Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Per koerier
KNLTB
[VERTROUWELIJK]
Displayweg 4
3821 BT AMERSFOORT

Contactpersoon
[VERTROUWELIJK]
070 8888 500

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete

Geachte [VERTROUWELIJK],

De Autoriteit Persoonsgegevens (AP) heeft besloten aan de vereniging Koninklijke Nederlandse Lawn Tennisbond (KNLTB) een bestuurlijke boete van € 525.000,-- op te leggen, omdat de KNLTB in juni en juli 2018 ten behoeve van het genereren van inkomsten een bestand met persoonsgegevens van zijn leden heeft verstrekt aan twee sponsors ten behoeve van direct marketingactiviteiten van deze sponsors. Voor zover het de verstrekking en het gebruik betreft van persoonsgegevens van leden die vóór 2007 lid zijn geworden van de KNLTB, geldt dat dit een onverenigbare verdere verwerking is. Daarmee heeft de KNLTB artikel 5, eerste lid, aanhef en onder b, van de AVG overtreden. Voor zover het de verstrekking en gebruik betreft van persoonsgegevens van leden die ná 2007 lid geworden van de KNLTB, geldt dat daarvoor geen rechtmatige grondslag bestond. Daarmee heeft de KNLTB artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG overtreden.

Hierna wordt het besluit nader toegelicht. Hoofdstuk 1 betreft een inleiding en hoofdstuk 2 beschrijft het wettelijk kader. In hoofdstuk 3 worden de belangrijkste feiten in deze zaak op een rij gezet. In hoofdstuk 4 beoordeelt de AP de feiten op grond van het wettelijk kader en wordt geconcludeerd dat de KNLTB de AVG heeft overtreden. In hoofdstuk 5 wordt de hoogte van de bestuurlijke boete gemotiveerd. Tenslotte bevat hoofdstuk 6 het dictum en de rechtsmiddelenclausule.

2/43

1. Inleiding 1.1. Betrokken rechtspersoon

1. De KNLTB is een vereniging met volledige rechtsbevoegdheid die statutair is gevestigd op Displayweg 4 (3821 BT) te Amersfoort. De KNLTB is op 5 juni 1899 opgericht en is in het handelsregister van de Kamer van Koophandel ingeschreven onder nummer 40516738. Volgens de statuten, laatstelijk gewijzigd op 4 maart 2019, is het doel van de KNLTB de bevordering van het tennisspel in al haar verschijningsvormen, waaronder begrepen andere spelvormen waarbij gebruik wordt gemaakt van een racket, of vergelijkbaar spelmateriaal.

2. De KNLTB is het overkoepelend orgaan van de tennissport en de tennisverenigingen in Nederland en houdt zich onder meer bezig met het adviseren en ondersteunen van besturen van tennisverenigingen op het gebied van verenigingsbeleid, accommodatie en bij juridische geschillen.1

3. Naar schatting van de KNLTB zijn er 1.782 tennisverenigingen in Nederland, waarvan er 1.657 (ofwel 97%) zijn aangesloten bij de KNLTB.2 Volgens de website van de KNLTB zijn er (via deze tennisverenigingen) bijna 570.000 tennissers aangesloten bij de KNLTB, waarmee de KNLTB in grootte de tweede sportbond van Nederland is.3

1.2. Procesverloop

4. Op 22 oktober 2018 is de AP een onderzoek gestart naar de verstrekking door de KNLTB van persoonsgegevens van zijn leden aan sponsors met als doel de leden te benaderen met ‘tennis-gerelateerde en andere aanbiedingen’.

5. Op 7 mei 2019 heeft de AP haar onderzoeksrapport vastgesteld. Op 13 mei 2019 heeft zij dit rapport aan de KNLTB toegezonden. De AP heeft [VERTROUWELIJK] van de KNLTB een afschrift van het onderzoeksrapport gestuurd.

6. Bij brief van 29 mei 2019 heeft de AP naar de KNLTB een voornemen tot handhaving verzonden wegens overtreding van artikel 5, eerste lid, aanhef en onder b, van de AVG en artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG. Een afschrift van het voornemen is tevens aan [VERTROUWELIJK] van de KNLTB gestuurd.

7. Daartoe tevens bij de brief van 29 mei 2019 in de gelegenheid gesteld, heeft de KNLTB bij brief van 25 juli 2019 schriftelijk haar zienswijze gegeven op dit voornemen en het daaraan ten grondslag liggende onderzoeksrapport. [VERTROUWELIJK] van de KNLTB heeft tevens een zienswijze

1 https://www.knltb.nl/over-knltb/wat-doet-de-knltb/. 2 Dossierstuk 35 (bijlage 6: stand per 13 november 2018). 3 https://www.knltb.nl/over-knltb/wat-doet-de-knltb/historie.

3/43

ingediend bij wijze van het document “[VERTROUWELIJK]-kanttekeningen bij het AP-onderzoeksrapport”.

8. Op 1 augustus 2019 heeft ten kantore van de AP een zienswijzezitting plaatsgevonden waarbij de KNLTB mondeling haar zienswijze heeft toegelicht.

9. Op 2 augustus 2019 heeft de AP per e-mail een aantal vragen gesteld die tijdens de zienswijzezitting nog niet door de KNLTB konden worden beantwoord. Bij e-mail van 22 augustus 2019 en van 11 september 2019 heeft de KNLTB deze vragen beantwoord.

10. Bij e-mail van 20 augustus 2019 heeft de AP het verslag van de zienswijzezitting aan de KNLTB toegestuurd. Bij e-mail van 17 september 2019 heeft de KNLTB zijn opmerkingen bij het verslag toegezonden aan de AP. De AP heeft op 2 oktober 2019 een aangepast verslag verzonden.

11. Op 18 oktober 2019 heeft de KNLTB per e-mail gereageerd op het aangepaste verslag.

12. Bij e-mail van 28 oktober 2019 heeft de KNLTB het Contactprotocol KNLTB ledendatabase aan de AP verstrekt.

1.3. Aanleiding en achtergrond start onderzoek

13. Naar aanleiding van de aankondiging van de KNLTB om persoonsgegevens van zijn leden te verstrekken aan sponsors om leden te benaderen met tennisgerelateerde en andere aanbiedingen, ontving de AP tips en klachten van een aantal leden. Als gevolg van de aankondiging besloot een lid van de KNLTB publiekelijk de vraag te stellen of deze handelswijze van de KNLTB wel in lijn was met de AVG. De media hebben bericht dat de KNLTB onder druk van een aangespannen kort geding door één van zijn leden het verstrekken van telefoonnummers aan een sponsor had opgeschort. Deze berichtgeving was reden voor de AP om de KNLTB uit te nodigen voor een gesprek. Naar aanleiding van dit gesprek, de ontvangen klachten en tips alsmede de berichtgeving in de media, is de AP een onderzoek gestart naar de verstrekkingen door de KNLTB van ledengegevens aan sponsors.

2. Wettelijk kader 2.1 Reikwijdte AVG

14. Ingevolge artikel 2, eerste lid, van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

15. Ingevolge artikel 3, eerste lid, is deze verordening van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een

4/43

verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

16. Ingevolge artikel 4 wordt, voor zover hier van belang, voor de toepassing van deze verordening verstaan onder: ‘1) “persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”) […]; 2) “verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés […]; […] 7) “verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […]; […] 9) “ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. […]; 10) “derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken; 11) “toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem desbetreffende verwerking van persoonsgegevens aanvaardt; […].’

2.2 Beginselen: rechtmatigheid, behoorlijkheid en transparantie & doelbinding

17. In artikel 5, eerste lid, aanhef onder a en onder b, AVG staat: ‘Persoonsgegevens moeten: a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”); b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);’

18. In artikel 6, vierde lid, AVG staat: ‘Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel

5/43

verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met: a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10; d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.’

2.3 Grondslagen voor de verwerking van persoonsgegevens

19. In artikel 6, eerste lid, van de AVG, voor zover relevant, staat: ‘De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; (…) f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. (…)’

20. Voorgaand artikel correspondeert met artikel 8, van de Wet bescherming persoonsgegevens (Wbp, per 25 mei 2018 ingetrokken), dat luidde: ‘Persoonsgegevens mogen slechts worden verwerkt indien: a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; (…) f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.’

6/43

2.4 Bevoegdheid opleggen bestuurlijke boete

21. De bevoegdheid voor het opleggen van een bestuurlijke boete vloeit voort uit artikel 58, tweede lid, aanhef en onder i, in samenhang bezien met artikel 83, vijfde lid, aanhef en onder a, van de AVG en artikel 14, derde lid, van de UAVG.

22. In artikel 58, tweede lid, aanhef en onder i, van de AVG staat het volgende: ‘Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen: (…) i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83 (…);’

23. In artikel 83, eerste, tweede en vijfde lid, aanhef en onder a, van de AVG staat het volgende: ‘1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn. 2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. (…) 5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;’

24. In artikel 14, derde lid, van de UAVG staat het volgende: ‘De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.’

3. Feiten 25. In dit hoofdstuk worden de voor het besluit relevante feiten opgesomd. Van belang zijn de feiten met betrekking tot de verstrekking van persoonsgegevens door de KNLTB aan twee sponsors, te weten [VERTROUWELIJK] (handelend onder de naam [VERTROUWELIJK]; hierna [VERTROUWELIJK]) en de [VERTROUWELIJK] ([VERTROUWELIJK]). Deze verstrekking had voor de KNLTB als doel om (extra) inkomsten te genereren. De persoonsgegevens zijn door [VERTROUWELIJK] en [VERTROUWELIJK] gebruikt voor hun direct marketingactiviteiten waarvoor de KNLTB een vergoeding heeft ontvangen. [VERTROUWELIJK] en [VERTROUWELIJK] hebben in het kader van de uitvoering van hun direct marketingactiviteiten de persoonsgegevens tevens verstrekt aan

7/43

[VERTROUWELIJK] respectievelijk diverse [VERTROUWELIJK]. De AP heeft geen onderzoek gedaan naar de rechtmatigheid van de verwerking van persoonsgegevens door [VERTROUWELIJK]en de [VERTROUWELIJK], en de verwerking van persoonsgegevens door [VERTROUWELIJK]en de [VERTROUWELIJK]. In dit besluit wordt de rechtmatigheid van laatstgenoemde verwerkingen dan ook niet beoordeeld.

26. De voor dit besluit relevante feiten hebben zich voorgedaan vóór de laatste statutenwijziging van 4 maart 2019. Dit betekent dat voor de beschrijving van de feiten, voor zover relevant, zal worden verwezen naar de statuten, die zijn gewijzigd op 19 januari 2005 (statuten 2005)

dan wel de statuten zoals gewijzigd op 30 december 2015 (statuten 2015).

3.1 KNLTB

Doel KNLTB 27. Volgens artikel 2, eerste lid, van de statuten 2005 (en tevens de statuten 2015), stelt de KNLTB zich ten doel de beoefening van het tennisspel en de ontwikkeling van de tennissport te bevorderen. Volgens het tweede lid tracht de KNLTB zijn doel onder meer te bereiken door: a. het vormen van een band tussen zo mogelijk alle beoefenaren van het tennisspel; b. het geven van voorlichting over het tennisspel en het bevorderen van het tennisspel als vrijetijdsbesteding; c. het verbreiden van de regels van het tennisspel; d. het nemen van alle maatregelen, welke kunnen leiden tot het verhogen van het speelpeil; e. het uitschrijven, regelen en steunen van tenniswedstrijden; f. het geven van inlichtingen over en steun bij aanleg en verbetering van tennisbanen en accommodaties; g. het geven van inlichtingen en adviezen omtrent de bestuurlijke organisatie van de tennissport; h. het bevorderen casu quo ter hand nemen van opleidingen gericht op verenigingskader, tennisleraren en scheidsrechters; i. het vertegenwoordigen van het Nederlandse tennis in de organisaties waarbij KNLTB is of zal zijn aangesloten; j. het behartigen van de belangen van zijn leden en aangeslotenen; k. het in en buiten rechte vertegenwoordigen van zijn leden; l. alle geoorloofde middelen, welke de KNLTB verder ten dienste staan.

Organisatie KNLTB 28. Volgens artikel 3, eerste lid, van de statuten 2015 zijn, voor zover hier van belang, organen van de KNLTB de ledenraad en het bondsbestuur. Ingevolge artikel 3, tweede lid, van de statuten 2015 vertegenwoordigt de ledenraad alle leden van de KNLTB. Ingevolge artikel 3, derde lid, van de statuten 2015 wordt de KNLTB geleid door het bondsbestuur dat verantwoording aflegt aan de ledenraad.

8/43

29. Volgens artikel 4, eerste lid, van de statuten 2015 kent de KNLTB als lid: a. verenigingen […]; b. bondsleden; c. persoonlijke leden.

30. Ingevolge artikel 4, tweede lid, van de statuten 2015 zijn bondsleden de leden van een vereniging als bedoeld in lid 1, sub a van dit artikel, voor zover zij niet door de KNLTB uit het lidmaatschap zijn ontzet.

31. Volgens artikel 12, eerste lid, van de statuten 2015 is het bondsbestuur onder meer belast met: a. het nemen van alle beleidsbeslissingen […] b. de dagelijkse gang van zaken; […] e. uitvoeren van de door de ledenraad genomen beslissingen;

Register van leden 32. In artikel 4, negende lid, van de statuten 2005 (tevens statuten 2015) is bepaald dat het bondsbestuur een register bijhoudt van leden. In dit register worden alleen die gegevens bijgehouden welke voor de realisering van het doel van de KNLTB noodzakelijk zijn. Het bondsbestuur kan na een voorafgaand besluit van de ledenraad geregistreerde gegevens aan derden verstrekken, behalve van het lid dat tegen verstrekking bij het bondsbestuur schriftelijk bezwaar heeft gemaakt.

3.2 Besluitvorming en informatievoorziening verstrekken ledengegevens aan sponsors

Besluitvorming gebruik ledengegevens voor direct marketingdoeleinden sponsors 33. In 2007 heeft de ledenraad op voorstel van het bondsbestuur ingestemd met het gebruik van naam, adres en woonplaats van leden voor briefpostacties door KNLTB-sponsors. Uit de notulen van de ledenraadsvergadering in 2007 kan worden opgemaakt dat het geld voortkomend uit het gebruik van ledengegevens o.a. wordt besteed aan Toptennis.

34. De directie van de KNLTB heeft in 2017 gesproken over uitbreiding van de direct marketingmogelijkheden door het verstrekken van persoonsgegevens aan partners (sponsors) voor elektronische en telefonische direct marketingdoeleinden. Deze beleidswijziging is vervolgens in de vergadering van het bondsbestuur in april 2017 behandeld. Het bondsbestuur heeft de ledenraad onder andere middels een memo van 24 november 2017 geïnformeerd over het uitbreiden van de direct marketingmogelijkheden. Het doel hiervan is het ‘creëren van meerwaarde’ voor de leden maar ook het genereren van ‘extra inkomsten die op termijn een structurele en substantiële bijdrage gaan leveren aan de KNLTB en de tennissport’. De ledenraad is verzocht toestemming te verlenen voor het uitbreiden van de directe communicatiemogelijkheden richting de leden van de KNLTB. Deze toestemming zag op het verstrekken van persoonsgegevens van leden van de KNLTB voor marketing en commerciële doeleinden aan huidige en toekomstige structurele en toekomstige partners met als

9/43

doeleinde benadering per telefoon/telemarketing. De ledenraad heeft in de ledenraadsvergadering van 16 december 2017 ingestemd met het voorstel van het bondsbestuur.

