EU-Hof: data doorverkopen is onder privacywet soms toegestaan

Het verkopen van gegevens van klanten aan commerciële bedrijven mag onder de AVG, concludeert het Europees Hof van Justitie. Direct marketing kan een gerechtvaardigd belang vormen, in tegenstelling tot wat de Nederlandse Autoriteit Persoonsgegevens zegt. Dat is een uitspraak in een zaak rondom een AVG-boete voor de Knltb.

Het Europees Hof van Justitie heeft uitspraak gedaan in een langlopende zaak rondom een Nederlandse AVG-boete. In 2020 deelde de Autoriteit Persoonsgegevens een boete van 525.000 euro uit aan de Koninklijke Nederlandse Lawn Tennisbond, de Knltb. Die had gegevens van 350.000 leden verkocht aan twee sponsoren. Die sponsoren gebruikten de gegevens om leden te benaderen.

De Knltb stelde op basis van de AVG dat die doorverkoop mocht. De Knltb beriep zich daarbij op het 'gerechtvaardigd belang'. Dat is een van de zes grondslagen waarmee bedrijven gegevens mogen verwerken. De Autoriteit Persoonsgegevens stelde in zijn boetebesluit in niet misstaanbare woorden dat 'direct marketing nooit een gerechtvaardigd belang kan zijn'. Juristen waren destijds al verbaasd over die strenge interpretatie van de AVG. De AVG definieert niet wat een gerechtvaardig belang is; dat is aan verwerkers, zoals de Knltb dat deed.

De Knltb procedeerde na de boete door tot het Nederlandse gerechtshof. Dat kon echter zelf geen antwoord geven op de vraag wat een gerechtvaardigd belang is. In 2022 vroeg het gerechtshof aan het Europees Hof van Justitie die vraag te beantwoorden. Dat doet het Hof nu. Met de antwoorden kan het Nederlandse gerechtshof weer een definitieve uitspraak doen.

tennis

Die uitspraak lijkt goed nieuws voor de Knltb, en slecht nieuws voor de Autoriteit Persoonsgegevens. Het Hof benadrukt dat er geen goede definitie is van een gerechtvaardigd belang en dat er altijd 'een breed scala aan belangen als gerechtvaardigd kan worden beschouwd'. Maar, zegt het Hof ook, de interpretatie van de AP is ook te streng. De AP stelt namelijk dat direct marketing nooit gerechtvaardigd kan zijn.

Dat klopt niet, aldus het Hof. Dat 'sluit niet uit dat een commercieel belang van de verwerkingsverantwoordelijke, bestaande in de promotie en verkoop van advertentieruimte voor marketingdoeleinden, kan worden aangemerkt als gerechtvaardigd'. In de omstandigheden van deze specifieke zaak 'kan een commercieel belang van de verwerkingsverantwoordelijke een gerechtvaardigd belang vormen, voor zover het niet in strijd is met de wet'.

Dat is geen absoluut recht, zegt het Hof. "Het staat aan de verwijzende rechter om van geval tot geval te beoordelen of een dergelijk belang bestaat, rekening houdend met het toepasselijke rechtskader en alle omstandigheden van de zaak." In het geval van de Knltb zou de bond haar leden eerst op de hoogte moeten brengen voordat het tot verkoop overgaat. Op die manier blijven leden de controle over hun gegevens houden.

In dit specifieke geval moet het gerechtshof alsnog een afweging gaan maken. Die afweging draait om het belang dat de Knltb aanvoert tegenover het recht van leden van de bond op bescherming van hun persoonlijke levenssfeer. De rechter zou daarbij specifiek moeten kijken of de leden bij opgave hadden kunnen weten dat hun gegevens werden verkocht. Het Europees Hof geeft daar zelf geen antwoord op, maar zegt dat het gerechtshof dat moet doen.

Daarom is het onbekend wat de uitspraak betekent voor de zaak tussen de Knltb en de Autoriteit Persoonsgegevens. Maar die laatste heeft hiermee weer opnieuw een tik op de vingers gekregen van de rechter. De AP is al vaker aangesproken op het feit dat die te streng straft. Daar waarschuwen juristen voor, maar er zijn ook al meerdere gerechtelijke uitspraken geweest waarin de AP hoorde de AVG te streng te interpreteren. Dat lijkt nu weer het geval te zijn.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 04-10-2024 21:13
177 • submitter: Zen1581

04-10-2024 • 21:13

177

Submitter: Zen1581

Lees meer

'Serieuze zaken vergen serieuze boetes'

27 mei 2021

'Serieuze zaken vergen serieuze boetes'

Interview met Aleid Wolfsen over de AVG

96
Nederlandse AVG-boetes zijn hoog

13 mei 2021

Nederlandse AVG-boetes zijn hoog

AP straft niet veel, maar bovengemiddeld hard

83
Twee jaar AVG

25 mei 2020

Twee jaar AVG

Het tweede jaar, met de eerste boetes

77
Megaboete voor tennisbond

11 mrt 2020

Megaboete voor tennisbond

Mogen sportclubs je data verkopen?

248
Rechter: AP-boete voor politie voor coronamaatregelauto's was te hoog
Rechter: AP-boete voor politie voor coronamaatregelauto's was te hoog Nieuws van 23 oktober 2024
RTL België moet cookieweigerknop beter zichtbaar maken van privacytoezichthouder
RTL België moet cookieweigerknop beter zichtbaar maken van privacytoezichthouder Nieuws van 18 oktober 2024
VoetbalTV eist schadevergoeding van Autoriteit Persoonsgegevens
VoetbalTV eist schadevergoeding van Autoriteit Persoonsgegevens Nieuws van 15 oktober 2024
Europees Hof van Justitie: politie mag telefoon doorzoeken bij kleine misdrijven
Europees Hof van Justitie: politie mag telefoon doorzoeken bij kleine misdrijven Nieuws van 7 oktober 2024
Mag je geld verdienen met dataverkoop? Dat moet het Europese Hof nu bepalen
Mag je geld verdienen met dataverkoop? Dat moet het Europese Hof nu bepalen Nieuws van 30 september 2022
Autoriteit Persoonsgegevens deelt AVG-boete van 525.000 euro uit aan tennisbond
Autoriteit Persoonsgegevens deelt AVG-boete van 525.000 euro uit aan tennisbond Nieuws van 3 maart 2020
Meer producten en artikelen
Politiek en recht Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Boete Europees Hof van Justitie

Reacties (177)

-Moderatie-faq
177
174
71
10
1
93
Wijzig sortering
Arnoud Engelfriet
5 oktober 2024 09:34
Wat ik nog een beetje mis, is dat het hier alleen ging om de eerste van de vragen of gegevens verwerken/verkopen/etc wel mag. De wet stelt namelijk vier eisen aan gerechtvaardigd belang:
1) Het belang is op zichzelf legitiem
2) Het gebruik van de gegevens is proportioneel en redelijk voor dat belang
3) Er is goed rekening gehouden met de privacy, zoals door privacyvriendelijke maatregelen inbouwen
4) Er is een opt-out ingebouwd, die bij marketing/reclame altijd ingeroepen mag worden en bij andere dingen als je persoonlijke redenen hebt

De AP zei dat bij stap 1 je nóóit aan mocht komen met commerciële belangen. Dat keurt het Hof nu af, dat kan wel. De grens ligt grofweg bij of het belang iets legaals is, of het niet de grondrechten schendt.

Blijven over 2 en 3: is dit proportioneel en heb je maatregelen genomen. De tennisbond kan bijvoorbeeld tegen juridisch uitgever Kluwer zeggen, ik heb 230 leden die advocaat zijn, welke reclame zullen wij ze sturen? Of contractueel afspreken dat er eenmalig een brief naar een lijst adressen mag en dat die daarna vernietigd wordt, op straffe van boetes.

Het is echt véél te snel om te gaan van deze uitspraak naar "alle datahandel is legaal zodra je heel hard legitiem belang roept".
jigalvh @Arnoud Engelfriet6 oktober 2024 13:14
Wat ik nog een beetje mis, is dat het hier alleen ging om de eerste van de vragen of gegevens verwerken/verkopen/etc wel mag.
Als ik de uitspraak lees dan is de vraag nog beperkter. De tennisbond stelde dat de gegevens werden doorverkocht op grond van "gerechtvaardigd belang". De AP was van mening dat hieronder alleen belangen vallen die expliciet door de wet genoemd worden (en dus dat commercieel belang hier niet onder valt omdat het niet genoemd wordt in de wet). De tennisbond stelde dat dit niet het geval was.
De uitspraak is dat deze beperking onjuist is. Ook belangen die niet expliciet in een wet genoemd worden zouden gerechtvaardigd belang kunnen zijn mits die aan de nodige eisen voldoen.
De wet stelt namelijk vier eisen aan gerechtvaardigd belang:
1) Het belang is op zichzelf legitiem
2) Het gebruik van de gegevens is proportioneel en redelijk voor dat belang
3) Er is goed rekening gehouden met de privacy, zoals door privacyvriendelijke maatregelen inbouwen
4) Er is een opt-out ingebouwd, die bij marketing/reclame altijd ingeroepen mag worden en bij andere dingen als je persoonlijke redenen hebt
In de uitspraak wordt ook nog genoemd (punt 33) dat de verwerker ook de betreffende personen had moeten inlichten over het doel voor het verzamelen van een gegeven en de grond hiervoor. Dat is in het geval van de tennisbond niet gebeurd, maar dat moet de Nederlandse rechter dan weer meewegen in de uitspraak.
De AP zei dat bij stap 1 je nóóit aan mocht komen met commerciële belangen. Dat keurt het Hof nu af, dat kan wel. De grens ligt grofweg bij of het belang iets legaals is, of het niet de grondrechten schendt.
Dat is mij wat te kort door de bocht. Het Europese Hof zegt alleen dat het onjuist is dat commercieel gebruik per definitie geen gerechtvaardigd belang kan zijn doordat het niet expliciet in de wet genoemd wordt. Het is nog steeds mogelijk dat een commercieel belang geen gerechtvaardigd belang kan zijn omdat het niet aan de overige voorwaarden voldoet. Wat weegt zwaarder, de privacy van de leden of de inkomsten van de bond? Gezien andere recente uitspraken die ik in de media heb gezien heb ik de indruk dat inkomsten niet zwaarder te wegen dan privacy van individuen.
Tintel
@jigalvh7 oktober 2024 14:08
Wat weegt zwaarder, de privacy van de leden of de inkomsten van de bond? Gezien andere recente uitspraken die ik in de media heb gezien heb ik de indruk dat inkomsten niet zwaarder te wegen dan privacy van individuen.
Dat is de uitspraak "commercieel belang is geen gerechtvaardigd belang" toch ook meteen waar?

