Datahandelaren overtreden de AVG door op grote schaal persoonsgegevens van derden (zoals telecombedrijven) te ontvangen en deze gegevens verder te vermarkten, zonder dat betrokkenen toestemming hebben gegeven en worden geïnformeerd, wat grote veiligheidsrisico’s voor mensen kan opleveren (voorbeeld handel locatiegegevens). Inmiddels zijn de gegevensbeschermingsautoriteiten in diverse EU-landen bezig met maatregelen tegen deze en andere illegale praktijken van datahandelaren, daar schreef ik al eerder over [1]. Inmiddels ligt er ook een zaak bij het Europese Hof.

De Belgische Gegevensbeschermingsautoriteit (GBA) maakte recent bekend [2] een boete aan een datahandelaar te hebben opgelegd:

De GBA heeft vandaag beslist om een geldboete van 40.000 euro op te leggen aan gegevensmakelaar Infobel voor de doorverkoop van gegevens, verkregen van een telecomoperator, voor marketingdoeleinden zonder een geldige toestemming van de betrokkene. De GBA gelast Infobel bovendien om zijn zakelijke klanten in kennis te stellen van deze beslissing.

In het bericht wordt ook uitleg gegeven over het vragen van toestemming:

toestemming, om geldig te zijn in de zin van de algemene verordening gegevensbescherming (AVG), [moet] aan een reeks voorwaarden voldoen. Deze moet onder meer:

• geïnformeerd zijn: de persoon moet weten wie zijn gegevens verwerkt en waarom, zodat hij op een geïnformeerde manier toestemming kan geven voor de verwerking van zijn gegevens. De klager was echter nergens op de hoogte gebracht van het feit dat zijn gegevens door Infobel zouden worden gecommercialiseerd. Door dit gebrek aan informatie kon de klager ook geen contact opnemen met het bedrijf om zijn recht op intrekking van toestemming uit te oefenen, aangezien hij niet wist dat dit bedrijf zijn gegevens bezat en verwerkte.
• ondubbelzinnig zijn: toestemming moet actief worden gegeven. Het gebruik van reeds aangekruiste vakjes of inactiviteit mag niet als toestemming gelden. Volgens het bedrijf vloeide de toestemming van de klager voor de doorverkoop van zijn gegevens echter voort uit het lezen van de algemene voorwaarden, en niet uit een duidelijke actieve handeling van zijn kant.
• specifiek zijn: een bedrijf dat toestemming vraagt voor verschillende specifieke doeleinden, moet voor elk doeleinde afzonderlijk toestemming vragen. De persoon moet namelijk de vrijheid hebben om voor elk doeleinde al dan niet toestemming te geven.  In dit geval werd echter geen afzonderlijke toestemming gevraagd voor de doorverkoop van gegevens voor direct-marketingdoeleinden.

De reden voor deze eis wordt in het bericht toegelicht:

Het feit dat de gegevens die door gegevensmakelaars worden verwerkt en doorverkocht, doorgaans niet rechtstreeks bij de betrokkenen worden verzameld, kan problemen opleveren op het vlak van transparantie, terwijl transparantie een van de hoekstenen van de AVG is. Personen kunnen hun rechten op het gebied van gegevensbescherming, zoals het recht om bezwaar te maken tegen de verwerking van hun gegevens of het recht om deze te laten wissen, alleen uitoefenen als zij op de hoogte zijn van het feit dat hun gegevens worden verwerkt.

Noten:

[1] Zie onder meer de berichten met de tag datahandelaren, kredietwaardigheidsbeoordeling, telco’s.
[2] GBA legt geldboete op aan gegevensmakelaar, 27 november 2025.