Met de komst van de AVG moeten organisaties de rechtmatigheid van ál hun verwerkingen kunnen onderbouwen. Dat is nog niet zo eenvoudig, merkte ook een Nijmeegs zwembad.
In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht in de gehele Europese Unie. Inhoudelijk is er geen hele grote verandering ten opzichte van de Wet Bescherming Persoonsgegevens. Echter, de AVG vereist een veel betere verantwoording van gegevensverwerkingen. Zo moeten organisaties de rechtmatigheid van al hun verwerkingen kunnen onderbouwen. Dit is een hele klus, waar zij nog niet allemaal klaar voor zijn.
Onlangs begaf ik mij met handdoek en zwembroek onder de arm en een paar euro’s in de broekzak, naar het lokale zwembad. Ik kocht een enkel kaartje en kon mijn baantjes trekken. Wegens succes besloot ik een 12-badenkaart aan te schaffen. Toen ik een volgende keer in het zwembad daar om vroeg, kreeg ik het volgende formulier voorgelegd.
(Klik op illustratie voor vergroting)
Er knapte iets in mij. Beleefd gaf ik te kennen dat ik alleen een 12-badenkaart wilde en dat ik niet begreep waarom ik al deze persoonsgegevens moest verschaffen, terwijl een enkel kaartje zonder registratie gekocht kan worden. De medewerker aan de balie keek verstoord en herhaalde dat ik het formulier gewoon in moest vullen. Nogmaals vroeg ik om de reden, waarbij ik vermeldde dat ik aan mijn privacy gehecht ben. Toen werd me verteld dat de gegevens in de computer ingevoerd moeten worden omdat er anders geen meerbadenkaart voor mij gemaakt kan worden. Ik heb nog gevraagd naar de rechtsgrond voor deze gegevensverwerking, maar dat gaf geen doorbraak in het gesprek. Integendeel, ik ben onverrichterzake vertrokken, mede omdat de rij achter mij steeds langer werd.
Thuis aangekomen heb ik per e-mail contact opgenomen met de directeur van Sportfondsen Nijmegen. Ik heb daarbij mijn privé e-mailadres gebruikt – het ging immers om een privé bezoek aan het zwembad – en heb mijn professionele achtergrond en betrokkenheid bij gegevensbescherming niet vermeld. De directeur had mij online kunnen opzoeken, maar heeft dat volgens mij niet gedaan – of pas in een laat stadium. Ik heb de directeur vriendelijk gevraagd of hij mij uit wil leggen waarom al deze persoonsgegevens verplicht zijn bij de aanschaf van een 12-badenkaart.
Ik heb mijn verzoek op een zondagmiddag verstuurd en kreeg de dag erna voor negen uur ΄s ochtends al een uitgebreid antwoord, met maar liefst zes redenen. De klantvriendelijkheid van de directeur is indrukwekkend, maar zijn argumenten zijn minder overtuigend. Ik citeer ze letterlijk:
1. “Het systeem is zo ingericht dat het verkopen van een meerbadenkaart c.q. abonnement niet mogelijk is zonder het invoeren van de NAW gegevens. Dit is zo in het systeem ingevoerd om fraude met toegangskaarten te voorkomen.
2. Stel u vergeet uw kaart bij het zwembad bezoek. Wij kunnen u dan op basis van de ingevoerde gegevens op dat moment toch toegang verlenen.
3. Stel u verliest uw kaart. Wij kunnen dan aan de hand van de ingevoerde gegevens de kaart blokkeren en het aantal baden dat u nog te goed heeft overzetten op een nieuwe kaart.
4. In heel bijzondere gevallen kunnen wij u informeren over het niet doorgaan van activiteiten.
5. U ontvangt een nieuwsbrief waarop u alle informatie vindt over uw favoriete zwembad. Indien u hier geen belangstelling voor hebt kunt u zich voor deze nieuwsbrief, na ontvangst van de eerste, afmelden.
6. Wij gebruiken de bezoekgegevens anoniem om te analyseren waar bezoekers vandaan komen en zo ons beleid af te stemmen op de beschikbare data. Deels worden de gegevens anoniem verwerkt in de verantwoording van de budgetsubsidie naar de Gemeente Nijmegen.”
