Afgelopen week liet de Autoriteit Persoonsgegevens (AP) zien dat zij niet bang is om haar boetebevoegdheid te gebruiken en legde tennisbond KNLTB een hoge boete van € 525.000 op. De reden? De KNLTB verkocht persoonsgegevens van haar leden en voldeed daarbij niet aan één van de belangrijkste voorwaarden voor rechtmatige gegevensverwerking van de AVG: verwerken op basis van een geldige verwerkingsgrondslag.

Stap 1 richting een rechtmatige verwerking: geldige grondslag.

Als jouw organisatie voornemens is om persoonsgegevens te verwerken, dan is het van belang dat je je kan beroepen op tenminste één van de zes grondslagen voor verwerking in de AVG:

1. Jouw organisatie heeft (geldige) toestemming van de betrokkene;

2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst;

3. De verwerking is noodzakelijk in het kader van een wettelijke plicht;

4. De verwerking is noodzakelijk om vitale belangen te beschermen;

5. De verwerking is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen;

6. De verwerking is noodzakelijk om uw gerechtvaardigde belangen te behartigen.

Toestemming: let op de valkuilen

Verreweg de meeste verwerkingen vallen onder grondslag 1 tot en met 3. Sommige verwerkingen mogen enkel met toestemming van de betrokkene worden gedaan, zoals in het geval van de KNLTB verkoop van de persoonsgegevens aan derden. Die toestemming van de betrokkene moet dan voldoen aan een aantal strenge eisen.

Toestemming kan enkel als rechtmatige verwerkingsgrondslag dienen wanneer deze vrijelijk gegeven, ondubbelzinnig, geïnformeerd en specifiek is. Concreet betekent dat het volgende:

• Vrijelijk gegeven

  De betrokkene had een vrije keuze om toestemming te geven voor de verwerking van de persoonsgegevens. Is er tussen jou(w organisatie) en de betrokkene een machtsverhouding zoals een arbeidsrelatie? Dan kan de betrokkene niet altijd vrijelijk toestemming geven en heb je naast toestemming nog een andere verwerkingsgrondslag nodig.

• Ondubbelzinnig

  Om toestemming te geven moet een actieve handeling worden verricht. Denk bijvoorbeeld aan een uitdrukkelijke opt-in door middel van een vinkje dat de betrokkene zelf aanvinkt of het zetten van een handtekening.

• Geïnformeerd

  Je moet de betrokkene informeren over wie je bent, wat je met zijn persoonsgegevens gaat doen, welke persoonsgegevens worden verwerkt en dat de betrokkene te allen tijde het recht heeft om de toestemming in te trekken, waarna de verwerking direct moet stoppen.

• Specifiek

  De toestemming geldt enkel voor het doel waarvoor het gegeven is. Wilt u het doel voor de gegevensverwerking veranderen of uitbreiden? Dan moet u opnieuw toestemming aan alle betrokkenen vragen. Hier gaat het vaak mis, zo ook bij de KNLTB.

Terug naar de KNLTB: wat ging er mis?

De KNLTB beschikte over een ledenbestand met persoonsgegevens van haar leden. De grondslag voor deze verwerking was dat die verwerking noodzakelijk was voor de uitvoering van de lidmaatschapsovereenkomst. Hiervoor is in beginsel geen toestemming van de betrokkene vereist. So far so good. Na verloop van tijd merkte de KNLTB dat het commercieel interessant zou zijn om de persoonsgegevens van haar leden te verkopen aan, in dit geval, sponsoren. Dit zou voor de KNLTB extra inkomsten genereren, en voor haar leden zou dit meerwaarde geven aan het bondlidmaatschap. Voor de verkoop vroeg de KNTB geen toestemming. De KNLTB vond dat zij de gegevens mochten verwerken op grondslag 6: gerechtvaardigd belang. Dit klopt niet, volgens de Autoriteit Persoonsgegevens. Voor verkoop van persoonsgegevens is toestemming van de betrokkene vereist.

Had de KNLTB deze boete kunnen voorkomen?

Het antwoord is simpel: ja, door na te gaan op basis van welke grondslag zij persoonsgegevens van leden mochten verwerken en vervolgens uit te zoeken wat zij daarmee mochten doen. Bij elke verandering in een verwerking binnen jouw organisatie moet je dit controleren en vastleggen.

Tips: verzeker jezelf van een rechtmatige grondslag!

1. Breng alle gegevensstromen binnen jouw onderneming in kaart (wat, voor wie, waarom, hoe);

2. Zorg dat de gegevensstromen binnen jouw onderneming inzichtelijk zijn en blijven door een register bij te houden;

3. Zorg voor een duidelijke privacyverklaring, gebruik eenvoudige taal, weet zelf wat erin staat;

4. Zorg dat je goede afspraken maakt met derden die gegevens voor jou verwerken, leg deze vast in een verwerkersovereenkomst;

Twijfel? Raadpleeg een van onze privacy specialisten om fouten en boetes te voorkomen!

Vragen? Neem contact met ons op en vraag vrijblijvend naar onze Privacy Vragenlijst in om jouw gegevensstromen in kaart te brengen.