De AVG mag dan nu wel van kracht zijn, maar het lijkt er op dat veel organisaties die AVG als een bedreiging zien die met een beschermingswal op afstand moet worden gehouden.
Sinds 25 mei van dit jaar is de Algemene Verordening Gegevensbescherming van kracht. Dankzij de nieuwe EU-privacywetgeving hebben klanten recht op hun eigen persoonsgegevens. Door het recht van inzage, correctie en wissen van onze gegevens is onze privacy beter beschermd en staan wij sterker in het digitale tijdperk.
Dat is mooi in theorie, maar werkt het ook in de praktijk? Ik besloot een aantal organisaties aan te schrijven om de werking van de AVG uit te testen en mijn privacyrecht uit te oefenen. Ik koos zes organisaties uit in een mix van profit en non-profit en soorten verzoeken.
Zo ben ik benieuwd wat mijn gemeente allemaal over mij registreert. Ik ontvang nooit post van mijn gemeente, maar vier jaar geleden werd ik verrast door een persoonlijke gemeentebrief die opende met: “U bent met pensioen, of u gaat binnenkort met pensioen …” Het was een oproep om mij aan te melden voor vrijwilligerswerk. Nu ben ik natuurlijk wel nieuwsgierig wat de trigger was voor het versturen van die brief, want mijn geboortejaar kan die aanleiding niet zijn. Ook ben ik nieuwsgierig wat milieuorganisaties als Greenpeace en Natuurmonumenten van mij weten. Ik ontvang namelijk regelmatig gerichte steunverzoeken die aansluiten bij mijn belangstelling.
Van bedrijven als Coolblue en Vodafone vraag ik correctie van mijn persoonsgegevens. Ik sta bij beide onder meerdere klantnummers ingeschreven. Bij Coolblue zie ik dan niet de volledige historie van mijn inkopen in het online portaal. Vodafone heeft mijn telefoongebruik na systeemconversie overgeheveld naar een nieuw klantnummer. Na het inloggen op MijnVodafone moet telkens de overbodige handeling verrichten door het selecteren van het actieve klantnummer. Het ergert mij bovendien al jaren dat mijn naam foutief is gespeld en dat ik dat niet kan wijzigen.
Van de Goede Doelen Loterijen vraag ik mijn persoonsgegevens in al hun registraties te wissen. Dit geldt niet alleen voor mijn goed gespelde naam, maar ook van alle verbasteringen van mijn naam en ‘de bewoners van dit adres’. Vijf jaar geleden heeft de organisatie mijn persoonsgegevens verkregen in ruil voor korting op museumtoegangskaarten. Sindsdien word ik overspoeld door ongewenste (spam) reclame en lukt mij – ondanks vele verzoeken en toezeggingen – niet om daarvan verschoond te blijven. Vorig kwam er nog een groot datalek aan het licht bij de Goede Doelen Loterijen. Van 450.000 spelers waren persoonsgegevens inzichtelijk. Ik ben er niet gerust op dat mijn gegevens daar in goede handen zijn, ook al ben ik nooit kansspelspeler geweest.
Ik bezoek de websites van de organisaties voor het raadplegen van hun privacybeleid. Alle organisaties verklaren veel waarde te hechten aan de privacy van hun klanten. Zij beschikken ook over een toegankelijk privacyverklaring. Alleen bij Greenpeace stuit ik op een onaangename verrassing, met een verklaring dat zij hun privacyreglement kunnen aanpassen en daarbij verwijzen naar de link van de meest actuele versie op https://www.greenpeace.nl/privacy Maar die website resulteert in een privacyfout. ‘Je verbinding is niet privé. Cybercriminelen proberen mogelijk je gegevens van www.greenpeace.nl te stelen’ meldt mijn Google browser. De procedure voor het uitoefenen van mijn privacyrecht is bij alle andere organisaties wel betrouwbaar beschreven.
