De Schaakwereld en de AVG: de kleine lettertjes(?)
Nu binnenkort de AVG 2018 van kracht wordt gaan we hier op Schaaksite aandacht aan besteden. Dit om organisatoren, schaakverenigingen, webmasters en andere belanghebbenden een platform te bieden waar informatie kan worden uitgewisseld. Enige dagen geleden hebben we gemeld hoe we met de Schaaksite hier mee om gaan. Zie hier.
Hoogeveen Schaaktoernooi
Inschrijving Hoogeveen is geopend sinds enkele dagen. Wanneer op deze link wordt geklikt (o.a. te vinden op de inschrijfpagina) dan zien we de volgende tekst:
In het kader van de Algemene verordening gegevensbescherming dient iedere deelnemer zich te commiteren aan de volgende privacyregels:
- Door inschrijving voor het Hoogeveen Schaaktoernooi geeft de deelnemer toestemming:
- dat de organisatie van het Hoogeveen Schaaktoernooi de naam, geslacht, rating, FIDE ID, KNSB ID, uitslagen, stand en partijen van de deelnemer vermeldt op de website van het Hoogeveen Schaaktoernooi;
- dat de organisatie van het Hoogeveen Schaaktoernooi de naam, rating, FIDE ID, KNSB ID en uitslagen van de deelnemer doorgeeft aan de KNSB ten behoeve van ratingverwerking door KNSB en FIDE.
- dat de organisatie van het Hoogeveen Schaaktoernooi emailadres, telefoonnummer en adres van de deelnemer registreert ten behoeve van communicatie met de deelnemer en het verstrekken van informatie over het Hoogeveen Schaaktoernooi;
- dat de organisatie van het Hoogeveen Schaaktoernooi foto’s van de deelnemer op de website van het Hoogeveen Schaaktoernooi publiceert en het fotografen toestaat om foto’s te nemen tijdens het schaaktoernooi.
Bij het Leiden Chess toernooi zien we we deze tekst ((link):
Door de nieuwe wetgeving AVG per 25 mei 2018 moeten ook wij op die datum voldoen aan een aantal nieuwe EU-regels.
Dat betekent voor het Leiden Chess Tournament het volgende!
- Door inschrijving voor het Leiden Chess Tournament geeft de deelnemer toestemming:
- dat de organisatie van het LCT zijn/haar naam, rating, FIDE ID, KNSB ID, uitslagen en stand vermeldt op de website van het LCT;
- dat de organisatie van het LCT zijn/haar naam, rating, FIDE ID, KNSB ID, uitslagen en stand doorgeeft aan de KNSB ten behoeve van ratingverwerking door KNSB en FIDE.
- dat de organisatie van het LCT emailadres, telefoonnummer(s), woonplaats en lidmaatschap vereniging van de deelnemer registreert ten behoeve van communicatie met de deelnemer en het verstrekken van informatie over het LCT;
- dat de organisatie van het LCT foto’s van de deelnemer op de website van het LCT publiceert.
Dit is feitelijk dezelfde tekst als bij Hoogeveen. Gaat dit te ver? Of gaat dit niet ver genoeg?
Ik denk dat dit net niet voldoet, toestemming moet expliciet gegeven worden, bijv. door een checkbox aan te vinken. Veel belangrijker echter: als je het verzamelen van persoonsgegevens baseert op toestemming, wat doe je dan als die toestemming ingetrokken wordt? Dat kan namelijk volgens de AVG. Je kunt beter kijken of je het verzamelen van die gegevens kunt baseren op een van de 5 andere grondslagen die in AVG worden genoemd. Je hebt dan geen toestemming nodig. Voor toernooien is dat moeilijk, voor de ledenadministratie van een vereniging (rechtspersoon) is dat eenvoudig.
Ter verduidelijking, de tekst van Hoogeveen (en ook Science Park Amsterdam) is geïnspireerd door die van Leiden.
Staat me bij dat je naast toestemming ook nog een argument moet hebben om gegevens op te slaan en ook dat in sommige gevallen toestemming niet eens helpt. Kennelijk is er een apart damesklassement 🙂
In Hoogeveen committeren ze zich klaarblijkelijk niet aan alle spellingsregels.
Juridisch advies
Mag ik deelnemen aan deze toernooien indien ik géén toestemming geef om mijn gegevens op het internet te publiceren? Of omgekeerd gesteld: mag de organisatie van een toernooi mijn aanmelding weigeren indien ik die toestemming niet wil geven?
Mag ik als deelnemer onderscheid aanbrengen in de gestelde criteria? Bijvoorbeeld: wel doorgeven van uitslagen aan de KNSB t.b.v. de ratingverwerking, maar geen toestemming voor foto’s?
Zoals het geformuleerd is is toestemming voorwaarde voor deelname.
Terecht, ik wil kunnen zien tegen wie ik ingedeeld ben de volgende ronde.
