Think before you link: hoe uw sportclub ook gegevens lekt

In november 2021 heeft de Belgische Gegevensbeschermingsautoriteit (GBA) een fitnessclub berispt wegens het onrechtmatig doorgeven van persoonsgegevens van een van haar leden aan een ander.

Door een boekhoudkundige fout zijn de betalingen van clublid A bijgeschreven op de rekening van lid B. Lid A bleek – ten onrechte – achterstallige contributie verschuldigd te zijn. De fout werd ontdekt toen een van de medewerkers van de club clublid A de contactgegevens van clublid B gaf. Hij voegde ook informatie toe over de meest recente clubbezoeken van het lid. Dan zouden ze de zaak onderling kunnen afhandelen. Kennelijk was de medewerker vergeten dat persoonsgegevens niet zomaar kunnen worden verwerkt (laat staan overgedragen).

PRINCIPES VAN DOELVERBINDING & GEGEVENSMINIMALISATIE

Ten eerste kunnen persoonsgegevens alleen worden gebruikt voor het doel waarvoor ze zijn opgevraagd. Het is duidelijk dat lid B zijn persoonlijke gegevens niet heeft verstrekt zodat de club deze zonder toestemming kan delen met andere clubleden. Het feit dat lid A het lidmaatschap van lid B heeft betaald doet niet ter zake en verandert niets aan dit principe.

Bovendien moeten persoonsgegevens op de minst ingrijpende manier en met zo min mogelijk gegevens worden verwerkt. Dit wordt vaak het principe van gegevensminimalisatie genoemd. De club moest inderdaad de persoonlijke gegevens van beide leden gebruiken om contact met hen op te nemen bij het ontdekken van de fout. Om het vraagstuk (afrekening) op te lossen, was het echter niet nodig om twee leden met elkaar in contact te brengen. De club had gemakkelijk met elk van hen afzonderlijk contact kunnen opnemen. Het was niet nodig om de persoonsgegevens over te dragen. Laat staan irrelevante informatie zoals details over de meest recente clubbezoeken toe te voegen.

Tijdens haar onderzoek herinnerde de GBA aan de principes van gegevensminimalisatie en doelbinding. Het beschouwde de overtreding van de fitnessclub als een eenmalig incident als gevolg van een menselijke fout. De club betreurt het incident ten zeerste en heeft maatregelen genomen om toekomstige schendingen van de AVG te voorkomen. Het GBA heeft de club daarom alleen berispt.

Maar het had erger gekund… Inbreuken op de AVG en haar principes kunnen verstrekkende gevolgen hebben: boetes van de GBA kunnen oplopen tot 20.000.000 euro of 4% van de jaaromzet van een bedrijf.

Dus: think before you link.

Weet u niet zeker of uw bedrijf GDPR-compliant is of kampt met een datalek? 

Neem gerust contact op voor meer informatie over onze GDPR-audits en onze juridische diensten met betrekking tot gegevensbescherming.