De KNLTB (Nederlandse tennisbond) gaat buiten de lijnen volgens de Autoriteit Persoonsgegevens (hierna “AP”) en haalt uit met een fikse boete van € 525.000,- euro. Ik heb het boetebesluit gelezen en in dit artikel ga ik in op de naar mijn mening drie belangrijkste lessen.
Persoonsgegevens van leden doorverkocht
De belangrijkste feiten zijn als volgt. De Tennisbond heeft de afgelopen jaren een terugloop in ledenaantallen gezien en daarmee de inkomsten. Om extra inkomsten te generen heeft KNLTB besloten om twee externe partijen te voorzien van haar ledenbestand. Dit bestand bevatte onder andere namen, telefoonnummers, e-mailadressen, adresgegevens en geboortedata. Deze twee partijen gebruiken deze gegevens voor direct marketing. Dit zou ook positief zijn voor alle leden aangezien deze ‘tennisgerelateerde’ en andere aanbiedingen zouden ontvangen via de telefoon of per post. Zo blijft de sport betaalbaar. De Tennisbond ontving hier een vergoeding voor.
Dit is in het verkeerde keelgat geschoten van een aantal leden die een klacht hebben ingediend. Daarnaast had een KNLTB-lid de media opgezocht om publiekelijk de vraag te stellen of dit nieuwe beleid wel in lijn was met de AVG. In oktober 2018 is de AP in gesprek gegaan met de KNLTB. Alle klachten, de publiciteit en het gesprek met KNLTB was voor de AP voldoende aanleiding om een onderzoek te starten. Hier vloeide de forse boete uit die vorige week openbaar is gemaakt. De volgende drie lessen zijn belangrijk.
Les 1: vertrouw niet op verouderde informatie
De KNLTB was van mening dat het opleggen van een boete in strijd zou zijn met het vertrouwensbeginsel. Hiertoe voert de KNLTB aan dat zij gerechtvaardigd heeft mogen vertrouwen op schriftelijke uitingen van de rechtsvoorganger van de AP, het CBP. Zo werd in een informatieblad het volgende vermeld “Als het gaat om activiteiten die voor de vereniging gebruikelijk zijn of zijn goedgekeurd door de ledenvergadering, hoeft geen expliciete toestemming gevraagd te worden aan de leden. Verder kan een vereniging gegevens verstrekken aan bedrijven ten behoeve van direct marketing. De vereniging mag dan alleen als de leden gedurende een redelijke termijn in de gelegenheid zijn gesteld om hiertegen verzet aan te tekenen.”
Deze tekst is nooit als achterhaald bestempelt en er is in de tussentijd geen wijziging geweest in de rechtsregel waarop het informatieblad zag. Weliswaar is de AVG van toepassing geworden, maar zijn de mogelijke grondslagen en de voorwaarden voor het verstrekken van gegevens uit een ledenbestand ongewijzigd gebleven.
Hier maakt de AP korte metten mee. De tekst is immers in 2014 van de site verwijdert en daarnaast beroept de KNLTB zich op gerechtvaardigd belang waar hier in deze casus niet aan is voldaan. Hieruit concludeer ik dat je niet mag varen op oude informatie ook al is deze nooit weersproken of als achterhaald bestempelt. Erg belangrijk om goed op de hoogte te blijven of de juiste expertise in te schakelen.
Les 2: toestemming van de ledenvergadering is niet voldoende
In 2007 heeft de ledenraadsvergadering van de KNLTB toestemming gegeven voor het verstrekken van alle NAW-gegevens van alle leden aan derde partijen voor briefpostacties. In 2017 is wederom toestemming gegeven door de vergadering voor telemarketing. Hier is ook expliciet aangegeven dat e-mailmarketing hier geen onderdeel van was in verband met mogelijke spam. Beetje vreemd dat de KNLTB toch e-mailadressen heeft verstrekt, maar dat even terzijde. Het belangrijkste is dat de vergadering die de leden vertegenwoordigd toestemming heeft verleend conform de statuten van de KNLTB. Alle leden werden hier over ingelicht en hadden een optie om in bezwaar te gaan.
