Privacy

Mag een consultant persoonsgegevens meenemen naar een concurrent?

Joris Deene
1 maand geleden
462 keer bekeken
10 minuten leestijd

In het moderne voetbal zijn data allesbepalend geworden. Van spelersprestaties tot blessuregevoeligheid – alles wordt gemeten, geanalyseerd en gebruikt om competitieve voordelen te behalen. Maar wat gebeurt er wanneer een zelfstandige consultant die via een dienstverleningsovereenkomst toegang heeft tot deze gevoelige informatie, overschakelt naar een concurrent? Een uitspraak van het Hof van Cassatie van 6 mei 2025 geeft duiding in het gegevensbeschermingsrecht.

Deze zaak speelt zich af tussen twee Belgische topclubs: Club Brugge en Royal Antwerp FC, en draait rond de vraag of een zelfstandige consultant schuldig was aan hacking en het doorspelen van vertrouwelijke gegevens naar een concurrerende onderneming.

De feiten: van Club Lab naar concurrent

De samenwerking tussen consultant en Club Brugge

De zaak begint in 2015, wanneer C.S., een consultant uit Antwerpen, en zijn managementvennootschap een dienstverleningsovereenkomst sluiten met LakeSprings, de familiale holding van Club Brugge-voorzitter Bart Verhaeghe. Aanvankelijk had zijn dienstverlening vooral betrekking op het Uplace-project, maar geleidelijk raakte hij steeds meer betrokken bij het “Personal Performance Center” van Club Brugge.

C.S. zou volgens eigen zeggen een belangrijke rol hebben gespeeld in de ontwikkeling van modellen die uiteindelijk zouden leiden tot het beroemde Club Lab – het geavanceerde systeem waarmee Club Brugge de prestaties en blessuregevoeligheid van spelers opvolgt. Dit systeem bevat uiterst gevoelige informatie over:

  • Fysieke profielen van spelers
  • Medische gegevens en blessuregevoeligheid
  • Technische analyses van spelersprestaties
  • Commerciële en operationele informatie van de club

Het einde van de samenwerking en de beschuldigingen

Op 7 april 2017 kwam er plots een einde aan de dienstverlening van C.S., officieel omdat de milieuvergunning van Uplace werd geschorst. Hij moest nog drie maanden opzeg doen tot 7 juli 2017. Maar al op 9 april 2017 – slechts twee dagen na de opzegging – zou hij een motivatiebrief hebben gericht aan Paul Gheysens, voorzitter van Royal Antwerp FC. In deze brief haalde hij aan dat hij zelf het Club Lab had ontwikkeld en bood hij zijn diensten aan bij Antwerp.

Op 19 mei 2017 stuurde de raadsman van LakeSprings een aangetekende brief naar C.S., waarin hem werd verweten het niet-concurrentiebeding uit zijn dienstverleningsovereenkomst te hebben geschonden door een handelsactiviteit op te starten rond sportdata-analyse ten behoeve van een rechtstreekse concurrent.

De ontdekking tijdens het gerechtelijk onderzoek

Tijdens een huiszoeking bij C.S. werden alle elektronische gegevensdragers in beslag genomen. Het forensisch onderzoek bracht een aantal zaken aan het licht:

  • Op zijn voormalige werklaptop werd de bewuste sollicitatiebrief aan Antwerp gevonden
  • Op zijn nieuwe laptop van Antwerp bevonden zich spelersfiches met gevoelige gegevens van Club Brugge-spelers Ruud Vormer en Brandon Mechele
  • Deze gegevens waren overgebracht van zijn oude laptop (van LakeSprings) naar zijn nieuwe laptop (van Antwerp) tussen 20 mei en 25 september 2017

Belangrijk was dat deze overdracht plaatsvond ná 19 mei 2017 – het moment waarop hij formeel in gebreke was gesteld en zijn toegang tot de gegevens had moeten eindigen.

De strafrechtelijke procedure

Club Brugge, Lakesprings en de twee spelers dienden een strafklacht in met burgerlijke partijstelling voor onder meer interne hacking, misbruik van vertrouwen en inbreuken op de Belgische wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens van 8 december 1992 (deze wet werd in 2018 opgeheven na de inwerkingtreding van de Algemene Verordening Gegevensbescherming – AVG/GDPR).

De Correctionele rechtbank te Brugge sprak C.S. en zijn managementvennootschap volledig vrij. De burgerlijke partijen lieten het hier niet bij en tekenden beroep aan.

