EU-Hof: data doorverkopen is onder privacywet soms toegestaan

Photo by Pankaj Patel on Unsplash

Het verkopen van gegevens van klanten aan commerciële bedrijven mag onder de AVG, concludeert het Europees Hof van Justitie. Dat meldde Tweakers vorige week. Hiermee is het standpunt van onze AP eindelijk naar de prullenbak verwezen: ook commerciële belangen kunnen en mogen de basis zijn voor een “gerechtvaardigd belang” onder de AVG. Maar we zijn nog lang niet bij “verkopen van data mag als je een commercieel belang verzint”.

De zaak begon in 2018, toen de Koninklijke Nederlandse Lawn Tennis Bond (Knltb) een nieuwe stap deed:

Tussen de regels door lees ik dat de KNLTB op zoek is naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet.
De Knltb beriep zich daarbij op het gerechtvaardigd belang, een van de zes grondslagen uit de AVG. De AP was het daar niet mee eens en deelde een half miljoen boete uit:
De AP komt nu met het strenge standpunt dat commerciële belangen nooit gerechtvaardigd kunnen zijn. Die zijn namelijk niet als zodanig in de wet erkend, in tegenstelling tot zeg eigendomsrecht of de vrijheid van meningsuiting. Er is natuurlijk het grondrecht van de ondernemingsvrijheid, maar dat vindt men te onbepaald en generiek om als grondslag te kunnen dienen voor de handel in persoonsgegevens. Daarmee is er dus eigenlijk nóóit een rechtvaardiging te verzinnen om in persoonsgegevens te handelen, als ik even tussen de regels samenvat.
De bond satpte daarop naar de rechter, en die besloot vragen aan het Hof van Justitie te stellen. Iets dat moet, als er een nieuwe en creatieve lezing van een term uit een Europese wet wordt gehanteerd. En nu eindelijk hebben we het verlossende woord:
In die omstandigheden kan een commercieel belang van de verwerkingsverantwoordelijke, zoals het in punt 47 van het onderhavige arrest genoemde belang, een gerechtvaardigd belang in de zin van artikel 6, lid 1, eerste alinea, onder f), AVG vormen, voor zover het niet in strijd is met de wet. Het staat evenwel aan de verwijzende rechter om van geval tot geval te beoordelen of een dergelijk belang bestaat, rekening houdend met het toepasselijke rechtskader en alle omstandigheden van de zaak.
Hieruit concludeerden velen dat je dus gewoon mag handelen in persoonsgegevens als je het maar even snel “gerechtvaardigd belang moehaha” noemt. Dat is dus onjuist.

De wet stelt namelijk vier eisen aan gerechtvaardigd belang:

  1. Het belang is op zichzelf legitiem,
  2. Het gebruik van de gegevens is proportioneel en redelijk voor dat belang,
  3. Er is goed rekening gehouden met de privacy, zoals door privacyvriendelijke maatregelen inbouwen,
  4. Er is een opt-out ingebouwd, die bij marketing/reclame altijd ingeroepen mag worden en bij andere dingen als je persoonlijke redenen hebt.
De AP zei dus dat bij stap 1 je nóóit aan mocht komen met commerciële belangen. Dat keurt het Hof nu af, dat kan wel. De grens ligt grofweg bij of het belang iets legaals is, dus tenzij wettelijk verboden kan het een belang zijn.

Blijven over 2 en 3: is dit proportioneel en heb je maatregelen genomen. De tennisbond kan bijvoorbeeld tegen juridisch uitgever Kluwer zeggen, ik heb 230 leden die advocaat zijn, welke reclame zullen wij ze sturen? Of contractueel afspreken dat er eenmalig een brief naar een lijst adressen mag en dat die daarna vernietigd wordt, op straffe van boetes.

Waar ineens vandaan komt dat “datahandel” legaal is, weet ik niet. Die term associeer ik met het doorverkopen van Excellijsten als zodanig, waarna de ontvanger daarmee mag doen wat die goeddunkt. Iets dat sowieso niet mag van de AVG.