En dan de toevoeging "opt-out moet mogelijk zijn" - maar als je het niet eens weet [als bond-lid] dat je gegevens aan derden beschikbaar worden gesteld, is dat natuurlijk onzin.... Het zou altijd opt-in moeten zijn, dan zijn mensen ook meteen op de hoogte.
jigalvh @Tintel8 oktober 2024 09:59
Dat is de uitspraak "commercieel belang is geen gerechtvaardigd belang" toch ook meteen waar?
Het Europese Hof houdt nu de mogelijkheid open dat misschien een keer een situatie voorkomt waarin een commercieel belang zwaarder weegt dan de privacy van de betrokkenen.
Het waarschijnlijk vooral een juridisch ding. De AP stelde dat alleen gronden die expliciet in de wet genoemd worden onder "gerechtvaardigd belang" kunnen vallen en aangezien commercieel belang daar niet genoemd wordt zou dit dus nooit hieronder kunnen vallen. Het Hof heeft nu beslist dat dit onjuist is. Het Hof heeft geen uitspraak gedaan of het in dit geval (en heleboel andere gevallen) een terechte grond is. Dat is terugverwezen naar de rechtbank die deze uitspraak heeft gevraagd.
En dan de toevoeging "opt-out moet mogelijk zijn" - maar als je het niet eens weet [als bond-lid] dat je gegevens aan derden beschikbaar worden gesteld, is dat natuurlijk onzin.... Het zou altijd opt-in moeten zijn, dan zijn mensen ook meteen op de hoogte.
Een opt-in betekent dat je gaat voor de grond dat iemand toestemming heeft gegeven. Dat zou in veel gevallen de mooiste manier zijn voor de leden. De tennisbond verwacht natuurlijk dat niet veel leden zich zouden aanmelden hiervoor en dus proberen ze een grond te vinden waarvoor geen toestemming nodig is.
Tintel
@jigalvh8 oktober 2024 10:22
misschien een keer een situatie voorkomt waarin een commercieel belang zwaarder weegt dan de privacy van de betrokkenen.
Klinkt eng....
De tennisbond verwacht natuurlijk dat niet veel leden zich zouden aanmelden hiervoor
Wat meteen duidelijk maakt hoe we (als 'reclame-targets') hierin staan.
Remzi1993 @Arnoud Engelfriet5 oktober 2024 18:03
Tijd voor de wetgever op EU niveau om het strenger te maken en dat commerciële belangen niet onder gerechtvaardigd belang vallen.
BiLLY_daKid @Remzi19936 oktober 2024 01:34
Dit! Het zou mij niet verbazen als dit zo was beoogd.
Remzi1993 @BiLLY_daKid6 oktober 2024 16:23
Inderdaad, of incompetentie of express corruptie. Ik vind een commercieel belang van een derde partij niet onder gerechtvaardigd belang vallen. Sterker nog ik vind zelfs in het algemeen commerciële belangen niet onder gerechtvaardigd belang vallen en dat gerechtvaardigd belang alleen kan zijn om de dienst uit te kunnen voeren na uitdrukkelijke toestemming.
bytemaster460 @Remzi19936 oktober 2024 22:08
Dat hoeft geen incompetentie of corruptie te zijn. Wetten worden meestal bewust relatief vaag opgesteld om te voorkomen dat er absurde randgevallen ontstaan. Jurisprudentie moet zorgen voor de wet in de praktijk.
Gerechtvaardigd belang is er juist om de dienst uit te kunnen voeren zonder expliciete toestemming.
Tintel
@bytemaster4608 oktober 2024 10:25
Wetten worden meestal bewust relatief vaag opgesteld
Ik dacht nu juist het omgekeerde.... te strikt en daarom ontstaan er soms onbedoelde 'mazen' in de wet. Dus omzeiling van de wet terwijl het dus duidelijk niet de bedoeling was.
MrFax @Arnoud Engelfriet5 oktober 2024 11:51
3) Er is goed rekening gehouden met de privacy, zoals door privacyvriendelijke maatregelen inbouwen
Wordt hiermee bedoeld dat de data dermate geanonimiseerd is dat het niet meer naar 1 persoon te herleiden is?

[Reactie gewijzigd door MrFax op 5 oktober 2024 11:53]

Arnoud Engelfriet
@MrFax5 oktober 2024 17:01
Nee, want dan val je buiten de AVG. Je moet eerder denken aan pseudonomiseren of net wat verder nadenken over dataminimalisatie.
Dekar @Arnoud Engelfriet6 oktober 2024 15:25
Verschrikkelijk slechte interpretatie van de bedoeling van de AVG/GDPR, denk ik. Dus tijd voor de EU om het snel aan te scherpen.
Ik heb hier al een jaar of iets geleden bij de Europese commissie een verzoekschrift over ingediend. Dat doorverkopen en data brokers, dat kan niet goed zijn voor ons.
kimborntobewild @Dekar13 oktober 2024 13:03
Ik heb hier al een jaar of iets geleden bij de Europese commissie een verzoekschrift over ingediend. Dat doorverkopen en data brokers, dat kan niet goed zijn voor ons.
Het punt is dat bedrijven die data willen doorverkopen, gesprekspartner zijn inzake de wetgeving. Dat is m.i. zéér onjuist. Ik zie het zelfs als corruptie.
MornixRS @Arnoud Engelfriet7 oktober 2024 12:27
En punt 4 dan? Als de leden geen opt-out hadden dan houdt het toch eigenlijk gelijk op?
Arnoud Engelfriet
@MornixRS7 oktober 2024 12:49
Die hadden ze wel, dus leek me niet relevant verder.
MornixRS @Arnoud Engelfriet8 oktober 2024 10:26
Ah ok dat was niet duidelijk uit het oorspronkelijk stuk. Daarin staat dat ze de verplichting hebben maar niet dat het ook is gebeurd.
ComputerGekkie 4 oktober 2024 21:25
Waar ligt dan de grens van gerechtvaardigd belang? Bij veel gegevens van een klant kan ik een belang hebben (zoals bijvoorbeeld een commerciele), maar dat kan heel goed niet in het belang van een klant zijn. Zou dit bijvoorbeeld ook kunnen betekenen dat een bedrijf al mijn gegevens kan scrapen via bijvoorbeeld prive bronnen van anderen en verkopen op het internet? Lijtk mij niet de bedoeling van deze AVG wetgeving toch?

Voorbeeld: Bol.com verkoopt alle bestelinformatie aan een of ander marketing bureau. Ziet dat ik veel baby spulletjes koop en kan daardoor gerichte (post) reclame sturen voor meer babyspullen.

[Reactie gewijzigd door ComputerGekkie op 4 oktober 2024 21:26]

CivLord
@ComputerGekkie5 oktober 2024 09:55
De grens ligt waar het belang van de verwerker gerechtvaardigd is.
Deze uitspraak betekent niet dat het gebruik van persoonsgegevens voor direct marketing in alle gevallen gerechtvaardigd is, maar dat je niet kan zeggen dat het gebruik nooit gerechtvaardigd is, zoals de AP beweert.
Om te stellen dat het gebruik/ verkoop van persoonsgegevens gerechtvaardigd is moet je een flink hoge drempel over, wat alleen onder heel specifieke omstandigheden zal lukken. Maar het is geen muur, die je in alle gevallen tegenhoudt.
Jacques-Oh @CivLord5 oktober 2024 15:20
Maar wat mij stoort is dat er geen duidelijke regels zijn wat wel en wat niet. Leuk dat rechters dat achteraf gaan verzinnen, maar dan is het kwaad al geschied.

Je zou verwachten dat je een grote lijst met voorbeelden hebt die duidelijk aangeven wat de kaders dan precies zijn.
Manderlay1 @Jacques-Oh5 oktober 2024 17:28
Rechters verzinnen dit niet, ze gebruiken hiervoor de bestaande wetgevingen. Dus de wetgeving is niet correct
CivLord
@Jacques-Oh6 oktober 2024 08:09
Het probleem met een lijst met voorbeelden is dat het nooit compleet is.
Wat wanneer je een geval hebt dat niet in de lijst staat en een beetje lijkt op iets dat toegestaan is en ook een beetje lijkt op iets dat niet toegestaan is? Stel dat een rechter besluit dat de privacy belangrijker is dan het belang van de verwerker en dat het in een twijfelgeval dus niet is toegestaan. Wat zegt dat dan over het geval dat er op lijkt, maar wél is toegestaan?

Rechters verzinnen nooit zelf wat. Ze interpreteren de wet, kijken naar wat er over de wet gezegd tijdens de behandeling in het parlement, kijken naar de toelichting van de minister, etc. Ze kijken of de tekst van de wet letterlijk naar de letter en de komma genomen moet worden, of dat uit de wetsgeschiedenis blijkt dat de tekst wat ruimer geïnterpreteerd kan of moet worden.

Die ruimte voor interpretatie is er juist omdat je in een wet nooit iets voor 100% af kan dekken. Er is altijd wel iets waar de wetgevers niet aan hebben gedacht, of wat nog niet bestond toen de wet werd gemaakt.
Jacques-Oh @CivLord7 oktober 2024 11:05
Maar hoe weet je dan als partij waar de grens ligt? Want je zegt het zelf: “interpretatie” is erg subjectief. Hoe voorkom je dat mensen die ter goede trouw zijn ineens blijken de wet overtreden te hebben omdat zij bijvoorbeeld denken een “gerechtvaardigd belang” te hebben. Bijvoorbeeld een economisch belangrijk belang om voldoende winst te maken voor een vereniging/bond?
Als dit niet duidelijk is omschreven kan je het mijns inziens partijen niet kwalijk nemen als zij het anders interpreteren dan iemand anders. Dan is het helemaal raar om dat dan als onrechtmatige daad te bestempelen.

Geef dan als wetgever op zijn minst een aantal goede voorbeelden die dat verduidelijken zou ik zeggen. Bijvoorbeeld dat winst maken geen belang is, maar om het logistieke proces te versoepelen wel. Ik noem maar wat.

Met een middagje brainstormen moet je wel tot een aardig lijstje komen lijkt me.
CivLord
@Jacques-Oh8 oktober 2024 06:49
Lijstjes leveren meer problemen op dan ze oplossen. Elke situatie is weer net iets anders, waardoor het toch iedere keer weer een afweging wordt.
Wat als in jouw voorbeeld door het logistieke proces te versoepelen ook de winst toeneemt? Wat wanneer gezegd wordt dat iets het logistieke proces moet versoepelen, maar dat dat eigenlijk maar een minimaal effect lijkt te zijn, terwijl de winst wel flink toeneemt? Dan moet er alsnog een rechter aan te pas komen om de lijst te interpreteren op voorliggende situatie.

Waar de grens ongeveer ligt is wel duidelijk. Het is ook niet moeilijk om aan de goede kant te blijven. Wanner je wilt weten waar de grens precies ligt, wat nog net wél kan en net niet meer, neem je bewust een risico en moet je ook bereid zijn de gevolgen te dragen wanneer je net verkeerd zit.
Bij de rechter wordt het je ook meestal niet kwalijk genomen. Wanneer je een standpunt hebt dat nieuw is en op zich logisch en begrijpelijk is, maar waarvan de rechter van mening is dat het toch net niet kan, moet je van de rechter stoppen waarmee je bezig bent (of iets aanpassen tot je aan de juiste kant van de grens zit), maar krijg je meestal geen boete. (Dat gaat alleen op voor nieuwe situaties, waarin de grens onduidelijk is. Wanneer de grens duidelijk en scherp is, maar je een fantasierijk standpunt hebt waarom die grens in jouw geval niet geldt, heb je pech wanneer de rechter daar anders over denkt.)

Veel overheidsinstanties werken vaak mee om grenzen duidelijk te maken, wanneer ze een situatie tegenkomen waarin twijfel lijkt te bestaan. Wanneer naar aanleiding van nieuwe belastingwetgeving bv. een belastingadviseur denkt dat iets wel kan en de Belastingdienst niet, en de Belastingdienst wil daar zelf ook duidelijkheid over, kunnen de adviseur en de Belastingdienst samen besluiten om naar de rechter te gaan voor een uitspraak. Ze spreken dan vaak af dat ze elk hun eigen proceskosten betalen en dat de Belastingdienst geen boete oplegt wanneer ze in dit geval gelijk krijgen van de rechter.
Alleen de AP lijkt overtuigt te zijn in haar eigen gelijk en wil liever te streng zijn dan constructief.

