Sportcontributie innen: valt de automatische incasso onder de AVG?

karate-1665747_1920.jpg

De verordening is van toepassing op alle verwerkingen van ‘persoonsgegevens’: alle informatie over een geïdentificeerde natuurlijke persoon (‘de betrokkene’). Onder ‘verwerking’ wordt verstaan een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het vastleggen, verzamelen, ordenen, opslaan, raadplegen etc. Dit is terug te vinden in artikel 4 van de AVG. Een ledenadministratie valt daarmee onder de toepassing van de AVG.

Wat betekent dat?

Dat een ledenadministratie onder de AVG valt, betekent dat sportverenigingen – net zoals ze dat al moesten op grond van de Wet bescherming persoonsgegevens – zich moeten houden aan een bepaald beschermingsniveau ten opzichte van hun ledenadministratie. Best lastig, want meestal wordt een bestuur van een sportvereniging gevormd door vrijwillers die daarnaast gewoon een baan hebben. Anderzijds, de ledenadministraties van verenigingen bevatten veel gegevens: namen, (email-)adressen, geboortedatums, rekeningnummers etc.

De ledenadministratie moet dus op een veilige server staan opgeslagen (liefst binnen de EU), mag niet voor iedereen toegankelijk zijn en gegevens mogen niet langer bewaard worden dan nodig is. Vraag als sportclub aan je leden dan ook alleen die gegevens die nodig zijn om een ledenadministratie bij te houden. Is er een omgeving waar de leden kunnen inloggen, dan moet dat een omgeving zijn waar ieder lid een eigen account heeft, beschermd met een wachtwoord. Als de leden via het account hun eigen gegevens up to date kunnen houden, is ook voldaan aan het vereiste dat gegevens compleet en accuraat zijn.

Automatische incasso

De automatische incasso zelf valt niet onder de AVG, maar bij het aanbieden van een automatische incasso hoort een machtiging en bij die machtiging worden altijd persoonsgegevens gevraagd om de identiteit te verifieren. Zorg er daarom voor dat leden in hun account – dat beschermd is door een wachtwoord en niet voor anderen toegankelijk – een machtiging kunnen geven.

Rekeningnummer controleren

Wat als je als sportclub de contributie ieder jaar via een automatische incasso int en je voor het komende jaar de rekeningnummers wilt controleren? In een e-mail vraag je de leden om het rekeningnummer in hun account te controleren, maar niemand neemt de tijd om dat ook even te doen. Een hoop frustratie ieder jaar omdat er altijd wel een paar rekeningnummers zijn gewijzigd. Mag je ter controle dan een gepersonaliseerde e-mail met daarin het rekeningnummer sturen? Een dergelijke e-mail valt onder de reikwijdte van de AVG en je bent bezig met een verwerking van gevoelige gegevens, namelijk het bankrekeningnummer en bijbehorende naamstelling. Alleen door middel van het tonen van de laatste drie cijfers zou je dit eventueel kunnen doen, maar wenselijk is het natuurlijk niet.

Hoe dan?

Een automatische incasso lijkt een makkelijke manier om snel en makkelijk contributie te innen, in plaats van de leden te vragen dit over te maken. Het brengt uiteindelijk echter een hoop gedoe met zich mee, doordat je opeens over gevoelige gegevens en machtigingen beschikt waar allemaal verplichtingen voor gelden. Daarnaast mag je deze gegevens niet ter controle e-mailen. De AVG tracht controle over persoonsgegevens ‘terug te geven’ aan de burger, daarom misschien toch terug naar het door de leden zelf laten overmaken?

Dit bericht kwam tot stand doordat ik een e-mail ontving van mijn sportclub met daarin mijn volledige rekeningnummer vermeld.

GDPR: last of kans?

De General Data Protection Regulation: she’s on her way. 25 mei 2018 is de datum die twee jaar geleden nog zo ver weg leek, maar er nu echt aankomt. Menig artikel is door juristen en de advocatuur geschreven over wat de GDPR inhoudt en betekent voor bedrijven. Opleidingen en seminars worden, ook door niet-juristen, gevolgd. En als het goed is, zijn bedrijven bezig met de inrichting van hun systemen en een werkwijze die GDPR-compliant is. Inmiddels hoor je de terminologie ook vallen bij marketeers en bestuurders en wordt het door veel bedrijven als haakje gebruikt om infosessies te geven, webinars te organiseren etc. Er worden zelfs boeken over de nieuwe wet cadeau gegeven als relatiegeschenk.

