Tennisbond krijgt vijf ton boete van Autoriteit Persoonsgegevens
Kan jou dat ook overkomen?
Afgelopen week kwam in het nieuws dat de Autoriteit Persoonsgegevens (AP) aan tennisbond KNLTB een boete oplegt van 525.000 euro voor het verkopen van persoonsgegevens. De bond had in 2018 gegevens van duizenden leden verstrekt aan twee sponsoren, zodat zij hen konden benaderen met aanbiedingen. Kan zoiets ook gebeuren in het onderwijs?
De boete heeft tot verbaasde en zelfs verontwaardigde reacties geleid. Een hoogleraar sportrecht schrijft dat zij de boete disproportioneel vindt en VVD-kamerlid Heerema heeft Kamervragen gesteld. De teneur van de reacties is: waarom zo’n hoge boete? Volgens de AP heeft de tennisbond verzuimd vooraf expliciet toestemming te vragen aan leden om hun gegevens te delen. De AP telt mee dat het om de gegevens gaat van honderdduizenden leden. Ook is de hoogte gerelateerd aan de vermogenspositie van de bond.
Grondslagen voor gegevensverwerking
Hoewel sommigen er geen problemen mee zullen hebben, zijn er ongetwijfeld ook leden van de tennisbond die geen ongevraagde aanbiedingen willen ontvangen. En dat is één van de punten waar de Algemene verordening gegevensbescherming (AVG, de Europese privacywet) rekening mee wil houden. Voor het doorgeven van persoonsgegevens aan een andere partij moet een organisatie zich kunnen beroepen op één van de grondslagen voor gegevensverwerking, zoals toestemming van de persoon achter de gegevens. Volgens de AP kan verkoop van persoonsgegevens alleen op de grondslag ‘toestemming van betrokkene’ gebeuren. De tennisbond vindt dat zij een ‘gerechtvaardigd belang’ (een andere grondslag uit de AVG) heeft en vroeg de leden daarom niet om toestemming. Althans, niet vooraf.
Onderwijs
Hoe werkt het in de onderwijssector? Alle onderwijsorganisaties delen persoonsgegevens met derden, veelal op basis van een goede grondslag. Denk hierbij aan de uitwisseling tussen PO en VO, met DUO en de leerplichtambtenaar. Het delen van gegevens met deze partijen gebeurt vaak omdat de wet dit voorschrijft (ook een grondslag). Maar ook veel commerciële organisaties krijgen gegevens, omdat zij voor de onderwijsorganisatie een bepaalde dienst of taak uitvoeren. Denk aan de leerlingengegevens die worden ingevoerd in bijvoorbeeld ParnaSys, Magister of SOMtoday. Dat is toegestaan, als er een goede grondslag is voor de taak of dienst die de commerciële organisatie voor jullie uitvoert en deze relatie is afgedekt met een verwerkersovereenkomst. Staat in deze overeenkomst klip en klaar dat de verwerker (de toeleverancier) de gegevens niet zonder jouw toestemming met anderen mag delen? En onder welk condities dit wel is toegestaan? De vraag is ook hier of hierbij de juiste grondslag wordt gehanteerd.
Expliciete toestemming
Kan ook jouw onderwijsorganisatie een omvangrijke boete van de AP krijgen? Ja, dat kan jou ook overkomen. Voor verkoop van persoonsgegevens (ook door je toeleveranciers of ‘verwerkers’) is expliciete toestemming vooraf noodzakelijk van degene die het betreft (ouders en/of de leerlingen en studenten vanaf 16 jaar). Mondelinge toestemming is niet voldoende, het moet aantoonbaar zijn dat men de toestemming heeft gegeven. Expliciete toestemming betekent dat zonder een bewuste handeling geen toestemming is gegeven. Als standaard het vakje ‘toestemming’ is aangevinkt, voldoet dat niet.
Meer weten?
Ben je benieuwd wat B&T op het terrein van de AVG voor je kan betekenen? Zoek je begeleiding om jouw school of bestuur AVG-proof te maken? Neem vrijblijvend contact op met Diana Goedschalk van B&T, of Bas Vorstermans van BLC Onderwijsadvocaten.