Gauging Professional Sport Biometric Data Privacy Concerns

Dit artikel werd oorspronkelijk gepubliceerd in Law360 op 15 mei 2025 en wordt hier met toestemming opnieuw gepubliceerd.

In de huidige datagestuurde sportindustrie vertrouwen teams, competities en sponsors steeds meer op biometrische en prestatiegegevens om de prestaties van spelers te verbeteren, blessures te voorkomen en contractonderhandelingen te optimaliseren. Dergelijke gegevensverzameling omvat vaak zeer gevoelige fysiologische en gezondheidsinformatie die verder gaat dan louter statistieken, wat aanleiding geeft tot aanvullende ethische en juridische overwegingen.

Deze toenemende afhankelijkheid van zeer gevoelige gegevens roept echter aanzienlijke juridische en privacykwesties op, met name in het licht van de zich ontwikkelende wetgeving op het gebied van biometrische privacy, zoals de Illinois Biometric Information Privacy Act (BIPA)[1], en andere wetgeving op het gebied van consumentenprivacy en gegevensbescherming op staats- en internationaal niveau, die strengere eisen stelt aan het verzamelen en verwerken van biometrische gegevens, waaronder verschillende Amerikaanse staatswetten inzake consumentenprivacy en de Europese Algemene Verordening Gegevensbescherming[2].

Professionele sportcompetities en hun respectievelijke clubs die gebruikmaken van biometrische en prestatiegegevens moeten zich bewust zijn van deze risico's, evenals van andere gerelateerde juridische en regelgevende overwegingen, en van de maatregelen die ze kunnen nemen om hun blootstelling aan mogelijke aansprakelijkheid te minimaliseren.

Bovendien moeten deze organisaties zich bewust zijn van de verschillende implicaties die hun afhankelijkheid van biometrische en prestatiegegevens kan en zal hebben op contractonderhandelingen met atleten en op de kwestie van gegevenseigendom. Deze cruciale aspecten rond het verzamelen en gebruiken van biometrische gegevens in de professionele sport van vandaag, en hoe deze zich waarschijnlijk zullen ontwikkelen, worden hieronder onderzocht.

Spelersmonitoring en verzameling van biometrische gegevens

Hypothetisch

Een stervoetballer stemt in met het gebruik van draagbare technologie om blessures te voorkomen. Na verloop van tijd verzamelt het systeem gegevens die wijzen op een hoger dan normaal risico op bepaalde spierscheuren. De medische staf en het coachingpersoneel van de club hebben toegang tot deze gegevens, waardoor de zaakwaarnemer van de speler zich zorgen maakt dat deze informatie de contractwaarde van de speler zou kunnen verminderen. De competitie wijst ondertussen op de gezondheidsvoordelen van preventieve zorg.

Dit scenario illustreert hoe beide partijen – speler en team – kunnen profiteren van vroegtijdige detectie, maar leidt ook tot een mogelijk geschil over de manier waarop dergelijke voorspellende gegevens een negatieve invloed kunnen hebben op de onderhandelingen.

Analyse

Professionele sportorganisaties maken gebruik van geavanceerde technologieën zoals draagbare apparaten, bewegingsvolgsystemen en kunstmatige intelligentie om biometrische gegevens van spelers te verzamelen en te analyseren, waaronder hartslagvariabiliteit, slaapcycli, hydratatieniveaus en spierherstelpatronen.[3] Het voordeel van deze tools is duidelijk: verbeterde training, betere spelstrategieën en beter gezondheidsbeheer voor spelers.

Hoewel deze innovaties zijn ontworpen om prestaties te optimaliseren en ongeëvenaarde inzichten te bieden in de conditie, het langetermijnpotentieel en de gezondheid van spelers, brengen ze ook aanzienlijke privacyrisico's met zich mee. De verzamelde gegevens kunnen persoonlijke en gevoelige informatie onthullen over de fysieke en mentale toestand van een atleet, waaronder vermoeidheidsniveaus, blessurerisico's en algehele fitheid.

Onjuiste omgang met of ongeoorloofde toegang tot of misbruik van deze gegevens kan ernstige gevolgen hebben voor de carrière en reputatie van spelers en kan leiden tot juridische geschillen. Het openbaar maken van gegevens die de prestatiedaling van een atleet benadrukken, kan bijvoorbeeld hun marktwaarde schaden, wat kan leiden tot minder sponsorcontracten of publieke kritiek. Bovendien kunnen deze gegevens tegen spelers worden gebruikt in situaties waarin hun prestaties achteruitgaan als gevolg van blessures, leeftijd of vermoeidheid, waardoor ze zowel op als buiten het veld in een nadelige positie komen te verkeren.

BIPA en soortgelijke staatswetten leggen strenge beperkingen op aan het verzamelen, opslaan en gebruiken van biometrische gegevens. Onder BIPA moeten organisaties bijvoorbeeld expliciete, geïnformeerde toestemming van personen verkrijgen voordat ze hun biometrische identificatiegegevens verzamelen, duidelijke informatie verstrekken over het gebruik en de bewaring van gegevens, en robuuste beveiligingsmaatregelen implementeren om de integriteit van dergelijke gegevens te beschermen.

Washington[4] en Texas[5] hebben ook wetten inzake biometrische privacy aangenomen die, hoewel ze niet zo vergaand zijn als de BIPA, verplichtingen opleggen aan entiteiten die biometrische gegevens verzamelen.

De wetgeving van Washington verplicht entiteiten om personen te informeren over het verzamelen van biometrische gegevens en hun toestemming te verkrijgen, terwijl de wetgeving van Texas de verkoop of openbaarmaking van biometrische gegevens zonder uitdrukkelijke toestemming verbiedt.

Bovendien overwegen een aantal andere staten, gezien de wetgevende trends die wijzen op strengere maatregelen op het gebied van gegevensprivacy, om de bescherming van biometrische gegevens te verbeteren, wat duidt op een gestage trend naar strengere regelgeving in het hele land.

Beleid van de League inzake biometrische gegevens

Zoals hieronder wordt geïllustreerd, hebben grote professionele competities in de VS maatregelen genomen om de reikwijdte van het gebruik van biometrische gegevens bij het monitoren van spelers te definiëren, wat een weerspiegeling is van het groeiende bewustzijn van gegevensprivacykwesties op competitie-niveau.

De NFL heeft in 2020 regels ingevoerd die teams toestaan biometrische gegevens te verzamelen, maar heeft beperkingen opgelegd aan het gebruik ervan bij contractonderhandelingen.
De NHL werkt momenteel aan een herziening van haar collectieve arbeidsovereenkomst, waarbij spelers voortaan toestemming moeten geven voordat hun biometrische gegevens die tijdens wedstrijden of trainingen worden verzameld, mogen worden gebruikt.
De MLB heeft in 2020 beleid vastgesteld dat spelers de mogelijkheid biedt om hun biometrische gegevens in te zien en de toegang daartoe te controleren.[6]

Het verkrijgen van toestemming is een belangrijke eerste stap, maar het lost alleen het directe probleem van ongeoorloofde gegevensverzameling op. Het houdt geen rekening met het voortdurende of langdurige gebruik van die gegevens, zoals hoe ze kunnen worden gedeeld, opgeslagen of gebruikt in onderhandelingen jaren nadat ze oorspronkelijk zijn verzameld.

Bovendien zijn toestemmingsovereenkomsten vaak complex en kunnen ze onder dwang worden ondertekend, waarbij spelers zich onder druk gezet voelen om zich hieraan te houden om hun plaats in het team veilig te stellen.

Naarmate biometrische tracking steeds meer ingebed raakt in de sportwetenschap, zullen competities hun beleid waarschijnlijk blijven verfijnen om een evenwicht te vinden tussen concurrentievoordelen en de privacyrechten van spelers. Toekomstige versies van het beleid kunnen bepalingen bevatten over het gebruik van anonimisering of pseudonimisering, evenals beperkingen op de verkoop of licentiëring van gegevens aan derden.

