In de praktijk bij Van Diepen Van der Kroef Advocaten

Axel Hagedorn – Niet alleen Facebook, zelfs de tennisbond verkoopt onze persoonsgegevens

Van Facebook tot aan de tennisbond. Steeds vaker worden onze persoonsgegevens ongevraagd doorverkocht. Duitsland-expert Axel Hagedorn ziet dat Duitsers veel minder makkelijk hiermee omgaan. Het is tijd om in verzet te komen, want dit is slechts het topje van de ijsberg.

Facebook ligt zwaar onder vuur. Al weken is er veel ophef over het door het Amerikaanse bedrijf ongecontroleerd verstrekken  van persoonsgegevens aan derden zoals Cambridge Analytica. Dit bedrijf gebruikte de data voor gerichte marketing en politieke campagnes.

Deze week kwamen de Kamers van Koophandel (KvK) in Nederland in het nieuws omdat zij de gegevens van ZZP’ers doorverkopen en daarmee ook gerichte campagnes op Facebook mogelijk werden gemaakt. Dit alles gebeurt zonder toestemming van de personen van wie persoonlijke data worden gebruikt.

De Autoriteit Persoonsgegevens betwijfelt of de KvK’s dit mogen doen zonder vooraf toestemming van de betreffende personen te hebben ontvangen. In Duitsland verkoopt het handelsregister nooit gegevens. Hier speelt ook een rol dat het handelsregister in Duitsland onderdeel uitmaakt van de rechtbank.

Onze persoonsgegevens speelbal van commerciële wereld

Zo zien we dat het heel gebruikelijk is geworden dat onze gegevens zomaar worden doorverkocht. De ondernemingen verdienen al doende veel geld, zoals bijvoorbeeld Facebook met de data van gebruikers. Sterker nog, het heeft er alle schijn van dat wij uitgeleverd zijn aan de gedigitaliseerde wereld. Probeer eens cookies uit te schakelen en je wordt gewaar dat het onmogelijk is om websites te bezoeken en informatie op te vragen. Dat is de wereld op zijn kop.

Wij zijn niet meer rechthebbende van onze persoonlijke data, maar speelbal van commerciële ondernemingen die met onze gegevens hun zakken vullen. Veel mensen weten niet dat de manier waarop je over het internet klikt en scrollt een quasi genetische vingerafdruk achterlaat waardoor je kan worden geïdentificeerd.

Tennisbond wil data van de leden verkopen

Persoonlijk werd ik als lid van mijn tennisclub geconfronteerd met dit fenomeen door de Nederlandse tennisbond KNLTB. In maart 2018 maakte de tennisbond bekend dat zij de persoonlijke gegevens van alle leden anders ging verwerken en vooral dat deze gegevens ook aan commerciële partijen zouden worden verkocht. De bond vond het vanzelfsprekend dat toestemming vooraf van individuele leden niet nodig was omdat de ledenraad van de KNLTB dit had besloten. Deze ledenraad  bestaat uit 45 personen.

Ik heb daarop een brief aan de bond geschreven waarin ik mijn twijfels uitdruk over deze actie. Afgelopen week kreeg ik antwoord van algemeen directeur Erik Poel. De KNLTB is van mening dat zij een gerechtvaardigd belang heeft om de gegevens van alle leden te verkopen. In hun visie is de opbrengst goed te gebruiken voor allerlei activiteiten die de tennisbond nuttig vindt.

Even voor de duidelijkheid: de tennisbond bepaalt zo zelf dat hij een gerechtvaardigd belang heeft om mijn gegevens op straat te gooien en daarmee geld te verdienen. Voor mij is dat heel anders. Ik ben gewoon lid geworden van een tennisclub en moest uiteraard mijn gegevens verstrekken. Door mijn lidmaatschap bij de club moet ik automatisch ook lid worden van de bond. Maar ik heb uiteraard nooit toestemming gegeven om mijn gegevens commercieel uit te laten buiten. En ik vind ook dat ik de enige ben die over het commercieel gebruik van mijn gegevens mag beslissen.

ePrivacy Verordening van de EU (AVG) komt er aan

In het antwoord van de KNLTB wordt met geen woord gesproken over welke afweging er is gemaakt ten opzichte van mijn rechten. De nieuwe ePrivacy Verordening van de EU (ook wel: ‘AVG’) treedt zoals bekend op aanstaande 25 mei in werking en eist dat de KNLTB ook mijn belangen en fundamentele rechten in acht moet nemen.