Artikel 6
In mijn reactie heb ik mij iets formeler opgesteld, waarbij ik verwezen heb naar de AVG, in het bijzonder naar artikel 6. Daarin wordt gesteld dat de verwerking van gegevens alleen rechtmatig is als aan één van de aldaar genoemde voorwaarden is voldaan, zoals: toestemming voor specifieke doeleinden, of: noodzakelijkheid voor de uitvoering van een overeenkomst. In dat licht heb ik één-voor-één op de bovenstaande redenen gereageerd.
Over punt 1: “De inrichting van een systeem mag nooit een argument zijn voor de verwerking van gegevens. U draait de zaak om. Uw systeem moet zo ingericht zijn dat de verwerking van gegevens rechtmatig is.” Over punten 2 en 3: “U dient de bezoeker expliciet om toestemming te vragen om voor dit doel gegevens te verwerken. De bezoeker moet dat kunnen weigeren, en ook op ieder moment de gegeven toestemming weer in kunnen trekken. Ik persoonlijk zou hiervoor geen toestemming geven en neem zelf het risico dat ik terug naar huis moet om de kaart te halen.” Over 4 en 5: “dit zijn diensten waarvoor toestemming noodzakelijk is. Sterker nog, onder de AVG is een expliciete opt-in hiervoor vereist. U kunt opgave van een e-mailadres niet verplicht stellen om (reclame) informatie te sturen.” Tenslotte, over punt 6: “Ook voor deze verwerking zult u bezoekers moeten vragen of zij hun gegevens beschikbaar willen stellen voor zo’n onderzoek. U zult hierbij ook data-minimalisatie moeten toepassen, waarbij mogelijk een anoniem kaartnummer voldoende is om aantallen en/of tijdstippen bij te houden.”
De directeur had nog toegevoegd dat “wij met onze data volledig voldoen aan de wet” en dat de gegevens gebruikt worden als “service instrument naar onze klanten”. Ik heb geantwoord: “Ik concludeer dat uw verwerking van persoonsgegevens via het verplicht invullen het 12-baden-formulier onrechtmatig is. Ik raad u aan daarmee te stoppen. U loopt onder de AVG het risico van een forse boete.” En ook: “Het is mooi dat u uw klanten van dienst wil zijn, maar het is voor uw klanten ook prettig als u zich daarbij aan de wet houdt.”
Gewijzigde opstelling
Hierna voelde de zwembaddirecteur nattigheid. Ik vermoed dat in tweede instantie overleg met een jurist heeft plaatsgevonden, vooral vanwege de gewijzigde opstelling in de e-mail die ik een paar dagen later ontving: “Voor het verstrekken van de door u gevraagde meerbadenkaart hadden wij u niet naar uw NAW gegevens en uw mail adres moeten vragen want uw gegevens zijn voor dat doel niet noodzakelijk. Dit is ook niet de praktijk bij het verstekken van een eenmalig entree kaartje. Ik bied u dan ook mijn oprechte excuses voor de ontstane verwarring. Wij zijn onder meer bezig met het trainen van alle betrokken medewerkers om hen bewust te maken van de vereisten van de AVG en in hoeverre dit een afwijking met zich mee zal brengen voor de bestaande praktijk binnen Sportfondsen.”
De correctheid van de directeur is prijzenswaardig.
Het bovenstaande verhaal is waarschijnlijk herkenbaar, inclusief de verontrustende onbekendheid met de AVG. Het is gebruikelijk dat medewerkers in organisaties niet zomaar geld kunnen uitgeven en dat alleen mogen na voorafgaande aanvragen, begrotingen en goedkeuringen en met allerlei controles achteraf. De AVG vereist een vergelijkbare werkwijze met betrekking tot persoonsgegevens. Naast de gebruikelijke afdelingen Financiën zijn nieuwe afdelingen Persoonsgegevens nodig.
Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Zie voor meer informatie zijn persoonlijke webpagina.
Naschrift: de zwembaddirecteur heeft ingestemd met het gebruik van bovenstaande citaten en heeft deze blog vooraf ingezien.
Dank voor dit bruikbare artikel met een sprekend voorbeeld cq ervaring. Interessant ook voor mij als informatieadviseur om van te leren wanneer ik collega’s bijsta met raad en daad. Denk ook dat het voor bijvoorbeeld onderwijsinstellingen een behoorlijke inspanning vraagt aan de AVG te voldoen. Of is een inschrijving (en akkoord met de algemene voorwaarden) afdoende richting scholier/student?
Met de bedoelingen van de zwembaddirecteur is niet zoveel mis.
Het is de uitvoering die te wensen over laat.
Zie bijv. ook dejuristenamsterdam.nl/persoonsgegevens