Wat mij betreft verandert er dus weinig aan de praktijk. We weten nu dat je in principe mag zeggen dat je een commercieel belang gebruikt voor gegevensverwerking. Maar je moet nog steeds je belangenafweging rond krijgen, maatregelen inbouwen en met een opt-out rekening houden. Dat was altijd al zo.

En ja, ik snap het dat het Hof de gelegenheid niet te baat nam om persoonsgebonden marketing illegaal te verklaren. Maar de wet biedt deze ruimte nadrukkelijk, en dus moet de wetgever nieuwe regels maken als we als maatschappij dit willen afschaffen.

Arnoud

 

 

 

 

 

26 reacties

  1. Iets wat mij in deze casus blijft verbazen, en hopenlijk slimmere mensen hier mij kunnen uitleggen, is dat de discussie over doelbinding lijkt te ontbreken. Ik kan me voorstellen dat leden (via hun club?) bij de KNLTB ingeschreven raken (is dit een bewuste handeling uberhaupt?) om competitie te kunnen spelen. Dus gegevens worden vertrekt om een bepaalde service van de KNLTB af te nemen. In mijn beleving mag je dan als KNLTB niet zomaar zeggen “we gaan diezelfde gegevens inzetten voor geldelijk gewin” omdat dat niet in het verlengde ligt van de intentie van de gegevensverstrekking (doelbinding). Dus waarom popt die discussie niet op?

    1. Is dat niet, omdat dat punt uberhaupt niet bereikt werd in de eerdere AP uitspraak.

      Als je op punt 1 al strandt, hoef je 2-4 niet meer te behandelen.

      Nu duidelijk is dat het niet op punt 1 strand, zal verder beargumenteerd moeten worden waarom het wel/niet kan.

      Zi kan dit nog een Pyrrus overwinning worden voor de Knltb. Veel tijd en moeite, maar het kan alsnog dat men nu tot de conclusie dat het niet mag op een ander punt wordt getrokken.

    2. Volgens mij zijn tennisclubs lid van de bond en worden leden van de clubs door hun lidmaatschap van de club tevens en automatisch lid van de bond. En had de bond de statuten niet aangepast zodat de doeleinden waarvoor gegevens verzameld werden verruimd waren?

  2. Voor zover ik weet is inschrijving bij de KNLTB een vereiste om aan de competitie en bepaalde toernooien mee te kunnen doen. Je kunt puur recreatief tennissen zonder lid te zijn.

    Het zou me niet verbazen dat in het lidmaatschapspakket ook zaken als een bondsblaadje en verzekering zaten… daarvoor graag informatie van iemand die nu lid is.

    En nee, het lijkt me niet dat de KNLTB zomaar (of tegen betaling) haar ledenlijst ter beschikking mag stellen aan iedereen die sportartikelen wil verkopen. Foldertjes met het bondsblaadje bundelen mocht altijd al, ik zie het incidenteel versturen van een folder niet als probleem.

    1. Ik zie bij veel tennisverenigingen dat lidmaatschap van de lokale tennisverenigingen in mijn woonplaats ook meteen lidmaatschap van de KNLTB is. Sterker nog, ik kan er geen vinden waarbij dit niet automatisch het geval is als je je aanmeld als lid via de website. Ik zie er maar eentje die vermelding heeft naar “ondersteunden lid” waarbij dit niet het geval is, maar er wordt niet uitgelegd wat dit inhoud.

      Niet leden kunnen vaak wel tennissen maar dan wordt het al gauw dure hobby, ik zie prijzen van 8-15 euro per uur, als je dan twee keer per week wil tennissen ben je al gauw 30 euro per week kwijt, stukken duurder dan een lidmaatschap. En leden hebben vaak voorrang in banen reserveren. Ik zie ook verenigingen waar structureel tennissen als niet lid niet mogelijk is, tenzij je steeds proeflesjes boekt ofzo.

      Ergens wel raar AVG technisch die dubbel aanmelding met 1 aanmeldformulier. Het zal verenigingen zeker veel rompslomp schelen, wat natuurlijk aantrekkelijk is als alles op vrijwilligers draait, maar ik vraag me af of dit overal AVG technisch goed geregeld is.

