Kamer van Datahandel

De Kamer van Koophandel is een eeuwenoude organisatie die haar bestaansrecht ontleent aan het Handelsregister. Bedrijven en zzp’ers zijn verplicht zich tegen betaling in te schrijven bij de KvK en moeten vervolgens ook betalen om te kunnen inzien hoe zij zijn ingeschreven. Met de doorverkoop bedrijfsgegevens, waaronder telefoonnummers en adressen, zou de KvK naar schatting 33 miljoen euro per jaar verdienen. De openbaarheid van contactinformatie is al jarenlang een bron van ergernis bij ondernemers omdat zij daardoor ongevraagd worden belaagd door telemarketeers.

Meer dan tien jaar geleden werden hierover al Kamervragen gesteld door Kees Verhoeven van D66. Bent u bekend met de irritatie van vele ondernemers over het feit dat de KvK contactinformatie van ondernemers beschikbaar stelt? Antwoord: Ja. Acht u het wenselijk dat een publieke organisatie die ondernemingen verplichte heffingen oplegt, geld verdient met het ongevraagd verkopen van contactgegevens? Antwoord: De opbrengsten uit verstrekking van adresgegevens vormen een substantieel deel van de bekostiging van het handelsregister en dragen er aldus aan bij de heffing voor het handelsregister zo laag mogelijk te houden. 

ZZP’ers ervaren de nadelige gevolgen van de openbaarheid van contactgegevens, die meestal gelijk zijn aan hun privéadres. Zij worden nog steeds regelmatig ongewenst en op de meest ongelegen tijdstippen gebeld door telemarketeers. Het ‘bel-me-niet-register’ biedt daarvoor geen bescherming. Vanaf 1 juli 2021 mogen bedrijven zzp’ers zelfs niet meer bellen, tenzij daarvoor vooraf toestemming is verleend of in het geval er sprake is van een bestaande klantrelatie. In de praktijk trekken telemarketeers zich daar weinig van aan. Zij beweren glashard dat je een klant bent en steken dan meteen van wal met hun verkoopverhaal.

Zo werd ik, enkele maanden nadat ik bij het KvK mijn eenmanszaak had laten registreren, misleid door Collectief Adviespunt. Een telemarketeer van het bedrijf belt mij met mededeling dat zij mij eerder hebben bemiddeld bij het afsluiten van energiecontract en dat zij mij nu een beter contract kunnen aanbieden. Daarna wordt geprobeerd mijn persoonlijke informatie te ontfutselen en wordt een ‘verbeterde’ aanbieding gedaan met het verzoek die aanbieding tijdens het gesprek te bevestigen. De telemarketeer toonde aan toegang te hebben tot mijn inschrijving in het KvK Handelsregister. Ik ben absoluut geen klant van Collectief Adviespunt en heb vooraf ook geen toestemming gegeven voor telefonische verkoop. Wel kan ik gebruik maken van mijn recht op verzet en melding doen bij de Autoriteit Consument & Markt.

De Autoriteit Persoonsgegevens adviseerde in juni van dit jaar om de woonadressen van zzp’ers in het Handelsregister van de Kamer van Koophandel standaard af te schermen. De adressen moeten dan alleen nog beschikbaar blijven voor bepaalde beroepsgroepen en instanties. AP-voorzitter Aleid Wolfsen wijst daarbij ook op de gevaren van stalking, bedreiging en identiteitsfraude als gevolg van vrije beschikbaarheid van woongegevens van zzp’ers. Het Handelsregister is bedoeld om mensen en bedrijven te kunnen opzoeken en zo zeker te zijn dat iemand bevoegd is namens een bedrijf te spreken of handelen. Omdat zzp’ers zelf het bedrijf zijn, is dat voor hen overbodig. Bovendien beschikken samenwerkende bedrijven via facturen al over de adressen van de zzp’ers.

Onlangs kwam aan het licht dat de KvK zo’n 1.800 beschermde privéadressen had gelekt, waaronder die van Kamerleden, bestuursleden en fractiemedewerkers. De privéadressen waren opgevraagd door een voormalig advocaat die nog toegang had tot deze gegevens. Naar aanleiding van dit datalek vroeg de Kamer aan de Staatssecretaris het advies van de Autoriteit Persoonsgegevens om woongegevens van zzp’ers niet meer zichtbaar te presenteren zo snel mogelijk uit te voeren. De Staatssecretaris kon dit nog niet toezeggen en wacht de uitkomst af van een brede consultatie over de datavisie van het Handelsregister: ‘Het doel van de visie is om een balans te vinden tussen de uiteenlopende belangen die spelen rondom het Handelsregister. De visie zal een nieuw beleidskader vormen voor de verwerking en verstrekking van gegevens uit het Handelsregister. Hierbij worden alle mogelijke oplossingsrichtingen in overweging genomen.’

