Weet u het nog? De AVG of, internationaal, de GDPR: de nieuwe privacywetgeving. Aan het begin van de zomer bombardeerde het bedrijfsleven miljoenen consumenten met mailtjes: wij hebben het beste met uw privacy voor, klik hier en accepteer onze nieuwe voorwaarden in het kader van de Algemene Verordening Gegevensbescherming (AVG). Deze wet verplicht bedrijven onder meer om klanten te vertellen welke persoonlijke gegevens ze over hen verzamelen, met welk doel, en met wie, hoe en waarom ze die gegevens delen. Hoe gaan bedrijven daarmee om? De Volkskrant vroeg tien Nederlandse en buitenlandse bedrijven het hemd van het lijf: wat weet u over ons? Hoe weet u dat? Waarom wilt u dat weten? Met wie deelt u dat? Wie beslist daarover? Waar kan ik bezwaar maken? Het blijkt dat veel bedrijven worstelen met privacyvragen van klanten.
Lees ook: Wat betekent de AVG precies voor jou?
Privacyverklaring
Het eerste dat opvalt, is dat veel grotere instellingen een duidelijke privacy-knop hebben op hun site. Dat is de eerste verdedigingslinie die bedrijven opwerpen bij vragen van klanten: hier is een link naar onze privacyverklaring. Daarachter staan in algemene termen maatregelen beschreven die de betreffende organisatie heeft genomen om te voldoen aan de AVG. Het is duidelijk: privacyjuristen hebben hun huiswerk goed gedaan. Wie specifiekere informatie wil, zoals inzage in zijn eigen gegevens, moet meer moeite doen.
Persoonlijke gegevens downloaden
Grote techbedrijven zoals Facebook als Google geven hun klanten de mogelijkheid om hun persoonlijke gegevens eenvoudig te downloaden. Dat is duidelijk gericht op de zogeheten dataportabiliteit: het recht van de consument om zijn gegevens mee te nemen naar een andere aanbieder. Reuze handig, zeggen de privacy-activisten van Bits of Freedom, maar daarmee voldoen de bedrijven slechts aan een deel van hun verplichtingen.
AVG en Facebook
‘Dit zijn voornamelijk gegevens die je zelf hebt verstrekt,’ zegt David Korteweg van Bits of Freedom. ‘Maar een bedrijf als Facebook heeft veel meer persoonsgegevens. Ze zeggen in dit overzicht bijvoorbeeld niets over wat ze allemaal weten door je bezoek van andere internetsites, buiten Facebook, te volgen. Dat doen ze wel.’
Autoriteit Persoonsgegevens
Al in juni dienden ruim zeshonderd mensen een klacht in bij de Autoriteit Persoonsgegevens (AP) over het gebruik van hun persoonlijke gegevens, vooral door bedrijven. Een klein deel daarvan gaat specifiek over inzageverzoeken; mensen krijgen bijvoorbeeld niet te zien welke gegevens over hen worden bewaard. De AP heeft inmiddels ongeveer vierhonderd klachten onderzocht. In juli waren er weer bijna vijfhonderd klachten.
Lees ook: AVG / GDPR: zo profiteer je optimaal van de nieuwe privacywet
Klachten over privacy
Ook bij Bits of Freedom komen klachten binnen, aldus Korteweg. Soms gaat het overduidelijk mis, bijvoorbeeld toen iemand ongevraagd zeer gedetailleerde informatie kreeg over het gebruik van een dating-app. Niet zijn gegevens, maar die van iemand anders. Veel vaker ziet de organisatie dat bedrijven het proces frustreren.
Nieuwe regels van de AVG
‘Je moet dan enorm veel moeite doen om de informatie naar boven te krijgen, terwijl de nieuwe regels nou net duidelijk maken dat het eenvoudig en kostenloos moet kunnen.’
Twee jaar voorbereiding
De Volkskrant ondervond dat ook, bijvoorbeeld bij Alibaba. De Chinese webgigant neemt alleen vragen in behandeling als ze per post, en vertaald naar het Engels, worden verstuurd naar de Data Protection Officer in Hongkong. Maar ook dichter bij huis, bij Marktplaats, ging het proces erg moeizaam. Daarnaast geven weinig organisaties antwoord op alle vragen. Dat is soms ook onkunde, hoewel bedrijven ruim twee jaar de tijd hebben gehad om zich voor te bereiden op de AVG.
Marktplaats
De dochter van het Amerikaanse eBay lijkt het haar klant zo moeilijk mogelijk te willen maken. Op de site staat een uitgebreide privacyverklaring die uitlegt wat voor gegevens de site verzamelt. Maar wie inzage in zijn eigen gegevens overweegt, wordt afgeschrikt met de suggestie dat die inzage ook geld kan kosten: ‘Als u om inzage wilt verzoeken en wilt weten of hieraan kosten zijn verbonden, kunt u contact met ons opnemen in het onderdeel Contact Opnemen hieronder.’
