Onderzoek Bedrijven en de privacy van hun klanten

Klanten hebben recht op hun persoonlijke gegevens - maar krijgen ze die ook? We testten bekende bedrijven

Beeld Merel Corduwener.

De strenge Europese privacywetgeving AVG is nu ruim twee maanden van kracht. Klanten hebben recht op gedetailleerde uitleg over de vergaring, verwerking en deling van hun persoonsgegevens. Krijgen ze die ook? De Volkskrant ging op onderzoek uit.

Weet u het nog? De AVG of, internationaal, de GDPR: de nieuwe privacywetgeving. Aan het begin van de zomer bombardeerde het bedrijfsleven miljoenen consumenten met mailtjes: wij hebben het beste met uw privacy voor, klik hier en accepteer onze nieuwe voorwaarden in het kader van de Algemene Verordening Gegevensbescherming (AVG). Deze wet verplicht bedrijven onder meer om klanten te vertellen welke persoonlijke gegevens ze over hen verzamelen, met welk doel, en met wie, hoe en waarom ze die gegevens delen.

Hoe gaan bedrijven daarmee om? De Volkskrant vroeg tien Nederlandse en buitenlandse bedrijven het hemd van het lijf: wat weet u over ons? Hoe weet u dat? Waarom wilt u dat weten? Met wie deelt u dat? Wie beslist daarover? Waar kan ik bezwaar maken? Het blijkt dat veel bedrijven worstelen met privacyvragen van klanten.

Het eerste dat opvalt, is dat veel grotere instellingen een duidelijke privacy-knop hebben op hun site. Dat is de eerste verdedigingslinie die bedrijven opwerpen bij vragen van klanten: hier is een link naar onze privacyverklaring. Daarachter staan in algemene termen maatregelen beschreven die de betreffende organisatie heeft genomen om te voldoen aan de AVG. Het is duidelijk: privacyjuristen hebben hun huiswerk goed gedaan. Wie specifiekere informatie wil, zoals inzage in zijn eigen gegevens, moet meer moeite doen.

Grote techbedrijven zoals Facebook als Google geven hun klanten de mogelijkheid om hun persoonlijke gegevens eenvoudig te downloaden. Dat is duidelijk gericht op de zogeheten dataportabiliteit: het recht van de consument om zijn gegevens mee te nemen naar een andere aanbieder. Reuze handig, zeggen de privacy-activisten van Bits of Freedom, maar daarmee voldoen de bedrijven slechts aan een deel van hun verplichtingen.

‘Dit zijn voornamelijk gegevens die je zelf hebt verstrekt,’ zegt David Korteweg van Bits of Freedom. ‘Maar een bedrijf als Facebook heeft veel meer persoonsgegevens. Ze zeggen in dit overzicht bijvoorbeeld niets over wat ze allemaal weten door je bezoek van andere internetsites, buiten Facebook, te volgen. Dat doen ze wel.’

Facebook

De Autoriteit Persoonsgegevens stelde vorig jaar onderzoek in naar Facebook en concludeerde dat Facebook de regels overtrad. Gebruikers werden niet adequaat geïnformeerd over het gebruik van hun persoonsgegevens voor gerichte advertenties, aldus de AP. Ook is informatie over iemands seksuele geaardheid gebruikt voor advertentiedoeleinden zonder dat gebruikers daarvoor uitdrukkelijke toestemming hadden gegeven. ‘Of Facebook inmiddels voldoet aan de nieuwe privacywet, zal moeten worden onderzocht in Europees verband', zei voorzitter Aleid Wolfsen van de autoriteit in juni. Inmiddels heeft Facebook volgens de AP zijn beleid aangepast.

Al in juni dienden ruim zeshonderd mensen een klacht in bij de Autoriteit Persoonsgegevens (AP) over het gebruik van hun persoonlijke gegevens, vooral door bedrijven. Een klein deel daarvan gaat specifiek over inzageverzoeken; mensen krijgen bijvoorbeeld niet te zien welke gegevens over hen worden bewaard. De AP heeft inmiddels ongeveer vierhonderd klachten onderzocht. In juli waren er weer bijna vijfhonderd klachten.

Ook bij Bits of Freedom komen klachten binnen, aldus Korteweg. Soms gaat het overduidelijk mis, bijvoorbeeld toen iemand ongevraagd zeer gedetailleerde informatie kreeg over het gebruik van een dating-app. Niet zijn gegevens, maar die van iemand anders. Veel vaker ziet de organisatie dat bedrijven het proces frustreren.

‘Je moet dan enorm veel moeite doen om de informatie naar boven te krijgen, terwijl de nieuwe regels nou net duidelijk maken dat het eenvoudig en kostenloos moet kunnen.’ 

De Volkskrant ondervond dat ook, bijvoorbeeld bij Alibaba. De Chinese webgigant neemt alleen vragen in behandeling als ze per post, en vertaald naar het Engels, worden verstuurd naar de Data Protection Officer in Hongkong. Maar ook dichter bij huis, bij Marktplaats, ging het proces erg moeizaam. Daarnaast geven weinig  organisaties antwoord op alle vragen. Dat is soms ook onkunde, hoewel bedrijven ruim twee jaar de tijd hebben gehad om zich voor te bereiden op de AVG.

Marktplaats

De dochter van het Amerikaanse eBay lijkt het haar klant zo moeilijk mogelijk te willen maken. Op de site staat een uitgebreide privacyverklaring die uitlegt wat voor gegevens de site verzamelt. Maar wie inzage in zijn eigen gegevens overweegt, wordt afgeschrikt met de suggestie dat die inzage ook geld kan kosten: ‘Als u om inzage wilt verzoeken en wilt weten of hieraan kosten zijn verbonden, kunt u contact met ons opnemen in het onderdeel Contact Opnemen hieronder.’ 

Een mail naar de privacy-afdeling resulteert in een link naar een onlineformulier dat slechts twee opties biedt: opvragen gegevens of verwijderen gegevens. Ook daarna gaat het mis: het formulier loopt telkens vast. Klantenservice suggereert dat het te maken heeft met het gebruik van bijzondere tekens, maar alleen het inkorten van het verzoek blijkt te helpen. Het bedrijf geeft uiteindelijk na meer dan een maand onvolledig antwoord op de vragen. Gezakt.

Tele2

De telecomprovider belooft in hippe termen zijn klanten te informeren: ‘De Wbp vervalt en de AVG gaat in. Horen wij daar de G van gaap? Nee, van gegevens. Namelijk die van jou! Toch wel even belangrijk dus.’ Jazeker. Tele2 doet ook daadwerkelijk meer dan de meeste andere aangeschreven bedrijven. Zo stelt het bedrijf dat het géén individuele profielen samenstelt van zijn klanten ten behoeve van advertentiecampagnes. Tele2 overhandigt verder adresgegevens, gegevens van de klantenkaart, een overzicht van de laatste 14 facturen en van contactmomenten met de klantenservice.

Maar geen gegevens over met wie er is gebeld, of zendmastdata waaruit de locatie van de beller is op te maken, waar wij zo innig op hoopten. Volgens een woordvoerder overhandigt Tele2 alleen de ‘meest gebruikelijke gegevens’. Samen met de zeer uitgebreide algemene privacyverklaring op de site, en de belhistorie op de factuur, vormen die een volledig overzicht. Navraag leert bovendien dat een gerechtelijke uitspraak uit 2015 bepaalt dat gegevens over de locatie van een beller, zelfs als het uzelf betreft, geen persoonsgegevens zijn en dus niet onder de AVG vallen. Tele2 slaagt met vlag en wimpel.  

Coolblue

Coolblue is met afstand de vlotste met het overhandigen van enkele pdfjes met gegevens. De uitvoerige privacyverklaring is eenvoudig te vinden op de site, inclusief een mailadres waaraan het verzoek kan worden verstuurd. Coolblue geeft een overzicht met de hele bestelgeschiedenis, plus – dat is nieuw, en niet verplicht – de informatie die de klantenservice in het dossier van de klant heeft gezet: ‘Nu al de tweede keer dat hij een grasmaaier terugstuurt ;-(’ Geslaagd.

Albert Heijn

We hebben een gepersonaliseerde bonuskaart, dus Albert Heijn weet bijna alles van ons. Maar de grootgrutter maakt er een potje van. Op de webpagina’s met privacybeginselen is geen privacy-mailadres te vinden. Daarvoor moet de klant eerst 62 pagina’s downloaden. Op pagina 61 staat het eindelijk: privacy@ah.nl. Na twee weken komt er antwoord: AH wil een kopie van een paspoort. Volgende stap: AH wil dat je een brief stuurt. Per post. Per e-mail mag eventueel ook, maar dan moet de klant wel een brief printen en inscannen. Daarna gebeurt er helemaal niets meer. Geen antwoord, niets. Een menselijke fout, zegt de woordvoerder: ‘Het is gewoon niet opgepakt. Slordig.’ Gezakt.

Zalando

Het Duitse concern doet alles zonder omhaal binnen de gestelde termijn, maar ook hier krijgt de klant alleen een overzicht van zijn bestelgeschiedenis. Die overigens teruggaat tot maar liefst 2011, valt Korteweg op: ‘Ik vraag me af waar hier de wettelijke verplichte noodzaak is voor Zalando, om dat zo lang te bewaren.’ Gezakt.

Ali Baba

De privacybewuste consument heeft het lastig bij Ali Baba. Na het doorploegen een aantal vragen, subsecties en subvragen op de site van webwinkel Ali Express, eindigt de zoektocht naar de eigen persoonsgegevens plots met het postadres van de Legal Office: gaarne per brief informatie opvragen bij de Data Protection Officer (DPA), 1 Matheson Street, Hongkong. We gaan er vanuit dat de DPA van Ali Baba in Hongkong geen Nederlands spreekt, dus de brief moet ook nog in het Engels worden vertaald. Op 4 juni gaat het epistel op de post.

Tot onze verbazing mailt Ali Baba op 11 juli terug vanaf dataprotection@service.alibaba.com (mailen kan dus toch): of wij onze identiteit willen bevestigen met een kopie van een factuur met ons woonadres erop. We krijgen een link naar Ali Baba’s privacybeleid en de belofte dat de Chinese webwinkel behoedzaam omgaat met gegevens. Op 18 juli krijgt Ali Baba het gewenste bewijs, daarna blijft het stil. Gezakt.

Ziggo

Ziggo mailt vrijwel direct terug: uw gegevens zijn per daartoe bestemde knop op te vragen via ziggo.nl. De knop zit keurig waar de medewerker zegt dat hij zit en direct na klikken verschijnt een nieuwe mail met daarin de vriendelijke mededeling dat Ziggo het graag in orde maakt en binnen dertig dagen de informatie zal mailen.

Ziggo mailt op 13 juni even opgewekt het resultaat: ‘u vroeg om uw persoonlijke gegevens, nu staan ze voor u klaar.’ Maar we vroegen om veel meer dan alleen onze persoonlijke gegevens. We vroegen voor welke doeleinden onze gegevens worden verwerkt, of op basis daarvan geautomatiseerde beslissingen worden genomen, met wie Ziggo onze gegevens deelt, zo ja, op welke momenten. Niets van dat al. Het overzicht ‘persoonlijke gegevens’ bestaat uit drie pagina’s PDF: contacthistorie, persoonlijke gegevens, het soort aansluiting. De onlineprivacyverklaring is zeer summier, en zegt vrijwel niets over met wie Ziggo gegevens deelt. Gezakt.

OV-Chipkaart

De website van de OV-chipkaart biedt een mooi overzicht van ‘uw rechten’: inzage in en correctie van je gegevens, bezwaar tegen de verwerking ervan, recht op vergetelheid en op dataportabiliteit. Maar de consument heeft meer rechten, zoals het recht te weten met wie gegevens worden gedeeld en waarom. In de uitgebreidere privacyverklaring staat die informatie wel, net als de mededeling dat de organisatie achter de OV-chipkaart gegevens niet voor marketingdoeleinden met derden deelt.

Het gaat mis bij de afhandeling van een persoonlijk verzoek om inzage. Een e-mail op 18 juni naar privacy@ov-chipkaart.nl, eenvoudig te vinden op de website, levert een dag later het verzoek om identificatie op en vervolgens de belofte dat binnen vier weken informatie wordt verstrekt. Hoopvol, maar op 10 augustus hebben wij nog niets ontvangen. Een telefoontje naar de perswoordvoerder van Translink, het bedrijf achter de OV-chipkaart, biedt opheldering. Ondanks het verzoek de gegevens per e-mail te sturen, blijkt Translink het per post naar het bij hen bekende adres te hebben gestuurd: een oud adres. Daar kwam het niet aan. ‘Dit is een vergissing. We gaan de procedure aanscherpen’, laat Translink weten. Een herkansing is hier op zijn plaats.  

en reiziger loopt door een toegangspoortje op het station in Woerden. Beeld Anp

Amazon

Op Amazon.nl staat een uitgebreide privacyverklaring - in algemene termen. Wij willen weten wat Amazon met ónze gegevens doet, en met wélke organisaties de internetreus die deelt. Niet alleen ‘derden’, hoewel Amazon wel summier uitlegt om wat voor derden het gaat. De AVG verplicht bedrijven uit te leggen aan ‘welke ontvangers of categorieën van ontvangers’ zij persoonsgegevens verstrekken. Het is maar de vraag of Amazon dat voldoende doet.