Is toestemming van de vergadering voldoende om de AVG-grondslag toestemming aan te nemen? Nee(!) zegt de AP. Toestemming moet door de betrokkene, lees individueel lid, zelf worden gegeven door middel van een duidelijke actieve handeling. De handeling moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven. Probeer dit maar eens te bewerkstelligen in de praktijk. De instemming van de vergadering voldoet hier duidelijk niet aan. Nu toestemming dus geen geldige grondslag is, is het gerechtvaardigd belang de laatste hoop voor de KNLTB. Ik denk dat genoeg (sport)verenigingen hiermee gaan worstelen de komende tijd.
Les 3: winst behalen geeft geen gerechtvaardigd belang
De belangrijkste vraag uit dit boetebesluit is: mag je zonder opt-in (toestemming) persoonsgegevens verstrekken aan derden voor direct marketing? Het antwoord is nee tot mijn verbazing. Eerlijk is eerlijk ik dacht er eerst ook heel makkelijk over en menig privacy specialist met mij. Voor direct marketing gebruik je de grondslag gerechtvaardigd belang op grond van artikel 6 lid 1 sub f AVG zolang je de juiste privacyafweging hebt gemaakt. Denk aan cameratoezicht om je eigendom te beschermen. Daar is gerechtvaardigd belang aan de orde mits de juiste belangenafweging is gemaakt. Over dit voorbeeld heb ik al een artikel geschreven dus check vooral de link op het einde voor meer informatie, maar snel even door.
Een paar maanden geleden nam de AP al een streng standpunt in ten aanzien van gerechtvaardigd belang. In dit besluit zet de AP nog een tandje bij. Puur commercieel belang kan nooit gerechtvaardigd zijn om inbreuk te maken op de privacy van de betrokkene. Hiermee is onze Nederlandse privacywaakhond een stuk strenger dan de rest van Europa. Overweging 47 (laatste zin) uit de AVG geeft immers als voorbeeld dat direct marketing een vorm kan zijn van een gerechtvaardigd belang. Toch is er onze toezichthouder die aangeeft dat winst maken het niet rechtvaardig om iemand zijn recht op privacy te schenden. Het grondrecht vrijheid van ondernemerschap is onvoldoende concreet om een gerechtvaardigd belang op te leveren.
De volgende zin uit het boetebesluit vind ik fascinerend en ik citeer:
“Zuiver commerciële belangen en het belang van winstmaximalisatie ontberen voldoende specificiteit en missen een dringend ‘wettelijk’ karakter zodat zij niet kunnen kwalificeren als gerechtvaardigde belangen.”
Nou is het argument ik verkoop 300.000+ gegevens van leden puur om geld te verdienen nou ook niet zo handig, maar wanneer kan het dan wel? De AP stelt dat de belangen zelf steeds echt, concreet en rechtstreeks moeten zijn. Pardon?! Hoe kun je met deze eisen een gerechtvaardigd belang motiveren. Ik moet winst maken anders ga ik volgend jaar failliet. Of voor mijn prognose moet ik voor het einde van het jaar een x bedrag hebben dus gebruik ik nu direct marketing. Is dat specifiek genoeg? Je mag het mij vertellen.
De KNLTB heeft al bezwaar gemaakt en gaat eventueel in beroep bij de rechter. De uitleg en toepassing van de grondslag gerechtvaardigd belang is zeer belangrijk voor bedrijven en ik hoop niet, en ik verwacht het ook niet, dat nu het laatste woord er over geschreven is.
Matchpoint
Ik denk dat dit besluit een zeer belangrijke is voor de praktijk en over een paar jaar nog steeds geciteerd zal worden. Legt dit nu een bom onder direct marketing en moeten we overal toestemming voor gaan vragen? De tijd zal het leren.
