Inzageverzoek bol.com: wat weet deze webwinkel over mijn gedrag?

Ik bestel niet heel vaak meer bij bol.com. Een belangrijke reden hiervoor is dat bol.com mij verplicht om een account aan te maken om een bestelling te plaatsen. Bij concurrent Coolblue kan ik gewoon bestellen zonder de verplichting om een account aan te maken.

Vanuit AVG perspectief is het voor het doel om een bestelling te kunnen plaatsen natuurlijk ook niet noodzakelijk om een account aan te maken. Bol.com stelt dit vermoedelijk alleen verplicht vanuit eigen belang. Het belang voor bol.com om mijn gedrag te kunnen volgen en koppelen aan persoonlijke accountgegevens.

Juist daarom ben ik wel eens benieuwd welke persoonsgegevens bol.com van mij verwerkt, gekoppeld aan dat account. Welke informatie over mijn gedrag in de online winkel heeft bol.com van mij?

Grootste uitgevers in Nederland overtreden grootschalig privacywetgeving

Veel websites, waaronder de drukst bezochte websites van uitgevers in Nederland, handelen in strijd met de Algemene Verordening Gegevensbescherming (AVG). De wijze waarop zij toestemming vragen voor het gebruik van zogenaamde tracking cookies is niet in lijn met de AVG en zienswijze van de toezichthouder, de Autoriteit Persoonsgegevens. Hierdoor is de noodzakelijke toestemming van miljoenen Nederlanders ongeldig en worden in strijd met de AVG persoonsgegevens van een groot gedeelte van Nederland verwerkt.

AVG check in de praktijk: Wat weet Philips Hue (Signify) over mij?

In mijn ‘AVG check in de praktijk’ ga ik op onderzoek naar praktische toepassing van de belangrijkste rechten vanuit de AVG (die ook al jaren van toepassing waren onder de Wbp): het recht op informatie en het recht op inzage. Maken bedrijven die mijn gegevens verwerken duidelijk welke gegevens verwerkt worden en kan ik eenvoudig inzage verkrijgen?

Mijn verzoek aan Ziggo loopt nog. Na vele kastjes en muren en beloften om de gevraagde gegevens toe te sturen kreeg ik uiteindelijk de melding dat ik de gegevens waar ik inzage in wil per post moet opvragen. Dat gaat dus nog even duren met ongetwijfeld nog wat uitstel.

Philips Hue en data

Vrijwel tegelijkertijd vroeg ik mij af wat Philips eigenlijk over mij weet. Ik gebruik ‘slimme’ WiFi lampen (Philips Hue) en dat levert een aardige schat van persoonlijke data op. Wanneer ik de lampen aan en uit doe kan duiden op mijn aanwezigheid thuis en mijn slaap en waakritme. En sfeervolle settings kunnen wellicht ingezet worden voor het voorspellen van geboortes. Je weet het niet. In ieder geval weet Philips Hue wanneer ik welke lampen aan en uitzet, in welke ruimte en welke kleur en helderheid ik elke lamp meegeef. Ik wil wel eens zien welke gegevens er precies hoe lang bewaard worden, beschikbaar zijn en of ik daar een beetje eenvoudig zicht in krijg.

AVG check in de praktijk: Wat weet Ziggo over mij?

Bedrijven zijn volop bezig geweest met ‘AVG compliance’, het voldoen aan de wetgeving / AVG. Privacy statements, cookie consent en nog veel meer zijn daarbij herzien om te voldoen aan de (letter van de) wetgeving. Het risico van een leger juristen inhuren om compliant te zijn is dat je weliswaar op papier keurig voldoet aan de wet, maar intussen nog een heleboel fout kunt doen in de praktische uitvoering.

In mijn ‘AVG check in de praktijk’ ga ik op onderzoek naar praktische toepassing van de belangrijkste rechten vanuit de AVG (die ook al jaren van toepassing waren onder de Wbp): het recht op informatie en het recht op inzage. Maken bedrijven die mijn gegevens verwerken duidelijk welke gegevens verwerkt worden en kan ik eenvoudig inzage verkrijgen?

