Bedrijven zijn volop bezig geweest met ‘AVG compliance’, het voldoen aan de wetgeving / AVG. Privacy statements, cookie consent en nog veel meer zijn daarbij herzien om te voldoen aan de (letter van de) wetgeving. Het risico van een leger juristen inhuren om compliant te zijn is dat je weliswaar op papier keurig voldoet aan de wet, maar intussen nog een heleboel fout kunt doen in de praktische uitvoering.

In mijn ‘AVG check in de praktijk’ ga ik op onderzoek naar praktische toepassing van de belangrijkste rechten vanuit de AVG (die ook al jaren van toepassing waren onder de Wbp): het recht op informatie en het recht op inzage. Maken bedrijven die mijn gegevens verwerken duidelijk welke gegevens verwerkt worden en kan ik eenvoudig inzage verkrijgen?

Ik ben begonnen met Ziggo. Daar is redelijk helder welke gegevens verwerkt worden en lijkt het eenvoudig gegevens op te vragen, maar dat laatste blijkt een redelijk rommelig gebeuren. Ziggo heeft e.e.a. procedureel goed doordacht, maar in de uitvoering blijkt dat medewerkers niet voldoende op de hoogte te zijn en is de weg vinden naar het juiste contactpunt niet goed online ingeregeld.

De gemiddelde mens zal niet eenvoudig inzage in alle gegevens bij Ziggo krijgen wanneer daar om verzocht wordt. Diegene die verder blijft vragen zal opgeven en misschien zelfs gefrustreerd en een klacht indienen. Ziggo heeft dus nog wel wat te verbeteren in den uitvoering.

Mijn Ziggo gebruik en gegevens

Ik gebruik Ziggo voor Internet & TV. Ik gebruik vaak VPN, maar niet altijd en niet voor alles. Vooral mijn internetgebruik kan veel gevoelige informatie bevatten: wanneer je zicht hebt op al het internetgebruik (website bezoek en gebruik services) dan kun je heel veel te weten komen over personen. Het is een groot risico dat deze gegevens in verkeerde handen vallen  of misbruikt zouden worden. Ik heb met name interesse in de zogenaamde gebruiks- en verkeersgegevens.

Ziggo Privacy Policy

Het startpunt is natuurlijk de privacy policy van Ziggo.

Eerst cookies weigeren via de cookiebanner. Het is mogelijk, maar kost mij 3 schermen / muisklikken terwijl alle cookies accepteren mij 1 muisklik kost. Waarom dit niet netjes is kom ik later nog eens op terug.

Ziggo heeft een goede landingspagina voor het privacy onderwerp. Kort, bondig, overzichtelijk en prettig geschreven word je op grote lijnen alles omtrent privacy uitgelegd.  Ik word hier blij van; het is een goed voorbeeld van hoe je een privacy policy goed kunt beginnen.

De hele opzet sluit perfect aan bij wat Ziggo zegt:

Ziggo respecteert je privacy. Niet vanwege de wet, maar omdat we net zoveel waarde hechten aan privacy als jij.

Het is alleen een beetje jammer dat dat vertrouwen bij de cookie banner al weg was en het nu toch vooral een marketingkreet lijkt.

De daadwerkelijke privacy policy (privacy statement) wordt vanuit de landingspagina naar verwezen en is een PDF document van 15 pagina’s, maar hier wordt de belofte en lijn goed doorgetrokken. Het privacy statement is geen juridische lap tekst. Het is een flinke lap tekst die prima leest. Hij is echt geschreven om de lezer te informeren.

Welke gegevens verwerkt Ziggo?

Over de gegevens waar ik naar op zoek ben zegt het privacy statement onder andere het volgende:

Als je onze diensten gebruikt, onderweg, thuis of op kantoor, ontstaan er door dit gebruik gegevens in ons netwerk. Als je gebruik maakt van onze communicatiediensten zoals internet en telefonie, dan zullen wij gegevens opslaan, zoals gegevens over het apparaat, de gebruikte verbinding, je IP/MAC-adres, het gebelde nummer, het tijdstip en duur van je sessie en de kwaliteit van de verbinding.

Dat is de informatie die ik wil inzien.

Over de bewaartermijn wordt vermeld:

Gebruiksgegevens bewaren we zolang deze nodig zijn voor de doeleinden waarvoor ze zijn verzameld.

Dat is onduidelijk. Hoe lang is dat? Worden de gegevens over een websitebezoek direct verwijderd of geanonimiseerd als de pagina ingeladen is of worden deze langer bewaard? En hoe lang dan?

Daarnaast roept het delen van gegevens toch wel vragen op. Hierover wordt gezegd:

We zullen je gegevens delen met aan VodafoneZiggo gelieerde bedrijven. Dit gaat dan bijvoorbeeld om bedrijven in de VodafoneZiggo Groep en de (in)directe aandeelhouders van VodafoneZiggo.

Welke bedrijven zijn dit allemaal en welke gegevens worden gedeeld? Worden mijn gebruiks-/verkeersgegevens ook gedeeld?

 

Inzage in gegevens bij Ziggo

Gegevens opvragen

Ik wil wel zien welke gebruiksgegevens Ziggo van mij heeft. Voor de inzage in je gegevens kan je terecht in de online omgeving van Ziggo: “mijn Ziggo”. Eenmaal ingelogd kan ik veel basale gegevens zien en voorkeuren aanpassen. Onder ‘privacy voorkeuren’ geeft Ziggo de mogelijkheid om gegevens op te vragen, te wijzigen, over te zetten, verwijderen en om bezwaar te maken. Niet alles kan en werkt, maar de intentie is keurig volgens het AVG boekje.