Het lijkt zo simpel om wetgeving sluitend te maken. Maar de werkelijkheid is weerbarstig. Elke situatie is uniek, met kleine details die nooit allemaal in de wet vatten zijn. En wanneer je dat wel probeert te doen krijg je een draak van een wet, met -tig situaties, uitzonderingen en uitzonderingen op uitzonderingen, waar niemand meer een touw aan vast kan knopen.
Jacques-Oh @CivLord8 oktober 2024 11:18
Dank voor je uitleg.

Ik snap jouw strekking en voor een groot deel denk ik "fair point", maar tegelijkertijd zie ik ook veel van dit soort casussen voorbij komen als zijnde wetgeving met een soort halve intenties.

Het hele AVG verhaal is daar een goed voorbeeld van, maar ook zaken als godslastering of belediging (wat valt hier nu wel of niet onder) dat soort dingen. Dat moet echt beter kunnen lijkt mij en juist door een aantal "what if" scenarios aan de voorkant uit te werken schep je duidelijkheid bij de mensen. Nu is er vaak nog jurisprudentie nodig om heel generieke concepten duiding te geven en daar zou het mijns inziens niet voor bedoeld moeten zijn. Alsof men een wet optuigtzonder er bij na te denken wat dat dan betekent. Alsof ze bang zijn verantwoording te dragen op de concrete invulling van het door hun bedachte beleid. Laat de rechter het maar uitzoeken ofzo...Het geeft bij mij het gevoel van: "beetje beter je best doen".

Bijvoorbeeld tijdens de covid-tijd, toen men regels voor huishoudens ging opstellen zonder duiding te geven wat een huishouden dan precies was. Alsof woongemeenschappen, studentenhuizen etc. niet bestaan of op zijn minst heel zeldzaam waren... Zelfs voor spoedwetgeving kan je dat soort casussen in een middagje optekenen.

En dat er dan een paar gevallen over blijven die zó niche zijn dat ze precies tussen nèt wel en nèt niet invallen, of dat een wet onbedoelde neveneffecten heeft (toeslagaffaire), ja dáár zou je dan jurisprudentie over moeten maken.
Dekar @Jacques-Oh6 oktober 2024 15:28
Dat is precies hoe wetgeving werkt. Jurisprudentie maakt uiteindelijk de interpretatie van 'gerechtvaardigd belang'.
Ik ben het echter zeer oneens dat dit een goede uitspraak is voor onze privacy. EU mag aan de bak om onze rechten verder de beschermen.
Jacques-Oh @Dekar7 oktober 2024 11:09
Maar zoals ik al zei, dat is te laat. We moeten vóóraf duidelijke kaders scheppen wat wel en niet onder dit belang valt. Mijns inziens is dit een groot probleem in wetgeving en in strijd met het concept: weten waar je aan toe bent.

We gaan pas invulling geven als het kwaad al is geschied. Terwijl je met een middagje brainstormen de kaders echt wel een stuk scherper kan maken:

Of zorg voor een duidelijk toetsingsloket waar je snel vooraf een uitspraak kunt krijgen.
Powerblast @ComputerGekkie4 oktober 2024 21:31
In jouw voorbeeld vind ik bol.com gerechtvaardigd want ze leveren jou een dienst/pakketje. Reclame bureau heeft er niks mee te doen dus is niet gerechtvaardigd. Maar dan zijn vrees ik alle reclame bureau's out of business, want wie heeft daar als gewone consument nu wel een belang bij om daar iets van te krijgen :D
ComputerGekkie @Powerblast4 oktober 2024 21:40
Bol.com mag de gegevens dus wel verkopen, maar de koper mag ze dan niet gebruiken. Dat lijkt me erg krom en nog niet de juiste interpretatie.
Powerblast @ComputerGekkie4 oktober 2024 21:46
Nee, bol.com mag ze gebruiken om jou de dienst te leveren waar je om gevraagd hebt. Je hebt niet gevraagd om extra reclame, enkel om het pakketje. Maar ik ben hier ook geen correcte interpretatie aan het proberen samenstellen, gewoon hoe ik het zou interpreteren.

Voor de volledigheid, dat is volgens mij waar ook het hof juist een probleem mee heeft. Iedereen interpreteert het maar want het lekker vaag omschreven. De dag dat ze zouden zetten, minimum wat nodig is om jou de dienst te leveren die je gevraagd hebt, zonder additionele onderdelen die niet strikt noodzakelijk zijn om het contract te voldoen, heb je een andere situatie.

Volgens mij is dat ook waar de consument om vraagt, gewoon het minimum, zonder poespas en als je meer wilt opt-in.

[Reactie gewijzigd door Powerblast op 4 oktober 2024 21:53]

ComputerGekkie @Powerblast4 oktober 2024 22:26
Waar ik op doelde was dat Bol.com in de positie van de tennisbond zit: veel gegevens die je sowieso wel nodig hebt voor je oorspronkelijke doel, maar die je ook prima kan verkopen aan een of ander reclame bureau.
Cambionn @ComputerGekkie4 oktober 2024 23:13
Er zit hier nog wel wat nuance in. "Benaderd worden door een sponsor" zoals in dit bericht staat is natuurlijk niet per se (dikgedrukt want kán wel, maar hóéft niet) hetzelfde als "je data naar een marketingbureau die je profileert, en met dat profiel je target voor advertenties". Al was het maar omdat een sponsor (over het algemeen) niet een profiel opbouwt zoals een advertentieboer. Die hebben dan enkel een lijst met gegevens ipv profielen en doen niet aan tracking. Het is meer alsof bol.com je standaard op een mailinglist van een derde partij zet. Nogsteeds niet netjes, maar wel een ander caliber.

Aan de andere kant, zou dit alles niet nodig zijn als je in je sponsordeal zet dat je club een bericht van de sponsor in de nieuwsbrief zet. Leden bereikt, data niet doorgegeven. De nood voor verkoop snap ik daarmee ook meteen niet meer, en daarmee het gerechtvaardigd belang ook niet...

[Reactie gewijzigd door Cambionn op 4 oktober 2024 23:23]

Frame164 @Powerblast4 oktober 2024 22:15
Bol kan met de gegevens die ze hebben hetzelfde doen als wat een stenen winkelier kan doen: als deze meer gegevens van een klant heeft kan hij de klant helpen met de aankoop van 1 of meerdere producten.
Cambionn @Frame1644 oktober 2024 23:04
hetzelfde doen als wat een stenen winkelier kan doen: als deze meer gegevens van een klant heeft kan hij de klant helpen met de aankoop van 1 of meerdere producten.
Maar die bewording is ook weer vaag. Want dan kun je wachten op de beargumenteering dat een gepersonaliseerde advertentie "helpt met aankopen" omdat het gepersonaliseerd producten aanraad, net zoals een verkoper in een winkel kan (die types die upsells en marges belangrijker vinden dan de wensen van de klant) :+ .
magician2000 @Powerblast5 oktober 2024 20:26
Ik ben het er niet mee eens dat het gerechtvaardigd is dat bol.com deze gegevens gebruikt. Maar dat is los van het wettelijke.

Een opt-in in plaats van een opt-out zou al heel erg veel oplossen. Ik denk niet dat veel mensen voor de opt-in kiezen, als is het alleen maar omdat het extra werk is.
EfBe @Powerblast5 oktober 2024 08:28
In jouw voorbeeld vind ik bol.com gerechtvaardigd want ze leveren jou een dienst/pakketje.
Wat is dat voor kromme redenering! bol.com levert een dienst *omdat* daarvoor betaald is, en heeft helemaal geen recht verder om iets te doen met die gegevens. Ze hebben alleen de persoonsgegevens van de klant om het pakketje te bezorgen.

Dat het in bol.com's belang is om die gegevens door te verkopen is leuk voor bol.com, maar dat zou alleen mogen wanneer de persoon in kwestie die de spullen bij bol.com heeft gekocht daarvoor toestemming heeft gegeven.

Het is werkelijk van de zotte dat het OK is dat wanneer je voor toepassing A je gegevens achterlaat (bv bezorging pakket) die gegevens dan door worden verkocht voor toepassing B en verder.

Want 1 ding gaat het Europese hof aan voorbij: die gegevens lossen niet op na de verkoop, die kunnen weer worden doorverkocht door de koper, samengevoegd worden met andere databases en zo betere profielen opleveren voor nog directere marketing. Daarom is het erg belangrijk dat je als persoon de controle houdt over wat er met je gegevens gebeurt: eenmaal verkocht zijn ze uit het zicht en ben je ze voor altijd kwijt.
Powerblast @EfBe5 oktober 2024 10:01
Bol.com heeft naar mijn mening inderdaad het recht om de gegevens te gebruiken om jou de dienst te leveren. Niet om door te verkopen, heb ik ook nergens gezegd.
blorf @Powerblast5 oktober 2024 10:39
Komt dat niet een beetje neer op een zoekopdracht voor je maken op basis van persoonlijke informatie? Dat hoeft de winkelier voor mij niet te doen, hoor.
Dit is helemaal geen "dienst leveren" maar gewoon je informatie exploiteren bij derden.
Powerblast @blorf5 oktober 2024 10:41
Ik ben waarschijnlijk te vaag met "dienst leveren". Maar wat ik in het geval van bol.com bedoel is: bestellen, betalen, pakket leveren en klaar. Info die ze daar voor nodig hebben, mogen ze gebruiken in mijn ogen. Dus je naam, adres en dergelijke voor de verzending en wettelijk een factuur te kunnen sturen.

[Reactie gewijzigd door Powerblast op 5 oktober 2024 10:42]

blorf @Powerblast5 oktober 2024 10:47
Gebruiken voor iets anders dan de verzending? En dat dan buiten de organisatie?
Powerblast @blorf5 oktober 2024 10:49
Betaling bijvoorbeeld. Er zijn weinig bedrijven die hun eigen betalingen verwerken. Dat gebeurt allemaal met externe payment processors.
blorf @Powerblast5 oktober 2024 10:51
|:(
Powerblast @blorf5 oktober 2024 10:53
Ik snap je reactie niet, maar ik zal wel wat missen. Waar het mij over gaat is wat is het minimum dat er nodig is. Krijg ik het product ook geleverd en betaalt zonder reclame? Jazeker, dan is dat niet nodig dus. Krijg ik het geleverd zonder koerierdienst die weet waar ik woon? Nee, dan is dat dus minimum nodig.

Ik zeg verder ook nergens dat iedereen alle gegevens moet gedeeld krijgen.
blorf @Powerblast5 oktober 2024 10:58
Dit bericht gaat over het verhandelen van gegevens aan derden. Niet over het opslaan en verwerken van gegevens omdat die nodig zijn voor de verkoop. Zo ver was iedereen wel, vermoed ik.
Elorad @Powerblast5 oktober 2024 08:53
Maar dan zijn vrees ik alle reclame bureau's out of business
Nou, persoonlijk vind ik dat de wereld daar een stukje beter van zou worden. En voordat mensen met het argument komen dat dan dingen duurder worden, ja dat geloof ik wel en dat vind ik niet erg. Echter, advertentie verkopen leveren zoveel meer op dan de extra opbrengsten van mensen die betalen voor een dienst (naast dat het makkelijker is), dat het overgrote deel van de bedrijven die optie niet aanbieden (of nog erger, in eerste instantie wel en als er dan teveel mensen gebruik van maken, alsnog reclames door je strot duwen. Ik kijk naar jou youtube premium)

[Reactie gewijzigd door Elorad op 5 oktober 2024 08:54]

HuisRocker @Elorad5 oktober 2024 10:39
Producten duurder door minder reclame bureaus? Reclame bureau's zijn niet gratis, en als ze al 'extra winst opleveren' gaat dit tegenwoordig voor +/- 99% -100% ;) naar aandeelhouders en zeker niet naar een (veel) goedkoper product!
Powerblast @Elorad5 oktober 2024 10:43
Dat bijvoorbeeld een Google (zeker in het begin) gratis kon blijven zegt genoeg hoeveel geld ads eigenlijk opbrengen. Denk dat je daar meer aan verdiend dan daadwerkelijk een dienst/product te leveren.
Coolstart @Powerblast5 oktober 2024 07:26
Eerst we wetgeving lezen aub alvorens foutieve informatie te verspreiden. Ze mogen een ander bureau vragen om een marketing mail te versturen met inhoud die vergelijkbaar is met uw vorige aankoop. Daarmee verkopen ze uw gegevens niet maar gebruiken ze voor eigen belang. Voor een breder gebruik heb je toestemming nodig van de gebruiker.