  3. Punt 48 in de uitspraak: ” In dit verband heeft het Hof NIET UITGESLOTEN uitgesloten dat een commercieel belang van de verwerkingsverantwoordelijke…”

    Zoals je terecht aanhaalt – onder zeer strikte omstandigheden zou gerechtvaardigd belang KUNNEN gelden.

    Er is ook nog steeds geen uitspraak in de zaak tegen KNLTB. punt 55: ” In het kader van die belangenafweging staat het aan de verwijzende rechter om na te gaan….” ” In dat opzicht moet, zoals blijkt uit overweging 47 AVG, bijzonder belang worden gehecht aan de vraag of die leden op het moment waarop hun persoonsgegevens werden verzameld omdat zij lid wilden worden van een tennisvereniging, redelijkerwijs konden verwachten dat die gegevens tegen betaling aan derden zouden worden verstrekt, in casu aan sponsoren van de KNLTB, met het oog op reclame en marketing.”

    Oftewel: de NL rechter moet/gaat nog steeds een belangenafweging maken OF het gerechtvaardigd belang stand houdt. Aangezien je AUTOMATISCH lid wordt van KNLTB als je bij een tennisvereniging lid wordt, kan ik me dat niet voorstellen, grote kans dat AP gewoon gelijk krijgt in deze casus. Benieuwd naar het vervolg.

    1. De AP gaat geen gelijk krijgen, omdat ze de belangenafweging inadequaat hebben geformuleerd en daarmee geen voldragen besluit hebben genomen. Hun besluit stopt bij “hela, je hebt een commercieel belang gesteld, dat is onrechtmatig”. De AP had punt-voor-punt moeten analyseren hoe de privacybeschermende maatregelen zich verhouden tot dat belang, et cetera.

      1. Ik begrijp hieruit dat het besluit van de AP naar de prullenbak is verwezen en daarmee de boete eerst van tafel is. Maar dat betekent nog niet dat de KNLTB deze handel mocht doen. Kan de AP niet alsnog, deze keer een beter geformuleerd besluit nemen en een nieuwe boete opleggen?

        1. Zeker, dat zal het oordeel van de rechter zijn. Ik ben dan wel benieuwd: het gaat immers niet over dikke datahandel maar over het verstrekken van NAW lijsten aan selecte adverteerders die daar een keer of wat geadresseerde reclame heen sturen. Ik vind dat een héél andere privacy-afweging dan zeg het verkopen van je hele bestand aan Facebook.

          1. Ik zou zeggen dat het niet uitmaakt of het om

            “dikke datahandel”
            gaat of over het verstrekken van
            “NAW lijsten aan selecte adverteerders.”
            Het gaat m.i. erom dat privacy beschermd wordt voor diegene, die dat uitdrukkelijk wensen. Per slot van rekening wie “het kleine niet eert is het grote niet weerd”.

            En dit motiveert m.i. ook dat wettelijk geregeld moet zijn dat een ‘opt-out’ knop op de allereerste pagina moet staan, helder en prominent en niet op webpagina n+1, in zeer licht grijs, punt 2 groot en te lezen na de 7e scrol-actie. Evenmin dat men de ‘opt-out’ functie pas kan effectueren na meer dan 100 opties te hebben gedeactiveerd! Eén knop om alles op privacy te hebben staan is de minimale eis. Nog steeds (schande, wetgever) is de website-gebruiker het slachtvee voor de (symbolische weergegeven) ‘foodindustry’ (lees grootbedrijf/multinational).

          2. Maar zoals Jaap eerder al aangeeft: die data zijn met een ander doel verzameld. Moeten ze dan niet voor bestaande administratie de data opnieuw verzamelen?

            Immers was dit doel niet aangegeven bij inzameling van de data en deze leden hebben dus niet kunnen overwegen om uit privacyoverwegingen geen lid te worden.