De GDPR als last

De GDPR, oftewel de Algemene Verordening Gegevensbescherming (AVG) in het Nederlands, geeft burgers/consumenten meer zeggenschap over hun data en legt een grotere verantwoordelijkheid bij bedrijven om op een zorgvuldige manier met die data om te gaan. Die verantwoordelijkheid gaat gepaard met hele hoge boetes, namelijk tot 4% van de wereldwijde omzet. Bedrijven worden gedwongen om te weten wát zij met persoonsgegevens doen, wélke persoonsgegevens zij verwerken en met welk doel zij dat doen. Ook dient inzichtelijk te worden gemaakt waar die data verwerkt wordt, met welke partijen data gedeeld wordt en hoe lang gegevens worden bewaard. Op zich niets nieuws. Toestemming vragen aan de persoon op wie de verwerking betrekking heeft ook niet, wel dat deze per verwerking teruggetrokken moet kunnen worden. En zo zijn er nog meer veranderingen die technische en organisatorische maatregelen vereisen. Waar liggen dan de kansen?

Customer first

Stel jij als bedrijf de klant echt centraal? Dan doe je dat ook met haar privacy. Pak de gelegenheid aan om je databeleid te koppelen aan je business values. Beschouw jij je klant als toppriority, dan zorg je er ook voor dat de data van je klanten veilig wordt bewaard en niet langer opgeslagen wordt dan nodig is. Dan zorg je er ook voor, dat de klant in het privacystatement kan terugvinden wat er eigenlijk met haar gegevens gebeurt. Dat je inzicht hebt in datstromen. Want de online consument wil herkend worden: online net zo goed als offline. Dat wil zeggen de klant die in de koffiebar waar hij dagelijks komt niet meer hoeft te vragen om cappuccino, wil online net zo goed die op maat gemaakte advertentie zien en geen advertentie van de schoenen die hij net al heeft gekocht. En dat vraagt om segmentering van klantdata, het geven van een identifier om de klant te kunnen herkennen: of hij nou via de app, desktop of mobiele website van je diensten gebruik maakt. Daar liggen dan ook kansen: de klant die zich herkend en veilig voelt en daarom bij jou zijn aankopen doet.

Eerlijk is eerlijk: het is een enorme administratieve last. Datastromen inzichtelijk hebben en vastleggen, overzicht van verwerkers en incidentenregisters bijhouden, beleid en protocollen vastleggen. Maar het is wel dé kans om alle data onder de loep te nemen, processen klantvriendelijker in te richten en nu eindelijk die oude data eens weg te gooien. Ook is dit hét moment om van derde partijen, verwerkers, leveranciers etc. te eisen veiliger met data om te gaan.

Succes!

Imke.

Legal tech software

robot-507811_1920

Hoe kan de technologie het bedrijfsleven makkelijker maken? Er zijn ontzettend veel voorbeelden te noemen. Ook op juridisch vlak gebeurt er een hoop. Een paar voorbeelden onder elkaar:

  • Lawspeak: een tool ontworpen door 2 studenten, die ingewikkeld juridisch jargon à la minute vereenvoudigt. Tim Teunissen en Pim Oerlemans wonnen maarliefst €25.000 voor de verdere ontwikkeling en uitrol van dit concept bij de Brauw Legal Innovation Challenge. Lees meer over dit initiatief dat al in Engelstalige landen getest werd en naar verwachting begin 2018 hier actief is: http://www.mr-online.nl/law-speak-maakt-recht-toegankelijk/
  • Introductie Nederlands Recht: Visual Contracts wil de manier waarop aankomende juristen en advocaten worden opgeleid veranderen. Zware juridische kost wordt vertaald in duidelijke visuele taal. Zodat iedereen eenvoudig kan begrijpen hoe het Nederlandse rechtsysteem in elkaar zit. Hiermee moet het leven van huidige en toekomstige rechtenstudenten een stuk makkelijker worden. Introductie Nederlands Recht wil studenten en juristen laagdrempelig kennis laten maken met Legal Design Thinking: de skill die elke jurist in de nabije toekomst naar eigen zeggen, wil kennen. Zie: https://visualcontracts.eu/community/intronlrecht
  • Juriblox: de AVG (of GDPR) vereist een hoop administratieve rompslomp. Bedrijven dienen een overzicht te kunnen geven van alle verwerkers waar ze mee samenwerken. Daarbij moet je kunnen laten zien dat je met al deze verwerkers de juiste verwerkersovereenkomst hebt gesloten. Met Juriblox kan je eenvoudig deze gegevensverwerkingen bijhouden. https://www.juriblox.nl/

Imke.