Eigendom van gegevens en gebruiksrechten

Hypothetisch

Een basketbalfranchise investeert in een eigen platform voor prestatieanalyse. De gegevens van de speler worden gedeeld met externe sportmedische dienstverleners voor behandelingsaanbevelingen. Halverwege het seizoen wordt de speler verkocht, maar de franchise behoudt volledige toegang tot de historische biometrische gegevens van de atleet, zelfs nadat de atleet zich bij een nieuw team heeft aangesloten.

Er ontstaan geschillen over de vraag of de atleet kan verzoeken om verwijdering van oudere gegevens, of die gegevens door het voormalige team mogen worden bewaard en gebruikt als concurrentievoordeel, of dat het voormalige team mag profiteren van geaggregeerde datasets die het team gebruikt in bredere commerciële ondernemingen.

Analyse

Het bepalen van wie eigenaar is van de gegevens die van atleten worden verzameld, is een complexe en soms controversiële juridische kwestie. Dit komt vooral voor in de context van biometrische en prestatiegegevens, die directe gevolgen hebben voor salarisonderhandelingen, beoordeling van blessurerisico's en marktwaardering.

Zijn de gegevens eigendom van de atleet, het team, de competitie of de technologieleverancier? Duidelijke contractuele afspraken zijn essentieel om de eigendom van gegevens en gebruiksrechten vast te leggen, mogelijke geschillen te voorkomen en een eerlijk gebruik van informatie over atleten te waarborgen.

CBA's spelen een cruciale rol bij het bepalen van de mate waarin biometrische gegevens in professionele competities mogen worden gebruikt. Zo heeft de National Basketball Players Association in 2017 bepalingen overeengekomen met betrekking tot het verzamelen en gebruiken van gegevens van draagbare technologie, waardoor spelers specifieke rechten behouden over hun persoonlijke biometrische informatie.

Naarmate biometrische tracking geavanceerder wordt, zullen toekomstige CBA's deze beschermingsmaatregelen waarschijnlijk verder verfijnen.

Juridische en regelgevende overwegingen

Naast de BIPA-wetgeving en de wetten van Washington en Texas zijn er nog andere nationale en internationale regelgevingen die van invloed zijn op de manier waarop competities, clubs en teams biometrische en prestatiegegevens verzamelen en gebruiken in de professionele sport. Hieronder volgen enkele opvallende voorbeelden.

Amerikaanse staatswetten inzake consumentenprivacy

Momenteel hebben 20 staten wetten inzake consumentenprivacy aangenomen, waarvan sommige al van kracht zijn, terwijl andere later dit jaar of volgend jaar van kracht worden.[7]

Biometrische gegevens worden in al deze wetten beschouwd als gevoelige gegevens, die hun respectieve bescherming uitbreiden naar inwoners van die staten — inclusief atleten — door: (1) bedrijven die onder deze wetten vallen te verplichten om specifieke kennisgeving te verstrekken en toestemming te verkrijgen voordat ze biometrische gegevens of identificatiegegevens van die personen verzamelen of verwerken, zoals het geval is onder de meeste staatswetten inzake consumentenprivacy; of (2) personen aanvullende rechten te verlenen, zoals de mogelijkheid om het gebruik en de openbaarmaking van hun biometrische gegevens te beperken tot alleen die doeleinden die uitdrukkelijk bij wet zijn toegestaan.

Interessant is dat, in tegenstelling tot de BIPA, die niet expliciet vereist dat toestemming vrijwillig wordt gegeven voordat biometrische gegevens of identificatiegegevens van personen worden verzameld en verwerkt, bijna alle tot nu toe aangenomen staatswetten inzake consumentenprivacy een soortgelijke definitie van toestemming hanteren, namelijk een duidelijke bevestigende handeling die duidt op de vrijwillige, specifieke, geïnformeerde en ondubbelzinnige instemming van een persoon.