Ik zie er van af naar Greenpeace een inzageverzoek te sturen. Bij mijn gemeente dien ik eenvoudig een inzageverzoek in via de gemeentewebsite met behulp van DigiD. De overige organisaties stuur ik een schriftelijk verzoek. In mijn brieven voeg ik een kopie van mijn paspoort, waarbij ik de onderste regel weg lak. Ik maak daarbij gebruik van de voorbeeldbrieven van de Autoriteit Persoonsgegevens. Aan Natuurmonumenten stuur ik een inzageverzoek. Correctieverzoeken stuur ik naar Vodafone en Coolblue. Een verzoek voor het wissen van mijn persoonsgegevens stuur ik naar de Goede Doelen Loterijen. Ik verzoek de organisaties binnen een maand schriftelijk te reageren op mijn verzoek.
Met uitzondering van mijn gemeente antwoorden de organisaties snel, zelfs binnen twee weken. Ik ontvang de volgende reacties (in volgorde van ontvangst), waarbij ik tevens mijn oordeel en tevredenheid van de afhandeling vermeld.
Natuurmonumenten
Ik ontvang een uitgebreide en persoonlijke brief over registratie van mijn persoonsgegevens en het gebruik daarvan. Natuurmonumenten motiveert helder de reden van gebruik en toepassing van profilering.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 10
Coolblue
Ik ontvang een mail waarin de uitvoering van mijn correctieverzoek wordt bevestigd. Mijn persoonsgegevens waren tweemaal in het systeem opgenomen. De klantgegevens zijn samengevoegd. Een vermeld klantnummer geassocieerd met mijn Coolblueaccount is nu mijn hoofdaccount.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 9
Vodafone
Ik ontvang een mail van donotreply@vodafone met de mededeling: ‘Ik heb dit voor u aangepast’. Bij raadplegen van de website blijkt het inactieve klantnummer nog aanwezig, zij het daar mijn naam correct is gewijzigd. De weergave van mijn naam in het actieve klantnummer is nog ongewijzigd incorrect.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 2 (betreft specifiek afhandeling klantenservice)
Goede Doelen Loterijen
Ik ontvang een brief waarin de verwerking van mijn verzoek wordt bevestigd. Zij hebben mij opgenomen in de recht van verzet registers. Wel moet ik dan nog rekening houden met een overgangsperiode van 4 weken voor voorgedrukte post. Dat antwoord ontvang ik nu al vijf jaar in antwoord op mijn klachten. De Loterij gaat niet in op mijn verzoek om mijn persoonsgegevens te wissen evenals bij alle organisaties waarmee zij mijn gegevens hebben gedeeld.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 0
Mijn gemeente
Na enige tijd ontvang ik een brief van mijn gemeente waarin mijn vragen volledig, maar technisch (‘uw gegevens zijn intern opgenomen in de Makelaar en de Nedbrowser’), zijn beantwoord. In twee bijlagen worden respectievelijk de verwerkte persoonlijke gegevens uit de Basisregistratie Personen en de instanties waaraan de gegevens zijn verstrekt weergegeven. De lange lijst van instanties bestaat uit overheidsorganisaties, (pensioen)verzekeraars en de kerk.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 8
Coolblue, mijn gemeente en Natuurmonumenten hebben mijn verzoek serieus genomen en ook goed beantwoord, maar verder stelt het resultaat van mijn onderzoek mij teleur. Vodafone en de Loterijen gaan niet in op mijn verzoek. Greenpeace moet ik waarschuwen voor hun onveilige website. Het lijkt er op dat veel organisaties de AVG nog zien als bedreiging die met een juridische beschermingswal op afstand moet worden gehouden. De privacyverklaring zit goed in elkaar, maar de klant komt op de tweede plaats.
Jan Willem Boissevain is Senior Account Executive bij Pegasystems
leuk!
Beste Jan Willem Bossevain,
Dank voor uw signalering dat er een incorrecte link in ons privacystatement staat. Wij hebben dit direct aangepast. De onjuiste link was het gevolg van migratie naar een nieuwe webomgeving. Overigens is de veiligheid van onze website in orde.
Als u een inzageverzoek wilt sturen zien wij dit graag tegemoet. In ons privacystatement kunt u vindne hoe u het verzoek kunt doen.
Met vriendelijke groet,
Peter Ruwhof
privacy officer