Legal tech – de digitale jurist

logonvvirjong

15 september jl. vond op het kantoor van ICTRecht de nieuwste NVvIR Jong lezing plaats met als onderwerp ‘Legal tech – de digitale jurist’. Wat is nou de invloed van de moderne technologische ontwikkelingen op het beroep van de advocaat en jurist? ICT-Jurist, octrooigemachtigde én blogger Arnoud Engelfriet nam de zaal mee in de opkomst van legal tech en Pascal van Zweden en Jelmer Baukema, werkzaam in het Blockchain team van Van Doorne gaven inzicht in de werking en de invloed van blockchain. De middag werd afgesloten door Pim Oeremans en Tim Teunissen, oprichters van Lawspeak: het programma dat ingewikkelde juridische taal vertaalt in heldere, voor iedereen leesbare taal. Achteraf werd gezellig nagepraat tijdens de borrel.

Lezing gemist en wil je hier de volgende keer graag bij zijn? Schrijf je dan nu in de voor de nieuwsbrief. Je hoeft geen lid te zijn om deel te nemen!

Je vingerafdruk afgeven bij de sportschool?

Een lezer vertelde mij dat zij bij het aanmelden bij haar nieuwe sportschool werd gevraagd om haar vingerafdruk te registreren. Zo kan je bij binnenkomst direct door het poortje, zonder dat je hoeft te denken aan dat vervelende pasje dat iedereen steeds vergeet. Zij vroeg mij: mag dat wel?

De Autoriteit Persoonsgegevens zegt hier over het volgende: 

“Uw sportschool kan u vragen uw vingerafdruk af te staan. Bijvoorbeeld voor toegangscontrole. Maar u bent niet verplicht uw vingerafdruk af te staan.

Toestemming

Uw sportschool mag uw vingerafdruk gebruiken als u hiervoor toestemming geeft. Maar dit mag alleen als de sportschool een goede reden heeft om uw vingerafdruk te gebruiken. Bijvoorbeeld omdat de sportschool u hiermee makkelijker kan identificeren.

De sportschool moet u daarbij de mogelijkheid bieden om uzelf op een andere manier te identificeren. Bijvoorbeeld door uw identiteitsbewijs te laten zien of een toegangspas te gebruiken.

Beveiligen vingerafdruk

De vingerafdruk zelf mag niet worden opgeslagen, alleen in de vorm van een versleutelde code. Met deze code kan de sportschool nagaan of u het bent. Uit zo’n code kan niemand uw vingerafdruk afleiden. De sportschool is wettelijk verplicht het systeem dat de code op deze manier opslaat goed te beveiligen.”

GDPR

Onder de GDPR (AVG) wordt de vingerafdruk apart benoemd, als biometrisch gegeven. Een biometrisch gegeven is ‘uniquely identifying’ en daarmee een direct gevoelig persoonsgegeven.

En de sportschool zelf?

Als sportschool wil je graag zo hip mogelijk zijn en de beste service aan je klanten bieden. Maar sta er wel bij stil dat dit speciale gegevens zijn die je aan het verwerken bent. Dit betekent dat je systemen hier goed op ingericht moeten zijn, maar dat ook je personeel op de hoogte moet zijn van de verwerkingen die plaatsvinden en hoe die goed en veilig gebeuren. Je bent als sportschool meteen aan strengere wetgeving onderworpen wanneer je deze gegevens verwerkt.

Niet afgeven of niet vragen?

Als klant bij de sportschool zou ik mijn vingerafdruk niet afgeven. Ik zou er niet zomaar gerust op zijn dat een sportschool dusdanig beveiligde systemen heeft: het is een sportschool en de core business van een sportschool ligt ten slotte bij het sporten. Als klant mag je je ook op een andere manier identificeren.

Als sportschool zou ik me ver weg houden van de verwerking van biometrische gegevens. Je haalt je hier strenge wetgeving met bijbehorende vereisten op de hals. De publiciteit die komt met een hack of een lek deelt rake klappen uit.

Imke.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

Paspoort afgeven op vakantie?


Ga je nog op vakantie deze zomer? Zorg dat je voorbereid bent in het geval dat het hotel of de camping vraagt om je paspoort of legitimatiebewijs af te geven voor registratie. Zoals ik al in een eerdere post aangaf: je bent dit niet verplicht.

