Sportbonden worden gewaarschuwd door de Autoriteit Persoonsgegevens

Sinds de nieuwe privacywetgeving, de Algemene verordening gegevensverwerking (AVG), van kracht is, heeft de Autoriteit Persoonsgegevens opvallend veel klachten ontvangen van leden van sportbonden. Steeds vaker slaat de balans in de sportbranche door naar de commerciële kant, waarbij haaks wordt gehandeld met de geest van de privacywetgeving.

Afgelopen week heeft de Autoriteit Persoonsgegevens haar zorgen geuit over de wijze waarop sportbonden handelen in persoonsgegevens van leden. Na tientallen klachten over meerdere bonden is de Autoriteit Persoonsgegevens een onderzoek gestart naar de manier waarop één bond, de KNLTB, de afgelopen maanden heeft gehandeld met persoonsgegevens. De KNLTB wordt doorgelicht om zo de regels voor álle bonden scherp te stellen en hen te waarschuwen.

Inmiddels zijn in de Tweede Kamer ook vragen gesteld. Van Dam van het CDA heeft zijn zorgen geuit over het feit dat de sportbonden persoonsgegevens hebben doorverkocht aan commerciële partijen en vroeg aan de minister voor Rechtsbescherming, de heer Dekker, hoe het kan dat sportbonden “de plank misslaan”. Volgens Dekker is de wet duidelijk en heeft er voldoende voorlichting plaatsgevonden met betrekking tot de nieuwe privacyregels. De minister oordeelde: “Goed dat de autoriteit zich breed maakt en zegt dat zij gaat ingrijpen als er echt wat aan de hand is”.

Wanneer persoonsgegevens verwerkt worden moeten verschillende regels gehanteerd te worden:

  1. Vertel de betrokkene altijd wat je doet (transparantiebeginsel);
  2. Gebruik de gegevens alleen voor het doel waarvoor je ze hebt verkregen (beginsel van doelbinding);
  3. Verzamel, gebruik en bewaar niet meer gegevens dan je nodig hebt en alleen wanneer geen minder vergaande manier is om het zelfde doel te bereiken (dataminimalisatie);
  4. Hoe privacygevoeliger de gegevens, hoe minder er mag;
  5. Enkel persoonsgegevens verwerken indien dit is gebaseerd op een wettelijke grondslag;
  6. Beveilig de gegevens tegen verlies en onbevoegde toegang;
  7. Regel voldoende waarborgen wanneer persoonsgegevens aan derden worden verstrekt.

Indien sportbonden doorgaan met commerciële acties, zonder de privacyregels in acht te nemen, dan dreigen meerdere onderzoeken en geldboetes. Bij grote organisaties kan de boete oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Voorlopig richt de Autoriteit Persoonsgegevens zich enkel op de KNLTB “om een norm te stellen”. Wanneer daadwerkelijk boetes opgelegd zullen worden, zal rekening worden gehouden met de omvang, de hoeveelheid data die verwerkt worden en de financiële mogelijkheden van de bonden. Volgens de voorzitter van de Autoriteit Persoonsgegevens, de heer Wolfsen, moeten de boetes “wel pijn doen, anders stopt het niet”.

Sportbonden doen er zodoende verstandig aan hun privacy beleid opnieuw te toetsen en de interne bewustwording te vergroten om eventuele boetes in de toekomst te voorkomen.

Auteur: Arne Al
E-mail: aa@bmdw.nl