Je kan de gegevens wel verkopen. Ik heb dat zelf al gedaan maar de leden waren op de hoogte omdat we zo de diensten gratis kunnen houden. Dat staat ook in de algemene voorwaarden een privacy policy. Dan is er niets aan de hand en zeker tijdens corona was dat de enige manier om niet overkop te gaan.

Er was wel een anonieme laag waarbij externe tegen betaling marketing mails kunnen sturen. Ze kunnen dan doelgroepen selecteren (bijv vrouw, 20-30 jaar met interesse in zwemmen) en mensen aanspreken met hun voornaam zonder dat de sponsor of derde partij de persoonsgegeven zelf kan inzien.

Een ander probleem is eerlijke concurrentie. Bol is bekend en kan bijv op TV adverteren maar kleinere zaken hebben ook de mogelijkheid nodig om te kunnen adverteren op kleine maar specifieke doelgroepen om een bestaansrecht te hebben.
Powerblast @Coolstart5 oktober 2024 10:04
En daar het naar mijn mening al mis, ik heb helemaal niet gevraagd om mails te krijgen over soortgelijke producten. Ik koop product A en heb geen boodschap aan X, Y en Z. Als ze mij soortgelijke producten willen aangeven, dan mag dat gerust via de website want daar heb je dan voor cookies gekozen. Maar niet door mijn emailadres door te geven.
Coolstart @Powerblast5 oktober 2024 10:49
In een klantenrelatie mag er meer. Best alles via opt-in zodat er geen AVG discussie ontstaat. De meeste bedrijven hebben uitvoerige opt-in instellingen. Omdat klanten dat wensen. Dus zoveel gaat dat niet ‘mis’. Sowieso moet er een opt-out zijn.
Quintiemero @Coolstart5 oktober 2024 11:40
Allemaal mooi en aardig, maar die situatie is gereguleerd onder de e privacyrichtlijn, oftewel, telecommunicatiewrt in NL. je mag mails sturen omtrent vergelijkbare producten of dienstem. Daar heeft de AVG niks mee te maken.
bytemaster460 @Powerblast6 oktober 2024 22:12
Zo werkt gerechtvaardigd belang niet. Als jij bij Bol een artikel bestelt geef je Bol expliciet toestemming om je gegevens te verwerken om de bestelling te kunnen uitvoeren. Gerechtvaardigd belang is juist bedoeld voor gevallen wanneer er geen expliciete toestemming bestaat en een bedrijf of instantie de persoonsgegevens toch mag delen met een ander bedrijf of instantie.
Een goed voorbeeld is een ziekenhuis dat in geval van nood de gegevens van een familielid moet kunnen opvragen.
amigob2 @ComputerGekkie4 oktober 2024 23:12
Ik zie een mooie business case voor google
Advies verstrekken aan zorg verzekeraars, op risico voor het verstrekken van aanvullende verzekeringen.
Google kan van heel veel mensen zo een risico profiel perfect maken.

Nog 1 ,tandarts die risico profiel verkoopt voor aanvullende tand verzekeringen.

ik zie geen verschil met wat het Europese hof hier toestaat

[Reactie gewijzigd door amigob2 op 4 oktober 2024 23:22]

lenwar
@amigob25 oktober 2024 07:16
Jij ziet geen verschil tussen een medisch risicoprofiel voor zorgverzekeraars en NAW/telefoon/geboortedatum-gegevens voor direct marketing? 🧐

We hebben het hier over een sportbond die data verkocht aan sponsoren die, die data gebruiken om mensen te benaderen voor een verkooppraatje of een geadresseerde reclamefolder hè?
Dat is toch heel wat anders dan medische dataprofielen voor zorgverzekeraars?

Begrijp me niet verkeerd hè? Ik vind het een walgelijke manier van zaken doen. Zeker het excuus van de sportbond, dat dit een toegevoegde waarde zou zijn van het lid zijn van een bond. (Waar mensen verplicht lid van zijn, tegen een betaling, omdat ze een paar potjes veldtennis willen spelen.)
amigob2 @lenwar5 oktober 2024 08:23
je denkt te ver na over risico profiel. Een
risico 0 tot risico 10 of we weten het niet helpt de verzekering al heel veel om mensen die veel kosten die extra verzekering niet te geven.
laptopleon @amigob25 oktober 2024 11:55
cc @lenwar
Een verzekeraar mag klanten niet zomaar weigeren of een andere prijs rekenen cq discrimineren, ook niet op basis van of (potentiële) klanten lid zijn van een sportvereniging en een tandarts mag sowieso geen patiëntengegevens verkopen.

Tandarts- en andere bijverzekeringen zijn vrijwel nooit een kostenbesparing dus ik zou me daar heel goed in verdiepen voor ik die zou nemen, maar dat is weer een andere discussie.
bytemaster460 @amigob25 oktober 2024 13:11
Dan snap je de uitspraak niet helemaal. Het Hof oordeelt niet dat dit gerechtvaardigd is. Het Hof stelt alleen dat een commercieel belang een gerechtvaardigd belang KAN zijn. De AP oordeelde dat dat nooit kan. Of het in specifieke gevallen dan ook gerechtvaardigd is hangt weer af van de wet of het oordeel van een rechter. De wet verbiedt expliciet een situatie die jij schetst.
Kevinp @ComputerGekkie5 oktober 2024 08:41
In het geval van de Knltb is het lastig. Ik denk namelijk dat het niet aan de Knltb is om dat te bepalen, maar aan de leden of dit belang te rechtvaardigen is.

Als AP zou ik de boete dan ook gewoon laten staan.

Het is meer werk voor de AP. Maar dat wil niet zeggen dat ze geen gelijk hebben.
bytemaster460 @Kevinp5 oktober 2024 13:13
Dat hangt er vanaf hoe de interne beslisstructuur van de KNLTB is. Het kan zijn dat dit soort dingen niet door een ledenvergadering worden besloten.
jmvdkolk @ComputerGekkie5 oktober 2024 09:55
Enigzins off topic, maar wel over gerechtvaardigd belang. Dit is waarom ik bij cookies altijd ook de gerechtvaardig belang cookies uit wil hebben. De definitie van gerechtvaardigd belang is vaag, en zelden tot nooit in mijn belang. Bij cookies kan je daar nog moeite voor doen. Maar hier bij de knltb heb je maar één keuze: geen lid worden en dus b.v. geen tennis competitie kunnen spelen.
bytemaster460 @jmvdkolk5 oktober 2024 13:15
Op welke site wordt dan gevraagd om cookies te accepteren voor een gerechtvaardigd belang? Gerechtvaardigd belang kenmerkt zich juist door het feit dat er geen expliciete toestemming nodig is om gegevens te delen met derden. Als je toestemming vraag voor gerechtvaardigd belang heb je dus expliciete toestemming en hoef je het niet onder gerechtvaardigd belang te scharen.
jmvdkolk @bytemaster4605 oktober 2024 22:18
B.v. Buienalarm en Buienradar hadden dat. Ik weet niet of ze het nog hebben. Ik heb tegenwoordig Consent-O-Matic die bij de meeste sites automatisch het meeste weigert. Ik zie het nu vooral nog bij apps op de mobiel. Als de "Weiger alles" knop ontbreekt, dan moet je soms hele lijsten met externe partijen afgaan waarbij per externe partij een verschil gemaakt wordt tussen "gerechtvaardigd belang" en "gewone" cookies. Dat zijn er soms honderden. Heb jij dat nog nooit gezien?
bytemaster460 @jmvdkolk5 oktober 2024 22:26
Ik zie wel allerlei opties voor cookies maar gerechtvaardigd belang zie ik daar nooit tussenstaan. Zoals gezegd is gerechtvaardigd belang juist in de wet opgenomen voor gevallen waarbij je geen expliciete toestemming verkregen hebt. Toestemming vragen voor gerechtvaardigd belang is nonsens. Als je toestemming hebt verkregen is het geen gerechtvaardigd belang meer.
jmvdkolk @bytemaster4606 oktober 2024 11:48
Ik heb net een voorbeeld gezocht en gevonden. Neem de app Woord Snack. Die maakt bij de gegevensvoorkeuren een verschil tussen "Toestemming" en "Gerechtvaardigd belang". Voor gegevens gebruiken om advertenties te selecteren zijn er 75 leveranciers waarvoor toestemming wordt gevraagd, en 34 leveranciers met gerechtvaardigd belang. Deze app heeft een paar honderd categoriën. Als ik alle "Gerechtvaardigd belang" uitzet, dan sluit de app zich overigens vanzelf af.

Deze app is een voorbeeld. Dit ben ik vaker tegen gekomen. Hoe dit juridisch werkt, geen idee. Ik weet wel dat ik niet wil dat ze mijn gegevens met andere partijen delen, gerechtvaardigd of niet.
bytemaster460 @jmvdkolk6 oktober 2024 13:51
Ik denk dat de app-makers zelf dan niet heel goed op de hoogte zijn wat gerechtvaardigd belang nu precies inhoudt.
Dat je niet wil dat je gegevens gedeeld worden snap ik, maar bij een gerechtvaardigd belang mogen ze dat juist wel doen zonder je toestemming. Ik hoop wel dat de Europese Commissie de wet aanpast zodat er wel duidelijkere beperkingen voor commerciële doeleinden in worden vastgelegd. M.i. is een gerechtvaardigd belang iets voor bijv. ziekenhuizen die in geval van nood persoonsgegevens mogen delen.
jmvdkolk @bytemaster4606 oktober 2024 15:55
Jouw voorbeeld van een ziekenhuis snap ik helemaal!