Gezakt voor de AVG
Een mail naar de privacy-afdeling resulteert in een link naar een onlineformulier dat slechts twee opties biedt: opvragen gegevens of verwijderen gegevens. Ook daarna gaat het mis: het formulier loopt telkens vast. Klantenservice suggereert dat het te maken heeft met het gebruik van bijzondere tekens, maar alleen het inkorten van het verzoek blijkt te helpen. Het bedrijf geeft uiteindelijk na meer dan een maand onvolledig antwoord op de vragen. Gezakt.
Lees ook: Zo groot kan de impact van de AVG zijn voor een klein bedrijf
Klanten informeren
De telecomprovider belooft in hippe termen zijn klanten te informeren: ‘De Wbp vervalt en de AVG gaat in. Horen wij daar de G van gaap? Nee, van gegevens. Namelijk die van jou! Toch wel even belangrijk dus.’ Jazeker. Tele2 doet ook daadwerkelijk meer dan de meeste andere aangeschreven bedrijven. Zo stelt het bedrijf dat het géén individuele profielen samenstelt van zijn klanten ten behoeve van advertentiecampagnes. Tele2 overhandigt verder adresgegevens, gegevens van de klantenkaart, een overzicht van de laatste 14 facturen en van contactmomenten met de klantenservice.
Tele2 slaagt
Maar geen gegevens over met wie er is gebeld, of zendmastdata waaruit de locatie van de beller is op te maken, waar wij zo innig op hoopten. Volgens een woordvoerder overhandigt Tele2 alleen de ‘meest gebruikelijke gegevens’. Samen met de zeer uitgebreide algemene privacyverklaring op de site, en de belhistorie op de factuur, vormen die een volledig overzicht. Navraag leert bovendien dat een gerechtelijke uitspraak uit 2015 bepaalt dat gegevens over de locatie van een beller, zelfs als het uzelf betreft, geen persoonsgegevens zijn en dus niet onder de AVG vallen. Tele2 slaagt met vlag en wimpel.
Coolblue en de AVG
Coolblue is met afstand de vlotste met het overhandigen van enkele pdfjes met gegevens. De uitvoerige privacyverklaring is eenvoudig te vinden op de site, inclusief een mailadres waaraan het verzoek kan worden verstuurd. Coolblue geeft een overzicht met de hele bestelgeschiedenis, plus – dat is nieuw, en niet verplicht – de informatie die de klantenservice in het dossier van de klant heeft gezet: ‘Nu al de tweede keer dat hij een grasmaaier terugstuurt ;-(’ Geslaagd.
Albert Heijn en de AVG
We hebben een gepersonaliseerde bonuskaart, dus Albert Heijn weet bijna alles van ons. Maar de grootgrutter maakt er een potje van. Op de webpagina’s met privacybeginselen is geen privacy-mailadres te vinden. Daarvoor moet de klant eerst 62 pagina’s downloaden. Op pagina 61 staat het eindelijk: privacy@ah.nl. Na twee weken komt er antwoord: AH wil een kopie van een paspoort. Volgende stap: AH wil dat je een brief stuurt. Per post. Per e-mail mag eventueel ook, maar dan moet de klant wel een brief printen en inscannen. Daarna gebeurt er helemaal niets meer. Geen antwoord, niets. Een menselijke fout, zegt de woordvoerder: ‘Het is gewoon niet opgepakt. Slordig.’ Gezakt.
Lees ook: Hoge boetes als maatregel tot handhaving AVG
Zalando zakt
Het Duitse concern doet alles zonder omhaal binnen de gestelde termijn, maar ook hier krijgt de klant alleen een overzicht van zijn bestelgeschiedenis. Die overigens teruggaat tot maar liefst 2011, valt Korteweg op: ‘Ik vraag me af waar hier de wettelijke verplichte noodzaak is voor Zalando, om dat zo lang te bewaren.’ Gezakt.
Privacybeleid van Ali Baba
De privacybewuste consument heeft het lastig bij Ali Baba. Na het doorploegen een aantal vragen, subsecties en subvragen op de site van webwinkel Ali Express, eindigt de zoektocht naar de eigen persoonsgegevens plots met het postadres van de Legal Office: gaarne per brief informatie opvragen bij de Data Protection Officer (DPA), 1 Matheson Street, Hongkong. We gaan er vanuit dat de DPA van Ali Baba in Hongkong geen Nederlands spreekt, dus de brief moet ook nog in het Engels worden vertaald. Op 4 juni gaat het epistel op de post.
Identiteit
Tot onze verbazing mailt Ali Baba op 11 juli terug vanaf dataprotection@service.alibaba.com (mailen kan dus toch): of wij onze identiteit willen bevestigen met een kopie van een factuur met ons woonadres erop. We krijgen een link naar Ali Baba’s privacybeleid en de belofte dat de Chinese webwinkel behoedzaam omgaat met gegevens. Op 18 juli krijgt Ali Baba het gewenste bewijs, daarna blijft het stil. Gezakt.
Ziggo en AVG
Ziggo mailt vrijwel direct terug: uw gegevens zijn per daartoe bestemde knop op te vragen via ziggo.nl. De knop zit keurig waar de medewerker zegt dat hij zit en direct na klikken verschijnt een nieuwe mail met daarin de vriendelijke mededeling dat Ziggo het graag in orde maakt en binnen dertig dagen de informatie zal mailen.
Persoonlijke gegevens
Ziggo mailt op 13 juni even opgewekt het resultaat: ‘u vroeg om uw persoonlijke gegevens, nu staan ze voor u klaar.’ Maar we vroegen om veel meer dan alleen onze persoonlijke gegevens. We vroegen voor welke doeleinden onze gegevens worden verwerkt, of op basis daarvan geautomatiseerde beslissingen worden genomen, met wie Ziggo onze gegevens deelt, zo ja, op welke momenten. Niets van dat al. Het overzicht ‘persoonlijke gegevens’ bestaat uit drie pagina’s PDF: contacthistorie, persoonlijke gegevens, het soort aansluiting. De onlineprivacyverklaring is zeer summier, en zegt vrijwel niets over met wie Ziggo gegevens deelt. Gezakt.
Lees ook: Vlog Marcia Geerts: Is een foto een persoonsgegeven?
OV-Chipkaart
De website van de OV-chipkaart biedt een mooi overzicht van ‘uw rechten’: inzage in en correctie van je gegevens, bezwaar tegen de verwerking ervan, recht op vergetelheid en op dataportabiliteit. Maar de consument heeft meer rechten, zoals het recht te weten met wie gegevens worden gedeeld en waarom. In de uitgebreidere privacyverklaring staat die informatie wel, net als de mededeling dat de organisatie achter de OV-chipkaart gegevens niet voor marketingdoeleinden met derden deelt.
Herkansing
Het gaat mis bij de afhandeling van een persoonlijk verzoek om inzage. Een e-mail op 18 juni naar privacy@ov-chipkaart.nl, eenvoudig te vinden op de website, levert een dag later het verzoek om identificatie op en vervolgens de belofte dat binnen vier weken informatie wordt verstrekt. Hoopvol, maar op 10 augustus hebben wij nog niets ontvangen. Een telefoontje naar de perswoordvoerder van Translink, het bedrijf achter de OV-chipkaart, biedt opheldering. Ondanks het verzoek de gegevens per e-mail te sturen, blijkt Translink het per post naar het bij hen bekende adres te hebben gestuurd: een oud adres. Daar kwam het niet aan. ‘Dit is een vergissing. We gaan de procedure aanscherpen’, laat Translink weten. Een herkansing is hier op zijn plaats.
Amazon en de AVG
Op Amazon.nl staat een uitgebreide privacyverklaring - in algemene termen. Wij willen weten wat Amazon met ónze gegevens doet, en met wélke organisaties de internetreus die deelt. Niet alleen ‘derden’, hoewel Amazon wel summier uitlegt om wat voor derden het gaat. De AVG verplicht bedrijven uit te leggen aan ‘welke ontvangers of categorieën van ontvangers’ zij persoonsgegevens verstrekken. Het is maar de vraag of Amazon dat voldoende doet.
Uitvoerige speurtocht
De behoefte aan een persoonlijk dossier leidt tot een uitvoerige speurtocht door de Amazon-machine. Uiteindelijk verschijnt er een contactformulier. We plakken ons inzageverzoek in het venstertje, en klikken op 3 juni op verzenden naar de klantenservice.
Circus
Diezelfde dag nog komt er een antwoord in het Nederlands. Dat bevat een link naar de privacyverklaring en de belofte dat we bij meer vragen kunnen antwoorden op dit bericht. Door een vakantie onzerzijds blijft dit bericht onopgemerkt tot 10 juli, waarna we alsnog antwoorden dat we persoonlijke gegevens willen. De e-mail komt onbezorgbaar terug, waarop we het circus opnieuw ingaan: een mail naar de klantenservice. Die antwoordt in het Engels met de vraag over welk account het gaat, op 18 juli antwoorden we, daarna blijft het stil. Gezakt.
De Bijenkorf
De Bijenkorf heeft een uitgebreide privacyverklaring op de website, met tien antwoorden op vragen over hoe en waarom de winkelketen data verzamelt, wat die ermee doet, naar wie het gaat en hoe ze die beschermen. Een persoonlijk overzicht opvragen kan niet via e-mail: de Bijenkorf-klantenservice bestaat vooral op sociale media, dus onze keurig ingedeelde brief moet door het Facebook-messengerscherm geduwd worden.
Eerste plaats
Na vier weken arriveert per e-mail het volledigste overzicht tot nu toe, duidelijk persoonlijk gericht en met een beknopte uitleg van de technieken die de Bijenkorf inzet en het soort bedrijven waarmee de winkelketen gegevens deelt. Het overzicht noemt PostNL en betalingsplatform Adyen bij naam. De Bijenkorf wint de AVG-test, op een gedeelde eerste plaats met Tele2.