Vooralsnog zijn we dus nog niet verlost van de nadelige gevolgen van de openbaarheid van de contactinformatie bij het KvK, maar vooruitlopend op de uitkomst van de brede consultatie wil ik hierbij wel alvast mijn advies geven. De verplichte registratie van het Handelsregister moet gratis zijn, evenals het beschikbaar stellen van de informatie. Je zou op zijn minst slechts één keer moeten betalen voor dezelfde informatie. Contactinformatie van een zzp’er wordt standaard afgeschermd, tenzij die zelf toestemming geeft deze openbaar te tonen. Scherm het anoniem opvragen van contactinformatie af en geef de zzp’er als eigenaar van de gegevens (online) inzage wie wanneer zijn/haar gegevens opvraagt of raadpleegt.

AVG in de praktijk

Sinds 25 mei van dit jaar is de Algemene Verordening Gegevensbescherming van kracht. Dankzij de nieuwe EU privacywetgeving hebben klanten recht op hun eigen persoonsgegevens. Door het recht van inzage, correctie en wissen van onze gegevens is onze privacy beter beschermd en staan wij sterker in het digitale tijdperk. Dat is mooi in theorie, maar werkt het ook in de praktijk? Ik besloot een aantal organisaties aan te schrijven om de werking van de AVG uit te testen en mijn privacyrecht uit te oefenen. Ik koos zes organisaties uit in een mix van profit en non-profit en soorten verzoeken.

Zo ben ik benieuwd wat mijn gemeente allemaal over mij registreert. Ik ontvang nooit post van mijn gemeente, maar vier jaar geleden werd ik verrast door een persoonlijke gemeentebrief die opende met: “U bent met pensioen, of u gaat binnenkort met pensioen …” Het was een oproep om mij aan te melden voor vrijwilligerswerk. Nu ben ik natuurlijk wel nieuwsgierig wat de trigger was voor het versturen van die brief, want mijn geboortejaar kan die aanleiding niet zijn. Ook ben ik nieuwsgierig wat milieuorganisaties als Greenpeace en Natuurmonumenten van mij weten. Ik ontvang namelijk regelmatig gerichte steunverzoeken die aansluiten bij mijn belangstelling.

Van bedrijven als Coolblue en Vodafone vraag ik correctie van mijn persoonsgegevens. Ik sta bij beide onder meerdere klantnummers ingeschreven. Bij Coolblue zie ik dan niet de volledige historie van mijn inkopen in het online portaal. Vodafone heeft mijn telefoongebruik na systeemconversie overgeheveld naar een nieuw klantnummer. Na het inloggen op MijnVodafone moet telkens de overbodige handeling verrichten door het selecteren van het actieve klantnummer. Het ergert mij bovendien al jaren dat mijn naam foutief is gespeld en dat ik dat niet kan wijzigen.

Van de Goede Doelen Loterijen vraag ik mijn persoonsgegevens in al hun registraties te wissen. Dit geldt niet alleen voor mijn goed gespelde naam, maar ook van alle verbasteringen van mijn naam en ‘de bewoners van dit adres’. Vijf jaar geleden heeft de organisatie mijn persoonsgegevens verkregen in ruil voor korting op museumtoegangskaarten. Sindsdien word ik overspoeld door ongewenste (spam) reclame en lukt mij – ondanks vele verzoeken en toezeggingen – niet om daarvan verschoond te blijven. Vorig jaar kwam er nog een groot datalek aan het licht bij de Goede Doelen Loterijen. Van 450.000 spelers waren persoonsgegevens inzichtelijk. Ik ben er niet gerust op dat mijn gegevens daar in goede handen zijn, ook al ben ik nooit kansspelspeler geweest.

