AVG in de praktijk

Sinds 25 mei van dit jaar is de Algemene Verordening Gegevensbescherming van kracht. Dankzij de nieuwe EU privacywetgeving hebben klanten recht op hun eigen persoonsgegevens. Door het recht van inzage, correctie en wissen van onze gegevens is onze privacy beter beschermd en staan wij sterker in het digitale tijdperk. Dat is mooi in theorie, maar werkt het ook in de praktijk? Ik besloot een aantal organisaties aan te schrijven om de werking van de AVG uit te testen en mijn privacyrecht uit te oefenen. Ik koos zes organisaties uit in een mix van profit en non-profit en soorten verzoeken.

Zo ben ik benieuwd wat mijn gemeente allemaal over mij registreert. Ik ontvang nooit post van mijn gemeente, maar vier jaar geleden werd ik verrast door een persoonlijke gemeentebrief die opende met: “U bent met pensioen, of u gaat binnenkort met pensioen …” Het was een oproep om mij aan te melden voor vrijwilligerswerk. Nu ben ik natuurlijk wel nieuwsgierig wat de trigger was voor het versturen van die brief, want mijn geboortejaar kan die aanleiding niet zijn. Ook ben ik nieuwsgierig wat milieuorganisaties als Greenpeace en Natuurmonumenten van mij weten. Ik ontvang namelijk regelmatig gerichte steunverzoeken die aansluiten bij mijn belangstelling.

Van bedrijven als Coolblue en Vodafone vraag ik correctie van mijn persoonsgegevens. Ik sta bij beide onder meerdere klantnummers ingeschreven. Bij Coolblue zie ik dan niet de volledige historie van mijn inkopen in het online portaal. Vodafone heeft mijn telefoongebruik na systeemconversie overgeheveld naar een nieuw klantnummer. Na het inloggen op MijnVodafone moet telkens de overbodige handeling verrichten door het selecteren van het actieve klantnummer. Het ergert mij bovendien al jaren dat mijn naam foutief is gespeld en dat ik dat niet kan wijzigen.

Van de Goede Doelen Loterijen vraag ik mijn persoonsgegevens in al hun registraties te wissen. Dit geldt niet alleen voor mijn goed gespelde naam, maar ook van alle verbasteringen van mijn naam en ‘de bewoners van dit adres’. Vijf jaar geleden heeft de organisatie mijn persoonsgegevens verkregen in ruil voor korting op museumtoegangskaarten. Sindsdien word ik overspoeld door ongewenste (spam) reclame en lukt mij – ondanks vele verzoeken en toezeggingen – niet om daarvan verschoond te blijven. Vorig kwam er nog een groot datalek aan het licht bij de Goede Doelen Loterijen. Van 450.000 spelers waren persoonsgegevens inzichtelijk. Ik ben er niet gerust op dat mijn gegevens daar in goede handen zijn, ook al ben ik nooit kansspelspeler geweest.

Ik bezoek de websites van de organisaties voor het raadplegen van hun privacybeleid. Alle organisaties verklaren veel waarde te hechten aan de privacy van hun klanten. Zij beschikken ook over een toegankelijk privacyverklaring. Alleen bij Greenpeace stuit ik op een onaangename verrassing, met een verklaring van zij hun privacyreglement kunnen aanpassen en daarbij verwijzen naar de link van de meest actuele versie op https://www.greenpeace.nl/privacy Maar die website resulteert in een privacyfout. ‘Je verbinding is niet privé. Cybercriminelen proberen mogelijk je gegevens van www.greenpeace.nl te stelen’ meldt mijn Google browser. De procedure voor het uitoefenen van  mijn privacyrecht is bij alle andere organisaties wel betrouwbaar beschreven.

Ik zie er van af naar Greenpeace een inzageverzoek te sturen. Bij mijn gemeente dien ik eenvoudig een inzageverzoek in via de gemeentewebsite met behulp van DigiD. De overige organisaties stuur ik een schriftelijk verzoek. In mijn brieven voeg ik een kopie van mijn paspoort, waarbij ik de onderste regel weg lak. Ik maak daarbij gebruik van de voorbeeldbrieven van de Autoriteit Persoonsgegevens. Aan Natuurmonumenten stuur ik een inzageverzoek. Correctieverzoeken stuur ik naar Vodafone en Coolblue. Een verzoek voor het wissen van mijn persoonsgegevens stuur ik naar de Goede Doelen Loterijen. Ik verzoek de organisaties binnen een maand schriftelijk te reageren op mijn verzoek.

Met uitzondering van mijn gemeente antwoorden de organisaties snel, zelfs binnen twee weken. Ik ontvang de volgende reacties (in volgorde van ontvangst), waarbij ik tevens mijn oordeel en tevredenheid van de afhandeling vermeld.

Natuurmonumenten
Ik ontvang een uitgebreide en persoonlijke brief over registratie van mijn persoonsgegevens en het gebruik daarvan. Natuurmonumenten motiveert helder de reden van gebruik en toepassing van profilering.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 10
Coolblue
Ik ontvang een mail waarin de uitvoering van mijn correctieverzoek wordt bevestigd. Mijn persoonsgegevens waren tweemaal in het systeem opgenomen. De klantgegevens zijn samengevoegd. Een vermeld klantnummer geassocieerd met mijn Coolblueaccount is nu mijn hoofdaccount.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 9
Vodafone
Ik ontvang een mail van donotreply@vodafone met de mededeling: ‘Ik heb dit voor u aangepast’. Bij raadplegen van de website blijkt het inactieve klantnummer nog aanwezig, zij het daar mijn naam correct is gewijzigd. De weergave van mijn naam in het actieve klantnummer is nog ongewijzigd incorrect.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 2 (betreft specifiek afhandeling klantenservice)
Goede Doelen Loterijen
Ik ontvang een brief waarin de verwerking van mijn verzoek wordt bevestigd. Zij hebben mij opgenomen in de recht van verzet registers. Wel moet ik dan nog rekening houden met een overgangsperiode van 4 weken voor voorgedrukte post. Dat antwoord ontvang ik nu al vijf jaar in antwoord op mijn klachten. De Loterij gaat niet in op mijn verzoek om mijn persoonsgegevens te wissen evenals bij alle organisaties waarmee zij mijn gegevens hebben gedeeld.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 0
Mijn gemeente
Van mijn gemeente heb ik binnen een maand nog geen antwoord ontvangen op mijn verzoek.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: niet te beoordelen