Ik ben begonnen met Ziggo. Daar is redelijk helder welke gegevens verwerkt worden en lijkt het eenvoudig gegevens op te vragen, maar dat laatste blijkt een redelijk rommelig gebeuren. Ziggo heeft e.e.a. procedureel goed doordacht, maar in de uitvoering blijkt dat medewerkers niet voldoende op de hoogte te zijn en is de weg vinden naar het juiste contactpunt niet goed online ingeregeld.

De gemiddelde mens zal niet eenvoudig inzage in alle gegevens bij Ziggo krijgen wanneer daar om verzocht wordt. Diegene die verder blijft vragen zal opgeven en misschien zelfs gefrustreerd en een klacht indienen. Ziggo heeft dus nog wel wat te verbeteren in den uitvoering.

Aandacht voor privacywetgeving weer genormaliseerd (volgens Google)

De AVG kreeg enorm veel aandacht in de aanloop naar de AVG-D-Day, 25 mei 2018. Mede of voornamelijk aangejaagd door juristen, AVG bangmakerij en de media. Dat levert een ietwat vreemd plaatje op wanneer je kijkt naar de ‘interesse’ in AVG / GDPR via Google Trends. Het onderstaande plaatje laat het volume in zoekopdrachten zien in Nederland naar AVG, GDPR en Wbp.

Voor zover het überhaupt mogelijk is hier conclusies aan te verbinden: er is korte tijd heel veel aandacht voor privacywetgeving geweest. Voor een groot gedeelte is deze aandacht weer weg. Er zijn ongetwijfeld veel bedrijven geweest die actief met de wetgeving zijn geweest voor en even na 25 mei, maar de meerderheid lijkt hier verder geen verhoogde aandacht meer aan te schenken. Het aantal bedrijven dat hier nog wel aandacht voor heeft is echter veel hoger dan dat de aandacht was ten aanzien van de Wbp. Ik vermoed dat veel bedrijven 25 mei als deadline voor een project hebben gezien; of ze zich daarmee in de vingers gaan snijden omdat er daarmee geen sprake is van juiste toepassing van die AVG en het adequaat voeren van een privacybeleid zal de (nabije) toekomst uitwijzen.

Privacy by design in het sollicitatieproces leidt tot anoniemer solliciteren

Onderscheid maken op basis van ras, leeftijd of geslacht is verboden en toch gebeurt het onbewust en bewust vaak. Op de arbeidsmarkt vindt ook discriminatie plaats; sollicitanten met een migratieachtergrond maken minder kans op een baan (net als ‘ouderen’ en vrouwen). Een onderzoekje laat wederom zien dat die discriminatie plaatsvindt, puur op basis van naam. Een sollicitatiemail van sollicitanten met een niet-Nederlandse naam wordt minder vaak geopend, het cv wordt minder vaak bekeken en hij wordt minder vaak uitgenodigd voor een vervolg.

Dit is interessant. Voor- en achternaam wordt vaak als gewoon persoonsgegeven gezien, terwijl een naam kan duiden op etniciteit of etnische afkomst en geloof (Mohammed bijvoorbeeld) en daardoor een bijzonder persoonsgegeven zou kunnen zijn. Net zoals bij beeldmateriaal het geval is.

Beheerder Facebook pagina is (mede)verantwoordelijke voor gegevensbescherming

Het Hof van Justitie van de Europese Unie heeft uitgesproken dat de beheerder van een fanpagina op Facebook samen met Facebook verantwoordelijk is voor gegevensverwerking van bezoekers aan de pagina. Zo is te lezen in het persbericht. Daarmee neemt het Hof een duidelijk standpunt in over de verantwoordelijkheid van bedrijven die social media services inzetten. Opvolging van dat standpunt heeft nogal wat gevolgen voor bedrijven.

