niet om mijn gegevens met hen te delen. Toch sta ik bij het bedrijf bekend. Op een verzoek tot verwijdering kreeg ik als reactie dat hun dat niet hoeven te doen omdat zij aangeven dat hun bedrijf draait op die gegevens.

    1. Ik denk dat ze vroeg of laat vrijwillig of gedwongen zullen accepteren dat dat niet langer kan. Ze stribbelen tegen, en dat zal nog een paar jaar duren, maar dat zal uitdoven.

      Dat hun bedrijf draait op die gegevens is, in mijn interpretatie, net zo relevant als iemand die beweert dat zijn bedrijf nu eenmaal draait op het uitvoeren van huurmoorden of het transporteren van slaven over de oceaan of het ongewenst versleutelen van de bestanden van hun slachtoffer (sorry, ik bedoel natuurlijk hun klant). Een bedrijf dat op illegale zaken draait is geen bedrijf.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.