Coolblue en Natuurmonumenten hebben mijn verzoek serieus genomen en ook uitstekend beantwoord, maar verder stelt het resultaat van mijn onderzoek mij teleur. Mijn gemeente laat niet van zich horen. Vodafone en de Loterijen gaan niet in op mijn verzoek. Greenpeace moet ik waarschuwen voor hun onveilige website. Het lijkt er op dat veel organisaties de AVG zien als bedreiging die met een juridische beschermingswal op afstand moet worden gehouden. De privacyverklaring zit goed in elkaar, maar de klant komt op de tweede plaats.

Nationale Postspam Loterij

De Goede Doelen Loterijen zijn als Hotel California: ‘You can check out any time you like, but you can never leave!’ Regelmatig ontvang ik van de loterijen ongevraagde en ongewenste (spam) reclame geadresseerd aan ‘de bewoner van dit adres’ in mijn brievenbus. Met agressieve verkooptechnieken proberen de loterijen ons te verleiden. En ben je eenmaal ingestapt, dan kom je er niet makkelijk meer vanaf.

Vier jaar geleden werd ik bij de ingang van een museum aangesproken door een jonge man. Voor de kassa stond een lange rij. Daar hoefde ik niet bij aan te sluiten, vertelde hij. Ik kon van hem tickets en parkeerkaart tegen gereduceerd tarief krijgen. Bovendien kreeg ik er dan gratis loten voor de bankgiroloterij bij. Die goedkope kaarten wilde ik wel, maar in de loten had ik geen interesse. Dat begreep hij heel goed, maar na een maand kon ik gewoon opzeggen bij de loterij. Met enige argwaan stemde ik in met het aanbod. Ik spelde een paar keer mijn achternaam en liet hem mijn adres- en bankgegevens noteren.

Een maand later probeerde ik mijn relatie met de loterij op te zeggen. Ik zocht op de website naar die optie, maar vond die niet. Daarna belde ik met het callcenter. De medewerker van de loterij vroeg naar de reden van mijn opzegging. Met mijn verklaring dat ik niets met gokken en loterijen van doen wilde hebben nam zij geen genoegen. Ik moest langer blijven spelen om de voordelen van de loterij te kunnen ervaren. Tot vier keer toe moest ik herhalen dat ik er toch echt mee wilde stoppen. Uiteindelijk gaf zij haar verzet op. Ik dacht dat ik van de loterij af was, maar dat was helaas nog niet zo. Herhaaldelijk ontving ik daarna irritante brieven met mijn naam volledig verbasterd tot ‘Baissviain’.

Gaston Starreveld van de Nationale Postcode Loterij stuurt mij brieven met de mededeling dat mijn adres is geselecteerd om kans te maken op een gegarandeerd geldbedrag van € 25.000. Ik hoef alleen nog maar het speciaal voor mij geselecteerde nummer in de brief te activeren via de website van de loterij. Dat moet ik dan wel snel doen, want ik heb nog maar een paar dagen om het lotnummer te activeren. Via de website en infofilter heb ik herhaaldelijk vergeefs gepoogd die ongewenste post te stoppen. Twee jaar geleden gaf ik via twitter melding van mijn irritatie daarover. Een medewerker van de webcare van de loterij beloofde de post te stoppen: ‘We hebben je adres geblokkeerd. Houd svp rekening met een overgangsperiode ivm voorgedrukte post.’

Twee jaar later is die overgangsperiode nog niet afgelopen. Opnieuw meld ik mijn klacht via twitter. Joost van de webcare meldde mij deze week dat het was misgegaan omdat de post naar mijn adres op de juist gespelde achternaam was gestopt. De post die werd verstuurd op naam van ‘Baissviain’ zou nu ook worden gestopt. Natuurlijk moest ik nog wel rekening houden met een overgangsperiode van 6 weken, maar dan zou het toch echt zijn opgelost. Helemaal gerust ben ik daar nog niet op. Ik wil ook dat mijn persoonlijke gegevens uit de bestanden van de loterij worden gewist, op basis van mijn recht op vergetelheid in de AVG die volgend jaar van kracht wordt. Naast ongewenst gebruik van mijn gegevens heb ik ook zorgen over beveiliging van mijn persoonsgegevens. Dit jaar kwam een groot datalek bij de Goede Doelen Loterijen aan het licht. Van 450.000 spelers waren persoonsgegevens inzichtelijk; in 900 gevallen ging het ook om bankgegevens.

De Goede Doelen Loterijen lijken het lock-in businessmodel te huldigen gebaseerd op het principe: ‘het is goedkoper om bestaande klanten vast te houden dan nieuwe binnen te halen.’ Na een liberalisering van de kansspelenmarkt, legalisering van het online gokken en aanscherping van de privacyregels zullen de loterijen uit een ander vaatje moeten tappen om klanten aan zich te binden. In het huidige digitale tijdperk worden duurzame klantcontacten bepaald door een gewaardeerde klantbeleving.