Gezien de machtsongelijkheid tussen atleten en sportorganisaties, bestaat er twijfel over of toestemming wel echt vrijwillig kan worden gegeven. Als een atleet zijn biometrische gegevens moet verstrekken om in aanmerking te komen voor deelname aan wedstrijden, kan zijn toestemming dan wel echt als vrijwillig worden beschouwd?

Bovendien vereisen verschillende staatswetten inzake consumentenprivacy, in tegenstelling tot de BIPA, dat entiteiten die biometrische gegevens verzamelen en verwerken voor eigen of commerciële doeleinden, een risicobeoordeling uitvoeren die bedoeld is om organisaties te helpen bij het identificeren, analyseren en minimaliseren van de privacyrisico's die verband houden met hun praktijken op het gebied van gegevensverzameling, -gebruik, -bewaring en -openbaarmaking. Dit wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

Dat gezegd hebbende, variëren de vereisten met betrekking tot gegevensbeschermingseffectbeoordelingen per staat.

Algemene verordening gegevensbescherming

Europese professionele sportcompetities, teams en clubs, evenals atleten, met name diegenen die deelnemen aan internationale competities of evenementen, vallen waarschijnlijk onder de jurisdictie van de AVG, die strenge eisen stelt aan gegevensbescherming en privacy bij de verwerking van biometrische gegevens, die volgens de wet als gevoelige gegevens worden aangemerkt.

Entiteiten moeten bijvoorbeeld een wettelijke basis hebben om dergelijke gegevens te verwerken voordat ze dat kunnen doen, zoals (1) het verkrijgen van uitdrukkelijke toestemming van Europese atleten, wat vergelijkbaar is met hoe toestemming wordt gedefinieerd in de nationale wetgeving inzake consumentenprivacy; of (2) als de verwerking noodzakelijk is om te voldoen aan arbeidsverplichtingen of om specifieke rechten uit te oefenen, mits dit is toegestaan door de relevante nationale wetgeving of collectieve overeenkomsten met passende waarborgen voor de Europese atleet.

Organisaties die onder de AVG vallen en biometrische gegevens van Europese atleten verwerken, moeten robuuste beveiligingsmaatregelen implementeren, transparantie bieden over het gebruik van gegevens en de rechten van betrokkenen faciliteren, zoals toegang, rectificatie en verwijdering, tenzij er een uitzondering van toepassing is.

Aangezien biometrische gegevens volgens de AVG als gevoelige gegevens worden beschouwd, moeten entiteiten die onder de AVG vallen ook een gegevensbeschermingseffectbeoordeling uitvoeren voordat zij dergelijke gegevens verwerken.

Belangrijkste conclusies voor professionele sportorganisaties

Praktijkscenario

In een internationale voetbalcompetitie maken teams gebruik van realtime biometrische monitoring om hun prestaties te optimaliseren. Spelers stemmen ermee in om gegevens te delen met medisch personeel, coaches en voedingsdeskundigen. De sponsors van de competitie, die de draagbare apparaten produceren, beginnen echter om geanonimiseerde en geaggregeerde gegevens te vragen voor hun eigen onderzoek en ontwikkeling.

Sommige spelers vrezen commerciële exploitatie en vragen zich af hoe anoniem dergelijke gegevens werkelijk kunnen zijn. Uiteindelijk zal de regelgevende instantie van de competitie wellicht strengere anonimiseringsprotocollen moeten onderhandelen namens de spelers en de competitie, maar de controverse laat zien hoe gemakkelijk gegevens grenzen kunnen overschrijden zodra ze zijn verzameld.

Analyse

Naarmate het verzamelen van biometrische en prestatiegegevens steeds geavanceerder wordt, moeten belanghebbenden in de professionele sport zich een weg banen door een steeds complexer wordend juridisch landschap om naleving te waarborgen en de rechten van spelers te beschermen.