Ik denk inderdaad dat veel partijen het niet helemaal snappen. Als een partij "gerechtvaardigd belang" aangeeft, ben ik in ieder geval extra op mijn hoede.
Lilibet @bytemaster4607 oktober 2024 16:12
Die laatste is al toegestaan in een eigen grondslag: 'vitaal belang'. Gerechtvaardigde belangen zijn belangen die niet onder een van de andere grondslagen vallen.
bytemaster460 @Lilibet7 oktober 2024 19:43
Klopt, maar er zijn in een ziekenhuis ook zaken van niet vitaal belang die wel heel belangrijk zijn en die vallen wel onder het gerechtvaardigd belang. Bijv. het vastleggen van familieleden in een stamboom t.b.v. genetisch onderzoek.
Chrono Trigger @ComputerGekkie5 oktober 2024 10:33
Ik huil voor de mensheid. Sjonge jonge wat loopt lopen ze ver achter bij het Europese Hof. Dacht dat we konden rekenen op rugdekking, maar nu is het hek wellicht van de dam.
bytemaster460 @Chrono Trigger5 oktober 2024 13:17
Dat is onzin. Het Hof moet zich houden aan de wet. Aangezien de wet niet specificeert wat er wel en niet onder gerechtvaardigd belang verstaan kan worden doet het Hof er een uitspraak over op basis van de wet. Als we vinden dat het veranderd moet worden is dat een taak van het Europees parlement en de Europese commissie. Heeft niets te maken met achterlopen door het Hof.
Chrono Trigger @bytemaster4605 oktober 2024 13:40
Je zegt dat ze een uitspraak moeten doen o.b.v. de wet terwijl je tegelijkertijd zegt dat dit de niet is gespecificeerd in de wet. Daarmee wordt het dus een inschatting. Vervolgens is het als wij er iets van vinden dat het via het parlement moet worden bewerkstelligd.
bytemaster460 @Chrono Trigger5 oktober 2024 19:54
Het zijn twee verschillende dingen. Het Hof oordeelt dat het gerechtvaardigd belang in de wet niet beperkt is tot bepaalde doelen waardoor een commercieel doel dus een gerechtvaardigd belang KAN zijn. Of het specifieke geval onder een gerechtvaardigd belang kan vallen, daar doet het Hof geen uitspraak over en verwijst dat terug naar de rechtbank. Het kan zijn dat de rechtbank er wederom niet uitkomt.
mjtdevries @bytemaster4607 oktober 2024 16:20
Maar de rechtbank had juist toelichting gevraagd van het Hof omdat ze er zelf niet uit komt of dit specifieke geval onder een gerechtvaardigd belang kan vallen.

Het hof heeft echter op geen enkele manier enige toelichting of duidelijkheid gegeven. Ze hebben gewoon stukjes van de wet gekopieerd en geplakt tot een lange volzin waar je niks mee kunt. Stukjes die de rechtbank zelf al had verzameld en aangeleverd.

Dit is echt een gigantische verspilling van tijd en geld geweest.

De rechtbank had specifiek de volgende drie vragen:
„1) Hoe dient de rechtbank de term ‚gerechtvaardigd belang’ [in de zin van artikel 6, lid 1, eerste alinea, onder f), AVG] uit te leggen?

2) Dient die term te worden uitgelegd zoals verweerder dat uitlegt? Zijn dat uitsluitend tot de wet behorende, wet zijnde, in een wet vastgestelde belangen? Of;

3) Kan elk belang een gerechtvaardigd belang zijn, mits dat belang niet in strijd is met de wet? Meer specifiek gesteld: is een zuiver commercieel belang en het belang zoals hier aan [de] orde, het verstrekken van persoonsgegevens tegen betaling zonder toestemming van de betreffende persoon, onder omstandigheden aan te merken als een gerechtvaardigd belang? Zo ja, welke omstandigheden bepalen of een zuiver commercieel belang een gerechtvaardigd belang is?”
Op vraag 1 is geen antwoord gegeven.
Op vraag 2 is wel antwoord gegeven. Het is niet per definitie verboden om commerciele belangen te gebruiken als gerechtvaardigd belang. Dus verweerder (AP) had ongelijk.
Op vraag 3 is ook geen antwoord gegeven. In ieder geval niet op de belangrijkste zin: welke omstandigheden bepalen of een zuiver commercieel belang een gerechtvaardigd belang is.

Eigenlijk zegt het hof tegen de rechtbank: Lees gewoon de AVG, daar staat het allemaal in. Maar wij gaan geen uitleg geven.

[Reactie gewijzigd door mjtdevries op 7 oktober 2024 16:21]

eric.1 @ComputerGekkie5 oktober 2024 10:53
Volgens mij leggen ze het al goed uit in dit artikel?
In het geval van de Knltb zou de bond haar leden eerst op de hoogte moeten brengen voordat het tot verkoop overgaat. Op die manier blijven leden de controle over hun gegevens houden.

...

De rechter zou daarbij specifiek moeten kijken of de leden bij opgave hadden kunnen weten dat hun gegevens werden verkocht.
Het is zo te lezen absoluut niet de bedoeling dat dit gebeurt zonder medeweten van de gebruikers in kwestie. En wanneer de informatievoorziening hierover voldoende is, zal niet vast staan. Via andere kanalen informatie scrapen en vervolgens verkopen is een hele andere use-case.
webhalla @eric.16 oktober 2024 01:00
Mij steekt dat er staat: “informeren” door de bond en “controle houden over persoonsgegevens” door betrokkene. Betekend dat eigenlijk dat de tenniss(t)er toestemming moet geven (artikel 6.1.a) voordat de gegevens verstrekt worden aan derden of constant bezwaar moet blijven maken bij deze (commerciële) verwerkingen? In het geval van toestemming is de grondslag gerechtvaardigd belang (6.1.f) niet meer van toepassing.

Het rare is dat wanneer de knltb informeert dat ze de gegevens delen (privacy statement), er geen andere tennisbond is waarbij je voor kan kiezen om je bij aan te sluiten. Zou je vanwege privacyoverwegingen een andere sport moeten gaan kiezen die waarvan de bond deze voorwaarden niet heeft?

Ben benieuwd naar de uitspraak van de Nederlandse rechter en of deze niet weer om nadere duiding van het cjeu gaat vragen.

[Reactie gewijzigd door webhalla op 6 oktober 2024 01:09]

MallePietje @ComputerGekkie5 oktober 2024 14:18
Waar ligt dan de grens van gerechtvaardigd belang?
Het punt lijkt juist dat hier geen duidelijkheid over is. Dus het is ook niet mogelijk direct marketing altijd uit te sluiten.

Er is wel iets over te zeggen, maar dat blijft vaag.
  • Heb je überhaupt een belang bij de verwerking? Dat lijkt bij direct marketing misschien wel het geval. Hoewel je misschien vaak ook wel met algemene marketing uitingen toe kunt.
  • Heb je de gegevens nodig om het doel te bereiken? Hier wordt het al onduidelijk. Welke gegevens heb je echt nodig voor de direct marketing?
  • Weegt jouw belang zwaarder dan die van de betrokkene? Hier wordt het echt onduidelijk. Als je van plan bent medische gegevens te gebruiken om een dienst aan te bieden, zal dat waarschijnlijk niet het geval zijn. Maar het verwerken van een emailadres en een woonplaats om iemand te wijzen op een lokaal evenement, kan misschien wel.
honey 5 oktober 2024 09:43
Volgens onze juristen mogen onder de AVG persoonlijke gegevens zonder toestemming worden gebruikt en doorgegeven aan derden, mits er een (gerechtvaardigd) belang is voor de betrokken persoon zelf. Alleen dan is dit toegestaan, anders niet.

Als de verkoop van de gegevens aan de KNLTB directe voordelen oplevert voor de personen van wie de gegevens zijn, én je zou mogen aannemen dat zij hiervoor toestemming hadden gegeven, dan zou het gebruik mogelijk geoorloofd zijn. Maar, op basis van het stuk lijkt de KNLTB niet in staat om uit te leggen wat dat gerechtvaardigd belang zou zijn.

Dit is een zeer vreemde uitspraak van het hof; ik zie hierin een andere interpretatie van de AVG die de deur opent voor misbruik. Misschien wordt het in het verslag van het hof anders gepresenteerd?
R4gnax
@honey5 oktober 2024 12:10
Volgens onze juristen mogen onder de AVG persoonlijke gegevens zonder toestemming worden gebruikt en doorgegeven aan derden, mits er een (gerechtvaardigd) belang is voor de betrokken persoon zelf. Alleen dan is dit toegestaan, anders niet.
Dan zou het verstanding zijn jullie juristen op straat te zetten en anderen in de arm te nemen.
Er staat namelijk letterlijk in overweging 47 van de AVG dat het een gerechtvaardigd belang van de verwerkingsverantwoordelijke zelf is.
Er staat nota bene letterlijk in deze overweging: "De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang."
(In die zin was de AP met hun hard-liner interpretatie dan dus ook (letterlijk!) per definitie al bij voorbaat totaal kansloos.)

Er is wel een andere verwerkingsgrondslag die over de belangen van de betrokkene gaat, maar dat is de grondslag voor een vitaal belang - een belang om gegevens te verwerken die noodzakelijk zijn om het leven van de betrokkene (of een derde partij) te beschermen.

Die laatste is wat er o.a. gebruikt wordt om ongeacht wat voor keuzes je gemaakt hebt inzake het delen van jouw gegevens middels elektronische patientendossiers, die gegevens zsm opgevraagd te krijgen als het helemaal fout gaat en jij bij de spoedeisende hulp binnengerold wordt.

[Reactie gewijzigd door R4gnax op 5 oktober 2024 12:15]

honey @R4gnax5 oktober 2024 17:48
Wij werken met bijzondere (medische) gegevens, dus het zal daarvoor anders zijn. Persoonlijk vind ik het bijzonder dat een instantie/bedrijf zelf mag bepalen wanneer het een gerechtvaardigdbelang is. Dan had je de hele AVG ook niet hoeven bedenken.
fenrirs @honey5 oktober 2024 10:30
Hoezo anders? Als knltb aangerft dat door het verkopen van data de contributie lager wordt dan is dat onder deze uitspraak een gerechtvaardigd belang. Ik vrees voor knltb dat dat echter niet het geval zal zijn
kodak
@honey5 oktober 2024 12:43
Er was al veel misbruik mogelijk, dat is waarom er een toezichthouder is.

Het hof maakt alleen duidelijk dat de toezichthouder niet strenger mag zijn dan de wetgever als bedoeling heeft. Maar dat wijzigt er niets aan dat de verwerkers tal van plichten hebben om na te leven en zo de rechtvaardiging voor de betrokken personen moet blijken.
SirBlade 4 oktober 2024 21:28
Zijn er gevolgen voor het AP voor het steeds te streng interpreteren van de wet? Anders bestaat de kans dat ze het gewoon blijven doen en moeten slachtoffers van dat beleid steeds doorprocederen tot aan het Europees Hof van Justitie voor een rechtvaardige uitspraak.
AuteurTijsZonderH Nieuwscoördinator @SirBlade4 oktober 2024 21:50
In principe kan een rechter de AP per uitspraak terugfluiten, wat dus ook gebeurt. Ik heb Aleid Wolfsen hier overigens meerdere keren naar gevraagd, bv hier en hier

Kortgezegd vindt hij het juist goed: beter te streng straffen en teruggefloten worden, dan te soft en daarna niks meer kunnen. Bedenk ook dat hun boetes precedent scheppen: een keer zeggen 'ach joh, toe ook maar' betekent dat ieder bedrijf dat in de toekomst zo kan gaan doen.
Triblade_8472 @TijsZonderH4 oktober 2024 22:13
Lijkt mij geen goede denkrichting. Dat dachten ze bij de belastingdienst ook, beter te streng dan niet. En toen kwam het schandaal.

Het lijkt mij klip en klaar, jammer dat de EU daar dan niet duidelijk in is.
Zijn gegevens bedoeld voor een club? Dan blijven ze alleen daar. Punt.

Teken je specifiek een "contract" dat jou gegevens ondubbelzinnig ook verkocht mogen worden, bij wijze van betaling voor iets? Dan mag dat dan wel.
Dat is wat mij betreft gerechtvaardigd belang, want het is dan een betaalmiddel geworden. Iets van waarde waar wat tegenover staat.
Helium-3 @Triblade_84724 oktober 2024 22:29
Lijkt mij geen goede denkrichting. Dat dachten ze bij de belastingdienst ook, beter te streng dan niet. En toen kwam het schandaal.
Dat ging om levende wezens met gevoel, emotie, vlees en bloed. Daarin zou ik juist liever zeggen, per ongeluk een paar bevoordeeld dan per ongeluk een paar benadeeld.