Belangrijk is ook dat de nieuwe verordening een transparantiegebod kent. De tennisbond heeft op geen enkel moment kenbaar gemaakt aan wie de gegevens zijn verstrekt, voor welke periode, voor welke prijs en wat met de gegevens kan gebeuren (bijvoorbeeld doorverkoop, vernietiging enz.).

De directe consequentie van de doorverkoop door de KNLTB van alle gegevens van de tennisbondleden is bijvoorbeeld dat iedereen op zijn thuisadres post ontvangt en op de opgegeven telefoonnummer(s) wordt gebeld. Ik laat de mogelijkheid dat kwaadwillenden met de verkochte gegevens aan de haal gaan maar even buiten beschouwing, maar ook dat risico zou moeten worden meegewogen.

Het ergert me dat wij volgens de KNLTB moeten accepteren dat wij op ieder gepast of ongepast moment thuis lastig kunnen worden gevallen door mensen die ons iets willen verkopen omdat de bond meent doelen te moeten nastreven met de opbrengst van mijn gegevens. Dat ik mij bij de KNLTB kan afmelden, geeft mij geen enkele garantie. Hoe moet ik immers controleren of de beller de gegevens van de tennisbond heeft ontvangen of die elders heeft betrokken?

Hoeveel levert dit de bond op?

Ik wil de gang van zaken ook commercieel duiden. De KNLTB heeft zo’n 600.000 leden. Stel dat de tennisbond 600.000 euro heeft ontvangen voor het doorverkopen. In dat geval zou de verhoging van de contributie met 1 euro hetzelfde doel hebben bereikt. Alleen heb je dan binnen de tennisbond een discussie of je inderdaad de contributie wil verhogen om de voorgestelde doelen te halen. Dit zou de normale gang van zaken bij een vereniging zijn. Dit maakt ook meteen duidelijk waar de schoen wringt. Misschien heb ik wel 1 euro over voor de KNLTB om de doelstellingen te ondersteunen en vooral daarmee kan voorkomen dat ik niet thuis word gebeld.

Als je die afweging tussen de inkomsten van de KNLTB en andere oplossingen beschouwt, denk ik dat de tennisbond helemaal geen afweging heeft gemaakt maar de makkelijkste weg heeft gekozen. Bovendien wordt er niet eens verantwoording afgelegd voor hoeveel geld zij al hun leden een minder rustig bestaan heeft bezorgd.

Privacybescherming is in Duitsland belangrijker

In Duitsland verkopen de sportbonden de gegevens va hun leden – voor zover bekend – niet door. Dit heeft onder andere met het Bundesdatenschutzgesetz (een federale wet voor de bescherming van persoonsgegevens) te maken. In Duitsland heeft privacybescherming een grotere maatschappelijke betekenis dan in Nederland.

Er bestaat een Datenschutzbeauftragter voor het hele land – maar ook iedere deelstaat apart heeft dit soort ombudsmannnen voor privacybescherming. De Landesdatenschutzbeauftragte van Baden-Württemberg bijvoorbeeld, heeft in 2017 een 35-pagina’s tellend rapport gepubliceerd [pdf] over de omgang met persoonlijke gegevens  bij verenigingen in het kader van de aankomende Europese verordening. Hieruit blijkt dat het juist niet mogelijk is om zomaar eventjes persoonlijke gegevens door te verkopen zonder toestemming van de leden vooraf, of zonder een goede afweging van de belangen van de bond enerzijds en de leden anderzijds.

Verzet tegen datamisbruik

Ik geloof dat wij in verzet moeten komen tegen dit soort datamisbruik. Wij moeten ons realiseren dat het misbruik plaats kan vinden door de nagenoeg onbeperkte mogelijkheid onze data te verzamelen en op te slaan. De toegang hiertoe moet radicaal worden beperkt. De genoemde voorbeelden zijn het topje van de ijsberg. En dit zal alleen maar toenemen. Wakker worden, is nu het devies.