            Ik heb verschillende keren AVG cursussen gevolgd en elke keer werd daar op gehamerd: je kan de grondslag niet wijzigen waarop je data verwerkt. Ik ga er even vanuit dat de oorspronkelijke grondslag ‘overeenkomst uitvoeren’ is geweest; wat vziw gebruikelijk is bij diensten afnemen en lidmaatschappen?

            1. Bij het aangaan van een lidmaatschap kun je persoonsgegevens voor verschillende verwerkingen o.g. verschillende grondslagen verkrijgen, me dunkt. Er kan (tot 100%) overlap zitten in de gegevens en toch een heel ander doel dienen. Je hebt de naw-gegevens nodig voor het uitvoeren voor de overeenkomst, maar je kunt gegeven x ook willen gebruiken voor doel y o.g. grondslag z. Zolang je dat specifiek vermeldt, er transparant over bent, is dat toch gebruikelijk?

              1. Dat is waar ik op doel.

                Dat inzetten om inkomsten te genereren is nieuw en is bij het verzamelen voor bestaande leden niet waarschijnlijk niet gemeld.

                Transparantie achteraf als ze de gegevens hebben is onzin.

                  1. Dat is mijn probleem, die statutenwijziging is van 11 september 2023. Iedereen die voor die tijd lid is geworden van een tennisvereniging moet dan met lede ogen toezien hoe de hele privacy verklaring waar ze mee akkoord gingen toen ze lid werden waardeloos is omdat deze achteraf wordt gewijzigd.

                    Nu weet ik wel dat dit goedgekeurd moet zijn door de leden. Maar de meeste mensen maken zich, gezien de polulairiteit van Facebook, helemaal niet druk om privacy en gebruik van hun data voor reclame. De hele AVG is nutteloos als organisaties achteraf de regels kunnen aanpassen, met of zonder hulp van de ‘domme’ massa, maar zonder de instemming van de persoon die wel om zijn privacy geeft.

                    Een tennisbond moet tennis gerelateerde dingen met data doen en meer niet.

  4. Als een instantie zijn ledenlijst verkoopt onder deze regels, is het dan nog steeds verantwoordelijk voor de verwerking? Als ik bijvoorbeeld de opt-out gebruik, is de instantie dan verantwoordelijk dat mijn gegevens bij de koper gewist worden?

    Ik had eens gelezen dat een curator een klanten / contactgegevens lijst mag doorverkopen om geld op te halen, ongeacht wat eerder afgesproken is. Als dat zo is en dit gebeurd bij de koper. Is de instantie dan nog steeds verantwoordelijk voor de tweede koper, die zich niet gebonden voelt aan de afspraken, want die waren er niet tussen de curator en hen?

    Een van de beste manieren om aan regel #3 te voldoen, is als een bedrijf een reclamebrief naar de leden van een vereniging wilt sturen, om niet de ledenlijst te overleggen aan het externe bedrijf, maar om de vereniging zelf de adressticker te laten plakken en deze op de bus te doen. Op die manier komt de reclame bij de leden, maar heeft het externe bedrijf niet de ledenlijst.

    Kan je zo’n constructie als lid eisen onder dataminimalisatie?

    1. @Ronald: interessante opmerking dat de 2e ‘koper’ (gebruiker) zich niet gebonden voelt aan de regels tussen het ‘privacy opgevende lid/klant’ en ‘de vereniging/het bedrijf dat die informatie binnen vist.

      In de wet bestaat het begrip van de “kwalitatieve verplichting” binnen een verkoopovereenkomst bij onroerend goed (6:252 BW; een notarieel vastgelegde verplichting om iets te doen of te dulden; een automatisme) alsook het “kettingsbeding” van een bepaling in de koopakte (waarbij door een rechtshandeling een bepaling binnen die koopakte doorgegeven moet worden aan de nieuwe koper).

      Ik neig ertoe de persoonlijke gegevens (privacy gegevens) integraal als een individueel bezit te beschouwen. Derhalve, dat als je als persoon een deel van jouw persoonlijke gegevens ‘verkoopt‘ aan een vereniging of bedrijf ten behoeve van de afname van een recht/dienst; dat dan minimaal een kettingsbeding en liever nog een kwalitatieve verplichting als dwingend recht zou moeten worden opgenomen.