De ANWB zet de voorzorgsmaatregelen en wat ter plekke te doen nog eens onder elkaar op haar site.

Dus?

Het beste is om zelf een kopie van je paspoort mee te nemen met daarop je bsn doorgestreept. Ook kan je op de kopie het doel en de bestemming schrijven. Sta je zonder kopie aan de balie, vraag dan om ter plaatste de noodzakelijke gegevens over te nemen. Staan ze er op om een kopie te maken, vraag dan het bsn nummer door te strepen.

Waarom nou eigenlijk al die moeite?

De voornaamste redenen zijn misbruik van je gegevens en/of identiteitsfraude. Het is echt heel vervelend als er opeens telefoonabonnementen op jouw naam worden afgesloten. Daarnaast vind ik het zelf ook geen prettig idee dat dit soort persoonlijke gegevens rondslingeren in verschillende computers, databases etc. Opgeruimd staat netjes 😉

Fijne vakantie!

Imke.

Moet Leen Bakker hoogslaper leveren?

Afgelopen week werd via de website van Leen Bakker een hoogslaper aangeboden voor 24 euro. Een hoogslaper die normaal 319 euro kost. Volgens de meubelzaak ging het om een technische fout, maar inmiddels waren er al meer dan duizend bedden besteld. De NOS kopt vanmorgen dat ruim duizend mensen zich gemeld hebben bij een juridisch adviesbureau om het bed alsnog voor deze prijs geleverd te krijgen. Volgens het adviesbureau staan de klanten in hun recht. Maar is dat ook zo?

Had de klant het kunnen weten?

Kan de consument weten dat een prijs niet klopt, bijvoorbeeld omdat deze te mooi is om waar te zijn, dan kan deze prijs niet altijd afgedwongen worden. De webwinkel kan dan verzoeken om het resterende bedrag bij te betalen of de consument het betaalde bedrag terugbetalen. En echt niet alle webshops zijn volledig geautomatiseerd, dus dit soort fouten worden gewoon gemaakt. Is de weergegeven prijs echter wel een aannemelijke prijs, dan zal de webshop het product gewoon voor die prijs moeten leveren. Dat betekent dat als de consument redelijkerwijs mocht verwachten dat de aanbieding klopt, hij recht heeft op levering.

Koopjes in de media

Het bed bij Leen Bakker is niet het eerste voorbeeld waarbij dit gebeurt. Denk aan de gratis taarten die bij Hema te bestellen waren of de breedbeeld TV bij Wehkamp. Dit veroorzaakte een stormloop op de website en ophef in de media. Onder druk van de media zie je dan dat de webwinkel vaak toch (een gedeelte) van de bestellingen levert. De taartenstunt van de Hema leverde veel publiciteit op, al was dat volgens de webwinkel toch echt niet de bedoeling.

Koopjesjager

Dat de consument ook steeds slimmer wordt, is te zien aan fora en groepen op Facebook waar deze koopjes massaal worden gemeld. De vraag is dan natuurlijk of daar de ‘fout’ wordt gemeld of de hele goede deal. En of de consument het dus al had kunnen aanvoelen dat het niet klopte.

Aliter Melius

Aliter Melius, het juridisch adviesbureau dat gedupeerden via haar site oproept zich te melden, is er zeker van dat de consumenten in hun recht staan en dat Leen Bakker het bed gewoon moet leveren. Zij vermoedt dat er sprake is van opzet en dat Leen Bakker heel veel bezoekers naar haar site heeft willen lokken. Leen Bakker staat er om bekend dat zij artikelen voor bodemprijzen verkopen. Er zou ook een advertentie van Leen Bakker voor het betreffende bed op Marktplaats en Facebook hebben gestaan. Aliter Melius is voornemens om desnoods de gang naar de rechter te maken.

Ik vraag me af ze dit zal lukken. Als er inderdaad sprake is van opzet dan zal Leen Bakker de hoogslaper voor de aangeboden prijs moeten leveren. Maar dat is nog niet zo makkelijk aan te tonen. Een (geautomatiseerde) advertentie op Facebook of Marktplaats is daar in ieder geval niet voldoende voor.

 

  • zie hier het artikel op de NOS.
  • kijk het optreden van Aliter Melius bij Eva Jinek hier terug.
  • vergelijking fout Leen Bakker via Radar. Lees ook de commentaren onder het stuk!