Naast wettelijke verplichtingen zijn ethische overwegingen rond eerlijkheid, toestemming en het welzijn van atleten eveneens van groot belang. Professionele sportcompetities en teams die een uitgebreid beleid voeren rond draagbare technologie en gegevensprivacy zijn cruciaal voor het waarborgen van de rechten van atleten. Hieronder volgen enkele best practices om in overweging te nemen.

Verkrijg expliciete, geïnformeerde toestemming.

Zorg ervoor dat atleten precies begrijpen welke gegevens worden verzameld, hoe deze worden gebruikt en wie er toegang toe heeft. Toestemmingsformulieren moeten gedetailleerde informatie bevatten over mogelijke gegevensuitwisseling met derden en eventuele monitoring buiten trainingen en wedstrijden om, en moeten voldoen aan alle relevante vereisten van de toepasselijke privacywetgeving. Benadruk dat atleten hun toestemming kunnen intrekken of kunnen verzoeken om verwijdering van gegevens, indien dit wettelijk is toegestaan.

Beperk de monitoring tot relevante momenten.

Beperk het verzamelen van gegevens tot trainingen en wedstrijden om de privacy van atleten tijdens hun vrije tijd te respecteren. Duidelijke beleidsregels moeten specifieke omstandigheden beschrijven waarin voortdurende monitoring gerechtvaardigd is en onnodige gegevensverzameling beperken.

Beveilig gegevens tegen misbruik.

Implementeer krachtige maatregelen voor gegevensbeveiliging om ongeoorloofde toegang tot en/of gebruik van biometrische en prestatiegegevens te helpen voorkomen.

Stel duidelijke verwachtingen vast met externe leveranciers.

Eis van externe leveranciers die namens u biometrische en prestatiegegevens verwerken dat zij voldoen aan de toepasselijke wetgeving inzake gegevensbescherming en maatregelen nemen om te voorkomen dat derden ongeoorloofd toegang krijgen tot of gebruik maken van dergelijke gegevens.

Deze overeenkomsten moeten expliciet de verantwoordelijkheden van de leverancier op het gebied van privacy en veiligheid beschrijven en de contracterende competitie en/of het team ruime vrijwaringsrechten bieden indien het verkeerd omgaan met de gegevens door de leverancier leidt tot een veiligheidsincident.

[1] 740 ILCS 14/1 e.v. (Illinois Biometric Information Privacy Act), beschikbaar op https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004.

[2] Verordening (EU) 2016/679, Algemene Verordening Gegevensbescherming (AVG), beschikbaar op https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng.

[3] Jen Booton, Analyzing Movement and Biometrics in Sports, Sports Business Journal (29 juli 2020), beschikbaar op https://www.sportsbusinessjournal.com/Daily/Issues/2020/07/30/Technology/biometrics-sports-athletes-performance-injury-prevention/ (mogelijk is een abonnement vereist).

[4] Wash. Rev. Code § 19.375.010 e.v. (Washington Biometric Privacy Protection Act), beschikbaar op https://app.leg.wa.gov/RCW/default.aspx?cite=19.375.

[5] Tex. Bus. & Com. Code Ann. § 503.001 et seq. (Texas Capture Or Use Of Biometric Identifier Act), beschikbaar op https://statutes.capitol.texas.gov/docs/bc/htm/bc.503.htm.

[6] Nick Fustor, MLB keurt gebruik van apparaat goed om biometrische gegevens van spelers te meten, Fox Sports (maart 2020), beschikbaar op https://www.foxsports.com/stories/mlb/mlb-approves-use-of-device-to-measure-biometrics-of-players. Tom Friend, Biometrische taal evolueert met elke nieuwe CBA, Sports Business Journal (1 augustus 2022), beschikbaar op https://www.sportsbusinessjournal.com/Journal/Issues/2022/08/01/In-Depth/Biometrics (abonnement mogelijk vereist).

[7] International Association of Privacy Professionals (IAPP), US State Privacy Legislation Tracker (laatst bijgewerkt op 7 april 2025), beschikbaar op https://iapp.org/resources/article/us-state-privacy-legislation-tracker/.