Maar dit zijn ijskoude commerciële constructies die bestaan op papier - bedrijven. Die een belang hebben (geld maken) en dat moeten afwegen tegenover humaan handelen en mensevriendelijk handelen. Wat mij betreft moeten we daar inherent en consistent en pertinent kritisch en wantrouwend naar kijken.
Celebithil @Helium-35 oktober 2024 08:07
Voor commerciële BVs heb je gelijk. Maar deze boete ging naar een sportbond. Dus wat was het effect van deze boete? Contributie voor de leden wier privacy geschonden was ging 1.5 euro omhoog. Daar hebben die slachtoffers toch niets aan. In dit geval had het best een “Stop ermee, dit mag zo niet” zonder forse boete kunnen zijn.
Triblade_8472 @Helium-35 oktober 2024 09:09
Ook kleine eenmanszaken met een hardwerkende eigenaar van vlees en bloed? Moet daar ook keihard op gehamerd worden?

Gewoon doen wat de regels zijn, niet teveel en niet te weinig lijkt mij prima.
kodak
@Triblade_84725 oktober 2024 10:21
De overtredingen gaan meestal niet om duidelijk aan de regels houden. Bijvoorbeeld door het over doorgeven van gegevens te hebben, in plaats van duidelijk te zijn dat de gegevens doorverkocht worden. Bijvoorbeeld door niet duidelijk te rechtvaardigen dat de gegevens verkocht worden bij waarom klanten de gegevens verstrekken. Bijvoorbeeld door vaag te zijn waar de opkopers het precies voor gebruiken, in plaats van duidelijke grenzen te laten blijken aan de mogelijkheden na verkoop. Bijvoorbeeld door vaag te zijn over de controle op naleving van de grenzen als bescherming, in plaats van de plicht tot controle zelf duidelijk te behouden.
jochemd @Triblade_84724 oktober 2024 22:41
Lijkt mij geen goede denkrichting. Dat dachten ze bij de belastingdienst ook, beter te streng dan niet. En toen kwam het schandaal.
Daar zit een wezenlijk verschil tussen. Bij de Belastingdienst betreft het zaken van overheid vs. burger waarbij de overheid duidelijk machtiger is dan de burger. Als je dan te streng bent maak je een burger kapot, als je te soft bent heeft de overheid beperkte financiele schade.
Bij de AP gaat het om burger tegen bedrijf; als de AP te streng is heeft het bedrijf substantiele schade, maar als de AP te soft is heeft de brger substantiele schade.
Kevinp @Triblade_84725 oktober 2024 08:45
Dat is dus niet waar. Je moet gelijkwaardig straffen. Je zal als AP altijd te streng moeten zijn. Dat komt omdat je een organisatie hebt die geen rechter is. Die hebben we te veel in Nederland.

Een opsporingsinstantie snap ik. Maar zodra je straffen uit gaat delen moet er in mijn ogen altijd een rechter aan te pas komen. Let wel dat kan ook achteraf als de rechtszaak maar gratis is.
AWitteveen @Kevinp5 oktober 2024 11:15
Stel je nu voor om elke verkeersboete eerst aan de rechter voor te leggen? Onze rechtelijke macht is al ernstig overbelast.
Kevinp @AWitteveen5 oktober 2024 11:34
Een verkeersboete wordt door het OM gedaan. DE AP is een heel ander beest dan boetes/politie.
AWitteveen @Kevinp5 oktober 2024 13:06
Maar er zijn tientallen instanties zoals de AP. Als je al hun straffen eerst langs de rechter laat lopen kan je de rechtelijke macht gaan verdubbelen.

Vergeet niet dat deze organisatie zijn opgericht om te handhaven. Je mag er van uitgaan dat zij een weloverwogen beslissing nemen bij het opleggen van een staf. Waarbij zij echt wel binnen de kaders van de wet werken. Het probleem bij de AP is dat de wet breed is opgesteld en daardoor de kaders nog moeten worden vastgesteld. Dit gebeurt vooral door jurisprudentie.
SirBlade @TijsZonderH4 oktober 2024 22:09
We straffen je gewoon en alleen als je in staat bent 4 jaar lang te procederen kan je gerechtigheid krijgen. Dat zijn praktijken die je in Rusland ofzo verwacht, niet in de EU.
fastedje @SirBlade5 oktober 2024 09:23
Deze reaktie is ge-nult, maar er hier is wel een punt: bedrijven en organisaties hebben op juridisch vlak veel mogelijkheden om lang te procederen. Burgers hebben vaak niet het geld, inzicht en energie in jarenlang te procederen.
ronaldvr @fastedje5 oktober 2024 10:04
Dit gaat niet over personen maar juist over bedrijven en dan typisch ook bedrijven die graag de randen van de wet opzoeken.
Floort
@TijsZonderH4 oktober 2024 22:49
Misschien vind niet iedereen het onderscheid belangrijk, maar te streng straffen en straffen voor iets wat mag is niet hetzelfde.
CivLord
@TijsZonderH6 oktober 2024 08:18
Kortgezegd vindt hij het juist goed: beter te streng straffen en teruggefloten worden, dan te soft en daarna niks meer kunnen.
Daarom gaat hij zo graag achter overheidsorganisaties aan.
De AP oordeelt te streng en legt een hoge boete op. Vanwege de publieke opinie kan de overheidsorganisatie niet in bezwaar gaan en moet én de boete betalen waardoor budget dat voor de uitvoering nodig is kleiner wordt én ze moeten stoppen met een bepaalde verwerking van gegevens die die nodig is voor de uitvoering van hun wettelijke taak.
karstnl 4 oktober 2024 21:16
Zolang actief om een opt-in gevraagd wordt, prima. Enkel mededeling lijkt me toch te laag qua drempel.

Eigenlijk zou data van burgers in basis eigen zijn en blijven tenzij expliciet verkocht of afstand van gedaan.
jochemd @karstnl4 oktober 2024 22:08
Het Hof is dat niet met je eens:
41 (..) volgens artikel 13, lid 1, onder d), AVG aan de verwerkingsverantwoordelijke staat om bij een verwerking die is gebaseerd op artikel 6, lid 1, eerste alinea, onder f), van deze verordening, de betrokken persoon op het moment waarop persoonsgegevens bij hem worden verzameld, mee te delen welke gerechtvaardigde belangen worden nagestreefd
Oftewel, als bij het verzamelen duidelijk is aangegeven dat het doel direct marketing is, dan hoeft niet voor elke individuele direct marketing campagne toestemming gegeven te worden.

Ik kan me trouwens niet voorstellen dat de KNLTB dat kan bewijzen voor een tennisser die al 30 jaar lid is.

Daarnaast moet er dan nog steeds aan data minimalisatie gedaan worden. Ik kan me ook niet voorstellen dat de KNLTB dat gedaan heeft:
12 Bovendien heeft de KNLTB op 29 juni 2018 aan de NLO niet alleen de namen, adressen en woonplaatsen van zijn leden meegedeeld, maar ook de geboortedata, de telefoonnummers, de mobiele telefoonnummers en de e-mailadressen van deze leden, alsmede de namen van de tennisclubs waarbij zij waren aangesloten. De telefoonnummers werden meegedeeld met het oog op een belactie, in de context waarvan de NLO deze gegevens heeft doorgegeven aan de callcenters die zij daarvoor inzette.
Emailaddressen verstrekken voor een belactie? Geboortedatum in plaats van de dataset te beperken tot mensen van de gewenste leeftijd (ivm reclame voor gokken)?
jmvdkolk @jochemd5 oktober 2024 09:48
Oftewel, als bij het verzamelen duidelijk is aangegeven dat het doel direct marketing is, dan hoeft niet voor elke individuele direct marketing campagne toestemming gegeven te worden.
Betekent dit ook dat als ik lid wordt van een tennisvereniging, en daarmee van de knltb, dat mijn gegevens automatisch verkocht mogen worden? Is mijn enige keuze om dit te voorkomen, om geen lid te worden van een tennisvereniging?

Nog een vraag, op basis van deze quote uit het artikel:
Op die manier blijven leden de controle over hun gegevens houden.
Is de gedachte dat de leden controle hebben doordat ze het bestuur kunnen terugfluiten? Is dat geen utopie, dat de leden überhaupt de mogelijkheid hebben om een bestuur op dit punt terug te fluiten?
jochemd @jmvdkolk5 oktober 2024 15:35
Betekent dit ook dat als ik lid wordt van een tennisvereniging, en daarmee van de knltb, dat mijn gegevens automatisch verkocht mogen worden?
Dat is te absoluut. Als een sportvereniging op het moment van verstrekking van de gegevens (artikel 13 AVG) communiceert dat onderdeel van je lidmaatschap is dat je gegevens gebruikt worden voor direct marketing door derden is het niet per definitie verboden. De vereniging zal nog steeds aan alle andere eisen moeten voldoen.
Is mijn enige keuze om dit te voorkomen, om geen lid te worden van een tennisvereniging?
Dan moet je bezwaar maken. Het recht van bezwaar tegen direct marketing (artikel 21 AVG) kent geen uitzonderingen.
Is de gedachte dat de leden controle hebben doordat ze het bestuur kunnen terugfluiten? Is dat geen utopie, dat de leden überhaupt de mogelijkheid hebben om een bestuur op dit punt terug te fluiten?
De gedachte is dat mensen bezwaar maken.

Bezwaar maken en/of vragen of je data verwijderd kan worden moet je ook gewoon te pas en te onpas doen. Ik ken een privacy advocaat die zelfs op zijn business cards een verwijderverzoek heeft staan en die altijd overhandigd als hij uitcheckt in een hotel of bij een seminar ofzo.
jmvdkolk @jochemd5 oktober 2024 22:20
Ik ben bang dat de knltb die opties allemaal niet geeft. Je staat ofwel in het systeem, en je gegevens worden gedeeld, ofwel je staat niet in het systeem. De enige manier om niet in het systeem te staan is door geen lid te zijn. Ik vind tenminste nergens informatie dat knltb een opt-out mogelijkheid heeft voor leden die bezwaar maken. Heb jij dat wel ergens gevonden?
jochemd @jmvdkolk6 oktober 2024 11:08
Waarom zou je er afhankelijk van zijn of een organisatie die opties wel of niet geeft? De AVG geeft die optie. Als je geen zin hebt om de privacy pagina's van de knltb te lezen en de instructies te volgen kan je gewoon op de website van de AP de Voorbeeldbrief bezwaar direct marketing downloaden, invullen en opsturen? Dat zij vervolgens dat ergens in een systeem moeten verwerken en jou een brief terug moeten sturen om dat te bevestigen is toch hun probleem? Zorgen dat organisaties de administratieve lasten van een opt-out krijgen is juist een mooie stimulans om ze te bewegen over te stappen op opt-in.
jmvdkolk @jochemd6 oktober 2024 11:50
Ik wens degene die deze route wil gaan veel succes met de lange juridische weg. Heel leuk dat de AVG die optie geeft. De knltb geeft die optie niet, ook niet als jij die brief stuurt.
raro007 @karstnl4 oktober 2024 21:43
Het was alleen geen opt-in,wel werd er via de website en mail aangekondigd.
waardoor leden dat niet wilden maar als nog verkocht werd.
Dat is opt-in maar dan dat de schakelaar op toestaan staat en niet kan veranderen :+ .
Zolderopruiming 4 oktober 2024 21:25
Dat is behoorlijk beangstigend voor mensen die hun email adres aan jan en alleman die er om vraagt uit geeft.
Ik denk dat ik maar weers een een oude hobby op ga pakken om mensen met tijdelijk emailadressen te faciliteren tegen de kostprijs, daar zal wel behoefte aan zijn de komende jaren:)
Memori @Zolderopruiming4 oktober 2024 22:59
Firefox Relay
Simple Login

Deze diensten zijn ideaal. Tevens zou ik, waar dat kan, nooit je echte naam opgeven, en nooit je (primaire) telefoonnummer. Zo doe ik dat al jaren, en het bevalt me goed.
Powerblast @Memori4 oktober 2024 23:22
Als je een valse naam opgeeft bega je zelf een misdrijf volgens mij. Veel diensten hebben het ook letterlijk in de voorwaarden staan dat je de juiste contactinfo moet opgeven. Dus veel schiet je daar vrees ik niet mee op.

Ik hanteer drie verschillende emailadressen waarbij er eentje volledig vervangbaar is eens de spam teveel wordt. De twee andere en dan vooral de eerste hebben alleen familie en goeie vrienden
kimborntobewild @Powerblast5 oktober 2024 02:17
Veel diensten hebben het ook letterlijk in de voorwaarden staan dat je de juiste contactinfo moet opgeven.
Er kan zoveel in de voorwaarden staan. Alle voorwaarden moeten een wettelijke basis hebben. En veel voorwaarden (in het algemeen) hebben dat niet.
watercoolertje @kimborntobewild5 oktober 2024 10:16
Alle voorwaarden moeten een wettelijke basis hebben.
Wat moet dat 'wettelijke basis' inhouden volgens jou mbt voorwaarden?

Voorwaarden moeten wel binnen de wetten vallen, dus je kan geen voorwaarde hebben dat je iemand moet vermoorden als de wet zegt dat je niemand mag vermoorden.

[Reactie gewijzigd door watercoolertje op 5 oktober 2024 10:17]

mac1987 @kimborntobewild5 oktober 2024 22:25
Correctie: alle voorwaarden moeten binnen de regels van de wet blijven. Versimpeld gezegd: overheden mogen alleen wat er in de wet wordt aangegeven. Private (rechts)personen mogen alles wat niet door de wet wordt verboden. Je kunt in een private overeenkomst alles opnemen wat je wilt, zolang de wet daar niks over zegt. Valt een beding bijvoorbeeld onder de grijze lijst, dan kan deze via de rechter (onder voorwaarden) worden vernietigd. Valt deze onder de zwarte lijst, dan wordt deze als nietig (niet bestaand) beschouwd. Alle andere zaken mogen zolang er geen specifieke regel is die anders zegt.
Memori @Powerblast5 oktober 2024 00:21
Lijkt mij niet dat het een misdrijf is. Uiterst een schenning van de voorwaarden van het bedrijf, maar dan nog valt het niet te controleren. Uiteraard doe ik het niet voor diensten zoals internet/tv, aangezien de automatische incasso.
memphis @Zolderopruiming4 oktober 2024 22:39
In dit geval ligt het iets anders, de tennisbond heeft deze lijst aan emailadressen om ook met hun leden te communiceren (lijkt mij) en zal een tijdelijk email adres dat je normaal voor een registratie gebruikt niet gaan werken om op de hoogte te blijven. Maar hier eindigt het niet bij, hiermee wordt een weg naar een hoop ellende (reclame) open gezet.
klakkie.57th 4 oktober 2024 21:30
Dus nu gaat er case-per-case door een rechter moeten bepaald worden of het gerechtvaardigd is of niet. Particulieren hebben hebben helemaal niet de financiële middelen om dit te doen.

Dit is een trieste dag voor de privacy.

[Reactie gewijzigd door klakkie.57th op 4 oktober 2024 21:32]

R4gnax
@klakkie.57th4 oktober 2024 22:31
Nee hoor. Zo hard gaat het niet van stapel lopen.
Zoals het EU hof toelicht: verwerkingsverantwoordelijken zijn verplicht om betrokkenen bij verzamelen van hun gegevens mede te delen welke nevenbelangen zij gerechtvaardigd achten om deze gegevens naast het hoofddoel ook voor te gaan gebruiken.
Deze verplichting houdt o.a. ook de verplichting in de consument te herinneren a/h feit dat zij een recht van bezwaar hebben om bezwaar tegen zulke verwerkingen in te dienen, en de verplichting aan de consument om aan te geven hoe door de verantwoordelijke vorm gegeven wordt aan deze procedure.

En nu komt 'ie: in geval van een gerechtvaardigd belang gegevens te gebruiken voor direct marketing of profilering en profielopbouw die bedoeld is gebruikt te worden voor direct marketing, is er een wettelijke verplichting om onmiddelijk gehoor te geven aan zo'n bezwaar en verwerking te staken.

Effectief is het dus een opt-out constructie waarbij de verwerkingsverantwoordelijke bij wijze van van de daken moet schreeuwen dat ze viespeukerij aan het uithalen zijn; dat jij het recht hebt om daar 'nee' tegen te zeggen; n hoe jij hen dat kunt mededelen; en dat zij daar dan gehoor aan moeten geven.

Een heel erg harde opt-out, die zo veeleisend qua inlichten van de consument is, dat ze het net zo goed opt-in kunnen maken omdat ze anders geheid als schimmige datagraaier afgeschilderd gaan worden en hun reputatie naar de haaien gaat.

[Reactie gewijzigd door R4gnax op 4 oktober 2024 22:31]

bzuidgeest
@R4gnax4 oktober 2024 23:45
Het had gewoon bij wet opt in moeten zijn, scheelt een hoop gedoe
fastedje @bzuidgeest5 oktober 2024 09:25
Inderdaad: lidmaatschap met marketing korting of wat extra contributie zonder marketing.
bzuidgeest
@fastedje5 oktober 2024 09:33
Was daar niet recent een uitspraak over? Dat privacy een recht was en dat je er dus geen geld voor mag vragen, zoals in jouw suggestie, om het te krijgen?
kodak
@R4gnax5 oktober 2024 10:37
Het duidelijk zijn hoort bij wet vooraf gedaan te worden. Niet pas nadat men begonnen is. Er vooraf duidelijk over zijn is bedoeld dat de mogelijke klant daarop kan besluiten wel of niet de gegevens te verstrekken. Dat is opt-in. Geen verwerking tenzij de gegevens verstrekt zijn en aantoonbaar is dat de klant vooraf genoeg wist over de verkoop, belang, waarde, bescherming enz. Dat de klant achteraf zich kan bedenken is net zo goed onderdeel van de opt-in. Als verwerker mag je alleen verwerken zolang je de toestemming van de klant hebt, niet zomaar omdat je een meent duidelijk te zijn geweest.

[Reactie gewijzigd door kodak op 5 oktober 2024 10:40]

R4gnax
@kodak5 oktober 2024 11:56
Als verwerker mag je alleen verwerken zolang je de toestemming van de klant hebt, niet zomaar omdat je een meent duidelijk te zijn geweest.
Als verwerkingsverantwoordelijke mag je persoonsgegevens verwerken mits deze verwerking voldoet aan tenminste één van de mogelijke wettelijke grondslagen. Toestemming is er daar slechts één van.

Verwerkingen die noodzakelijk zijn om een contract uit te kunnen voeren zijn een andere.
Verwerkingen die noodzakelijk zijn om om aan wetgeving te voldoen zijn weer een andere.
En zo heb je er nog een paar; en "legitiem belang" / "gerechtvaardigd belang" is daar ook één van.

Als jij zo een belang meent te hebben en jij voldoet verder aan de informeringsplichten vloeiende uit artikel 12, of zoals jij het stelt: "omdat je meent duidelijk te zijn geweest" dan mag jij weldegelijk gegevens verwerken zonder ook nog eens aan de voorwaarden voor de grondslag toestemming te moeten voldoen.

[Reactie gewijzigd door R4gnax op 5 oktober 2024 11:58]

kodak
@R4gnax5 oktober 2024 15:07
Dat er meerdere grondslagen zijn wijzigt er niets aan dat het verwerken alleen mag als daaraan is voldaan. Dat is nog steeds het standaard niet mogen verwerken tenzij.

En een grondslag toepassen geeft niet zomaar mogelijkheid tot verwerken. Er zal in de meeste gevallen toch direct of indirect eerst een toestemming van de betrokken personen nodig om de gevens te verkrijgen. Uitzonderingen zijn eerder slechts van toepassing op bekende belangen, zoals wettelijke of maatschappelijke verantwoordelijkheid, die niet snel bij willekeurige bedrijven, organisaties of personen liggen. Een bedrijf of particuliere organisatie kan niet zomaar gegevens die men wettelijk voor andere doelen verkregen heeft voor nieuwe doelen gebruiken, de gegevens zijn immers alleen verstrekt voor de eerder bekende belangen. En zomaar gegevens verzamelen zonder dat duidelijk is dat er instemming is, zoals uit datalekken of louche bedrijven, gaat in tegen de eis dat de personen vanaf het begin controle horen te hebben. Dat is ook waarom er al enkele veroordelingen zijn voor te veel gegevens verzamelen met het doel om een onderliggend probleem duidelijk te maken. De gegevens horen dan eerder verwerkt te worden door daarvoor wettelijk aangewezen organisaties zoals de politie.
R4gnax
@kodak5 oktober 2024 15:31
Dat er meerdere grondslagen zijn wijzigt er niets aan dat het verwerken alleen mag als daaraan is voldaan. Dat is nog steeds het standaard niet mogen verwerken tenzij.

En een grondslag toepassen geeft niet zomaar mogelijkheid tot verwerken. Er zal in de meeste gevallen toch direct of indirect eerst een toestemming van de betrokken personen nodig om de gevens te verkrijgen. Uitzonderingen zijn eerder slechts van toepassing op bekende belangen, zoals wettelijke of maatschappelijke verantwoordelijkheid, die niet snel bij willekeurige bedrijven, organisaties of personen liggen. Een bedrijf of particuliere organisatie kan niet zomaar gegevens die men wettelijk voor andere doelen verkregen heeft voor nieuwe doelen gebruiken, de gegevens zijn immers alleen verstrekt voor de eerder bekende belangen. En zomaar gegevens verzamelen zonder dat duidelijk is dat er instemming is, zoals uit datalekken of louche bedrijven, gaat in tegen de eis dat de personen vanaf het begin controle horen te hebben. Dat is ook waarom er al enkele veroordelingen zijn voor te veel gegevens verzamelen met het doel om een onderliggend probleem duidelijk te maken. De gegevens horen dan eerder verwerkt te worden door daarvoor wettelijk aangewezen organisaties zoals de politie.
Als dat volgens jou de absolute geest van de wet is, mag je even uit gaan leggen waarom de AVG/GDPR Artikel 14 bevat, inzake informeringsplicht waar een verwerkingsverantwoordelijke besloten heeft om gegevens over een betrokkene onder een bepaalde grondslag te gaan verwerken, zonder dat deze gegevens door de betrokkene zelf verstrekt zijn.

[Reactie gewijzigd door R4gnax op 5 oktober 2024 15:32]

kodak
@R4gnax6 oktober 2024 13:52
Dat je moet informeren als je weet dat de betrokken persoon geen toestemming heeft gegeven is om zo veel mogelijk het principe in stand te houden dat de betrokken persoon controle over de gegevens heeft. De wetgever is zich er daarbij van bewust dat er nogal wat verwerkers zijn die het aan hun laars lappen aan de juiste grondslagen te voldoen.
R4gnax
@kodak6 oktober 2024 17:39
Dat je moet informeren als je weet dat de betrokken persoon geen toestemming heeft gegeven
Je moet sowieso informeren. Artikel 13 is van toepassing waar je wel direct de gegevens van de betrokkene ontvangt. Nee-- het is veel simpeler: er zijn andere wettelijke grondslagen zijn dan enkel toestemming, en toestemming is niet een noodzakelijkheid.
kodak
@R4gnax6 oktober 2024 22:11
Het simpele is dat de wetgever de strengere wetgeving heeft gemaakt met het doel om de personen altijd controle te geven, onder welke grondslag anderen ook menen te mogen verwerken. Het informeren is een verplichting controle aan de personen te geven, geen recht om daaruit maar een gebruik van een grondslag te rechtvaardigen. Dat rechtvaardigen moet op zich vooraf al genoeg bewezen zijn.
R4gnax
@kodak7 oktober 2024 19:24
Komen we terug op wat je eerder had geschreven:
Als verwerker mag je alleen verwerken zolang je de toestemming van de klant hebt, niet zomaar omdat je een meent duidelijk te zijn geweest.
En waar je nu dus jezelf tegenspreekt. Het mag weldegelijk zonder toestemming onder een andere grondslag. Alleen moet die grondslag te rechtvaardigen zijn, dwz je moet er ook wel echt aan voldoen.

[Reactie gewijzigd door R4gnax op 7 oktober 2024 19:25]

Frame164 @klakkie.57th4 oktober 2024 22:18
Nee hoor. Jouw interpretatie van de uitspraak is erg kort door de bocht.
latka @Frame1644 oktober 2024 22:29
Nou, op hoofdlijnen: ik schrijf me in om te tenissen en dus ik krijg vervolgens ongewenste reclame in de bus. Ik zie nul-komma-nul gerechtvaardigd belang bij het tussen het ontvangen van troep en tennis spelen. Dus ik zie de uitspraak ook als een stap terug in te tijd. Ben dan wel geen jurist, maar ben wel blij dat ik geen tennis speel...
bilgy_no1 @latka5 oktober 2024 01:04
Nog erger: je meldt je aan bij een tennisclub. Daarvoor lever je gegevens aan bij die club.

De club levert de gegevens vervolgens aan bij de KNLTB. En die gaat ermee aan de haal richting sponsors, waardoor je wordt lastig gevallen met reclame en ongewenste telefoontjes.

Walgelijk. Ik vind juist dat de AP nog strenger moet worden. Wat mij betreft wordt de wet verder aangescherpt met uitsluiting uit het begrip 'gerechtvaardigd belang' van alle reclamedoeleinden incl maar niet beperkt tot profilering. Alleen een opt-in zou het kunnen toestaan.
Kevinp @bilgy_no15 oktober 2024 08:47
Ik ken de statuten niet. Maar de kans is groot dat de tennisclub je MOET aanmelden volgens de statuten van de KNTLB.

Zoals ik hierboven beschrijf ik denk dat deze boete prima stand kan houden met wat toelichting.
Arnoud Engelfriet
@latka5 oktober 2024 09:28
Het belang is dat de bond geld nodig heeft, en de leden steeds tegen contributieverhogingen stemmen. Dat geld moet ergens vandaan komen, en adverteerders gericht reclame laten sturen is dan een inkomstenbron. Net zoals er reclame rond de velden staat en in het clubblad gesponsorde berichten staan.
IdleTime @Arnoud Engelfriet5 oktober 2024 13:36
Dus gerechtvaardigd belang is dat de bond geld nodig heeft? Bedoel je misschien dat de bond (het bestuur?) graag dingen wil waar deze geen geld voor heeft en de leden kennelijk geen geld voor over hebben? Is dat niet een erg ruime uiteg van gerechtvaardigd belang?
Arnoud Engelfriet
@IdleTime5 oktober 2024 17:03
Geld nodig hebben voor je bond is een belang, en een belang start de discussie. De vraag is dan met name, is dat belang belangrijk genoeg om op te wegen tegen de privacy van de mensen. Het gaat hier niet om rucksichtlose dataverkoop aan Jan en alleman, maar NAW-lijsten met interesseprofiel ("hoogopgeleid, man, 40-50", zulke dingen) verhuren aan mensen die daar plakjes dode boom heen willen sturen. En er is een opt-out. Ik moet zeggen dat ik wel ergere dingen heb zien gebeuren.
jigalvh @Arnoud Engelfriet6 oktober 2024 09:21
Ik moet zeggen dat ik wel ergere dingen heb zien gebeuren.
Dat is nog geen rechtvaardiging voor iets dat minder erg is.
bilgy_no1 @Arnoud Engelfriet5 oktober 2024 15:28
Sorry, maar reclameborden rond het veld, advertenties in het clubblad en reclame op de shirts maken op geen enkele manier inbreuk op de privacy rechten van de leden.

Dat is op geen enkele manier te vergelijken met het doorverkopen van persoonsgegevens uit het ledenbestand in het kader van de discussie over de opgelegde boete en deze uitspraak van het Hof.

En het gaat hier om een sportbond, niet de club zelf. Als je lid wordt van een tennisclub ben je nog niet direct een lid met stemrecht van de KNLTB (daar heb ik althans niets van gemerkt bij het aanmelden van mijn kind bij een tennisclub).

Er werd op geen enkele manier geïnformeerd over het delen van persoonsgegevens met de KNLTB, dus ook niet over de doeleinden van die gegevensverzameling, en ook was er geen enkele opt-in of opt-out tav doelgroep gerichte advertenties. De KNLTB zat hier gewoon hartstikke fout.
Quintiemero @klakkie.57th4 oktober 2024 23:24
Dat is bij de meeste HvJ zaken zo. Dat doet onzr Hoge Raad ook dm ‘terugverwijzen
‘ naar het gerechtshof. Zij dienen dan de feiten opnieuw te bekijken met uitleg van de HR.
lenwar
@klakkie.57th5 oktober 2024 07:42
Maar dat hoeven particulieren ook helemaal niet. Je moet als particulier je klacht indienen bij de verwerker.
Als die niet reageert bij de AP. En daarna bij de Europese versie.

Die laatste twee doen het juridische werk.
R4gnax
@lenwar5 oktober 2024 11:57
Je moet als particulier je klacht indienen bij de verwerker.
Bij de verwerkingsverantwoordelijke. Met de verwerkers heb jij als particulier niets van doen.
klakkie.57th @lenwar5 oktober 2024 12:47
Stap 1 … tuurlijk gaan ze biet reageren, ze zijn gesterkt door deze uitspraak
Stap 2 … heeft het AP voldoende mensen om iedere zaak te behandelen. ?

Door een tekort aan personeel en budget bij de AP krijgen datalekken nog te weinig opvolging. Van de 27.000 datalekken in 2019 leidde maar 0,3% tot onderzoek.

https://ecer.minbuza.nl/-...%2C3%25%20tot%20onderzoek.


Stap 3. …, je gaat dus zelf naar een locale rechtbank moeten stappen om het AP te verplichten je zaak alsnog te behandelen.


Deze zaak laat duidelijk zien dat het veel en veel te lang duurt, OPT-IN had naast totaalverbod de enig juiste oplossing geweest.

[Reactie gewijzigd door klakkie.57th op 5 oktober 2024 12:53]

Digivonity 5 oktober 2024 06:58
Dat tig partijen een gerechtvaardigd belang zeggen te hebben bij weten wat je op een website doet, zegt meer dan genoeg over wat voor façade de avg is als het op het web aankomt. En dan: "De AVG definieert niet wat een gerechtvaardig belang is; dat is aan verwerkers". Het lijkt me toch dat de eigenaar van de gegevens daar het laatste woord over moeten hebben. Die vinkjes in de cookie muur zouden standaard uit moeten staan in plaats van aan.
Arnoud Engelfriet
@Digivonity5 oktober 2024 09:26
Als je het laatste woord laat bij de betrokken personen, dan kom je uit bij toestemming. Dat is prima, maar die hadden we al als grondslag. Gerechtvaardigd belang is voor situaties waarin toestemming vragen niet redelijk is. Neem cameratoezicht, ik ga echt niet iedereen vragen om toestemming om ze te mogen filmen als ze mijn bedrijfspand betreden. En de inbrekers al helemaal niet. Het zou onzinnig zijn dat die het laatste woord mogen hebben over gefilmd worden.
kimborntobewild @Arnoud Engelfriet13 oktober 2024 12:55
Gerechtvaardigd belang is voor situaties waarin toestemming vragen niet redelijk is.
Dat kan zijn, maar zo wordt het in de praktijk zelden gebruikt.
Zolang dat ook maar voor een klein deel zo is, ben ik 100% faliekant tegen websites met hun 'gerechtvaardigd belang' cookies.
Powerblast 4 oktober 2024 21:28
Heb heel die verwoording "gerechtvaardigd belang" altijd al vreemd gevonden. Wie heeft dat eigenlijk uitgevonden? Daar kun je invullen wat je wil in principe. Ik heb het nodig om mijn reclame bureau business te laten draaien dus het is gerechtvaardigd :/. Vermoedelijk zit er wel meer achter, maar ik vind de verwoording alleen al een open deur.
lhuizing @Powerblast4 oktober 2024 22:39
Bij een gerechtvaardigd belang ben je wel altijd verplicht om dat te wegen tegen de belangen, fundamentele rechten en vrijheden van de betrokkenen en die mogen zich tegen dat belang verzetten. De wet is best ok op dit punt, want zonder deze optie wordt het wel erg lastig om gegevensverwerkingen te doen. Maar het is ook een wel erg makkelijk gebruikte optie. In de praktijk mag het van mij wel wat scherper op dit punt.
wild_dog @lhuizing5 oktober 2024 03:48
Hoezo is het moeilijk om gegevensverwerking te doen? Je gebruikt gewoon een van de andere grondslagen: toestemming.
lhuizing @wild_dog6 oktober 2024 22:27
Toestemming is aan strenge voorwaarden verbonden: er mag bijvoorbeeld geen druk op de betrokkene liggen om toestemming te geven en de toestemming moet ingetrokken kunnen worden, waarna de verwerking stopt. Dat is in veel gevallen niet zomaar te organiseren. Daarom werkt toestemming vaak niet als rechtsgrond.
lenwar
@wild_dog5 oktober 2024 07:36
Stel dat een bedrijf met zoveelduizend werknemers een evenement voor het personeel wilt regelen.

Daarvoor is het handig om wat data te weten. (Leeftijdsgroepen, geslacht, enz.) bijvoorbeeld als je als verassing cadeautjes wilt geven aan het eind van de dag, of denk aan inkopen van eten/drinken/enz.
Dan moet je dus bij de aanmelding van een
Leuk evenement allerlei gegevens vragen, die men ook nog is kan weigeren. Dat is toch niet handig?

Als je voor iedere scheet toestemming moet vragen kan dat echt heel erg belemmerend werken.
bzuidgeest
@lhuizing4 oktober 2024 23:44
Gegevens verwerken is niet hetzelfde als gegevens verkopen. Gegevens verwerken kan prima doorgaan als gegevens verkopen niet zou mogen.
lhuizing @bzuidgeest6 oktober 2024 22:25
Gegevens verkopen is altijd een verwerking. Niet iedere verwerking is gegevens verkopen.
Frame164 @Powerblast4 oktober 2024 22:16
Het is dan ook maar slechts 1 fragment uit de wet. Domweg opschrijven dat je een belang hebt is niet voldoende om het dan maar te mogen gebruiken.
bzuidgeest
4 oktober 2024 23:40
Dat hele gedoe over gerechtvaardigd belang was al bij het begin van duidelijk dat dit veel te vaag is. Je kan alles wel als een gerechtvaardigd belang wegzetten. De eu had gewoon veel duidelijker moeten zijn. Bijvoorbeeld geen doorverkoop van dat voor commerciële doelen of alleen met toestemming van je klanten. Dat had alles veel eenvoudiger gemaakt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq