Overzicht Actueel

AVG-boete voor de KNLTB vanwege verstrekking gegevens van leden aan sponsors

De Autoriteit Persoonsgegevens (AP) maakt vandaag bekend dat het de Nederlandse Tennisbond KNLTB een boete oplegt van 525.000 euro. Het besluit van de toezichthouder is grotendeels gebaseerd op een interpretatie van de grondslag gerechtvaardigd belang. In dit artikel gaat DDMA in op deze interpretatie.

De AP stelt na onderzoek dat de KNLTB, in strijd met de AVG, persoonsgegevens van zijn leden heeft verstrekt aan twee van zijn sponsors. De sponsors hebben deze gegevens gebruikt voor een eigen promotionele actie. De AP maakt in haar boetebesluit een onderscheid tussen leden die voor en na 2007 lid zijn geworden. In 2007 nam de ledenraad van de KNLTB het besluit de NAW-gegevens van zijn leden te gaan verstrekken tegen vergoeding. Vanaf dat moment ontstond er dus juridisch gezien een nieuwe situatie.

Voor de situatie na 2007 stelt de AP dat het doel ‘het genereren van inkomsten door het verstrekken van ledengegevens ten behoeve van hun direct marketingactiviteiten’ niet gerechtvaardigd is. Over het verstrekken van gegevens van leden die lid zijn geworden vóór 2007 stelt de AP dat het niet verenigbaar is met de verzameldoelen die toen waren geformuleerd. In dit artikel vat onze legal counsel Sara Mosch het besluit van de toezichthouder samen

Zo interpreteert de AP het gerechtvaardigd belang
De boete die de AP de KNLTB oplegt is in lijn met de eerder gepubliceerde ‘Normuitleg Gerechtvaardigd Belang’ van de toezichthouder. In het besluit stelt de AP dat een belang alleen gerechtvaardigd is als die belangen in wetgeving of elders in het recht zijn benoemd als rechtsbelang dat in beginsel afgedwongen kan worden. Dit betekent dat er een duidelijk omschreven (geschreven of ongeschreven) rechtsregel of -beginsel moet bestaan. Het belang om persoonsgegevens te gelde te kunnen maken kwalificeert volgens de AP op zichzelf niet als een gerechtvaardigd belang. “In zekere zin heeft iedereen overal altijd wel belang bij het hebben van meer geld.”

Een logische gedachte is dat organisaties een afweging moeten maken tussen het bedrijfsbelang en het privacybelang van de betrokkenen, zoals de KNLTB ook gedaan heeft. Maar door de hierboven omschreven interpretatie van de AP kom je aan deze belangenafweging helemaal niet toe. Dit is opmerkelijk, omdat deze interpretatie van het gerechtvaardigd belang af lijkt te wijken van de AVG en jurisprudentie van het Europese Hof van Justitie, waarin commerciële belangen wel worden aangemerkt als gerechtvaardigd. Bovendien wijkt de AP hiermee af van de zienswijze van andere Europese Toezichthouders, terwijl de Europese Commissie zich eerder duidelijk heeft uitgesproken voor harmonisatie van AVG-regels in de verschillende lidstaten, onder meer omdat anders een ongelijk speelveld voor organisaties ontstaat.

Gevolgen van deze interpretatie van het gerechtvaardigd belang voor organisaties en consumenten
Het gevolg van de interpretatie van het gerechtvaardigd belang door de AP is dat voor veel commerciële verwerkingen het vragen van toestemming het enige alternatief wordt. DDMA vreest dat dit een remmend effect zal hebben op de gebruiksvriendelijkheid en ontwikkeling van producten en diensten in veel sectoren. Ook wordt het lastiger om nieuwe klanten aan te trekken, als (startende) ondernemers telkens eerst toestemming moeten vragen voordat zij potentiële klanten een aanbieding kunnen doen. Dit geldt nog sterker voor ondernemers in het MKB of non-profitorganisaties.

DDMA is er daarnaast van overtuigd dat ook consumenten hier nadelige gevolgen van ondervinden. Zijn privacybelangen beter gewaarborgd als consumenten telkens om toestemming wordt gevraagd voor het gebruik van persoonsgegevens (in plaats van hen goed te informeren en een opt-out aan te bieden)? We hebben met de cookiebepaling gezien dat het vragen van toestemming helemaal niet zorgt voor meer bescherming van de consument. Sterker nog, het leidt vooral tot een slechte gebruikerservaring en toestemmingsmoeheid (consent fatigue). Door de grote hoeveelheid toestemmingsvragen zie je nu namelijk dat mensen alles achteloos wegklikken, zonder de voorwaarden te lezen.

Hier maakt DDMA zich hard voor
DDMA wil dat de AP organisaties ruimte geeft om een zorgvuldige afweging te maken tussen het commerciële belang van de eigen onderneming en de privacybelangen van de personen van wie de gegevens worden verwerkt. Deze verantwoordelijkheid krijgen organisaties ook van de AVG. De toezichthouder zou daarom de uitkomst van deze belangenafweging tussen bedrijfsbelang en privacybelang moeten toetsen, in plaats van ervoor te zorgen dat bedrijven die afweging überhaupt niet meer maken, en de verantwoordelijkheid bij de consument neerleggen. DDMA maakt zich er hard voor dat deze afwegingsruimte blijft bestaan en verwacht dat de Europese Toezichthouder de zienswijze van de AP niet ondersteunt en organisaties deze ruimte wel blijft geven.

DDMA is hierbij uiteraard van mening dat niet zomaar alles mogelijk moet zijn. Verantwoord gebruik van data is de absolute norm. DDMA maakt zich er sterk voor dat alle bedrijven en organisaties die bij ons zijn aangesloten bij iedere verwerking van data stilstaan bij de consequenties van het datagebruik voor mens en maatschappij. Daarom starten we onder meer volgende week met workshops waarin het organisaties handvatten geeft om het gesprek over ethiek en data op verschillende niveaus in de organisaties te voeren.

DDMA houdt de ontwikkelingen rond het gerechtvaardigd belang in de gaten. Meer weten over de stappen die DDMA neemt op dit vlak richting de toezichthouder en de politiek? Neem contact op met manager public affairs Mariet Feenstra via marietfeenstra@ddma.nl.

Voor juridische vragen over dit onderwerp kun je terecht bij legal@ddma.nl.