Ja, die wens is begrijpelijk. Maar de vraag is: voldoet dit aan de wet? Mag een organisatie een aanmelding weigeren, als de deelnemer geen toestemming wil geven om zijn gegevens om internet te tonen? Ik hoop zelf van wel, natuurlijk, maar ik ben er nog niet zeker van dat dit wettelijk is toegestaan.
Iedereen focust zich op toestemming, maar de AVG grondslag ’toestemming’ is voor evenementen heel moeizaam. Want doe je met iemand die alles goed vindt, maar alleen niet op de foto wil? En wat doe je met toeschouwers en foto’s?
Dit is hoe ik er mee omga: www. groningercombinatie.nl/chess- on-the-beach-privacy/.
www.groningercombinatie.nl/chess-on-the-beach-privacy/
Zo werkt de link waarschijnlijk wel.
Ik lees dat de foto’s bedoeld zijn voor verslaggeving over het toernooi. Er staat niet dat dat alleen op de toernooisite is. Dat is fijn, want op Schaaksite plaatsen wij regelmatig foto’s die wij krijgen van toernooisites, of zelf overnemen (kopiëren) als we weten dat de organisatie dat goed vindt. Ik heb al aankondigingen gezien waar expliciet staat dat de toestemming voor foto’s bedoeld is voor de toernooisite. Dat vind ik dus jammer.
Tja… er is wel heel veel heisa (of is het paniek?) rond de AVG. Ik denk dat je er allereerst op een heel praktische manier mee moet omgaan. Uiteraard moet men zorgvuldig omgaan met persoonsgegevens en niet meer vragen dan noodzakelijk is.
Bart en Coen maken de terechte opmerking dat er ook andere grondslagen zijn waarop men zich kan baseren, naast ‘gerechtvaardigd belang’ kun je ook denken aan ‘uitvoering overeenkomst’. Als iemand zich aanmeldt voor een toernooi gaat hij een overeenkomst aan. Die behelst onder andere dat men uitslagen noteert en op basis daarvan een ranglijst opmaakt. Het is ook een volkomen logisch dat men uitslagen publiceert, en zelfs in het geval van sponsors noodzakelijk, anders zouden die zich terugtrekken en het toernooi houdt dan op te bestaan.
Ik vraag me toch een beetje af waar we het hier over hebben.
Ik zie de Autoriteit persoonsgegevens, waar een schamele 150 mensen het misbruik van onze persoonsgegevens moeten zien tegen te gaan, niet onmiddellijk clubwebsites gaan controleren om te zien of er ongeoorloofd gepubliceerd is dat Frits Fritschy als laatste geëindigd is in een toernooi. En hoewel ik me daar natuurlijk zeer voor zou schamen, denk ik niet dat ik er actie tegen zou ondernemen – ik zou mezelf volkomen belachelijk maken. Ik kan me ook moeilijk een aanklager of rechter voorstellen die serieus met een dergelijke klacht mee zou gaan. Net zo min als ik me kan voorstellen dat gegevensverzamelaars zich op dergelijke doelen gaan richten – lijkt me niet de meest efficiënte manier van werken. Er zijn immers veel simpeler manieren om aan gegevens te komen: zet bijvoorbeeld op een socialemediaplatform een waslijst van vragen over je gewenste privacy-instellingen en slechts een kleine minderheid zal de energie hebben om alles door te lezen.
Klopt, de wet is vooral bedoeld om Facebook, Google enzovoort aan te pakken, maar verenigingen, scholen en dergelijke zitten met de gebakken peren. Vandaag in mijn regionale dagblad: de namen van middelbare scholieren die voor hun examen zijn geslaagd, worden dit jaar niet in de krant gepubliceerd. De schoolleidingen hebben namelijk geen zin om alle ouders om toestemming te vragen.
Volgend schooljaar doen ze het met een toestemmingsformulier voor alles, aan het begin van het jaar. Ouders moeten dan tekenen dat foto’s van hun kinderen op de website van de school mogen staan en dan in een moeite door dat gepubliceerd mag worden als de kinderen geslaagd zijn.
Zwemdiploma’s. Die namen mogen ook niet meer in de krant worden gepubliceerd zonder toestemming van de ouders.
Precies, iedereen reageert nu een tikje panisch, maar over een jaar is alles weer vergeten. En terecht, als het om de instellingen gaat waar we het hier over hebben (en niet over Facebook of Google en dergelijke). Alleen krijg je wéér elk jaar een extra lading vragenlijsten die je ongelezen goedkeurt of weggooit. Een beetje als al die onzinnige klanttevredenheidsonderzoeken. (‘Heb ik als bakker uw brood goed gebakken? Vul aub nu de online vragenlijst in.’)
Ik denk dat het als organisator van een schaaktoernooi geen kwaad kan de AVG gewoon te negeren, ongeacht wat de wet zegt, tenzij je sponsor absoluut alle gegevens van je deelnemers wil hebben.