Het hof van beroep te Gent oordeelde op 10 oktober 2024 dat er inderdaad geen sprake was van interne hacking, zijnde het overschrijden van toegangsbevoegdheden tot een informaticasysteem met bedrieglijk opzet. Aangezien C.S. als contractant gerechtigd was om met de gegevens te werken tijdens de contractperiode, had hij zijn legitieme toegang niet overschreden en kon er geen sprake zijn van hacking. Evenmin was er volgens het hof sprake van misbruik van vertrouwen.

Het hof stelde echter wél een inbreuk op de wet van 8 december 1992 vast. De spelersfiches bevatten ontegensprekelijk persoonsgegevens in de zin van artikel 1, §1 van de wet. Het ging om geïdentificeerde natuurlijke personen (Vormer en Mechele) met informatie over hun fysieke, fysiologische en sportieve kenmerken. Een deel van de gegevens betrof zelfs gezondheidsgegevens (blessuregevoeligheid), die onder de bijzondere bescherming van artikel 7 van de wet vallen. De kern van het probleem lag niet in de toegang tijdens de overeenkomst, maar in de handelingen na de formele ingebrekestelling van 19 mei 2017. Door na die datum de spelersfiches over te zetten naar een nieuwe laptop, had de consultant de persoonsgegevens verwerkt zonder daartoe nog gemachtigd te zijn. Het hof kende aan de twee betrokken spelers dan ook een symbolische schadevergoeding van €1,00 toe wegens de vaststelling hoe lichtzinnig er met hun gegevens werd omgesprongen.

De consultant en zijn manegementvennootschap konden zich hier niet in vinden en trokken naar het Hof van Cassatie.

De analyse van het arrest van het Hof van Cassatie

Het Hof van Cassatie heeft op 6 mei 2025 de beslissing van het hof van beroep te Gent bevestigd door alle cassatievoorzieningen van de consultant en zijn vennootschap te verwerpen.

1. Wie is wie? De cruciale rol van ‘verwerker’ versus ‘derde’

Een centraal argument van de consultant was dat hij niet kon worden aangesproken voor een inbreuk op het gegevensbeschermingsrecht omdat hij geen “verwerkingsverantwoordelijke” was. Hij was hoogstens een “derde”. Het Hof van Cassatie ging hier niet in mee en bevestigde de analyse van het hof van beroep.

Volgens het gegevensbeschermingsrecht (zowel de oude wet van 1992 als de huidige AVG/GDPR) zijn er verschillende rollen:

  • De verwerkingsverantwoordelijke is diegene die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt. In dit geval waren dat Club Brugge en Lakesprings
  • De verwerker is diegene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.
  • Een derde is ieder ander die niet de betrokkene, de verantwoordelijke of de verwerker is.

Het hof van beroep had geoordeeld dat de consultant, door de data van de spelers te analyseren, handelde in uitvoering van zijn dienstverleningsovereenkomst. Ook al was die specifieke taak niet tot in het kleinste detail in het contract omschreven, maakte ze in de feiten wel deel uit van de geleverde prestaties. Daardoor was hij geen willekeurige derde, maar wel degelijk een “verwerker” die handelde met machtiging van de “verwerkingsverantwoordelijke”. Het Hof van Cassatie bevestigde dat deze redenering juridisch sluitend is. Deze kwalificatie is cruciaal: als verwerker had de consultant de machtiging om de gegevens te verwerken, maar die machtiging eindigde op het moment dat de overeenkomst werd beëindigd.

2. Wat is een ‘verwerking’?

Het meest essentiële punt van het arrest is de invulling van het begrip “verwerking”. De consultant argumenteerde dat het louter overzetten van bestanden van de ene naar de andere laptop, zonder die nadien nog te gebruiken of te wijzigen, geen “verwerking” kon zijn.

Het Hof van Cassatie bevestigt de zeer ruime definitie uit de wet.

  • Ten eerste is een computerbestand, zoals een Excel-rekenblad met daarin gestructureerde persoonsgegevens van spelers, een “bestand” in de zin van de wet.
  • Ten tweede omvat het begrip “verwerking” elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens. De wet somt een lange, niet-limitatieve lijst op, waaronder: “het bewaren”, “doorzending”, “verspreiden of op enigerlei andere wijze ter beschikking stellen”.

Het Hof bevestigt dan ook de visie van het hof van beroep: het overdragen of louter bewaren van een dergelijk bestand, zelfs zonder bijkomende bewerking, is al een verwerking op zich. Het aantreffen van de spelersfiches op de nieuwe laptop was dan ook het sluitende bewijs van een verwerking. Door de data na het einde van zijn machtiging over te zetten naar een andere computer, heeft de consultant de gegevens onterecht “bewaard, doorgezonden en verspreid”. De stelling dat dit onoplettend of “in bulk” gebeurde, doet niets af aan de vastgestelde inbreuk.