Informatieverstrekking door KNLTB 35. Vanaf 2015 ontvangen nieuwe leden van de KNLTB een welkomste-mail. Sinds 2018 is het onderwerp privacy een onderdeel van deze welkomste-mail. In de welkomstmail is met betrekking tot privacy-aspecten onder de kop “Hoe gaat de KNLTB met jouw persoonsgegevens om?” de volgende tekst opgenomen: “Wij mogen en kunnen onder strikte voorwaarden jouw NAW-gegevens en telefoonnummer ter beschikking stellen aan onze partners, zodat zij jou kunnen benaderen met relevante, promotionele acties. Als je niet benaderd wilt worden via de telefoon of post met aanbiedingen, dan kun je gebruik maken van het recht van bezwaar (AP: de tekst [recht van bezwaar] is tevens een snelkoppeling naar het formulier recht van bezwaar). Jouw e-mailadres wordt dus niet verstrekt aan onze partners, tenzij je daar toestemming voor hebt gegeven (opt-in). De KNLTB houdt zich hierbij altijd aan de geldende wet- en regelgeving. Wil je meer informatie over de verwerking van je persoonsgegevens? Bekijk dan ons Privacy Statement (AP: de tekst [Privacy Statement] is tevens een snelkoppeling naar het privacy statement van de KNLTB).”

36. In de nieuwsbrief van 7 februari 2018 heeft de KNLTB haar leden geïnformeerd over het delen van persoonsgegevens met haar partners. Onder de kop “Delen van data: meerwaarde voor leden en lange termijn investering voor tennis” is de volgende tekst vermeld: “De KNLTB wil graag meerwaarde voor jouw KNLTB-lidmaatschap creëren door je tennis-gerelateerde en andere mooie aanbiedingen te kunnen doen. Daarnaast wil de KNLTB extra inkomsten genereren waarmee we de tennissport voor jou en je vereniging betaalbaar kunnen houden op de lange termijn. Daarom is in de Ledenraadsvergadering in december 2017 toestemming verkregen voor het verstrekken van jouw gegevens aan onze partners. Uiteraard houdt de KNLTB zich in dit kader aan alle geldende wet- en regelgeving, en ziet de KNLTB ook streng toe op het gebruik van jouw gegevens door haar partners. Heb je vragen of wil je meer weten?” Via de knop [Lees verder] kan worden doorgeklikt naar een webpagina met de titel ‘Fanmarketing & Data’ waarin leden als volgt worden geïnformeerd: “De KNLTB stelt jouw NAW gegevens en telefoonnummer (indien je een opt-in hebt gegeven) onder strikte voorwaarden ter beschikking aan onze partners, zodat zij jou kunnen benaderen met relevante, promotionele acties. Jouw e-mailadres en telefoonnummer zullen niet zonder jouw toestemming worden verstrekt aan onze partners.” Tevens wordt leden gewezen op de mogelijkheid om hun recht van bezwaar in te roepen: “Als je niet wenst te worden benaderd via de post met aanbiedingen vanuit KNLTB en/of haar structurele of incidentele partners, dan kun je gebruikmaken van het recht van bezwaar. Je kunt dit doorgeven aan de KNLTB Ledenservice via een online formulier.”

37. Op 23 februari 2018 is een nieuwsbericht met soortgelijke strekking gestuurd aan alle verenigingsbesturen en –vrijwilligers.

38. In de nieuwsbrief van 7 maart 2018 heeft de KNLTB haar leden geïnformeerd over de verandering in de manier waarop de KNLTB met de persoonsgegevens van haar leden omgaat. Onder de kop “Verandering in manier waarop KNLTB met jouw persoonsgegevens omgaat” is de volgende tekst vermeld: “De KNLTB is continu op zoek naar manieren om meerwaarde voor jouw KNLTB-lidmaatschap te creëren. Daarvoor is

10/43

het nodig om over relevante data te beschikken en deze gegevens te mogen gebruiken, zodat we jou en andere tennisfans kunnen benaderen met tennis-gerelateerde en andere relevante aanbiedingen. De Ledenraad heeft in december 2017 ingestemd met het verstrekken van jouw gegevens aan onze partners.” Via de knop [Lees verder] kan worden doorgeklikt naar een nieuwsbericht van 12 februari 2018 op de website van de KNLTB met de titel ‘Verandering in de manier waarop de KNLTB met jouw persoonsgegevens omgaat’ waarin leden als volgt worden geïnformeerd: “De KNLTB stelt jouw NAW gegevens en telefoonnummer onder strikte voorwaarden ter beschikking aan onze partners, zodat zij jou kunnen benaderen met relevante, promotionele acties. Jouw e-mailadres zal niet zonder jouw toestemming worden verstrekt aan onze partners. Wij houden altijd toezicht op de acties van onze partners en maken per actie strenge afspraken over hoe zij mogen omgaan met jouw gegevens. De KNLTB moet en wil zich hierbij altijd houden aan de geldende wet- en regelgeving.” Ook op deze webpagina worden leden gewezen op de mogelijkheid om hun recht van bezwaar in te roepen: “Als je niet wenst te worden benaderd via de telefoon of post met aanbiedingen vanuit KNLTB en/of haar structurele of incidentele partners, dan kun je gebruikmaken van het recht van bezwaar. Je kunt dit doorgeven aan de KNLTB Ledenservice via een online formulier.”

39. Verder heeft het korte bericht “Hoe gaat de KNLTB met persoonlijke gegevens van leden om?” van 23 april 2018 ruim een maand op de homepage van de KNLTB gestaan.

40. Naar aanleiding van media-aandacht over het verstrekken van persoonsgegevens van leden aan haar partners, heeft de KNLTB op 23 april 2018 en 13 juni 2018 diverse nieuwsberichten geplaatst op haar websites www.knltb.nl en www.centrecourt.nl4, waarin leden, kort samengevat, worden geïnformeerd hoe de KNLTB met persoonsgegevens van leden omgaat en de KNLTB gegevens van haar leden onder strikte voorwaarden en in het belang van tennis gebruikt.

41. De KNLTB heeft een privacy statement geplaatst op haar website.5 Hierin worden leden onder meer geïnformeerd over de aard van de persoonsgegevens die door de KNLTB worden verwerkt, de grondslagen en doelen van de verwerking. Persoonsgegevens worden volgens het privacy statement onder meer verwerkt voor het aanbieden van producten, diensten, evenementen van de KNLTB, de partners van de KNLTB of andere partijen waarmee de KNLTB samenwerkt. Met betrekking tot de verstrekking van persoonsgegevens aan partners van de KNLTB, vermeldt het privacy statement: “Wanneer het gaat om het verstrekken van NAW-gegevens aan onze partners6 (het doen van een aanbieding speciaal voor onze leden), bent u uiteraard te allen tijde gerechtigd om uw bezwaar kenbaar te maken via het daarvoor bestemde formulier7 (recht van bezwaar bij direct marketing). Uw gegevens zullen dan niet meer worden verstrekt aan onze partners, zodat zij aan u als lid van de KNLTB een aanbieding kunnen doen. De wettelijke grondslag voor deze verstrekking is het gerechtvaardigd belang (en dus niet toestemming). Telefoonnummers worden alleen aan onze partners verstrekt als een lid daar vooraf expliciet toestemming voor heeft gegeven.”

4 De KNLTB gebruikt de website www.knltb.nl voor communicatie richting tennissers en tennisfans en de website www.centrecourt.nl voor communicatie richting tennisverenigingen en tennisleraren. 5 Privacy statement, versie december 2018. 6 Door de onderstreepte tekst aan te klikken, wordt men doorgeleid naar een overzicht van de partners die de KNLTB sponsors. 7 Door de onderstreepte tekst aan te klikken, wordt men doorgeleid naar het Formulier recht van bezwaar, waarmee men op elektronische wijze bezwaar kan maken tegen het delen van persoonsgegevens met partners van de KNLTB.

11/43

3.3 Overeenkomsten KNLTB met [VERTROUWELIJK] en [VERTROUWELIJK]

42. Vanaf maart 2018 tot en met oktober 2018 heeft de KNLTB met [VERTROUWELIJK] en [VERTROUWELIJK] acties opgestart waarbij persoonsgegevens zoals naam, adres en woonplaats (NAW) en telefoonnummers van leden van de KNLTB zijn gebruikt. [VERTROUWELIJK] heeft twee kortingsflyers per post verstuurd aan een selectie van KNLTB-leden en [VERTROUWELIJK] heeft in een telemarketingcampagne een selectie van KNLTB-leden gebeld om [VERTROUWELIJK] te verkopen. Ten behoeve van de direct marketingactiviteiten van [VERTROUWELIJK] en [VERTROUWELIJK] heeft de KNLTB persoonsgegevens van zijn leden verstrekt. Aan de verstrekkingen en het gebruik van deze persoonsgegevens liggen de volgende overeenkomsten ten grondslag.

Overeenkomst KNLTB - [VERTROUWELIJK] 43. Op 15 mei 2018 hebben de KNLTB en [VERTROUWELIJK] een Official Supplier Overeenkomst gesloten.

44. In artikel 1.2 van de Official Supplier Overeenkomst is bepaald dat de KNLTB aan [VERTROUWELIJK] gedurende de looptijd van de overeenkomst sponsorrechten en/of communicatiemogelijkheden van de KNLTB (hierna: de “Communicatiemogelijkheden”) zoals vastgelegd in de aan de overeenkomst gehechte bijlagen, verleent.

45. In paragraaf 3 van de Official Supplier Overeenkomst is bepaald op welke wijze [VERTROUWELIJK] een sponsorbijdrage levert aan de KNLTB. Deze sponsorbijdrage bestaat uit een vast bedrag per jaar (artikel 3.1), het beschikbaar stellen aan de KNLTB van waardebonnen (artikel 3.2) en het bieden van korting op artikelen beschikbaar in [VERTROUWELIJK]webshop.

46. Artikel 3 van Bijlage 1C (databaserechten) van de Official Supplier Overeenkomst luidt als volgt:

“Voor (promotionele) acties naar de individuele KNLTB leden stelt de KNLTB een selectie van het up-to-date adressenbestand (NAW-gegevens) op aanvraag van [VERTROUWELIJK] twee (2) keer per jaar aan [VERTROUWELIJK] ter beschikking. Acties dienen in overleg met en na schriftelijke goedkeuring van de KNLTB […] te geschieden en te voldoen aan de richtlijnen van de KNLTB.”

47. Bijlage 4 van de Official Supplier Overeenkomst betreft de verwerkersovereenkomst waarin nadere afspraken zijn gemaakt over onder meer de beveiliging van persoonsgegevens (artikel 4), de mogelijkheid van controle en audit door de KNLTB (artikel 5), een geheimhoudingsplicht voor [VERTROUWELIJK] (artikel 6) en de gevolgen van beëindiging of ontbinding van de verwerkersovereenkomst (artikel 12), namelijk dat, kort samengevat, de persoonsgegevens zo spoedig mogelijk door [VERTROUWELIJK] worden vernietigd dan wel aan de KNLTB worden geretourneerd.

12/43

48. In Bijlage 6 (Beschrijving verwerking Persoonsgegevens) is onder de kop “Onderwerp, aard en geschatte termijn van de verwerking” het volgende vermeld: “Persoonsgegevens van leden van de KNLTB, zijnde in ieder geval NAW-gegevens ten behoeve van acties per post.”

49. Op 1 mei 2018 hebben de KNLTB en [VERTROUWELIJK] aanvullende afspraken gemaakt met betrekking tot de levering van KNLTB-ledengegevens ten behoeve van een direct mail/postmailing van [VERTROUWELIJK]. Hierbij zijn de volgende afspraken gemaakt over de selectie van ledengegevens: [VERTROUWELIJK] levert een bestand aan bij de KNLTB waarna de KNLTB op grond van de afgesproken selectiecriteria een adressenbestand (met de volgende gegevens: voornaam, tussenvoegsel, achternaam, straat, huisnummer, postcode en woonplaats) samenstelt dat naar [VERTROUWELIJK] wordt gestuurd. [VERTROUWELIJK] ontdubbelt dit adressenbestand door raadpleging van de wettelijke registers (zoals het Postfilter).

Overeenkomst KNLTB - [VERTROUWELIJK] 50. Op 28 juni 2018 hebben de KNLTB en de [VERTROUWELIJK] een overeenkomst gesloten.

51. Volgens artikel 1.1 luidt het doel van de overeenkomst:

“De KNLTB zal [VERTROUWELIJK] haar ‘meerderjarigen’ ledenbestand ter beschikking stellen ten behoeve van (telefonische) benadering door [VERTROUWELIJK]en/of [VERTROUWELIJK]uit naam van de KNLTB met het aanbod om [VERTROUWELIJK]abonnee te worden, conform de voorwaarden in deze overeenkomst.”

52. In artikel 1.2 van de overeenkomst is, voor zover hier van belang, het volgende bepaald:

“Het bestand dat [VERTROUWELIJK] ontvangt van de KNLTB voldoet minimaal aan de volgende voorwaarden: - De records zijn volledig en correct conform de verplichte velden uit het bijgeleverde format (zie bijlage 3); […] - De personen in het bestand als voornoemd zijn minimaal 18 jaar, lid van de KNLTB en zijn bij de registratie van hun persoonsgegevens door de KNLTB geïnformeerd over de verstrekking aan derden (waaronder [VERTROUWELIJK], [VERTROUWELIJK], [VERTROUWELIJK]) van hun persoonsgegevens; - De personen in het bestand hebben geen bezwaar gemaakt tegen de verstrekking van hun persoonsgegevens aan derden. Hiervoor is de tekst van het privacy statement van de KNLTB gebruikt, zoals te vinden op de website van de KNLTB. Tevens zijn alle KNLTB-leden in februari jongstleden nog geïnformeerd via de ledennieuwsbrief over het gebruik van hun gegevens voor [VERTROUWELIJK] met de mogelijkheid om hiertegen bezwaar te maken;”

13/43

53. In artikel 1.6 van de overeenkomst is, voor zover hier van belang, het volgende bepaald:

“Tijdens de looptijd van deze overeenkomst is het [VERTROUWELIJK]toegestaan eenmalig per kalenderjaar de resterende8 KNLTB-leden (telefonisch) te benaderen met een aanbieding om [VERTROUWELIJK]- respectievelijk [VERTROUWELIJK]-abonnee te worden, […].”

54. In artikel 3.1 van de overeenkomst is, voor zover thans van belang, bepaald dat partijen beide zullen worden gezien als verantwoordelijke zoals in artikel 26 AVG is bedoeld.