Ik wil graag inzage en dat kan. Ik kan schijnbaar eenvoudig mijn gegevens opvragen:

Ik hoef alleen maar op de button te klikken. Ik ontvang een e-mail met daarin de melding dat ik het overzicht binnen 30 dagen kan verwachten. Het overzicht kan ik na 7 dagen al downloaden in de Ziggo omgeving.

Door het gemak van het gegevens opvragen verwacht ik bijna direct een overzicht te krijgen, maar de termijn van een week is prima en voldoet ruimschoots aan de wettelijke verplichting. Niet zeuren dus.

Overzicht gegevens

Het overzicht (Inzagerapport) bevat overzichtelijk mijn persoonsgegevens, te weten NAW, contactgegevens, contactgeschiedenis, permissies voor marketing en ordergeschiedenis. Maar de gebruiks-/verkeersgegevens waar ik naar op zoek ben staan er niet in. In de kleine letters onderaan het rapport lees ik:

Het gebruik van ons netwerk levert daarnaast nog meer gedetailleerde informatie die minder goed in een rapport is weer te geven. Die informatie is afhankelijk van de diensten die worden afgenomen. Denk aan technische metadata bij (digitaal) telefonie en/of internetverkeer, locatie, MAC-adressen, IP-adressen, IMEI en IMSI. Of technische metadata voor digitale televisie kijken”
Ok, de gegevens zijn er, maar ze worden niet direct aangeboden na een inzageverzoek.
Ik kan volgens Ziggo in het Privacy Statement lezen hoe ik inzage in deze gegevens kan verkrijgen. Maar in het Privacy Statement word ik weer naar de zelfde omgeving gestuurd zonder een mogelijkheid om meer gegevens op te vragen. Vanaf hier word je in het ongewis gelaten en vormt het proces een schijnbaar dood spoor (of rondje rond de kerk).
Ik probeer het maar via het contactformulier te stellen, met de volgende (hier ingekorte) vraag:
Ik wil graag inzage in de persoonlijke gegevens die jullie van mij hebben. Het gaat om informatie die niet via de online omgeving op te vragen is over internet en tv gebruik. Ik zou graag overzicht hebben van alle gegevens inzake mijn internetverkeer: gebruikte diensten, data, metadata, ip adressen, verbonden mac adressen, locatieggevens.[..]
De medewerker aan de andere kant geeft geen juist antwoord. Ik zou alles in Mijn Ziggo kunnen vinden en de gegevens waar ik om vraag zouden niet opgeslagen worden. Dit terwijl Ziggo in het inzagerapport hier zelf melding van maakt.
Je kunt alle beschikbare informatie opvragen via Mijn Ziggo.
Wil je weten welke apparaten met je modem verbonden zijn? Dan kun je dit opvragen door in te loggen op het modem zelf. Zet hiervoor  http://192.168.178.1 in je adresbalk en maak verbinding. [..]
Het IP-adres van je verbinding kun je opvragen via deze pagina. De overige gegevens waar je om vraagt worden niet opgeslagen.
Ik probeer het maar via Twitter. Misschien dat Ziggo Webcare wel meer verstand van deze privacyzaken heeft. Maar hier word ik in eerste instantie ook weer van het kastje naar de muur genaamd ‘Mijn Ziggo’ gestuurd:
Na meer uitleg besluit Ziggo Webcare mijn verzoek intern door te zetten. Anderhalve week daarna word ik gebeld: Ziggo gaat de gegevens toesturen. Ik wacht nog op het ontvangen van de gegevens.

Conclusie

Een voorzichtige conclusie terwijl ik nog wacht op de gegevens die ik zocht. Ziggo heeft de informatie over welke gegevens van je verwerkt worden redelijk goed in orde.

Het inzagerecht uitvoeren loopt echter bepaald niet gesmeerd. Je kunt weliswaar basisgegevens inzien en downloaden, maar meer gegevens verkrijgen is een moeizaam proces. Er is geen direct online contactpunt om die gegevens te verkrijgen en de klantenservice en webcare kunnen je niet echt verder helpen. Ziggo heeft deze processen duidelijk nog niet goed in orde. Het proces hiervoor rechttrekken en medewerkers informeren zou een hoop frustratie (en wellicht daaruitvolgende klachten kunnen voorkomen.

Mijn ‘zoektocht’ startte 6 juni. Ik ben tot nu toe 23 dagen bezig om de gewenste gegevens te verkrijgen. Ik wacht rustig af en update zodra de gegevens ontvangen zijn.

Wanneer ik tot nu toe waarderingen zou moeten geven over de uitvoering van dit privacy proces bij Ziggo:

  • Informatie / transparantie: voldoende
  • Opvolging / contact: onvoldoende
  • Gemak / usability: onvoldoende

 

About the Author Michel Rijnders

Following techtrends with a focus on privacy

3 reacties

  1. Nee, helaas. Na meerdere kastjes, muren en toezeggingen de melding gekregen dat dat alleen per brief (plus kopie paspoort) zou kunnen. De brief is net onderweg, het antwoord zal wederom enige tijd laten wachten vermoed ik..

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.