      Persoonlijk ben ik het beu dat de rechten van de burger ondergeschikt wordt aan de belangen van het bedrijfsleven en soms die van de staat. Wellicht ben ik hierin een naïeveling, een Don Quichot, hopelijk eerder een wegvoorbereider.

      1. Ik had mij de inhoud van een oude blog post niet helemaal goed herinnert: https://blog.iusmentis.com/2018/10/02/mag-de-curator-onder-de-avg-een-klantenbestand-verkopen/

        De curator kan er ook voor kiezen om het bestand gewoon aan de hoogste bieder te verkopen. […] Toestemming van betrokkenen is natuurlijk een mogelijkheid, maar dat is nogal bewerkelijk voor een curator lijkt me. In de praktijk zal hij zich dan ook altijd beroepen op een eigen gerechtvaardigd belang, namelijk geld binnenhalen voor de schuldeisers. […] Voor deze verkoop is de curator verwerkingsverantwoordelijke.

        De blogpost gaat vervolgens verder over hoe het zou moeten zijn en dat hij zijn eigen afweging kan maken over de verkoop. Maar ik verwacht dat de praktijk niet altijd zo perfect is als de theorie.

        Daar komt bij dat onder het beginsel van doelbinding gegevens niet voor willekeurige andere doelen mogen worden ingezet dan waarvoor ze zijn verzameld. […] En zelfs als je dat allemaal rond krijgt, dan zul je nog steeds mensen vóóraf hierover moeten informeren en hen wijzen op hun rechten, met name hun recht om de gegevens gewist te krijgen. En als het gaat om beoogde direct marketing dan moet daar ook vooraf bezwaar tegen gemaakt kunnen worden. Alles bij elkaar zie ik niet echt hoe een curator AVG-compliant klantenbestanden kan verkopen, behalve in het specifieke geval van een derde partij die daarmee garantieverplichtingen of dergelijke dienstverlening overneemt.

        Als alles goed gaat, zou de partij die de gegevens koopt van de curator zich dus moeten houden aan het originele doelbinding of ze moeten iedereen informeren, verwijdering uit het te verkopen bestand aanbieden en aanbieden om alsnog verkocht te worden maar met een opt-out om geen reclame te krijgen. Uit het EU-hof vonnis haal ik dat eigenbelang potentieel genoeg kan zijn, waardoor sommige van deze voorwaarden dus niet van toepassing zijn.

        Maar stel dit gaat niet goed. Bij wie kan je dan aankloppen? Je eigen tennisvereniging heeft je gegevens aan de landelijke bond doorgegeven (KNTLB met als doel: competitie, verzekering, nieuws via ledenblad), deze heeft het verkocht aan partij X (doel: specifieke reclame maken, 3x per kwartaal), partij X gaat failliet en de curator verkoopt jouw gegevens vervolgens aan partij Y met als belofte dat het doel hetzelfde blijft.

        Als partij Y zich vervolgens niet aan de afspraken houdt, bij wie kan je dan aankloppen? Bij je eigen vereniging omdat die na de gehele keten nog steeds verantwoordelijk zijn? Of is door het faillissement de keten gebroken en kan je allen bij partij Y zelf of bij de curator aankloppen?

        Om al dit soort gedoe te voorkomen zou je eigenlijk dit soort “datahandel” niet willen.

  5. Het komt op mij over alsof er ineens besloten is iets met die data te gaan doen. Okay, dus dan passen ze het privacyreglement aan. Maar hoe zit het dan met data die onder het oude reglement is verkregen? Mensen die al jaren lid zijn?

  6. Arnoud, je stelt in je blogposting het volgende:

    Maar we zijn nog lang niet bij “verkopen van data mag als je een commercieel belang verzint”.

    Wil je hiermee zeggen dat dit een punt is waar je uiteindelijk uit zou willen komen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.