Arendse Health Club in Barendrecht schaadt privacyrechten van klanten

In dit artikel:

Arendse Health Club in Barendrecht (voorheen Wellnesselande) dwingt bezoekers bij binnenkomst om ter plaatse een verplichte app te installeren en uitgebreide persoonsgegevens in te vullen. Deze verplichting wordt pas bij de voordeur duidelijk; bezoekers worden vooraf niet geïnformeerd over wélke gegevens worden verzameld, met welk doel en wie de verwerkingsverantwoordelijke is. Daarmee wordt volgens de tekst gehandeld in strijd met de Algemene Verordening Gegevensbescherming (AVG), die duidelijkheid en voorafgaande informatie verlangt.

Problemen stapelen zich op: de club gebruikt een privacyverklaring van een derde partij (Technogym), waardoor het onduidelijk is of Arendse of de externe partij juridisch verantwoordelijk is voor de gegevensverwerking. Bezoekers moeten bovendien ook bijzondere (gevoelige) persoonsgegevens invoeren zonder dat wordt uitgelegd waarom die nodig zijn, wat het dataminimalisatiebeginsel overtreedt. Omdat er geen alternatief voor toegang bestaat, is toestemming niet vrij gegeven maar gedwongen; zulke “consent” is juridisch ongeldig.

Samengevat plaatst de praktijk gemak voor de organisatie boven fundamentele privacyrechten en ondermijnt daardoor het vertrouwen van klanten in een sport- en gezondheidsorganisatie. Praktische remedies zijn helder: voorafgaande en begrijpelijke informatie verstrekken, duidelijk maken wie de verwerkingsverantwoordelijke is, alleen noodzakelijke gegevens vragen, een rechtsgeldige verwerkingsgrond kiezen en een toegankelijke alternatieve manier van toegang bieden. Bezoekers die zich benadeeld voelen, kunnen bij de Autoriteit Persoonsgegevens informeren of een klacht indienen.