55. In artikel 8.1 is, voor zover thans van belang, bepaald dat in geval van beëindiging van de opdracht en/of de overeenkomst dan wel indien een partij daarom verzoekt, de gegevens (inclusief alle kopieën) geretourneerd worden aan de KNLTB dan wel op haar verzoek worden vernietigd, in welk geval schriftelijk door [VERTROUWELIJK] wordt verklaard dat dit is gebeurd.

56. In bijlage 1 (Bijlage [VERTROUWELIJK]-KNLTB overeenkomst – Telemarketing pilot campagne) zijn de vergoedingen voor de KNLTB vermeld. [VERTROUWELIJK]

57. Uit bijlage 3 (Format uitwisseling Gegevens) blijkt dat de verplichte records bestaan uit: geslacht, initialen, voor- en achternaam, geboortedatum, adres, postcode, woonplaats, (mobiel) telefoonnummer, e-mailadres, registratiedatum, registratietijd en tennisvereniging.

58. In bijlage 5 bij de overeenkomst zijn nadere afspraken gemaakt over onder meer de beveiliging van persoonsgegevens (artikel 4) en een geheimhoudingsplicht voor partijen.

3.4 Verstrekking aan en gebruik van persoonsgegevens door [VERTROUWELIJK] en [VERTROUWELIJK]

[VERTROUWELIJK] 59. De KNLTB heeft samen met [VERTROUWELIJK] op basis van selectiecriteria (en na ontdubbelen) een ledenbestand samengesteld van 50.000 leden (hierna: ledenbestand). Van deze leden zijn de volgende gegevens in het bestand opgenomen: - Campagne ID (cijfercode); - Geslacht; - Voornaam; - Voorletters; - Achternaam; - Straat;

8 Het door de KNLTB geleverde bestand is door de KNLTB ontdubbeld met het recht van verzet- en het recht van bezwaar-bestand van de KNLTB. Daarna is het bestand door [VERTROUWELIJK] ontdubbeld op niet-Nederlandse ingezetenen, de abonneebase van [VERTROUWELIJK] en op het bestand met ex-abonnees van [VERTROUWELIJK], consumenten die de afgelopen drie maanden door [VERTROUWELIJK] zijn benaderd, haar eigen recht van verzet-bestand en overige gebruikelijke registers, zoals het Bel-me-niet Register en het Overlijdensregister (artikel 1.5 van de overeenkomst). Het deel van het oorspronkelijke bestand dat na ontdubbeling overblijft wordt uiteindelijk gebruikt voor marketing-doeleinden, hetgeen ligt besloten in het woord “resterende”.

14/43

- Huisnummer; - Huisnummer Toevoeging; - Postcode; - Plaats.

60. Op 11 juni 2018 heeft de KNLTB het ledenbestand op de sFTP-server (een beveiligde omgeving) gezet ten behoeve van [VERTROUWELIJK].

61. Op 11 juni 2018 heeft [VERTROUWELIJK] het ledenbestand van de sFTP-server verwijderd en het ledenbestand via een sFTP verbinding verstuurd naar [VERTROUWELIJK]. [VERTROUWELIJK] heeft de persoonsgegevens verwerkt op kortingsflyers en deze flyers op 5, 6, 7 en 8 juli 2018 verstuurd naar de geselecteerde leden van de KNLTB.

[VERTROUWELIJK] 62. De KNLTB heeft de volgende gegevens verstrekt aan [VERTROUWELIJK]: - Campagne ID (cijfercode); - Geslacht; - Voornaam; - Voorletters; - Achternaam; - Straat; - Plaats; - Geboortedatum; - Postcode; - Huisnummer; - Huisnummer toevoeging; - Telefoonnummer; - Mobiele nummer; - E-mail; - Vereniging.

63. Op 29 juni 2018 heeft de KNLTB een bestand met 314.846 unieke records verstrekt aan [VERTROUWELIJK]. Hiermee bedoelt de KNLTB dat de in randnummer 622 vermelde gegevens van 314.846 unieke huishoudens zijn verstrekt. Dit bestand is door [VERTROUWELIJK] opgeschoond op basis van een tiental selecties, zoals opgenomen in het Bel-Me-Niet-Register en personen die een actief abonnement hebben op [VERTROUWELIJK]en [VERTROUWELIJK]. Het bestand dat uiteindelijk door [VERTROUWELIJK]is gebruikt telde na de selectie 39.478 records. Er zijn voor [VERTROUWELIJK] 19.595 en voor [VERTROUWELIJK]19.883 records ingezet. Deze gegevens zijn vervolgens via een beveiligde sFTP server verstrekt aan diverse [VERTROUWELIJK] ten behoeve van telemarketing.9

9 In eerste instantie heeft de KNLTB op 26 juni 2018 een bestand op de sFTP server van [VERTROUWELIJK] geplaatst maar in afwachting van ondertekening van de overeenkomst tussen [VERTROUWELIJK] en de KNLTB is dit bestand verwijderd. Op 29 juni 2018 is opnieuw

15/43

64. De telemarketingcampagne is gestart op maandag 16 juli 2018 en op verzoek van de KNLTB vroegtijdig beëindigd.

3.5 Klacht KNLTB betreffende uitlatingen voorzitter AP

65. Op 17 december 2018 is in het televisieprogramma Nieuwsuur (NOS/NTR) een item uitgezonden over het doorverkopen van persoonsgegevens van tennissers en voetballers. De voorzitter van de AP is voor dit item geïnterviewd. Naar aanleiding van uitlatingen door de voorzitter in dit interview heeft de KNLTB op 21 december 2018 een klacht bij de AP ingediend die de AP op 19 maart 2019 gegrond heeft verklaard.

4. Beoordeling 66. In dit hoofdstuk wordt achtereenvolgens vastgesteld dat de KNLTB als verwerkingsverantwoordelijke persoonsgegevens heeft verwerkt door het verstrekken van ledengegevens aan [VERTROUWELIJK] en [VERTROUWELIJK] (paragraaf 4.1 en 4.2); dat de AP door onderzoek te verrichten niet in strijd met haar eigen prioriteringsbeleid heeft gehandeld (paragraaf 4.3) en dat de AP niet onzorgvuldig heeft gehandeld jegens [VERTROUWELIJK] (paragraaf 4.4). In paragrafen 4.5 en 4.6 wordt geconcludeerd dat de AP niet in strijd heeft gehandeld met het gelijkheidsbeginsel respectievelijk het verbod op vooringenomenheid. In de paragrafen 4.7 – 4.11 concludeert de AP dat de verstrekkingen aan en gebruik van persoonsgegevens door [VERTROUWELIJK] en [VERTROUWELIJK] niet verenigbaar zijn met het oorspronkelijke verzameldoeleinde van de persoonsgegevens dan wel voor de verstrekking en gebruik geen rechtmatige grondslag bestond.

4.1 Verwerking van persoonsgegevens

67. De KNLTB verzamelt gegevens van zijn leden, onder meer voor het bijhouden van een register van aangeslotenen.10 Het gaat hierbij onder meer om naam, adres, woonplaats en telefoonnummer van leden.11 Deze gegevens kwalificeren als persoonsgegevens als bedoeld in artikel 4, onder 1, van de AVG omdat hiermee leden van de KNLTB direct kunnen worden geïdentificeerd.

68. De KNLTB heeft persoonsgegevens van zijn leden in bestandvorm verstrekt aan [VERTROUWELIJK] en [VERTROUWELIJK]voor gebruik ten behoeve van hun direct marketingactiviteiten. Daarmee heeft de KNLTB persoonsgegevens verwerkt als bedoeld in artikel 4, onder 2, van de AVG.

een bestand op de sFTP server van [VERTROUWELIJK] geplaatst. Dit bestand is op dezelfde dag door [VERTROUWELIJK] van deze server verwijderd. Opvallend is dat [VERTROUWELIJK] en KNLTB een verschillend beeld geven van het aantal records dat is gebruikt voor de marketingactie. Volgens [VERTROUWELIJK] gaat het om een aantal van 39.478; volgens de KNLTB gaat het om 21.591 (waarbij de KNLTB spreekt over aantal leden en niet over het aantal records). Zie Dossierstuk 73. 10 Statuten 2005, artikel 5, vierde lid. 11 Privacy statement KNLTB, versie december 2018.

16/43

4.2 Verwerkingsverantwoordelijke

69. In het kader van de vraag of artikel 5, eerste lid, onder a en b jo. artikel 6, eerste lid, van de AVG wordt nageleefd, is van belang om te bepalen wie aan te merken is als verwerkingsverantwoordelijke als bedoeld in artikel 4, aanhef en onder 7, van de AVG. Daarvoor is bepalend wie het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

70. De ledenraad heeft op voorstel van het bondsbestuur het doel bepaald van de verwerking, dat wil zeggen het gebruik van door de KNLTB verzamelde persoonsgegevens voor het genereren van (extra) inkomsten door het verstrekken van persoonsgegevens aan partners (sponsors) van de KNLTB ten behoeve van hun direct marketingactiviteiten. De ledenraad en het bondsbestuur zijn organen van de KNLTB. Gelet op het voorgaande heeft de KNLTB (mede) het doel van de verwerking vastgesteld.

71. Het middel voor de verwerking, dat wil zeggen op welke wijze de gegevensverwerking plaatsvindt, is tevens (mede) door de KNLTB vastgesteld. De KNLTB heeft voorwaarden verbonden aan de wijze waarop de persoonsgegevens worden uitgeleverd aan [VERTROUWELIJK] en [VERTROUWELIJK] en het gebruik door [VERTROUWELIJK] en [VERTROUWELIJK] voor hun direct marketingactiviteiten. Gelet hierop heeft de KNLTB (mede) de middelen voor de verwerking vastgesteld.

72. Aangezien de KNLTB (mede) het doel van en de middelen voor de verwerking van persoonsgegevens heeft bepaald, kwalificeert hij als verwerkingsverantwoordelijke als bedoeld in artikel 4, onder 7, van de AVG.

4.3 Optreden AP niet in strijd met eigen beleid

Standpunt KNLTB 73. De KNLTB vraagt zich af waarom geen risicoanalyse door de AP is gemaakt of een onderzoek daadwerkelijk noodzakelijk was, aangezien de verstrekkingen aan de sponsors al waren gestopt. Tevens meent de KNLTB dat de noodzaak en grondslag voor het onderzoek ontbreken, gelet op het geringe aantal klachten dat is ingediend bij de AP over de belactie door [VERTROUWELIJK].

74. Bovendien vraagt de KNLTB zich af waarom de AP, nadat zij tips had ontvangen over het beleid van de KNLTB, een onderzoek is gestart. Volgens de Beleidsregels prioritering klachtenonderzoek van de AP12 (prioriteringsbeleid) had een normoverdragend gesprek moeten plaatsvinden of had de AP een normoverdragende brief moeten sturen, aldus de KNLTB. In dit verband wijst de KNLTB op een passage in de toelichting op het prioriteringsbeleid, waarin staat dat de AP zich bij het behandelen van klachten primair richt op het bereiken van normconform gedrag. Daarbij stuurt de AP aan op een pragmatische benadering, waarbij doeltreffendheid en efficiency een belangrijke rol spelen. Een voorbeeld van een pragmatische benadering is volgens het prioriteringsbeleid dat de AP, wanneer zij

12 Beleidsregels prioritering klachtenonderzoek, gepubliceerd in de Staatscourant op 1 oktober 2018. De KNLTB verwijst naar een alinea uit de inleiding in paragraaf 2.1 van de toelichting op het beleid.

17/43

in een specifiek geval normconform gedrag kan realiseren door telefonisch contact op te nemen met de (vermeende) overtreder, de AP dit zal doen en een klacht daarmee kan worden afgedaan.

Reactie AP 75. De AP en de bij haar werkzame toezichthouders beschikken over verschillende (onderzoeks-) bevoegdheden die zij steeds en spontaan kunnen uitoefenen, teneinde adequaat toezicht te kunnen uitoefenen op de naleving van de AVG. Daartoe is niet een daaraan voorafgaand en redengevend feit, signaal, grond of vermoeden vereist.13 Gelet hierop was de AP niet verplicht om een risicoanalyse te maken of het onderzoek daadwerkelijk noodzakelijk was. Voor de uitoefening van de (onderzoeks-) bevoegdheden is tevens niet relevant of en zo ja, hoeveel klachten zijn ontvangen en is niet relevant dat de verstrekkingen van persoonsgegevens door de KNLTB en het gebruik ervan door [VERTROUWELIJK] en [VERTROUWELIJK]zijn beëindigd. Dat verstrekkingen en gebruik zijn beëindigd, doet niet af aan het feit dat deze wel hebben plaatsgevonden. Het onderzoek was juist bedoeld om de vraag te beantwoorden of de verstrekkingen en het gebruik van persoonsgegevens van leden van de KNLTB rechtmatig zijn geweest.

76. Voor zover de KNLTB betoogt dat de AP is strijd handelt met haar prioriteringsbeleid, overweegt de AP als volgt. Daargelaten dat de aanleiding voor het onderzoek niet alleen bestond uit klachten maar ook uit de berichtgeving van de KNLTB en de media-aandacht daarover en het gesprek dat de AP naar aanleiding daarvan op 11 oktober 2018 heeft gevoerd met de KNLTB, heeft de AP de inhoud van de klachten onderzocht in de mate waarin dit gepast is. Na een eerste beoordeling van de klachten, heeft de AP het aannemelijk geacht dat het ging om een verwerking van persoonsgegevens en dat mogelijk sprake was van één of meerdere overtredingen van de AVG. Gelet hierop en in aanmerking genomen dat het mogelijk om veel betrokkenen ging (de KNLTB heeft bijna 570.000 leden), de verstrekking mogelijk ernstige gevolgen kon hebben voor de betrokkenen en de verstrekking voor maatschappelijke ophef heeft gezorgd, heeft de AP besloten tot het instellen van een nader onderzoek. Dit is geheel in lijn met artikel 2 van het prioriteringsbeleid.

77. De stelling van de KNLTB dat de AP volgens haar prioriteringsbeleid na ontvangst van klachten van zijn leden had moeten kiezen voor een normoverdragend gesprek en had moeten afzien van onderzoek, snijdt geen hout. Een dergelijke verplichting staat niet in deze beleidsregels, die zien op het prioriteren van onderzoek naar aanleiding van klachten. De beleidsregels vormen reeds hierom geen bindend kader voor de AP bij het maken van een keuze voor een handhavingsinstrument. Er rust dus geen verplichting op de AP om bij een overtreding normconform gedrag te realiseren door telefonisch contact met de (vermeende) overtreder. Daarbij wijst de AP op de op haar rustende beginselplicht om handhavend op te treden tegen overtredingen, gelet op het algemeen belang dat hiermee is gediend. Hiertoe beschikt de AP over de in artikel 58, tweede lid, van de AVG en artikel 16 van de UAVG genoemde corrigerende maatregelen. De AP komt vrijheid toe in de keuze van het handhavingsinstrument, mits het gekozen instrument voldoende effectief is. De AP heeft in deze zaak

13 ABRvS 21 augustus 2019, ECLI:NL:RVS:2019:2832, r.o. 4.1; Rb. Rotterdam, 23 mei 2019, ECLI:NL:RBROT:2019:4155, r.o. 15.2; Rb. Rotterdam (Vrznr.) 28 september 2018, ECLI:NL:RBROT:2018:8283, r.o. 6.1.; CBb 12 oktober 2017, ECLI:NL:CBB:2017:327, r.o. 6.4; CBb12 oktober 2017, ECLI:NL:CBB:2017:326, r.o. 4.4; Gerechtshof Den Haag 13 juni 2013, ECLI:NL:GHDHA:2013:CA3041, r.o. 2.3.

18/43

niet gekozen voor een normoverdragend gesprek vanwege het grote aantal betrokkenen, de ernst van de overtreding en de maatschappelijke ophef die de verstrekkingen van ledengegevens aan [VERTROUWELIJK]en [VERTROUWELIJK] hebben veroorzaakt.

4.4 AP heeft niet onzorgvuldig gehandeld jegens FG

Standpunt KNLTB 78. De KNLTB stelt zich op het standpunt dat de AP de FG ten onrechte niet heeft betrokken bij het onderzoek, mede gezien zijn bereidheid om mee te werken en inlichtingen te verstrekken.

Reactie AP 79. De AP overweegt in de eerste plaats dat tijdens het onderzoek een afschrift van de informatieverzoeken aan de KNLTB tevens aan de FG zijn verstuurd. Daarnaast heeft de FG alle relevante correspondentie die per e-mail is gewisseld tussen de AP en de KNLTB ontvangen. In zoverre heeft de AP de FG bij het onderzoek betrokken. Ten overvloede overweegt de AP nog als volgt.

80. De FG is een interne toezichthouder die de verwerkingsverantwoordelijke moet adviseren over de naleving van de AVG. In die hoedanigheid van interne toezichthouder staat de FG in contact met de AP. De AP ziet een FG als een wezenlijk onderdeel van het kwaliteitssysteem van een organisatie met betrekking tot de verwerking van persoonsgegevens. In het kader van de uitoefening van haar toezichthoudende taken is de AP conform de Awb bevoegd om aan een ieder te verzoeken om inlichtingen te verstrekken of inzage te geven in documenten. Deze bevoegdheden zijn beschreven in hoofdstuk 5 van de Awb. De AP is zich daarbij bewust van de delicate balans tussen enerzijds de FG en anderzijds de organisatie of het organisatieonderdeel dat de verwerkingsverantwoordelijke is in de zin van de AVG. De AP werkt weliswaar samen met de FG, maar haar toezichthoudende activiteiten moet zij richten op de verwerkingsverantwoordelijke die de normadressaat is van de AVG.

81. Hoewel de AP uit hoofde van haar taken aan een ieder inlichtingen kan vragen, waaronder de FG, geldt tegelijkertijd dat de FG geen deel uitmaakt van de eenheid die is aan te merken als de verwerkingsverantwoordelijke. Ook kan de FG geen bindende instructies geven aan de bedrijfsleiding over het inrichten van een gegevensverwerking. De AP is derhalve bevoegd de verwerkingsverantwoordelijke te bevragen. Zij stelt daarbij voorop, dat in het kader van een (mogelijk) concreet ambtshalve onderzoek, voor het kunnen vaststellen van een overtreding en eventueel voor handhaving, informatie (ook) altijd bij de desbetreffende verwerkingsverantwoordelijke zelf dient te worden opgevraagd. Daarbij merkt de AP op dat de KNLTB zelf in de gelegenheid was om de FG (desgewenst) te betrekken bij het onderzoek.

82. Daarbij acht de AP van belang op te merken dat in een organisatie waarin een gezonde verstandhouding is opgebouwd tussen de verwerkingsverantwoordelijke en de FG, de FG naar verwachting in staat zal zijn deugdelijke informatie namens de verwerkingsverantwoordelijke te verstrekken over de naleving van de AVG. De AP kan echter nimmer afhankelijk zijn van deze route om aan de benodigde inlichtingen te komen. Wanneer het contact tussen een

19/43

verwerkingsverantwoordelijke en een FG immers niet optimaal zou zijn, of zodra belangrijke randvoorwaarden voor het interne toezicht zouden ontbreken, dan vormt dit een risico voor de betrouwbaarheid van de verkregen informatie.

83. De AP concludeert op grond van het voorgaande dat zij niet onzorgvuldig, noch op andere gronden onbehoorlijk jegens [VERTROUWELIJK] dan wel de KNLTB heeft gehandeld door haar onderzoeksactiviteiten te richten op de verwerkingsverantwoordelijke, de KNLTB.

4.5 Optreden AP niet in strijd met gelijkheidsbeginsel

Zienswijze KNLTB 84. De KNLTB stelt zich op het standpunt dat het onderzoek naar en eventueel handhavend optreden tegen de verstrekking van persoonsgegevens van de KNLTB aan [VERTROUWELIJK] en [VERTROUWELIJK] in strijd is met het gelijkheidsbeginsel. Hiertoe voert hij aan dat de AP richting de [VERTROUWELIJK]14 ([VERTROUWELIJK]) en [VERTROUWELIJK]15 ([VERTROUWELIJK]) voor een soortgelijke situatie heeft gekozen voor een normcorrigerende brief en niet voor handhaving. Tevens is de AP op de hoogte van het verstrekken van persoonsgegevens door andere, vergelijkbare sportverenigingen aan derden voor direct marketingdoeleinden maar enkel de KNLTB wordt er door de AP uitgelicht om een norm te stellen.

Reactie AP 85. Het gelijkheidsbeginsel strekt in het kader van het uitvoeren van onderzoek en het opleggen van een sanctie niet zover dat de bevoegdheid hiertoe onrechtmatig is uitgeoefend alleen omdat een eventuele andere overtreder niet aan een onderzoek wordt onderworpen en niet tot handhaving wordt overgegaan. Dat kan anders komen te liggen als sprake is van een ongelijke behandeling van gelijke gevallen die duidt op willekeur in de toezichts- en handhavingspraktijk van de AP.16 Hiervan is geen sprake.

86. In de toelichting bij het prioriteringsbeleid is onder meer het volgende vermeld: “Omdat de AP veel signalen, klachten en verzoeken om handhaving ontvangt en haar toezichtveld veelomvattend is, zal zij gelet op haar beperkte middelen, niet steeds een nader onderzoek kunnen uitvoeren. Daarom toetst de AP in situaties waarin mogelijk sprake is van een overtreding, maar waarvoor nader onderzoek nodig is om de overtreding vast te stellen, eerst aan haar prioriteringscriteria.”

87. Het prioriteringsbeleid is (mede) bedoeld om willekeur bij de keuze van te onderzoeken zaken naar aanleiding van klachten te voorkomen. Daargelaten dat het onderzoek naar de KNLTB niet alleen is gestart naar aanleiding van klachten maar ook naar aanleiding van een gesprek met de KNLTB

14 De KNLTB verwijst daarbij naar de gepubliceerde brieven op de website van de AP: https://autoriteitpersoonsgegevens.nl/nl/nieuws/banken-mogen-betaalgegevens-niet-zomaar-gebruiken-voor-reclame. 15 De KNLTB verwijst daarbij naar de gepubliceerde brief op de website van de AP: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/brf.-kvk-20dec18-handelsregisterinfoproducten.pdf. 16 CBb 14 augustus 2018, ECLI:NL:CBB:2018:401, r.o. 7.2.

20/43

vanwege berichtgeving in de media, heeft de AP de klachten die zij heeft ontvangen over de KNLTB getoetst aan haar prioriteringsbeleid en heeft op basis van de prioriteringscriteria geconcludeerd dat nader onderzoek naar de KNLTB was aangewezen (zie randnummer 76). In zoverre is de stelling dat de AP zich bij het uitvoeren van het onderzoek schuldig heeft gemaakt aan willekeur onjuist.

88. Daarnaast bestrijdt de AP dat de door de KNLTB genoemde situaties gelijk zijn aan onderhavige situatie. De brief die de AP heeft gestuurd aan [VERTROUWELIJK] vond zijn aanleiding in het voornemen van een bank om klantgegevens verder te verwerken voor direct marketingdoeleinden waarbij waarschijnlijk inbreuk werd gemaakt op bepalingen van de AVG. Dit in tegenstelling tot de verstrekkingen door de KNLTB die daadwerkelijk hebben plaatsgevonden.

89. De brief aan [VERTROUWELIJK] is het gevolg geweest van klachten vanwege het (mogelijk) onrechtmatig gebruik van persoonsgegevens door afnemers van [VERTROUWELIJK]voor direct marketingdoeleinden. De klachten hadden niet zozeer betrekking op de verstrekking van persoonsgegevens door [VERTROUWELIJK]zelf maar op het (mogelijk onrechtmatig) gebruik van deze persoonsgegevens door partijen aan wie [VERTROUWELIJK] zijn verstrekt. Gelet op het aanwezige spanningsveld tussen het openbare karakter van het handelsregister, waardoor [VERTROUWELIJK] verplicht is bepaalde persoonsgegevens te verstrekken, en het (verdere) mogelijk onrechtmatige gebruik van persoonsgegevens uit [VERTROUWELIJK]heeft de AP een brief gestuurd aan [VERTROUWELIJK]met een verzoek om [VERTROUWELIJK]te herzien. Tevens heeft de AP een brief gestuurd aan [VERTROUWELIJK]en opgeroepen om de door haar geleverde [VERTROUWELIJK] te toetsen op privacy-aspecten en na te denken over maatregelen om onrechtmatig gebruik zoveel mogelijk te voorkomen. Er is dan ook geen sprake van gelijke gevallen.

90. Voor zover de KNLTB betoogt dat ook andere sportbonden een vergelijkbaar beleid hanteerden ten aanzien van het verstrekken van derden voor direct marketingdoeleinden, overweegt de AP dat zij conform haar prioriteringsbeleid prioriteit heeft gegeven aan onderzoek naar de verstrekkingen van persoonsgegevens door de KNLTB aan [VERTROUWELIJK] en [VERTROUWELIJK]en hiertegen handhavend op te treden. Ten overvloede merkt de AP op dat klachten over andere sportbonden worden getoetst aan haar prioriteringsbeleid, hetgeen ertoe kan leiden dat ook naar deze sportbonden nader onderzoek zal worden verricht. Voor zover uit onderzoek blijkt dat andere sportbonden een soortgelijke overtreding hebben begaan, zal ook handhavend worden opgetreden.

91. Gelet op het voorgaande concludeert de AP dat zij niet in strijd met het gelijkheidsbeginsel heeft gehandeld.

4.6 AP heeft gehandeld zonder vooringenomenheid

Zienswijze KNLTB 92. De KNLTB stelt zich in zijn zienswijze op het standpunt dat de AP het verbod op vooringenomenheid heeft geschonden. Dit blijkt volgens de KNLTB uit het optreden van de voorzitter van de AP in een uitzending van Nieuwsuur op 17 december 2018. De KNLTB vindt het opmerkelijk dat de AP heeft

21/43

erkend dat zij onbehoorlijk heeft gehandeld jegens de KNLTB en toch een voornemen tot handhaven heeft verstuurd.

Reactie AP Bij beslissing van 19 maart heeft de AP de klacht die de KNLTB op 21 december 2018 bij de AP heeft ingediend over uitlatingen van de voorzitter van de AP in televisieprogramma Nieuwsuur gegrond verklaard. De AP heeft hierin onder andere erkend dat zij in haar uitlatingen tijdens dit programma op een aantal punten genuanceerder en zorgvuldiger had kunnen en moeten zijn. Zonder aan het belang van deze geconstateerde onzorgvuldigheid af te willen afdoen, meent de AP dat haar uitlatingen op dat moment niet zodanig waren dat sprake was van schending van het verbod op vooringenomenheid en zij om die reden geen handhavingsprocedure had mogen starten. De (uitkomst van) de klachtprocedure biedt daarvoor geen aanknopingspunten. Daarnaast is de AP van oordeel dat het onderzoek en de daaropvolgende besluitvormingsfase overeenkomstig de daaraan te stellen wettelijke vereisten heeft plaatsgevonden.

4.7 Onderscheid tussen verwerking voor verzameldoeleinde en verdere verwerking

93. De KNLTB verwerkt persoonsgegevens voor meerdere doelen. Deze doelen zijn in de loop van de tijd veranderd. Dit heeft betekenis voor het toepasselijk wettelijk kader waaraan de verstrekkingen van ledengegevens door de KNLTB aan [VERTROUWELIJK]en [VERTROUWELIJK] moeten worden getoetst. Indien het doel van deze verstrekkingen kwalificeert als een verzameldoel moet een wettelijke grondslag als bedoeld in artikel 6, eerste lid, van de AVG aanwezig zijn voor deze verwerkingen. Indien de verstrekkingen een ander doel dienen dan het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld, moet worden getoetst of dit andere doel verenigbaar is met het doel waarvoor de persoonsgegevens zijn verzameld. Dit is de verenigbaarheidstoets van artikel 6, vierde lid, van de AVG. Deze toets dient in samenhang te worden bezien met het beginsel van doelbinding en verenigbaarheid dat is opgenomen in artikel 5, eerste lid, onder b, van de AVG. In dit artikel staat dat persoonsgegevens alleen voor welbepaalde , uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze.17

94. Verschilt het doeleinde van de verdere verwerking van het doeleinde waarvoor de persoonsgegevens oorspronkelijk zijn verzameld (het verzameldoeleinde), dan is deze verdere verwerking rechtmatig indien: (i) betrokkenen toestemming hebben gegeven voor de verwerking, of (ii) de verwerking berust op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, van de AVG bedoelde doelstellingen, of

17 Het beginsel van doelbinding gold ook onder de Wet bescherming persoonsgegevens (Wbp). In artikel 9, eerste lid, van de Wbp is bepaald dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

22/43

(iii) het doeleinde van verstrekking verenigbaar is met het (welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde) doeleinde van verzameling van de persoonsgegevens.18

95. Indien het doeleinde van de verdere verwerking verenigbaar is met het doeleinde van verzameling, is er voor de verdere verwerking geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan.19

96. Indien de verdere verwerking plaatsvindt voor een ander doeleinde dan het verzameldoeleinde, maar hiervoor geen toestemming is gegeven, deze niet berust op een wettelijke bepaling of niet verenigbaar is met het verzameldoeleinde, is de verwerking onrechtmatig vanwege het ontbreken van een grondslag. Een verwerkingsverantwoordelijke kan de verdere verwerking dus niet beschouwen als een nieuwe verwerking die losstaat van de oorspronkelijke verwerking en artikel 6, vierde lid, van de AVG ‘omzeilen’ door een van de wettelijke grondslagen in artikel 6, eerste lid, van de AVG te gebruiken om de verdere verwerking alsnog te legitimeren.20

97. Voor de beoordeling of de KNLTB persoonsgegevens van zijn leden rechtmatig heeft verstrekt aan [VERTROUWELIJK] en [VERTROUWELIJK], zal moeten vastgesteld voor welke doeleinden de KNLTB persoonsgegevens heeft verzameld en of deze voor een ander doeleinde verder zijn verwerkt.

4.8 Verzameldoeleinden persoonsgegevens leden KNLTB

98. Het doelbindingsbeginsel van artikel 5, eerste lid, onder b, van de AVG is een belangrijk uitgangspunt van gegevensbescherming. Ingevolge het doelbindingsbeginsel moeten doeleinden welbepaald en uitdrukkelijk zijn omschreven, hetgeen inhoudt dat een doeleinde van een verwerking zo moet zijn geformuleerd dat het een duidelijk kader kan bieden voor de vraag in hoeverre de verwerking in een concreet geval voor het omschreven doeleinde nodig is. Daarnaast moet het doeleinde gerechtvaardigd zijn, dat wil zeggen dat het doeleinde in overeenstemming met het recht is, in de meest brede zin van het woord. Dit betekent in ieder geval (maar niet uitsluitend) dat de verwerking voor het doeleinde moet kunnen worden gebaseerd op de in artikel 6, eerste lid, van de AVG genoemde rechtsgronden.21

99. Voor het bepalen van de doeleinden waarvoor de KNLTB persoonsgegevens verzamelt en heeft verzameld, zijn diverse documenten van belang. Voor de periode vóór 2007 zijn de statuten 2005 van belang. Weliswaar zijn de verzameldoeleinden hierin niet expliciet beschreven maar deze zijn hieruit wel af te leiden.

18 Dit staat in artikel 6, vierde lid, van de AVG. 19 Zie ook overweging (50) van de AVG. 20 Dit volgt uit de formulering van artikel 5, eerste lid, onder b, van de AVG (‘(…) mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (…)’ en uit WP29 Opinion 03/2013 On purpose limitation, p. 40. 20 WP29, Opinion 03/2013 on purpose limitation, p. 19-20. 21 WP29, Opinion 03/2013 on purpose limitation, p. 19-20.

23/43

100. Personen die als lid toetreden tot een tennisvereniging worden daardoor lid van de KNLTB.22 In de statuten 2005 is het volgende vermeld: ‘Het bondsbestuur houdt een register van leden bij. In dit register worden alleen die gegevens bijgehouden welke voor de realisering van het doel van de KNLTB noodzakelijk zijn. Het bondsbestuur kan na een voorafgaand besluit van de ledenraad geregistreerde gegevens aan derden verstrekken, behalve van het lid dat tegen verstrekking bij het bondsbestuur schriftelijk bezwaar heeft gemaakt.’23 Het statutaire doel van de KNLTB is het bevorderen van de beoefening van het tennisspel en de ontwikkeling van de tennissport in Nederland.24 Dit doel tracht de KNLTB onder meer te bereiken door het bevorderen van het tennisspel als vrijetijdsbesteding, het nemen van alle maatregelen die kunnen leiden tot het verhogen van het spelpeil en het behartigen van de belangen van zijn leden en aangeslotenen en het inzetten van alle geoorloofde middelen die de KNLTB verder ten dienste staan.

101. Hoewel dit niet expliciet uit de statuten 2005 volgt, maakt de AP uit de feitelijke context25 van deze statuten op dat de KNLTB in ieder geval persoonsgegevens van leden heeft verzameld ter uitvoering van de lidmaatschapsovereenkomst.26 Dit staat ook niet ter discussie. Evenmin ter discussie staat dat de verwerking voor dit gerechtvaardigde doeleinde plaatsvindt op basis van de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’ als bedoeld in artikel 6, eerste lid, onder b, van de AVG (en tot 25 mei 2018, het moment waarop de AVG van toepassing werd, op basis van artikel 8, onder b, van de Wbp).

102. Uit de statuten 2005 kunnen twee andere verzameldoeleinden worden afgeleid. In de eerste plaats het verzamelen (en verdere gebruik) van persoonsgegevens voor zover dit noodzakelijk is voor de realisering van het doel van de KNLTB, te weten het bevorderen van de beoefening van het tennisspel en de ontwikkeling van de tennissport in Nederland. In de tweede plaats het verzamelen van geregistreerde gegevens (persoonsgegevens) met het doel deze te verstrekken aan derden. De statuten bevatten geen informatie over de (categorie van) derden aan wie persoonsgegevens kunnen worden verstrekt en ook geen informatie waarvoor de persoonsgegevens worden gebruikt door deze derden. De AP stelt zich op het standpunt dat deze doelen in ieder geval niet welbepaald en uitdrukkelijk zijn omschreven omdat leden van de KNLTB hieruit niet konden afleiden dat hun persoonsgegevens ook zouden worden gebruikt voor het genereren van inkomsten door het verstrekken ervan aan sponsors ten behoeve van hun direct marketingactiviteiten. De KNLTB had dan ook geen persoonsgegevens mogen verzamelen voor dat doel.

103. In 2007 heeft de KNLTB een nieuw (verzamel)doeleinde geformuleerd. De ledenraad van de KNLTB heeft toen ingestemd met het voorstel van het bondsbestuur tot uitbreiding van de communicatiemogelijkheden van KNLTB-sponsors, dat wil zeggen het gebruik van namen, adressen

22 Artikel 6, tweede lid, van de statuten 2005 en 2015. 23 Artikel 4, negende lid, van de statuten van de KNLTB van 19 januari 2005 en artikel 4, negende lid, van de statuten van de KNLTB van 30 december 2015. 24 Artikel 2, eerste lid, van de statuten 2015. 25 In WP29, Opinion 03/2013 on purpose limitation (p. 23-24) staat dat het noodzakelijk is om rekening te houden met de feitelijke context: ‘As previously highlighted in the context of purpose specification, it is always necessary to take account of the factual context and the way in which a certain purpose is commonly understood by relevant stakeholders in the various situations under analysis.’ 26 Artikel 2, eerste lid, van de statuten 2005.

24/43

en woonplaatsen (NAW-gegevens) van leden voor briefpostacties. Uit de bijbehorende notulen van de ledenraadsvergadering in 2007 concludeert de AP dat het om reclameboodschappen van KNLTB-sponsors gaat waarmee de KNLTB extra inkomsten genereert. Ingevolge de statuten van 19 januari 2005 (geldend op het moment van de ledenraadsvergadering in 2007) zijn leden van de KNLTB verplicht om besluiten van organen van de KNLTB na te leven.27 Aldus mag worden verondersteld dat nieuwe leden vanaf 2007 bij hun inschrijving bij de KNLTB kennis hebben genomen van dit nieuwe verzameldoel, dat meer algemeen kan worden beschreven als het genereren van inkomsten door het verstrekken van ledengegevens aan sponsors ten behoeve van hun direct marketingactiviteiten.

104. In december 2017 heeft de ledenraad opnieuw toestemming gegeven voor het verstrekken van persoonsgegevens van leden van de KNLTB voor marketing- en commerciële doeleinden aan huidige en toekomstige structurele en toekomstige partners met als doeleinde benadering per telefoon/telemarketing. Volgens de AP kan dit doel worden geschaard onder het doel het genereren van inkomsten door het verstrekken van ledengegevens aan sponsors en kwalificeert dit als zodanig niet als een nieuw (verzamel)doel.

105. Voor zover de KNLTB betoogt in zijn zienswijze dat de doeleinden genoemd in de statuten van de KNLTB van 4 maart 2019 (statuten 2019) en het privacy statement van december 2018, waaronder het verstrekken van persoonsgegevens aan partners, welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn en ‘altijd centraal [hebben] gestaan voor de KNLTB, zowel in het heden, als voor 2007, en (…) ook altijd zo [zijn] gecommuniceerd’, overweegt de AP dat de statuten 2019 en het privacy statement niet relevant zijn, omdat deze documenten pas na de verstrekking van ledengegevens aan [VERTROUWELIJK] en [VERTROUWELIJK] in juni 2018 zijn gaan gelden. Voor zover de KNLTB doelt op de nieuwsbrieven over de verstrekking van persoonsgegevens aan sponsors, geldt ook dat deze ná 2007 naar de leden zijn verstuurd. Voor de vraag of vóór 2007 kenbaar was dat ledengegevens aan partners zouden worden verstrekt, zijn dus niet deze documenten maar de statuten 2005 bepalend en, zoals reeds vastgesteld, is dit doel hierin niet welbepaald en uitdrukkelijk beschreven.

106. De AP stelt op basis van het voorgaande vast dat de KNLTB vanaf 2007 zijn leden heeft geïnformeerd over zijn doel van de verstrekkingen van ledengegevens aan sponsors, namelijk het genereren van (extra) inkomsten.

107. De AP concludeert op basis van het voorgaande dat de KNLTB persoonsgegevens van leden die vóór 2007 lid zijn geworden van de KNLTB heeft verzameld voor het uitvoeren van de lidmaatschapsovereenkomst.28 Vanaf 2007 is de KNLTB begonnen met het verzamelen van persoonsgegevens van zijn leden voor het genereren van inkomsten door het verstrekken van deze gegevens aan sponsors. De verstrekking van ledengegevens aan sponsors kwalificeert voor leden die

27 Op basis van artikel 6, eerste lid, onder a in samenhang bezien met artikel 3, eerste lid, van de Statuten van 19 januari 2005 (die op het moment van de verstrekkingen golden) zijn leden onder meer verplicht om besluiten van organen van de KNLTB (waaronder de ledenraad) na te leven. 28 Artikel 2, eerste lid, van de statuten 2005.

25/43

vóór 2007 lid zijn geworden van de KNLTB aldus als een verdere (cursief AP) verwerking van persoonsgegevens. Voor leden die na 2007 lid zijn geworden van de KNLTB kwalificeert dit doel als een verzameldoel.

108. In het hiernavolgende maakt de AP voor de beoordeling of de persoonsgegevens door de KNLTB op een rechtmatige wijze zijn verwerkt onderscheid in twee situaties. De eerste situatie heeft betrekking op de verwerking van persoonsgegevens van leden die vóór 2007 lid zijn geworden. Hierbij kwalificeert de AP het verstrekken van ledengegevens aan sponsors voor het genereren van (extra) inkomsten als een verwerking voor een ander doel dan dat waarvoor de persoonsgegevens oorspronkelijk zijn verzameld (dat wil zeggen een verdere verwerking). Voor leden die vanaf 2007 lid zijn geworden geldt dat de verstrekking van hun persoonsgegevens aan sponsors als doeleinde bekend was en kwalificeert als een verzameldoel.

4.9 Verenigbaarheid doeleinden in het geval van lidmaatschap vóór 2007

109. Voor leden die vóór 2007 lid zijn geworden van de KNLTB geldt het verstrekken van ledengegevens aan sponsors ten behoeve van hun direct marketingactiviteiten voor het genereren van (extra) inkomsten voor de KNLTB als een verdere verwerking. Deze is rechtmatig indien (1) leden toestemming hebben gegeven voor de verwerking, of (2) de verstrekking berust op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, van de AVG bedoelde doelstellingen, of (3) het doeleinde van de verstrekking verenigbaar is met het doeleinde waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. In het hiernavolgende zal worden beoordeeld of één van deze situaties zich voordoet.

Geen toestemming 110. Niet in geschil is dat voor de verstrekking van persoonsgegevens aan sponsors geen toestemming is verkregen van de leden van de KNLTB. Wel heeft de ledenraad ingestemd met de verstrekking. Voor zover de KNLTB betoogt dat deze instemming als toestemming in de zin van de AVG kwalificeert, overweegt de AP dat dit niet het geval is. Immers, toestemming dient door de betrokkene te worden gegeven door middel van een duidelijke actieve handeling waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.29

De instemming van de ledenraad in 2007 voldoet niet aan deze vereisten, nu daarmee geen toestemming van de individuele betrokkenen is verkregen.

111. De AP concludeert dat de KNLTB voor het verstrekken van ledengegevens aan sponsors geen toestemming van zijn leden heeft verkregen.

Verstrekking berust niet op wettelijke bepaling 112. Niet in geschil is tevens dat de verstrekking van persoonsgegevens aan sponsors niet berust op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving

29 Overweging (32) van de AVG.

26/43

een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, van de AVG bedoelde doelstellingen.

Verdere verwerking is niet verenigbaar 113. Het beginsel van doelbinding (artikel 5, eerste lid, onder b, van de AVG) brengt met zich dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt. Gelet op het beginsel van doelbinding zal moeten worden nagegaan of de verwerking van de persoonsgegevens ten behoeve van het genereren van extra inkomsten verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Hierbij dient onder meer rekening gehouden te worden met (artikel 6, vierde lid, van de AVG): (a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; (b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; (c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10; (d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; (e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Verband doeleinden 114. De KNLTB heeft zich in zijn zienswijze met betrekking tot het onderzoeksrapport op het standpunt gesteld dat het verzameldoel en het doel van de verdere verwerking een nauwe verwantschap hebben en in elkaars verlengde liggen. Het verstrekken van persoonsgegevens heeft volgens de KNLTB als doel om zo goed mogelijk invulling/meerwaarde te kunnen geven aan het lidmaatschap van de leden. Zowel de kortingen die met de acties worden gegeven aan de leden, als de financiële voordelen die daaruit voortvloeien, komen ten goede aan deze leden, waardoor zij hoe dan ook de meerwaarde en voordelen hiervan zullen ervaren. Immers, ook wanneer niet wordt deelgenomen ervaren de leden de voordelen van de opbrengsten van de acties, die geïnvesteerd worden in de leden en de tennissport. Tevens stelt de KNLTB dat de AP in het onderzoeksrapport ten onrechte niet is ingegaan op de door de KNLTB gecommuniceerde doelen waarbij hij verwijst naar zijn statuten en privacy statement.

115. De AP overweegt als volgt. De KNLTB heeft persoonsgegevens (van leden die vóór 2007 lid zijn geworden) oorspronkelijk verzameld ten behoeve van de uitvoering van de lidmaatschapsovereenkomst en niet voor het doel om (extra) inkomsten te genereren door verstrekking aan sponsors. Volgens de AP bestaat er geen enkel verband tussen beide doeleinden.

Kader waarin persoonsgegevens zijn verzameld 116. De KNLTB stelt dat zijn leden mochten verwachten dat hun persoonsgegevens ook verstrekt zouden worden aan sponsors ten behoeve van hun direct marketingactiviteiten teneinde inkomsten te genereren. Hiertoe voert de KNLTB in de eerste plaats aan dat de leden hierover veelvuldig zijn

27/43

geïnformeerd. Voorts zouden de leden zonder de direct marketingacties van sponsors/partners geen extra voordeel genieten als gevolg waarvan de meerwaarde van het bondlidmaatschap niet (direct) zou worden gezien door de leden, aldus de KNLTB. Tevens zijn de leden erbij gebaat de tennissport toegankelijk en betaalbaar te houden. Daarnaast zou het juist tegen de verwachting van de leden ingaan wanneer gekozen zou worden voor een andere wijze van genereren van extra inkomsten, zoals het verhogen van de contributie of het afschaffen van gratis tennislessen voor kinderen onder de leeftijd van zes jaar. Ook benadrukt de KNLTB dat lidmaatschap een vrije keuze is, omdat de mogelijkheid bestaat om van een vereniging lid te worden die niet lid is van de KNLTB of zelf een (tennis)club op te richten. Bovendien kunnen leden hun recht van bezwaar inroepen om verstrekking door de KNLTB aan zijn partners te voorkomen. Tevens voegt de KNLTB toe dat de ledenraad een belangrijke rol speelt, alle leden vertegenwoordigt, in nauw contact staat met de verenigingen en een vertaalslag maakt tussen het strategische beleid van de KNLTB en het belang/gevolgen daarvan voor de tennisverenigingen en zijn leden. De ledenraad is daarmee volgens de KNLTB een niet te onderschatten schakel die de redelijke verwachtingen van de overige leden inschat, communiceert, vertegenwoordigt, aanhoort, en daarmee (mede) beïnvloedt.