 

Het Hof stelt:

The administrator of a fan page on Facebook is jointly responsible with Facebook for the processing of data of visitors to the page.
In de case die het Hof heeft behandeld gaat het over de ‘cookies’ die gebruikt worden op Facebook pagina’s waar Facebook noch Beheerder melding van maakt aan bezoekers van de pagina.
Beheerders van een Facebook pagina kunnen (anonieme) statistische data van bezoekers inzien en verkrijgen via Facebook insights. Hiervoor worden via een Facebook pagina cookies gebruikt waarmee persoonsgegevens verwerkt worden (uniek bezoeker id). Hierop zijn de regels ten aanzien van gegevensbescherming van toepassing: bezoekers moeten geïnformeerd worden.
Als beheerder van een Facebook pagina ben je samen met Facebook verantwoordelijke voor het geven van deze informatie (en verkrijgen van toestemming indien nodig). Wanneer Facebook die informatie niet geeft, zul je als beheerder deze informatie moeten geven.

Wanneer je de uitspraak van het Hof verder doortrekt dan geldt dit natuurlijk niet alleen voor Facebook pagina’s, maar kan eenzelfde situatie en oordeel zich voordoen andere platforms zoals LinkedIn pagina’s. Als bedrijf kan je je in deze uitspraak niet verschuilen achter een extern platform (‘wij hebben daar geen invloed op’), maar moet je het meenemen in je privacy beleid. Doorgetrokken naar marketing ben je naast verantwoordelijke voor owned media soms dus ook (mede)verantwoordelijk voor paid media en moet je je voor de gegevensverwerkingen aldaar ook houden aan de van toepassing zijnde wetgeving.

Terzijde: Het Hof heeft dit getoetst aan de voorgaande privacy wetgeving (EU Directive 95/46). Onder de AVG zal dit net zo beoordeeld worden, maar het is geen gevolg van de AVG.

AVG: Toestemming als grondslag voor werkgevers onder vergrootglas

De artikel-29 werkgroep haar richtlijn voor toestemming (consent) gepubliceerd die begrippen uit de AVG / GDPR verduidelijken. De richtlijn staat nog open voor consultatie en is hier te bekijken.  Algemeen wordt de lat voor het verkrijgen van geldige toestemming hoger gelegd dan de huidige wetgeving onder de Algemene Verordening Gegevensbescherming. Algemeen een must-read voor wie toestemming als grondslag wil hanteren voor de verwerking van persoonsgegevens, maar specifiek een onderdeel lijkt in de opinie benadrukt te worden: het verkrijgen van toestemming als publieke organisatie of werkgever.

De artikel-29 werkgroep benadrukt in de richtlijn dat het verkrijgen van toestemming als grondslag in principe niet mogelijk is voor publieke organisaties en werkgevers. Het is niet uitgesloten dat toestemming als grondslag kan dienen voor gegevensverwerking, maar de richtlijn stelt dat werkgevers en publieke organisaties zich waarschijnlijk tot één van de andere 5 grondslagen moet wenden voor een geldige grondslag.

Privacyzaken, een intro

Privacy raakt aan de grootste technologievraagstukken van dit moment en de toekomst. Privacy is van groot belang, voor onze maatschappij, voor overheid, bedrijven en individuen.

Daar kan en wil ik iets in betekenen door bedrijven te helpen om privacy niet als vervelende wetgeving te zien, maar om privacy serieus te nemen en als opportuniteit te zien en nemen voor bedrijfscontinuiteit, maatschappelijk belang, concurrentievoordeel en vooral klanttevredenheid.

Vanuit dat vertrekpunt deel ik hier, op privacyzaken.nl, nieuws, ontwikkelingen, meningen, inzichten en tips & tricks met als doel om bedrijven en personen privacy de juiste aandacht en bescherming te laten geven.

Michel Rijnders