Ik bezoek de websites van de organisaties voor het raadplegen van hun privacybeleid. Alle organisaties verklaren veel waarde te hechten aan de privacy van hun klanten. Zij beschikken ook over een toegankelijk privacyverklaring. Alleen bij Greenpeace stuit ik op een onaangename verrassing, met een verklaring dat zij hun privacyreglement kunnen aanpassen en daarbij verwijzen naar de link van de meest actuele versie op https://www.greenpeace.nl/privacy Maar die website resulteert in een privacyfout. ‘Je verbinding is niet privé. Cybercriminelen proberen mogelijk je gegevens van www.greenpeace.nl te stelen’ meldt mijn Google browser. De procedure voor het uitoefenen van  mijn privacyrecht is bij alle andere organisaties wel betrouwbaar beschreven.

Ik zie er van af naar Greenpeace een inzageverzoek te sturen. Bij mijn gemeente dien ik eenvoudig een inzageverzoek in via de gemeentewebsite met behulp van DigiD. De overige organisaties stuur ik een schriftelijk verzoek. In mijn brieven voeg ik een kopie van mijn paspoort, waarbij ik de onderste regel weg lak. Ik maak daarbij gebruik van de voorbeeldbrieven van de Autoriteit Persoonsgegevens. Aan Natuurmonumenten stuur ik een inzageverzoek. Correctieverzoeken stuur ik naar Vodafone en Coolblue. Een verzoek voor het wissen van mijn persoonsgegevens stuur ik naar de Goede Doelen Loterijen. Ik verzoek de organisaties binnen een maand schriftelijk te reageren op mijn verzoek.

Met uitzondering van mijn gemeente antwoorden de organisaties snel, zelfs binnen twee weken. Ik ontvang de volgende reacties (in volgorde van ontvangst), waarbij ik tevens mijn oordeel en tevredenheid van de afhandeling vermeld.

Natuurmonumenten
Ik ontvang een uitgebreide en persoonlijke brief over registratie van mijn persoonsgegevens en het gebruik daarvan. Natuurmonumenten motiveert helder de reden van gebruik en toepassing van profilering.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 10
Coolblue
Ik ontvang een mail waarin de uitvoering van mijn correctieverzoek wordt bevestigd. Mijn persoonsgegevens waren tweemaal in het systeem opgenomen. De klantgegevens zijn samengevoegd. Een vermeld klantnummer geassocieerd met mijn Coolblueaccount is nu mijn hoofdaccount.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 9
Vodafone
Ik ontvang een mail van donotreply@vodafone met de mededeling: ‘Ik heb dit voor u aangepast’. Bij raadplegen van de website blijkt het inactieve klantnummer nog aanwezig, zij het daar mijn naam correct is gewijzigd. De weergave van mijn naam in het actieve klantnummer is nog ongewijzigd incorrect.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 2 (betreft specifiek afhandeling klantenservice)
Goede Doelen Loterijen
Ik ontvang een brief waarin de verwerking van mijn verzoek wordt bevestigd. Zij hebben mij opgenomen in de recht van verzet registers. Wel moet ik dan nog rekening houden met een overgangsperiode van 4 weken voor voorgedrukte post. Dat antwoord ontvang ik nu al vijf jaar in antwoord op mijn klachten. De Loterij gaat niet in op mijn verzoek om mijn persoonsgegevens te wissen evenals bij alle organisaties waarmee zij mijn gegevens hebben gedeeld.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 0
Mijn gemeente
Na enige tijd ontvang ik een brief van mijn gemeente waarin mijn vragen volledig, maar technisch (‘uw gegevens zijn intern opgenomen in de Makelaar en de Nedbrowser’), zijn beantwoord. In twee bijlagen worden respectievelijk de verwerkte persoonlijke gegevens uit de Basisregistratie Personen en de instanties waaraan de gegevens zijn verstrekt weergegeven. De lange lijst van instanties bestaat uit overheidsorganisaties, (pensioen)verzekeraars en de kerk.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 8

Coolblue, mijn gemeente en Natuurmonumenten hebben mijn verzoek serieus genomen en ook goed beantwoord, maar verder stelt het resultaat van mijn onderzoek mij teleur. Vodafone en de Loterijen gaan niet in op mijn verzoek. Greenpeace moet ik waarschuwen voor hun onveilige website. Het lijkt er op dat veel organisaties de AVG nog zien als bedreiging die met een juridische beschermingswal op afstand moet worden gehouden. De privacyverklaring zit goed in elkaar, maar de klant komt op de tweede plaats.