117. De persoonsgegevens van de leden van de KNLTB (voor zover deze vóór 2007 lid zijn geworden) zijn verzameld in het kader van de uitvoering van de lidmaatschapsovereenkomst. Beoordeeld dient in ieder geval te worden of de verstrekking door de KNLTB aan sponsors om (extra) inkomsten te genereren in de lijn van de redelijke verwachtingen van de leden lag, op basis van hun verhouding met de KNLTB (als verwerkingsverantwoordelijke). Dit is volgens de AP niet het geval. Aspirant-leden die zich aansluiten bij een tennisclub die lid is van de KNLTB worden automatisch lid van de KNLTB. Iemand die lid wil worden van een tennisclub die lid is van de KNLTB beschikt niet over de keuze om zijn persoonsgegevens niet te verstrekken aan de KNLTB; deze zijn immers noodzakelijk voor de uitvoering van de lidmaatschapsovereenkomst. Gelet op het verplichte lidmaatschap hadden de leden mogen verwachten dat hun persoonsgegevens alleen zouden worden gebruikt voor het verzameldoel, de uitvoering van de lidmaatschapsovereenkomst. Hierbij neemt de AP in aanmerking dat de KNLTB een non-profitorganisatie is en ook hierom de leden niet konden verwachten dat hun persoonsgegevens zouden worden verstrekt aan sponsors met commerciële motieven. Dit geldt temeer voor de verstrekkingen van persoonsgegevens aan en het gebruik ervan door [VERTROUWELIJK], die geen tennisgerelateerde aanbiedingen deed (zoals [VERTROUWELIJK]) maar [VERTROUWELIJK] aanbood. De bijkomstigheid dat leden van de KNLTB bij de aankoop van een [VERTROUWELIJK] kans maakten op een trip naar een tenniswedstrijd in Londen, maakt dit niet anders. Dat de KNLTB zijn leden voorafgaand aan de verstrekkingen op diverse manieren heeft geïnformeerd over de verdere verwerking van hun persoonsgegevens, is geen omstandigheid die van belang is voor het kader waarin de persoonsgegevens zijn verzameld. Immers, het informeren van de leden heeft pas plaatsgevonden na (cursief AP) de verzameling hun persoonsgegevens. Daarnaast wijzen de feiten uit het onderzoek erop dat de leden van de KNLTB de belactie van [VERTROUWELIJK] niet hadden verwacht. Hoewel de KNLTB zijn leden heeft geïnformeerd over het verstrekken van persoonsgegevens aan sponsors, heeft de belactie tot veel klachten en ophef in de media geleid, hetgeen ook aanleiding is geweest om de belactie voortijdig te staken.

28/43

Aard van de verstrekte persoonsgegevens 118. De KNLTB wijst er in zijn zienswijze op dat alleen gegevens aan derden zijn verstrekt die nodig zijn om contact op te kunnen nemen met de leden, te weten NAW-gegevens en telefoonnummer. Er zijn geen bijzondere categorieën van persoonsgegevens verstrekt. Ook zijn geen persoonsgegevens van minderjarige leden verstrekt, noch e-mailadressen van leden aangezien hierbij een groter risico bestaat op spam.

119. De AP stelt vast dat de KNLTB inderdaad geen bijzondere categorieën van persoonsgegevens heeft verstrekt aan [VERTROUWELIJK] en [VERTROUWELIJK]. Ervan uitgaande dat de KNLTB conform zijn contactprotocol heeft gehandeld, zijn ook geen persoonsgegevens verstrekt van personen jonger dan 16 jaar.30 Wel heeft de KNLTB e-mailadressen verstrekt aan [VERTROUWELIJK] terwijl dat niet nodig was voor de telemarketingactie, waardoor het risico op bijvoorbeeld spam en phishing onnodig is vergroot.

Mogelijke gevolgen van de verdere verwerking 120. De KNLTB benadrukt in zijn zienswijze dat de acties van [VERTROUWELIJK] en [VERTROUWELIJK] door de meeste leden positief zijn ontvangen en een hoge conversie hadden. Daarnaast hadden de acties volgens de KNLTB ook positieve gevolgen voor leden die er geen gebruik van hebben gemaakt. Immers, de opbrengsten van de acties worden geïnvesteerd in de leden en in de tennissport. De KNLTB wijst er op dat bij het selecteren van de leden die zijn benaderd in het kader van de acties zoveel mogelijk is geprobeerd te voorkomen dat leden ongewenst benaderd werden, omdat zij al een abonnement hadden of in het bel-me-niet-register staan opgenomen. Tevens betoogt de KNLTB dat de verstrekkingen geen verlies van controle over persoonsgegevens betekenen. Hij voert hiertoe aan dat leden voorafgaand aan de verstrekking van hun persoonsgegevens hierover voldoende zijn geïnformeerd en hiertegen bezwaar hadden kunnen maken. Voorts zijn door de verstrekking volgens de KNLTB geen extra risico’s ontstaan voor de rechten en vrijheden van de betrokkenen, omdat er verschillende maatregelen zijn getroffen om de beveiliging van persoonsgegevens te waarborgen, zoals het gebruik van een beveiligde sFTP server, de partnerovereenkomst, het contactprotocol, het belscript, het direct verwijderen van gegevens na gebruik en het monitoren of de overeenkomst wordt nageleefd. Tenslotte stelt de KNLTB dat de negatieve gevolgen van de verstrekking beperkt zijn: een kortingsflyer in de brievenbus en/of een keer gebeld worden. Deze gevolgen kunnen volgens de KNLTB niet verstrekkend worden genoemd.31 In dit verband voert de KNLTB nog aan dat de telemarketingactie vroegtijdig is beëindigd in verband met de klachten over de uitvoering ervan.

121. De AP overweegt dat door de verstrekkingen de leden van de KNLTB de controle over hun persoonsgegevens hebben verloren en daarmee inbreuk is gemaakt op hun persoonlijke levenssfeer. Dat, zoals de KNLTB stelt, de gegenereerde inkomsten geheel ten goede komen aan de leden en de

30 In de overeenkomst met [VERTROUWELIJK] staat – anders dan in het contactprotocol van de KNLTB – dat de personen in het bestand minimaal 18 jaar moeten zijn. 31 De KNLTB verwijst naar de uitspraak van Rechtbank Amsterdam 12 februari 2004, ECLI:NL:RBAMS:2004:AO3649 en naar een document uit 2002 van het toenmalige College Bescherming Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z2002-0881.pdf.

29/43

tennissport, maakt dit niet anders. De leden hadden erop mogen vertrouwen dat de KNLTB hun persoonsgegevens alleen zou gebruiken voor de uitvoering van de lidmaatschapsovereenkomst en niet zou verstrekken aan sponsors. De ernst van de inbreuk wordt mede bepaald door de volgende omstandigheden. In de eerste plaats heeft de KNLTB de selectie van de te bellen leden overgelaten aan [VERTROUWELIJK], hetgeen tot gevolg heeft gehad dat van 314.846 leden persoonsgegevens zijn verstrekt terwijl [VERTROUWELIJK] daarvan slechts 39.478 leden (minder dan 13%) heeft geselecteerd om te benaderen. In de tweede plaats zijn aan [VERTROUWELIJK] persoonsgegevens verstrekt die niet noodzakelijk zijn voor een belactie, waaronder het e-mailadres. Dit klemt te meer nu de KNLTB in zijn nieuwsberichten er expliciet op gewezen heeft dat het e-mailadres niet zonder toestemming zal worden verstrekt aan [VERTROUWELIJK] en dit in strijd is met vuistregel 2 (‘verstrek uitsluitend noodzakelijke gegevens’) uit het Handboek Sport & Privacy. In zoverre heeft de KNLTB onnodig veel persoonsgegevens van onnodig veel leden aan [VERTROUWELIJK] verstrekt. In de derde plaats hebben zowel [VERTROUWELIJK] als [VERTROUWELIJK] persoonsgegevens verstrekt aan [VERTROUWELIJK] respectievelijk diverse [VERTROUWELIJK] ter uitvoering van hun direct marketingactiviteiten. Dit heeft tevens tot gevolg dat voor deze leden het risico op een inbreuk op hun persoonsgegevens mogelijk is vergroot.

122. Daarnaast gaat de KNLTB voorbij aan de omstandigheid dat het (ongewild) ontvangen van een kortingsflyer en telefonische verkoop als hinderlijk kan worden ervaren. Dit geldt in het bijzonder voor de belactie van [VERTROUWELIJK] die om die reden voortijdig is gestaakt. De gestelde hoge conversie van de acties van beide sponsors en de inkomsten voor KNLTB doen niet af aan het gegeven dat de vele leden van wie persoonsgegevens zijn verstrekt, maar niet voor de acties zijn gebruikt, geen enkel voordeel hebben ondervonden van de verstrekking van hun eigen persoonsgegevens.

Passende waarborgen 123. De KNLTB wijst in zijn zienswijze op de waarborgen die door hem zijn getroffen om de beveiliging van persoonsgegevens te waarborgen. Tevens haalt de KNLTB enkele oudere besluiten aan van voorgangers van de AP (de Registratiekamer en het College Bescherming Persoonsgegevens (CBP)) waarin was opgenomen dat waarborgen een positief of soms doorslaggevend effect konden hebben op de verenigbaarheidsafweging.32

124. De AP overweegt dat passende maatregelen als bedoeld in artikel 6, vierde lid, van de AVG, kunnen dienen als ‘compensatie’ voor het feit dat gegevens voor een ander doel dan het verzameldoel verder worden verwerkt.33 De door de KNLTB getroffen maatregelen, zoals de mogelijkheid van bezwaar, bieden volgens de AP in dit geval onvoldoende compensatie voor de inbreuk die de KNLTB met de verstrekkingen op de persoonlijke levenssfeer van betrokkenen heeft gemaakt. Het betreft in de eerste plaats maatregelen die de KNLTB verplicht was te treffen. In de tweede plaats hebben deze

32 De KNLTB verwijst naar: https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z2005-0703.pdf (uit 2005); https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z2005-1447.pdf (uit 2005); https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z2002-0881.pdf (uit 2002) en https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rapporten/rap_2003_onderzoek_kpn.pdf met een citaat van Registratiekamer, Den Haag, juli 1999, Achtergrondstudies & Verkenningen 14, p. 19. 33 WP29 Opinion 03/2013 On purpose limitation, p. 26.

30/43

maatregelen niet kunnen voorkomen dat onnodig veel persoonsgegevens zijn verstrekt aan met name [VERTROUWELIJK] én persoonsgegevens zijn beland bij derden, te weten diverse [VERTROUWELIJK] en [VERTROUWELIJK]. Hierover zijn de leden van de KNLTB niet of in ieder geval onvoldoende geïnformeerd.34 Het had op de weg van de KNLTB gelegen om zijn leden volledig te informeren over welke persoonsgegevens aan welke sponsors zouden worden verstrekt alsmede zijn leden te informeren dat deze in het kader van de uitvoering van de direct marketingactiviteiten ook aan derden zouden worden verstrekt. Gelet op het oorspronkelijke verzameldoel, de uitvoering van de lidmaatschapsovereenkomst, en de redelijke verwachtingen van zijn leden dat hun persoonsgegevens niet voor commerciële doeleinden van sponsors zouden worden gebruikt, had het tevens op de weg van de KNLTB gelegen om hiervoor toestemming aan zijn leden te vragen. Dit is echter niet gebeurd.

Conclusie AP 125. Gelet op de omstandigheden dat enig verband tussen verzameldoel en het doel van de verdere verwerking ontbreekt, de verstrekkingen aan [VERTROUWELIJK] en [VERTROUWELIJK] niet in de lijn van de redelijke verwachtingen van de leden liggen, de gevolgen van de verstrekkingen voor de leden van de KNLTB en dat de door de KNLTB getroffen maatregelen hiervoor onvoldoende compensatie bieden, concludeert de AP dat de verdere verwerking ten behoeve van het genereren van inkomsten niet verenigbaar is met het verzameldoel, uitvoering van de lidmaatschapsovereenkomst.

4.10 Grondslag voor verwerking persoonsgegevens in het geval van lidmaatschap ná 2007

126. Voor leden die na 2007 lid werden van de KNLTB wordt verondersteld dat het doeleinde om extra inkomsten te genereren door het verstrekken van persoonsgegevens aan sponsors, bij de leden bekend was. De verwerking van deze persoonsgegevens dient te zijn gebaseerd op een rechtmatige grondslag. Volgens de KNLTB is de verwerking van persoonsgegevens ten behoeve van het genereren van extra inkomsten noodzakelijk voor de behartiging van zijn gerechtvaardigde belangen, nu zijn ledenaantal (en daarmee de inkomsten van de KNLTB) de afgelopen tien jaar sterk is gedaald. Uit eigen onderzoek is gebleken dat de oorzaak daarvan is gelegen in het feit dat leden weinig meerwaarde zien in het lidmaatschap van de KNLTB.

AP geeft verkeerde uitleg aan het begrip gerechtvaardigd belang 127. De KNLTB stelt zich op het standpunt dat de AP in haar onderzoeksrapport een verkeerde uitleg geeft aan het begrip ‘gerechtvaardigd belang’ door te concluderen dat een belang pas kwalificeert als gerechtvaardigd als dit belang is terug te voeren op een grondrecht of rechtsbeginsel. Deze uitleg is niet terug te voeren op: - de wettekst zelf; - informatie verstrekt door Europese privacytoezichthouders (inclusief de AP); - jurisprudentie; - richtlijnen van de European Data Protection Board (EDPB). Volgens de KNLTB dient het belang ‘lawful’ te zijn, hetgeen volgt uit de richtlijnen van de EDPB en de

34 WP29 Opinion 03/2013 On purpose limitation.

31/43

website van de ICO (Information Commissioner’s Office, de toezichthoudende autoriteit in het Verenigd Koninkrijk).

Overwegingen AP 128. De AP overweegt dat haar conclusie dat een gerechtvaardigd belang terug te voeren moet zijn op een grondrecht of rechtsbeginsel volgt uit het systeem van de AVG. Immers, een verwerking van persoonsgegevens is altijd een inmenging op het fundamentele recht op bescherming van persoonsgegevens. Daardoor is iedere verwerking in beginsel onrechtmatig. Dit volgt ook uit artikel 6, eerste lid, van de AVG waarin is vermeld dat een verwerking alleen rechtmatig is indien en voor zover aan ten minste een van de onder a tot en met f genoemde voorwaarden (grondslagen van de verwerking) is voldaan.

129. De AVG biedt aldus een juridische basis om tóch persoonsgegevens te mogen verwerken. Deze basis bestaat (naast toestemming) uit vijf andere grondslagen. Van belang is hier de in artikel 6, eerste lid, onder f, van de AVG genoemde grondslag: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

130. Voor een geslaagd beroep op de grondslag van gerechtvaardigde belangen moet aan drie cumulatieve voorwaarden worden voldaan opdat een verwerking van persoonsgegevens rechtmatig is. In de eerste plaats: de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van een derde. In de tweede plaats: de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang. En in de derde plaats: de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.

131. De eerste voorwaarde is dat de belangen van de verwerkingsverantwoordelijke of een derde kwalificeren als gerechtvaardigd. Dat houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Het moet gaan om een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.

132. De verwerkingsverantwoordelijke of derde moet zich dus op een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel kunnen beroepen. Is die rechtsregel of dat rechtsbeginsel ten aanzien van de verwerking van persoonsgegevens voor de betrokkene (voldoende) duidelijk en nauwkeurig en/of de toepassing ervan (voldoende) voorspelbaar, dan kan de verwerking op basis van de onder artikel 6, eerste lid, onder c en e, van de AVG genoemde grondslagen (wettelijke verplichting respectievelijk vervulling van taak van algemeen belang) plaatsvinden. Maar er zijn ook gevallen waarbij de rechtsregel of dat rechtsbeginsel ten aanzien van de verwerking van persoonsgegevens

32/43

voor de betrokkene niet (voldoende) duidelijk en nauwkeurig en/of de toepassing ervan (onvoldoende) voorspelbaar is.

133. In deze gevallen kan er bij de verwerkingsverantwoordelijke of derde toch sprake zijn van gerechtvaardigde belangen. Deze belangen zelf moeten wel steeds echt, concreet en rechtstreeks zijn. En dus niet speculatief, toekomstig of afgeleid. Het kan in beginsel ieder materieel of immaterieel belang zijn.

134. Het enkele belang persoonsgegevens te gelde te kunnen maken c.q. daar winst mee te kunnen maken kwalificeert op zichzelf echter niet als een gerechtvaardigd belang. Niet alleen omdat een dergelijk belang doorgaans onvoldoende specifiek zal zijn - in zekere zin heeft iedereen overal altijd wel belang bij het hebben van meer geld – maar principiëler ook omdat er dan van uitgegaan wordt dat er vervolgens een afweging gemaakt mag worden. En wel een afweging tussen: - het enkele niet juridisch/rechtens beschermde belang dat een partij heeft bij het zo goed mogelijk te gelde maken van andermans persoonsgegevens enerzijds, - het grondrechtelijk verankerde belang dat betrokkene heeft bij bescherming van zijn persoonsgegevens anderzijds.

135. Er zijn weinig beperkingen aan de commerciële mogelijkheden bij toepassing van de grondslagen toestemming en overeenkomst. Het gaat bij verwerkingen die noodzakelijk zijn voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke echter in de kern juist om verwerkingen buiten de wil van de betrokkene om. Dit is het domein waar de rechten van verwerkingsverantwoordelijken botsen met het grondrecht van betrokkenen. De gedachte dat het in beginsel toegestaan zou zijn om geld te verdienen door op eigen gezag inbreuk te maken op andermans grondrechten staat hier haaks op het uitgangspunt dat betrokkene - optreden van de wetgever daargelaten - grip op zijn gegevens zou moeten hebben. Een zo ruime mogelijkheid tot afweging kan dus niet zijn wat de AVG beoogt en wordt ook niet genoemd, toegelaten of voorgestaan door de Groep Gegevensbescherming Artikel 29 (WP29).35

136. De gerechtvaardigdheid van het belang is – ook volgens WP29 – bepalend voor de vraag of de ‘drempel’ gehaald wordt om een afweging te mogen maken. De afweging (noodzaak en belangenafweging) is immers niet aan de orde als de drempel ‘gerechtvaardigdheid’ niet wordt bereikt. Met andere woorden: Als de verwerkingsverantwoordelijke zich niet op een juridisch/rechtens beschermd belang kan beroepen – de betrokkene kan dat immers wel - dan kan er van noodzaak geen sprake zijn en ook al niet van het wegen van beide rechtsbelangen. Omgekeerd betekent dit dat de bescherming die uitgaat van het gesloten stelsel van grondslagen gemakkelijk zou kunnen worden uitgehold als het enkele belang om geld te verdienen al een gerechtvaardigd belang zou zijn. Dan kan immers onder omstandigheden ook eenvoudig beweerd worden dat de desbetreffende inkomsten dringend noodzakelijk zijn, gelet op het belang zo veel mogelijk geld te verdienen. En dan resteert in feite slechts een materiële afweging - te maken door degene met het financiële belang zelf - tussen zelf geld verdienen en andermans grondrechten opgeven. In het uiterste

35 WP29 Opinion 06/2014 on the “Notion of legitimate interests of the data controller under Article 7 of Directive 95/46EC”.

33/43

geval zou men dan kunnen beweren dat als het om heel veel geld gaat, de inbreuk op de grondrechten naar rato groter zou mogen zijn. Dat is evident niet de bedoeling. Het grondrecht op bescherming van persoonsgegevens zou dan in belangrijke mate illusoir worden.

137. De vrijheid van ondernemerschap is een erkenning in het Handvest van de vrijheid om een economische of een handelsactiviteit uit te oefenen en een erkenning van de contractuele vrijheid en de vrije mededinging. Dit alles is uiteraard niet onbegrensd, maar alleen ‘overeenkomstig het recht van de Unie en de nationale wetgevingen en praktijken’. Hieruit volgt onder meer dat ondernemers in beginsel zelf mogen bepalen met wie ze zaken doen en met wie niet, zelf hun prijzen mogen vaststellen, etc. Maar het is niet zo dat uit het algemene grondrecht vrijheid van ondernemerschap volgt dat het recht ook het belang om (zoveel mogelijk) geld te verdienen op zichzelf beschermt. Of dat hieruit voortvloeit dat ‘minder winst kunnen maken’ een botsing met het grondrecht op privacy of gegevensbescherming van anderen oplevert. Zoals dit ook niet inhoudt dat bijvoorbeeld het grondrecht van anderen/klanten op eigendom onder verwijzing naar ondernemingsvrijheid onder omstandigheden zou mogen worden geschonden. Ondernemers hebben anderzijds wel de nodige zorgplichten voor hun werknemers en/of hun klanten. Die zijn vastgelegd in concrete of algemene rechtsnormen. Daar invulling aan kunnen geven is wel een gerechtvaardigd belang.

138. Het voorgaande brengt met zich dat gerechtvaardigde belangen een min of meer dringend en specifiek karakter hebben dat uit een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel voortvloeit; het moet in zekere zin onontkoombaar zijn dat deze gerechtvaardigde belangen worden behartigd.36

Zuiver commerciële belangen en het belang van winstmaximalisatie ontberen voldoende specificiteit en missen een dringend ‘wettelijk’ karakter zodat zij niet kunnen kwalificeren als gerechtvaardigde belangen.

139. Dit volgt, zij het in iets andere bewoordingen, ook uit advies 06/2014 van de Groep Gegevensbescherming Artikel 29 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG. In dit advies is onder meer het volgende vermeld: ‘Een belang kan daarom worden beschouwd als gerechtvaardigd zolang de voor de verwerking verantwoordelijke dit belang kan behartigen op een manier die overeenkomt met de gegevensbeschermings- en andere wetgeving. Anders gezegd moet een gerechtvaardigd belang “aanvaardbaar zijn volgens de wetgeving”’.37

Volgens KNLTB kwalificeert zijn belang als gerechtvaardigd 140. De KNLTB voert vervolgens aan dat, als de uitleg van de AP al juist is, zij eraan voorbij gaat dat het belang dat de KNLTB heeft bij de verwerking van de persoonsgegevens is terug te voeren op de AVG. In overweging 47 van de considerans bij de AVG is immers vermeld dat de verwerking van

36 Zie bijvoorbeeld het arrest van het Europese Hof van Justitie van 4 mei 2017, ECLI:EU:C:2017:336, r.o. 29: ‘[…] dat het belang van een derde bij het verkrijgen van persoonsgegevens van degene die schade heeft aangebracht aan zijn eigendom, teneinde de schade op deze persoon in rechte te verhalen, een gerechtvaardigd belang is’. Zie in die zin het arrest van het Europese Hof van Justitie van 29 januari 2008, ECLI:EU:C:2008:54, r.o. 53). 37 WP29 Opinion 06/2014 on the “Notion of legitimate interests of the data controller under Article 7 of Directive 95/46EC”, p. 25.

34/43

persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang. Tevens wijst de KNLTB op artikel 16 van het Handvest van de grondrechten van de Europese Unie, de vrijheid van ondernemerschap. Volgens de KNLTB heeft de AP deze rechtsnorm eerder aan beoordelingen over het gerechtvaardigd belang ten grondslag gelegd.

Overwegingen AP De AP merkt in de eerste plaats op dat de verstrekking van ledengegevens aan [VERTROUWELIJK] en [VERTROUWELIJK] twee belangen dient van de KNLTB: (1) het belang van het geven van meerwaarde voor het lidmaatschap en (2) het belang van het terugdringen van de verminderde inkomsten door dalende ledenaantallen.

141. De door de KNLTB gestelde belangen missen een min of meer dringend karakter dat uit een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel voortvloeit. Voor zover de KNLTB verwijst naar artikel 16 van het Handvest van de grondrechten van de Europese Unie, de vrijheid van ondernemerschap, geldt hetzelfde. Dit fundamentele recht regelt naast de contractuele vrijheid, de vrijheid om een economische of een handelsactiviteit uit te oefenen. Het belang van deze vrijheden is echter onvoldoende concreet en rechtstreeks om te kunnen kwalificeren als gerechtvaardigd belang. In dit verband overweegt de AP dat met de verstrekkingen de KNLTB geen invulling geeft aan concrete of algemene rechtsnormen die betrekking hebben op zijn zorgplichten als ‘ondernemer’. De AP concludeert dan ook dat de door de KNLTB gestelde belangen noch de door de AP benoemde belangen niet kwalificeren als gerechtvaardigd.

142. De conclusie is dat het belang van de KNLTB bij de verstrekking van persoonsgegevens van leden aan [VERTROUWELIJK] en [VERTROUWELIJK] niet kwalificeert als een gerechtvaardigd belang. Nu de verstrekkingen ook niet konden worden gebaseerd op een andere wettelijke grondslag als benoemd in artikel 6, eerste lid, van de AVG, concludeert de AP dat de desbetreffende verstrekkingen onrechtmatig hebben plaatsgevonden.

4.11 Secundair standpunt toetsingskader derdenverstrekking

143. Zoals artikel 6, vierde lid, AVG omschrijft is de toets van de verdere verwerking aan de orde indien, samengevat weergegeven, de verwerking plaatsvindt voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld. De AP is van oordeel dat deze toets zich in beginsel beperkt tot een verdere verwerking van persoonsgegevens door de verwerkingsverantwoordelijke zelf binnen zijn eigen bedrijfsvoering. Voor de verstrekking van persoonsgegevens aan een derde dient de verwerkingsverantwoordelijke een separate grondslag als bedoeld in artikel 6, eerste lid, AVG te hebben. Van de aanwezigheid van een separate grondslag is niet gebleken.

35/43

5. Boete 5.1 Inleiding

144. De KNLTB heeft zonder rechtmatige grondslag – en dus onrechtmatig – persoonsgegevens van zijn leden verstrekt aan [VERTROUWELIJK] en [VERTROUWELIJK]. Hiermee heeft de KNLTB jegens zijn leden in strijd gehandeld met artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG en inbreuk gemaakt op het recht van eerbiediging van de persoonlijke levenssfeer en het recht op de bescherming van persoonsgegevens van zijn leden. Als gevolg hiervan hebben leden van de KNLTB de controle over hun persoonsgegevens verloren. De AP is van oordeel dat dit een ernstige overtreding betreft. De AP ziet hierin aanleiding om gebruik te maken van haar bevoegdheid om een boete op grond van artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, aan de KNLTB op te leggen.

Vertrouwensbeginsel 145. De KNLTB stelt zich op het standpunt dat door het opleggen van een bestuurlijke sanctie de AP in strijd handelt met het vertrouwensbeginsel. Hiertoe voert hij aan dat de KNLTB gerechtvaardigd heeft mogen vertrouwen op schriftelijke uitingen van de rechtsvoorganger van de AP, het CBP. De KNLTB wijst op het informatieblad ‘Verstrekken gegevens uit ledenadministratie’ uit september 2010 (informatieblad), waarin onder meer het volgende is vermeld: “Verstrekken van persoonsgegevens aan personen en bedrijven buiten de vereniging, zoals een sponsor, mag als de vereniging daarvoor aan zijn leden toestemming heeft gevraagd. […] Als het gaat om activiteiten die voor de vereniging gebruikelijk zijn of zijn goedgekeurd door de ledenvergadering, hoeft geen expliciete toestemming gevraagd te worden aan de leden. Verder kan een vereniging gegevens verstrekken aan bedrijven ten behoeve van direct marketing. De vereniging mag dan alleen als de leden gedurende een redelijke termijn in de gelegenheid zijn gesteld om hiertegen verzet aan te tekenen.

146. Volgens de KNLTB is de inhoud van het informatieblad nog onverkort relevant omdat de inhoud daarvan niet als achterhaald is bestempeld. Daarnaast is in de tussentijd (materieel) geen wijziging geweest in de rechtsregel waarop het informatieblad zag. Weliswaar is de AVG van toepassing geworden en vindt de Wbp geen toepassing meer, maar zijn de mogelijke grondslagen en de voorwaarden voor het verstrekken van gegevens uit een ledenbestand ongewijzigd gebleven.

147. De AP ziet in hetgeen de KNLTB betoogt geen aanknopingspunten voor de conclusie dat het opleggen van een bestuurlijke boete in strijd zou zijn met het vertrouwensbeginsel. Het informatieblad waar de KNLTB naar verwijst, is reeds in 2014 van de website van de AP verwijderd. Reeds dit duidt erop dat de inhoud vanaf dat moment niet meer relevant was. Toen in juni 2018 de verstrekkingen door de KNLTB aan sponsors plaatsvonden, moet - gelet op de lange tijd die sinds 2014 was verstreken -temeer duidelijk zijn geweest dat voormelde informatie niet meer relevant was en had het op de weg van KNLTB gelegen om met het van kracht worden van de AVG per 24 mei 2016 en de inwerkingtreding ervan per 25 mei 2018 zich (opnieuw) van de geldende wet- en regelgeving te vergewissen. Daarnaast is van belang dat de verstrekking door de KNLTB van persoonsgegevens van

36/43

leden aan sponsors heeft plaatsgevonden op grondslag van het gerechtvaardigd belang. Reeds in april 2014 is het advies van de WP29 over het begrip “gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke” in artikel 7 van Richtlijn 95/46/EG gepubliceerd. Dit advies biedt richtsnoeren voor de toepassing van artikel 7, onder f, van Richtlijn 95/46/EG (thans artikel 6, eerste lid, aanhef en onder f, van de AVG). Gelet hierop had de KNLTB niet meer mogen vertrouwen op de inhoud van het informatieblad.

