De Koninklijke Nederlandse Lawn Tennisbond (KNLTB) heeft vorige week de tweede Nederlandse privacyboete ontvangen. Het HagaZiekenhuis had afgelopen zomer de primeur. Waar het Haga de beveiliging niet op orde had, heeft de Autoriteit Persoonsgegevens (AP) ditmaal het verkopen van persoonsgegevens bestraft, en wel met ruim een half miljoen.
In 2018 was de KNLTB op zoek naar een nieuwe manier om inkomsten te genereren. In juni van dat jaar heeft de KNLTB zodoende commerciële waarde gekoppeld aan haar ledenbestand en is een bestand met adresgegevens van 50.000 leden verkocht aan een sponsor. Daarmee zijn flyers verspreid. Twee weken later is nogmaals een bestand met persoonsgegevens van meer dan 300.000 leden verstrekt aan een andere sponsor. Dit bestand bevatte onder andere namen, telefoonnummers, e-mailadressen, adresgegevens en geboortedata. Hierna werden bijna 40.000 leden telefonisch benaderd met een aanbieding. Op aanwijzing van de AP is de actie vroegtijdig beëindigd en na tientallen klachten van boze leden heeft de toezichthouder een onderzoek ingesteld.
De AP heeft twee overtredingen vastgesteld. De eerste overtreding ziet op de beoordeling van de rechtmatigheid van het verstrekken van de persoonsgegevens. Zo oordeelt de toezichthouder dat het verstrekken van de persoonsgegevens van leden die voor 2007 lid zijn geworden, niet verenigbaar is met het doel waarvoor de gegevens zijn verzameld. De persoonsgegevens zijn namelijk verzameld om de lidmaatschapsovereenkomst uit te voeren, en de verkoop van deze gegevens houdt daar op geen enkele manier verband mee. Het verstrekken van de persoonsgegevens van leden die na 2007 lid zijn geworden, had niet mogen gebeuren op de grondslag gerechtvaardigd belang.
Hiermee sluit de AP aan bij diens eerdere – zeer strenge – uitleg van wat een ‘gerechtvaardigd belang’ kan opleveren. Dat moet altijd terug te voeren zijn tot een wettelijk of elders in het recht benoemd rechtsbelang. Direct marketing belangen kunnen volgens de AP nooit gerechtvaardigde belangen opleveren, ondanks dat de AVG dit wel zo benoemt in Overweging 47 (laatste zin). Het grondrecht vrijheid van ondernemerschap is onvoldoende concreet om een gerechtvaardigd belang op te leveren.
Vervolgens besluit de AP dat de KNLTB geen rechtmatige grondslag had voor de verkoop van persoonsgegevens aan twee sponsoren: er is geen toestemming gevraagd, terwijl dit wel moest. Toestemming via de ledenraad is geen toestemming op grond van de AVG. Toestemming moet namelijk van de betrokkene (dus ieder lid afzonderlijk) zelf komen.
De hoogte van de boete volgt onder meer uit de verlate en onvolledige informatievoorziening. Leden zijn pas geïnformeerd over de verkoop nadat hun gegevens al waren verstrekt. Ook zou hun e-mailadres nooit zonder toestemming aan sponsoren worden verstrekt. Dit is toch gebeurd, ondanks dat dit voor de sponsor niet noodzakelijk was daar het om een telemarketing actie ging. Ook liet de KNLTB te veel keuzevrijheid aan de sponsoren. Zo konden ze zelf kiezen wie ze benaderden en welke derde partijen ze inschakelden om hier uitvoering aan te geven. Daar was eveneens niet over geïnformeerd.
Tot slot volgt de hoogte van de boete uit de aard (commercieel) en omvang van de zaak: gegevens van honderdduizenden leden zijn verstrekt zonder toestemming.
Met dit besluit stelt de AP paal en perk aan de handel in persoonsgegevens zonder toestemming. Dat zal niet alleen binnen de sportsector, maar ook daarbuiten vergaande gevolgen hebben. Dat een dergelijk besluit eraan zat te komen, komt alleen niet helemaal uit de lucht vallen. Meteen toen de AVG van toepassing werd, heeft de AP in diens toezichtkader aangegeven de handel in persoonsgegevens als een risicogebied te zien. In maart 2019 zette de toezichthouder vervolgens een streep door de verkoop van persoonsgegevens door de Kamer van Koophandel. Daarvoor was het mogelijk om namen en adressen van zzp’ers en bestuurders bij de KvK in te kopen, om hen vervolgens een commerciële aanbieding te doen.
De Bond heeft bezwaar gemaakt en zal daarna indien nodig ook beroep instellen bij de rechter. Zij stelt namelijk altijd transparant en in lijn met de privacywet te hebben gehandeld: (1) de aanbiedingen van sponsoren zijn in het belang van de leden omdat ze hiermee korting krijgen op tennisproducten, (2) de leden zijn uitgebreid geïnformeerd over de acties, en (3) zij hebben altijd de mogelijkheid gehad om verzet aan te tekenen. Bovendien zou deze strategie ervoor zorgen dat de sport betaalbaar en toegankelijk blijft voor iedereen. Deze boete zal uiteindelijk bij de leden terechtkomen door een noodzakelijke verhoging van de contributie. De Bond stelt een testcase te zijn geworden voor een nieuwe zienswijze van de AP, doordat de toezichthouder heeft nagelaten eerst uitleg te geven over open normen en meteen handhavend heeft opgetreden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.