Nationale Postspam Loterij

De Goede Doelen Loterijen zijn als Hotel California: ‘You can check out any time you like, but you can never leave!’ Regelmatig ontvang ik van de loterijen ongevraagde en ongewenste (spam) reclame geadresseerd aan ‘de bewoner van dit adres’ in mijn brievenbus. Met agressieve verkooptechnieken proberen de loterijen ons te verleiden. En ben je eenmaal ingestapt, dan kom je er niet makkelijk meer vanaf.

Vier jaar geleden werd ik bij de ingang van een museum aangesproken door een jonge man. Voor de kassa stond een lange rij. Daar hoefde ik niet bij aan te sluiten, vertelde hij. Ik kon van hem tickets en parkeerkaart tegen gereduceerd tarief krijgen. Bovendien kreeg ik er dan gratis loten voor de bankgiroloterij bij. Die goedkope kaarten wilde ik wel, maar in de loten had ik geen interesse. Dat begreep hij heel goed, maar na een maand kon ik gewoon opzeggen bij de loterij. Met enige argwaan stemde ik in met het aanbod. Ik spelde een paar keer mijn achternaam en liet hem mijn adres- en bankgegevens noteren.

Een maand later probeerde ik mijn relatie met de loterij op te zeggen. Ik zocht op de website naar die optie, maar vond die niet. Daarna belde ik met het callcenter. De medewerker van de loterij vroeg naar de reden van mijn opzegging. Met mijn verklaring dat ik niets met gokken en loterijen van doen wilde hebben nam zij geen genoegen. Ik moest langer blijven spelen om de voordelen van de loterij te kunnen ervaren. Tot vier keer toe moest ik herhalen dat ik er toch echt mee wilde stoppen. Uiteindelijk gaf zij haar verzet op. Ik dacht dat ik van de loterij af was, maar dat was helaas nog niet zo. Herhaaldelijk ontving ik daarna irritante brieven met mijn naam volledig verbasterd tot ‘Baissviain’.

Gaston Starreveld van de Nationale Postcode Loterij stuurt mij brieven met de mededeling dat mijn adres is geselecteerd om kans te maken op een gegarandeerd geldbedrag van € 25.000. Ik hoef alleen nog maar het speciaal voor mij geselecteerde nummer in de brief te activeren via de website van de loterij. Dat moet ik dan wel snel doen, want ik heb nog maar een paar dagen om het lotnummer te activeren. Via de website en infofilter heb ik herhaaldelijk vergeefs gepoogd die ongewenste post te stoppen. Twee jaar geleden gaf ik via twitter melding van mijn irritatie daarover. Een medewerker van de webcare van de loterij beloofde de post te stoppen: ‘We hebben je adres geblokkeerd. Houd svp rekening met een overgangsperiode ivm voorgedrukte post.’

Twee jaar later is die overgangsperiode nog niet afgelopen. Opnieuw meld ik mijn klacht via twitter. Joost van de webcare meldde mij deze week dat het was misgegaan omdat de post naar mijn adres op de juist gespelde achternaam was gestopt. De post die werd verstuurd op naam van ‘Baissviain’ zou nu ook worden gestopt. Natuurlijk moest ik nog wel rekening houden met een overgangsperiode van 6 weken, maar dan zou het toch echt zijn opgelost. Helemaal gerust ben ik daar nog niet op. Ik wil ook dat mijn persoonlijke gegevens uit de bestanden van de loterij worden gewist, op basis van mijn recht op vergetelheid in de AVG die volgend jaar van kracht wordt. Naast ongewenst gebruik van mijn gegevens heb ik ook zorgen over beveiliging van mijn persoonsgegevens. Dit jaar kwam een groot datalek bij de Goede Doelen Loterijen aan het licht. Van 450.000 spelers waren persoonsgegevens inzichtelijk; in 900 gevallen ging het ook om bankgegevens.

De Goede Doelen Loterijen lijken het lock-in businessmodel te huldigen gebaseerd op het principe: ‘het is goedkoper om bestaande klanten vast te houden dan nieuwe binnen te halen.’ Na een liberalisering van de kansspelenmarkt, legalisering van het online gokken en aanscherping van de privacyregels zullen de loterijen uit een ander vaatje moeten tappen om klanten aan zich te binden. In het huidige digitale tijdperk worden duurzame klantcontacten bepaald door een gewaardeerde klantbeleving.