Opzet 148. Voor zover de KNLTB betoogt dat hij niet opzettelijk in strijd met enig wettelijk voorschrift heeft gehandeld, overweegt de AP dat de overtreden verbodsbepaling van artikel 6 van de AVG geen opzet als bestanddeel heeft. Nu het hier gaat om een overtreding, is voor het opleggen van een bestuurlijke boete conform vaste rechtspraak38 niet vereist dat wordt aangetoond dat sprake is van opzet. De AP mag verwijtbaarheid veronderstellen als het daderschap vaststaat.39

5.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019)

149. Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vijfde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd aan de KNLTB in geval van een overtreding van artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG een bestuurlijke boete op te leggen tot € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

150. De AP heeft Boetebeleidsregels 2019 vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.

151. Ingevolge artikel 2, onder 2.2, van de Boetebeleidsregels 2019 zijn de bepalingen ter zake van overtredingen waarvoor de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV.

152. In Bijlage 2 is de overtreding van artikel 5, eerste lid, aanhef en onder a, van de AVG ingedeeld in categorie I, II, III of IV, afhankelijk van de indeling van de onderliggende bepaling. Deze onderliggende bepaling is artikel 6 van de AVG. Dit artikel is ingedeeld in categorie III.

153. Ingevolge artikel 2.3 van de Boetebeleidsregels 2019 stelt de AP de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van […] € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, vast binnen

38 Vgl. CBb 29 oktober 2014, ECLI:NL:CBB:2014:395, r.o. 3.5.4, CBb 2 september 2015, ECLI:NL:CBB:2015:312, r.o. 3.7 en CBb 7 maart 2016, ECLI:NL:CBB:2016:54, r.o. 8.3, ABRvS 29 augustus 2018, ECLI:NL:RVS:2018:2879, r.o. 3.2 en ABRvS 5 december 2018, ECLI:NL:RVS:2018:3969, r.o. 5.1. 39 Kamerstukken II 2003/04, 29702, nr. 3, p. 134.

37/43

de in dat artikel bepaalde boetebandbreedtes. Voor overtredingen in categorie III van bijlage 2 van de Boetebeleidsregels 2019 geldt een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000.

154. Ingevolge artikel 6 van de Boetebeleidsregels 2019 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 van de Boetebeleidsregels 2019 daartoe aanleiding geven.

155. Ingevolge artikel 7 van de Boetebeleidsregels 2019 houdt de AP onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht (Awb) rekening met de volgende factoren die zijn ontleend aan artikel 83, tweede lid, van de AVG, in de Beleidsregels genoemd onder a tot en met k: a. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b. de opzettelijke of nalatige aard van de inbreuk; c. de door de verwerkingsverantwoordelijke […] genomen maatregelen om de door betrokkenen geleden schade te beperken; d. de mate waarin de verwerkingsverantwoordelijke […] verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de AVG; e. eerdere relevante inbreuken door de verwerkingsverantwoordelijke […]; f. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke […] de inbreuk heeft gemeld; i. de naleving van de in artikel 58, tweede lid, van de AVG genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke […] in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; j. het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de AVG of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de AVG; en k. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

156. Ingevolge artikel 9 van de Boetebeleidsregels 2019 houdt de AP bij het vaststellen van de boete zo nodig rekening met de financiële omstandigheden waarin de overtreder verkeert. In geval van verminderde of onvoldoende draagkracht van de overtreder kan de AP de op te leggen boete verdergaand matigen, indien, na toepassing van artikel 8.1 van de beleidsregels, vaststelling van een

38/43

boete binnen de boetebandbreedte van de naast lagere categorie naar haar oordeel desalniettemin zou leiden tot een onevenredig hoge boete.

5.3 Systematiek

157. Ter zake van overtredingen waarvan de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, heeft de AP in de Boetebeleidsregels 2019 de overtredingen ingedeeld in vier categorieën, waaraan in zwaarte oplopende bestuurlijke geldboetes zijn verbonden. De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, waarbij categorie I de minst zware overtredingen bevat en categorie IV de zwaarste overtredingen.

158. Overtreding van artikel 6 van de AVG is ingedeeld in categorie III, waarvoor een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000 is vastgesteld. De AP hanteert de basisboete als neutraal uitgangspunt. De hoogte van de boete stemt de AP ingevolge artikel 6 van de Boetebeleidsregels 2019 vervolgens af op de factoren die zijn genoemd in artikel 7 van de Boetebeleidsregels 2019, door het bedrag van de basisboete te verlagen of verhogen. Het gaat onder meer om een beoordeling van (1) de aard, de ernst en de duur van de overtreding in het specifieke geval, (2) de opzettelijke of nalatige aard van de inbreuk, (3) de genomen maatregelen om de door betrokkenen geleden schade te beperken en (4) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft. In beginsel wordt daarbij binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie gebleven. De AP kan, zo nodig en afhankelijk van de mate waarin voornoemde factoren daartoe aanleiding geven, de boetebandbreedte van de naast hogere respectievelijk de naast lagere categorie toepassen.

5.4 Boetehoogte

159. Ingevolge artikel 6 van de Boetebeleidsregels 2019 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 daartoe aanleiding geven.

160. Volgens de AP zijn in dit geval de volgende in artikel 7 genoemde factoren relevant voor het bepalen van de boetehoogte: - de aard, de ernst en de duur van de inbreuk; - de opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid); - de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken.

161. Ingevolge artikel 8.1 van de Boetebeleidsregels 2019 kan de AP, indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, bij het bepalen van

39/43

de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de boetebandbreedte van de naast lagere categorie toepassen.

Relevante factoren voor het bepalen van de boetehoogte

Aard, ernst en duur van de inbreuk 162. Ingevolge artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk. Bij de beoordeling hiervan betrekt de AP onder meer de aard, de omvang of het doel van de verwerking alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.

163. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, eerste lid, van het Handvest van de grondrechten van de Europese Unie en artikel 16, eerste lid, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. De AVG beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen. De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.

164. Ingevolge artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG dienen persoonsgegevens te worden verwerkt op een wijze die ten aanzien van de betrokkene (onder meer) rechtmatig is, in die zin dat daar een wettelijke grondslag voor bestaat. Dit zijn, in het licht van het bovenstaande, fundamentele bepalingen in de AVG. Indien in strijd daarmee wordt gehandeld, raakt dit de kern van het recht dat betrokkenen hebben op de eerbiediging van hun persoonlijke levenssfeer en de bescherming van hun persoonsgegevens.

165. KNLTB heeft als min of meer vaste werkwijze ten einde extra inkomsten te genereren persoonsgegevens van (een groot deel van) haar leden op 11 juni 2018 verstrekt aan [VERTROUWELIJK] en op in ieder geval 29 juni 2018 aan [VERTROUWELIJK]. De verstrekkingen konden niet worden gebaseerd op een wettelijke grondslag als benoemd in artikel 6, eerste lid, van de AVG. De desbetreffende verstrekkingen hebben dan ook onrechtmatig plaatsgevonden.

40/43

Het betreft twee verstrekkingen waardoor zeer veel betrokkenen zijn getroffen. Aan [VERTROUWELIJK] is een bestand met persoonsgegevens van 50.000 betrokkenen verstrekt. Aan [VERTROUWELIJK] heeft de KNLTB bovendien onnodig veel persoonsgegevens verstrekt, door een bestand met persoonsgegevens van 314.846 betrokkenen te verstrekken waaruit [VERTROUWELIJK] uiteindelijk 39.478 personen (minder dan 13%) zou selecteren om te benaderen in het kader van haar telemarketingactie. De AP stelt zich op het standpunt dat (in ieder geval een deel) van de selectie door de KNLTB zelf had kunnen plaatsvinden, zodat van veel minder betrokkenen de persoonsgegevens zouden zijn verstrekt.

166. Bij de verdere beoordeling van de ernst van de overtreding betrekt de AP enerzijds het grote aantal betrokkenen en de hoeveelheid persoonsgegevens die zijn verstrekt. Anderzijds betrekt de AP in dit geval de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft. Het betrof onder meer NAW-gegevens, geslacht, (mobiel) telefoonnummer en e-mailadres, maar geen persoonsgegevens die vallen binnen de bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 van de AVG. Tevens is de AP niet gebleken dat de KNLTB persoonsgegevens van minderjarigen heeft verstrekt aan [VERTROUWELIJK] en [VERTROUWELIJK].

167. Gezien het bovenstaande is de AP van oordeel dat er sprake is van een ernstige overtreding, maar is er geen aanleiding om de basisboete te verhogen of te verlagen.

Opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid) 168. Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten. Ingevolge artikel 7, onder b, van de Boetebeleidsregels 2019 houdt de AP rekening met de opzettelijke of nalatige aard van de inbreuk.

169. Zoals de AP hierboven reeds heeft overwogen mag zij verwijtbaarheid veronderstellen als het daderschap vaststaat. KNLTB heeft persoonsgegevens verstrekt zonder dat de verstrekkingen konden worden gebaseerd op een wettelijke grondslag. De persoonsgegevens zijn bovendien bewust verstrekt. In het licht van het bovenstaande acht de AP de overtreding dan ook verwijtbaar. Aan die verwijtbaarheid doet niet af dat de KNLTB advies van een advocatenkantoor heeft ingewonnen om het beleid met betrekking tot het delen van persoonsgegevens met sponsors te toetsen. Het Handboek Sport & Privacy dat in opdracht van [VERTROUWELIJK] door een advocatenkantoor is opgesteld, dateert uit 2017. Het handboek behandelt op ‘laagdrempelige wijze’ de basisprincipes van het privacy-recht en heeft enkel betrekking op de Wbp en niet op de AVG.

170. Indien en voor zover KNLTB nog ander, aanvullend, advies van een advocatenkantoor heeft ingewonnen specifiek ten aanzien van (het beleid rondom) de verstrekkingen, heeft zij dat niet aan de AP overgelegd. Terwijl het bij een beroep op afwezigheid van alle schuld op de weg van de KNLTB ligt

41/43

om deze afwezigheid aannemelijk te maken door kenbaar te maken waarover precies advies is gevraagd en wat de inhoud van het advies is geweest.40 KNLTB heeft dit nagelaten.

Genomen maatregelen om de door betrokkenen geleden schade te beperken 171. De AP overweegt dat de KNLTB diverse maatregelen heeft getroffen om de door betrokkenen geleden schade te beperken. De KNLTB is niet eerder tot verstrekking van de persoonsgegevens overgegaan dan nadat instemming van de ledenraad was verkregen. Daarbij zijn de leden van de KNLTB, voorafgaand aan de verstrekkingen, op diverse manieren (onder meer via nieuwsbrieven en de website van de KNLTB) geïnformeerd over de voorgenomen verstrekkingen. Voorts is in de overeenkomsten tussen de KNLTB en de betreffende sponsors een geheimhoudingsclausule opgenomen, die [VERTROUWELIJK] en [VERTROUWELIJK] verplicht tot geheimhouding van de persoonsgegevens, die bepaalt dat persoonsgegevens niet zonder toestemming van de KNLTB aan derden mogen worden verstrekt en die bepaalt dat de persoonsgegevens na beëindiging of ontbinding van de overeenkomst worden vernietigd. Tevens heeft [VERTROUWELIJK] op verzoek van de KNLTB de telemarketingcampagne vroegtijdig beëindigd.

172. Gelet op het voorgaande is de omvang van de door betrokkenen geleden schade weliswaar beperkt, maar niet zodanig dat de AP hierin in dit geval aanleiding ziet om de basisboete te verlagen. Met het afwegen van de voorgaande factoren blijft het basisbedrag op € 525.000,-.

Evenredigheid 173. Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Hierbij wordt rekening gehouden met de mate waarin de overtreding aan de overtreder kan worden verweten (artikel 5:46, tweede lid, van de Awb). Toepassing van het evenredigheidsbeginsel brengt volgens de Boetebeleidsregels 2019 tevens met zich dat de AP bij het vaststellen van de boete zo nodig rekening houdt met de financiële omstandigheden waarin de overtreder verkeert.

174. De KNLTB stelt zich op het standpunt dat een boete ten koste gaat van alle verenigingen en individuele leden van de KNLTB. De KNLTB stelt al jaren te kampen met dalende ledenaantallen en daarmee dalende inkomsten. Gelet hierop en gezien noodzakelijke substantiële investeringen in bijvoorbeeld ICT-voorzieningen is de liquiditeitspositie van de KNLTB onder druk komen te staan. Weliswaar beschikt de KNLTB over een positieve algemene reserve, maar deze reserve moet volgens de KNLTB als minimaal noodzakelijk weerstandsvermogen aanwezig zijn om te kunnen blijven voldoen aan de verplichtingen ten aanzien van het personeel en de huurovereenkomst.

40 Kamerstukken II 2003/04, 29702, nr. 3, p. 134; CBb 7 maart 2016, ECLI:NL:CBB:2016:54, r.o. 9.3. en CBb 1 december 2016, ECLI:NL:CBB:2016:352, r.o. 5.2.

42/43

175. De AP overweegt dat de KNLTB volgens zijn jaarrekening over 2018 beschikt over een gezonde liquiditeit en solvabiliteit.41 De algemene reserve (het eigen vermogen) bedroeg op 31 december 2018 € 6.356.139,-. Tegelijkertijd had KNLTB per gelijke datum € 6.057.018 aan liquide middelen en € 974.982,- aan (nog te ontvangen) vorderingen. De AP ziet hierin geen aanleiding om aan te nemen dat de KNLTB een boete van € 525.000,- gezien haar financiële positie niet zou kunnen dragen. Nog daargelaten of de algemene reserve als minimaal noodzakelijk weerstandsvermogen aanwezig dient te zijn, valt de algemene reserve ook na betaling van de boete binnen de bandbreedte van 5 en 8 miljoen euro.42

Conclusie 176. De AP stelt het totale boetebedrag vast op € 525.000,--.43

6. Dictum Boete De AP legt aan de KNLTB, wegens overtreding van artikel 5, eerste lid, aanhef en onder b, van de AVG en artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG, een bestuurlijke boete op ten bedrage van € 525.000,-- (zegge: vijfhonderdvijfentwintigduizend euro).

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

mr. A. Wolfsen Voorzitter

41 Jaarrekening over 2018 van de KNLTB, geraadpleegd via https://www.knltb.nl/siteassets/1.-knltb.nl/downloads/over-knltb/publicaties/jaarrekening/6965-knltb-jaarverslag-2018-v11-jaarrekening.pdf. 42 Het bondsbestuur en de ledenraad hebben volgens de jaarrekening 2018 afgesproken dat de algemene reserve binnen de bandbreedte van 5 en 8 miljoen euro dient te liggen. 43 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).

43/43

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.