De behoefte aan een persoonlijk dossier leidt tot een uitvoerige speurtocht door de Amazon-machine. Uiteindelijk verschijnt er een contactformulier. We plakken ons inzageverzoek in het venstertje, en klikken op 3 juni op verzenden naar de klantenservice.

Diezelfde dag nog komt er een antwoord in het Nederlands. Dat bevat een link naar de privacyverklaring en de belofte dat we bij meer vragen kunnen antwoorden op dit bericht. Door een vakantie onzerzijds blijft dit bericht onopgemerkt tot 10 juli, waarna we alsnog antwoorden dat we persoonlijke gegevens willen. De e-mail komt onbezorgbaar terug, waarop we het circus opnieuw ingaan: een mail naar de klantenservice. Die antwoordt in het Engels met de vraag over welk account het gaat, op 18 juli antwoorden we, daarna blijft het stil. Gezakt.

De Bijenkorf

De Bijenkorf heeft een uitgebreide privacyverklaring op de website, met tien antwoorden op vragen over hoe en waarom de winkelketen data verzamelt, wat die ermee doet, naar wie het gaat en hoe ze die beschermen. Een persoonlijk overzicht opvragen kan niet via e-mail: de Bijenkorf-klantenservice bestaat vooral op sociale media, dus onze keurig ingedeelde brief moet door het Facebook-messengerscherm geduwd worden. 

Na vier weken arriveert per e-mail het volledigste overzicht tot nu toe, duidelijk persoonlijk gericht en met een beknopte uitleg van de technieken die de Bijenkorf inzet en het soort bedrijven waarmee de winkelketen gegevens deelt. Het overzicht noemt PostNL en betalingsplatform Adyen bij naam. De Bijenkorf wint de AVG-test, op een gedeelde eerste  plaats met Tele2.

Verantwoording

Journalisten van de Volkskrant moesten behoorlijk veel moeite doen om inzage te krijgen in hun gegevens. Hadden ze niets beters te doen? Remco Andersen: ‘Controleren hoe bedrijven en instellingen omgaan met nieuwe wetgeving is een kerntaak van de journalistiek.’

Voor dit artikel is gebruik gemaakt van klantgegevens van bestaande personen. De verslaggevers hebben besloten zich niet als zodanig bekend te maken, omdat dit invloed kan hebben op de mate van medewerking. Voor het informatieverzoek is de voorbeeldbrief gebruikt van Bits of Freedom. De vragen die hierin staan, zijn geformuleerd op basis van het inzagerecht conform de AVG. De conclusies zijn onder meer voorgelegd aan Gerrit-Jan Zwenne, Hoogleraar Recht en Informatiemaatschappij aan de Universiteit Leiden.

 De Brief

Geachte heer/mevrouw,

Met verwijzing naar artikel 12 en 15 van de Algemene verordening gegevensbescherming (AVG) beroep ik mij op mijn inzagerecht. Ik verzoek u de volgende informatie aan mij te verstrekken:

· of u mijn persoonsgegevens verwerkt, en zo ja, een volledig en duidelijk overzicht van:

◦ alle persoonsgegevens die u van mij verwerkt;

◦ voor welk doel of doeleinden u mijn persoonsgegevens verwerkt;

◦ aan wie u mijn persoonsgegevens heeft verstrekt of zal verstrekken, en indien dit naar een land buiten de EU/EER is, welke passende waarborgen u heeft getroffen in overeenstemming met artikel 46 AVG;

◦ de periode waarvoor mijn persoonsgegevens worden bewaard of de criteria die u toepast om die termijn te bepalen;

◦ wat de herkomst is van de verzamelde persoonsgegevens; en

· of u geautomatiseerd besluiten neemt (inclusief profilering) op basis van mijn persoonsgegevens, en zo ja, een volledig en duidelijk overzicht van:

◦ nuttige en begrijpelijke informatie over de onderliggende logica op basis waarvan deze besluiten genomen worden; en

het belang en de verwachte gevolgen van deze besluiten voor mij, inclusief hoe ik dergelijke besluiten kan aanvechten, welke maatregelen zijn getroffen om het risico op fouten te minimaliseren en hoe er rekening wordt gehouden met mijn belangen en rechten.

Wellicht ten overvloede wijs ik u erop dat u op grond van de AVG binnen een maand aan dit verzoek moet voldoen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.