Spel of kansspel?

cube-689619_1920

Een kansspel organiseren mag alleen als je daar een vergunning voor hebt. Een kansspel organiseren ter promotie van je bedrijf of product mag, wanneer je je houdt aan de gedragscode promotionele kansspelen. Maar wanneer is iets nou een kansspel?

Aanwijzing van winnaar door kansbepaling

Als de aanwijzing van de winnaar geschiedt door enige vorm van kansbepaling, is er sprake van een kansspel. Bij een loterij, trekking en een sweepstake is dat onder andere het geval. Een sweepstake is bijvoorbeeld een wedstrijd waar het winnende nummer van tevoren al bekend is en daarna onder de dop van een fles frisdrank is geplaatst. De koper die de fles met het winnende nummer koopt, wint de prijs.

De leukste foto op social media

Een actie waarbij het draait om subjectiviteit, dus de meeste likes op Facebook of de mooiste foto op Instagram, valt niet onder de noemer ‘kansspel’. Om het zo eerlijk mogelijk te houden, stel je een onafhankelijke jury aan. De meeste likes zijn natuurlijk te tellen, dus dat is ook een goede manier voor een transparante winactie.

Winactie op social media

Houd er wel rekening mee dat wanneer je een dergelijke winactie uitzet op een medium zoals Facebook of Instagram, zij hun eigen gedragsregels hebben omtrent dergelijke acties. Zo verbiedt Facebook het gebruik van ‘share, like & win’ om hun gebruikers te beschermen tegen ‘vervuiling’ van de tijdlijn. En dien je altijd aan te geven dat een winactie niet goedgekeurd, gesponsord of beheerd wordt door Facebook. Zie ook mijn eerdere bericht daarover. Check dus altijd de algemene voorwaarden van het medium waar je de winactie uit wil zetten!

Voorwaarden

Niet verplicht, maar wel zo handig om op het moment dat je een winactie start ook een landingspagina aan te maken met meer informatie over de winactie. Je kunt daar duidelijk neerzetten wat de voorwaarden zijn om deel te nemen, wat de prijzen zijn en wanneer de winnaar bekend wordt gemaakt. Moet of wil je een minimumleeftijd voor deelname stellen, vermeld dat dan ook duidelijk. Daar voorkom je later klachten mee.

Succes!

Imke.

Verplicht opnemen van kosten in de ticketprijs

ticket-1539705_1920

Het is niets nieuws, maar het gebeurt nog niet altijd: het opnemen van onvermijdbare kosten in de ticketprijs. Dat wil zeggen dat wanneer je adverteert met een prijs per persoon en je rekent ook administratiekosten per persoon, je deze bij elkaar op moet tellen. De Autoriteit Consument & Markt (ACM) draagt online aanbieders van concert-, theater- en festivaltickets op om zich aan de regels te houden voor het duidelijk vermelden van de prijs.

Gisteren heeft de ACM op haar website bekend gemaakt vanaf 1 oktober 2017 te zullen controleren op de juiste prijsvermelding op websites. Online aanbieders van tickets krijgen tot 1 oktober de tijd om hun prijsvermelding aan te passen.

Transparantie

Veel consumenten klaagden dat er tijdens het boekingsproces ineens onverwachte kosten bijkwamen. De consument wordt verleid met een mooie aanbieding en opeens komen er dan nog voor verschillende zaken kosten bij. Bernadette van Buchem, directeur consumenten van de ACM: “Consumenten mogen tijdens het boekingsproces niet  met extra kosten worden geconfronteerd die ze altijd moeten betalen. Duidelijke prijzen zijn niet alleen belangrijk voor consumenten, maar ook voor ondernemers die met elkaar concurreren.”

Hoge extra kosten

Die kosten lopen soms op tot wel 20% bovenop de oorspronkelijke prijs, aldus de ACM. De kosten worden gerekend voor verschillende zaken, van administratiekosten, servicekosten tot print- of ticketkosten.

Zelf heb ik een keer meegemaakt dat ik €1,80 per ticket moest betalen voor het leveren van een ticket. Per post en met een lintje er om zou je denken? Dat was niet het geval, de kosten werden gerekend voor het downloaden van de pdf. Niet heel klantvriendelijk.

Juiste vermelding

Tot 1 oktober hebben online ticketaanbieders dus de tijd om hun prijsvermelding aan te passen. Na die tijd zal de ACM controleren en ticketaanbieders waar mogelijk dwingen alsog de prijsvermelding aan te passen.

Imke.