3. Geen ‘persoonlijk gebruik’: de professionele context is allesbepalend

Als laatste reddingsboei wierp de consultant op dat, als er al sprake was van een verwerking na de contractbeëindiging, dit enkel was voor “uitsluitend persoonlijke of huishoudelijke doeleinden”. Op dergelijke verwerkingen is het gegevensbeschermingsrecht immers niet van toepassing.

Ook dit argument werd verworpen. Het Hof van Cassatie volgde het oordeel van het hof van beroep dat de context van de verwerking allesbehalve louter persoonlijk was. De gegevens werden immers overgezet van de voormalige werklaptop naar een nieuwe laptop die ter beschikking was gesteld door een nieuwe professionele opdrachtgever en een concurrerende voetbalclub. Deze professionele context sluit de toepassing van de huishoudelijke uitzondering volledig uit. Het feit dat de overdracht gebeurde in strijd met de oorspronkelijke dienstverleningsovereenkomst, versterkte dit oordeel alleen maar.

Praktische lessen uit dit arrest

Voor opdrachtgevers (die consultants inschakelen)

  1. Anders dan bij een klassieke arbeidsovereenkomst, is er bij een B2B-dienstverleningsovereenkomst veel contractuele vrijheid, maar ook minder wettelijke bescherming. U bent er dus zelf verantwoordelijk voor om alles tot in de puntjes te regelen. Denk aan:
    • Intellectuele eigendom: Bepaal expliciet wie de intellectuele eigendom heeft van de systemen, analyses of tools die de consultant ontwikkelt.
    • Concurrentie: Een realistisch en duidelijk omschreven niet-concurrentiebeding is essentieel.
    • Vertrouwelijkheid: Definieer concreet wat onder vertrouwelijke informatie en bedrijfsgeheimen valt.
  2. De meeste problemen in deze zaak ontstonden na de beëindiging van de samenwerking. Een strikte procedure bij het vertrek van een consultant is onmisbaar:
    • Trek onmiddellijk alle fysieke en digitale toegangsrechten in.
    • Zorg voor de effectieve teruggave van alle apparatuur (laptops, badges, etc.).
    • Geef duidelijke, schriftelijke instructies over de verplichte en controleerbare vernietiging van alle data op persoonlijke toestellen van de consultant.
  3. Als opdrachtgever bent u de “verwerkingsverantwoordelijke” onder de AVG/GDPR. De consultant is slechts de “verwerker”. Dit betekent dat u de eindverantwoordelijkheid draagt, ook voor de fouten van uw consultant. Zorg er dus voor dat u in een verwerkersovereenkomst contractueel vastlegt hoe de consultant met de ter beschikking gestelde persoonsgegevens moet omgaan, zeker wanneer het om gevoelige gegevens gaat zoals de gezondheidsdata van de spelers in deze zaak.

Voor consultants en zelfstandige ondernemers

  1. De kernfout van de consultant was het kopiëren van data van de ene opdrachtgever naar een laptop van een andere. Werk met strikt gescheiden systemen per opdrachtgever. Zorg ervoor dat na het einde van een contract alle data van die klant volledig en permanent verwijderd wordt, tenzij u expliciet andere schriftelijke afspraken heeft.
  2. Wees u bewust van uw rol en verplichtingen onder het gegevensbeschermingsrecht. U verwerkt data namens uw klant en niet voor eigen doeleinden. Documenteer welke data u verwerkt en op basis van welke grondslag, en neem de beveiliging ervan serieus. Een goede beroepsaansprakelijkheidsverzekering is voor dit soort risico’s geen overbodige luxe.

Voor individuen (werknemers, sporters, etc.)

Dit arrest is ook een belangrijke overwinning voor de individuele rechten. De voetballers Ruud Vormer en Brandon Mechele kregen een schadevergoeding omdat er onzorgvuldig met hun gegevens was omgesprongen. Het toont aan dat:

  • Uw recht op gegevensbescherming overeind blijft, ook in een zakelijke B2B-context.
  • U recht heeft op een vergoeding (al is het een symbolische euro) als uw rechten geschonden worden.
  • U het recht heeft om te weten wie er toegang heeft tot uw gegevens en wat ermee gebeurt.
Heeft u vragen over de verwerking van persoonsgegevens in uw onderneming, de redactie van dienstverleningsovereenkomsten of bent u betrokken in een geschil hieromtrent? Neem dan tijdig contact op met onze gespecialiseerde advocaten in gegevensbeschermingsrecht.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics