ZBC Kennisbank

De AP meet met twee maten

 

Begin maart 2020 werden we verrast door een tweetal berichten in de media over inbreuk op de privacy. Enerzijds kreeg de tennisbond KNLTB een boete van meer dan een half miljoen voor de verkoop van gegevens van haar leden. Anderzijds bleek de Belastingdienst een zwarte lijst te gebruiken waarop 180.000 Nederlanders voorkomen.

Laten we even teruggaan naar de beleidsuitgangspunten die de Autoriteit Persoonsgegevens (AP) zelf zegt te hanteren. Ze geeft hierin aan dat zowel datahandel als de digitale overheid en de inzet van algoritmes focusgebieden zijn (zie ook ‘Meerjarenbeleid Autoriteit Persoonsgegevens schept duidelijkheid’), maar ook dat het toezicht risicogestuurd is. Dat laatste betekent dat de AP is gespitst op onderwerpen met een groot risico voor burgers. De AP weegt daarbij af om hoeveel data het gaat en hoe gevoelig die data zijn. We zullen eens toetsen of de AP haar eigen beleidsuitgangspunten daadwerkelijk hanteert.

Boete van een half miljoen voor de tennisbond

De Autoriteit Persoonsgegevens heeft tennisbond KNLTB een boete van € 525.000,- gegeven, omdat de bond persoonsgegevens verkocht aan twee sponsoren. Die sponsoren gebruikten de gegevens vervolgens om de leden van de bond te benaderen met reclameacties. Het is de eerste keer dat de AP een boete uitdeelt voor datahandel. Het gaat hier om sponsorcontracten uit 2018. De KNLTB heeft in dat jaar eerst een bestand met 50.000 adresgegevens verstrekt aan een sponsor. Later is er nog een bestand met gegevens van ruim 300.000 leden verstrekt aan een andere sponsor. In dit tweede geval ging het onder andere om telefoonnummers, e-mailadressen, adresgegevens en geboortedata.

Leden van de bond dienden destijds klachten in bij de AP. Later dat jaar verschenen er ook mediaberichten over de verkoop van persoonsgegevens door de tennisbond. Daarbij werd ook duidelijk dat de tennisbond niet de enige was die de data van zijn leden deelde met derde partijen. “Het gaat om een ernstige overtreding”, zegt een woordvoerder van de AP in een toelichting op de boete voor de tennisbond. “Er zijn veel mensen bij betrokken. We hebben veel signalen gehad van bezorgde leden en er was de nodige maatschappelijke ophef over deze zaak.”

De AP wijst erop dat persoonsgegevens alleen verzameld en doorgegeven mogen worden als daar een grondslag voor is. Toestemming is er daar één van, maar die ontbrak in dit geval. De KNLTB kreeg voor het verstrekken van persoonsgegevens weliswaar toestemming van de ledenvergadering. Maar dat is niet genoeg volgens de AP. Er is toestemming nodig van elk individueel lid van de bond.

KNLTB verzet zich tegen boete

De tennisbond is het niet eens met de boete en tekent bezwaar aan. De bond kreeg toestemming van de ledenraad voor het verkopen van de gegevens. “Leden zijn van tevoren uitvoerig geïnformeerd en konden zich afmelden”, zegt KNLTB-directeur Robert Jan Schumacher. Daarmee zegt de bond binnen de wet gebleven te zijn.

De overkoepelende sportorganisatie NOC*NSF steunt de KNLTB in het verzet. NOC*NSF heeft in 2017 het ‘Handboek Sport & Privacy’ onder alle aangesloten bonden verspreid. Daarin stelt advocatenbureau CMS vast dat een bond geen toestemming van de individuele leden nodig heeft als het delen van gegevens is goedgekeurd door de ledenvergadering. De NOC*NSF heeft dus een gerenommeerd advocatenkantoor in de arm genomen en is niet over één nacht ijs gegaan. De KNLTB heeft zich netjes aan het handboek van de NOC*NSF gehouden. De sportkoepel is verder verbaasd dat de AP een boete uitdeelt, terwijl er nog gesprekken liepen met de toezichthouder over de uitleg van de AVG.

De zwarte lijst van de Belastingdienst

De Belastingdienst gebruikte bijna twintig jaar lang een geheim registratiesysteem, waarin burgers terechtkwamen bij wat de dienst noemt ‘vermoedens’ of ‘signalen’ van fraude. Dat blijkt uit onderzoek van RTL Nieuws en Trouw. Mensen die op deze zwarte lijst terechtkwamen, werden daar niet over geïnformeerd en konden zich ook niet verweren. Het datasysteem, de Fraude Signalerings Voorziening (FSV), bestaat sinds 2014. De voorloper van dit systeem was echter al vanaf 2001 actief.

In het systeem wordt informatie vastgelegd over van alles en nog wat: zelfs geruchten en andere informatie waarvan de waarde niet helder is. Er staan in totaal 180.000 burgers geregistreerd. Wie in dit systeem terechtkwam, werd bestempeld én behandeld als mogelijke fraudeur. De gegevens vormden ook de basis voor risicoselectie en profilering van groepen burgers door de Belastingdienst bij extra controle en toezicht.

Eind februari is het systeem halsoverkop uit de lucht gehaald. Dat is ruim een jaar nadat een eerste, vertrouwelijke rapportage vernietigend over het systeem had geoordeeld, meldt het ministerie van Financiën. De Belastingdienst wilde het systeem vorig jaar nog in de lucht houden, maar begon toen wel met het ‘schonen’ van de informatie. De 180.000 Nederlanders die nog in het systeem stonden, vormen dus maar het topje van de ijsberg. De gegevens uit de FSV werden bovendien ook nog eens als feiten gedeeld met andere systemen binnen de Belastingdienst, waardoor veel Nederlanders als fraudeur werden behandeld bij de aanvragen van hun toeslagen. Wat dit betekende, werd zichtbaar bij het schandaal over de volgens de Belastingdienst onterecht aangevraagde toeslagen voor kinderopvang.

Kortom, de impact van deze inbreuk op de privacy was bijzonder groot en zou volgens het risicogestuurde toezicht van de AP al jaren de hoogste aandacht behoren te verdienen. In 2017 was er tenslotte al het schandaal rond de broedkamer bij de Belastingdienst (zie ‘Overheid weigert controle op inbreuk privacy’). Toen deed de AP eveneens niets. En in februari werd SyRI door de rechter verboden vanwege een ernstige inbreuk op de privacy van burgers. De AP, die hiervoor eigenlijk in het leven is geroepen, stond erbij en keek ernaar.

De AP meet met twee maten

Als we deze beide inbreuken op de AVG bekijken, dan lijkt toch duidelijk dat burgers veel meer last hebben van het feit dat ze door de overheid aangemerkt worden als potentiële fraudeur, dan dat ze benaderd worden door een sponsor met een reclameboodschap. En wat was nu het kernpunt van het risicogestuurde toezicht?

Het feit dat de inbreuk op de privacy bij de overheid jaren voortduurde, maakt het ook nog eens onaannemelijk dat er te goeder trouw is gehandeld. Daarentegen is die goede trouw bij de tennisbond wel waarschijnlijk, omdat deze zich netjes heeft gehouden aan het ‘Handboek Sport & Privacy’, opgesteld door een gerenommeerd advocatenkantoor.

De conclusie dat de AP met twee maten meet, ligt daarom voor de hand. Belangrijk neveneffect is dat de AP op deze wijze haar geloofwaardigheid als onafhankelijke toezichthouder te grabbel gooit. De doofpotcultuur teistert blijkbaar niet alleen de Belastingdienst, maar ook de AP heeft hier last van als het gaat om inbreuken op de privacy door de overheid. Blijkbaar is de AP zich onvoldoende bewust van haar maatschappelijke functie. De AVG wordt door burgers en bedrijven daardoor gezien als een soort Russische roulette. Enkele maanden geleden schreven we in het artikel ‘AP bewijst privacy een slechte dienst’ ook al over de eigenzinnigheid van de AP in haar uitleg van de AVG. Het kan blijkbaar nog erger.

Het is te hopen dat de rechter de boete voor de tennisbond van tafel veegt en vervangt door stopzetting van het gebruik van het ledenbestand door de sponsoren. Want natuurlijk is het niet netjes dat leden benaderd worden met ongevraagde reclameboodschappen.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
Bron:
Jeroen Piersma en Martijn Pols, ‘Tennisbond krijgt boete voor verkopen van ledengegevens’ Het Financieele Dagblad. 4 maart 2020.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 10 maart 2020


One Response to “De AP meet met twee maten”

  1. Nevile Wilder schreef:

    De ervaringen die ik als informatiebeveiliger met de AP heb zijn niet positief. Er worden regelmatig idioot hoge eisen aan de opvolging/afronding van een incident gesteld en tijdens de communicatie krijg ik regelmatig het gevoel met een stagiar te maken te hebben.
    Op andere moment is het krijgen van een (schriftelijk/email) bevestiging van een melding bijna onmogelijk. Dit speelt met name bij afwijzingen van ‘aangiftes’. Er wordt dan doodleuk naar de (civiele) rechter verwezen. Het lijkt er teveel op alsof de AP voornamelijk bezig is met het maken van naam. Doorgaans door grote partijen aan de schandpaal te nagelen. Jammer.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *