Wat weten bedrijven echt van u? Het blijft vaak onduidelijk

De afgelopen maanden stuurde VRT NWS brieven naar 40 winkels, bedrijven of instanties. Daarin stelden we de vraag welke persoonsgegevens ze van ons hebben en wat ze daarmee doen. De brieven werden opgesteld volgens de regels van de nieuwe GDPR-wetgeving (ook wel AVG genoemd). Ze werden voor alle duidelijkheid niet gestuurd door VRT-personeelsleden, maar wel door anderen, wier naam géén belletje zou doen rinkelen. Geen enkel bedrijf had dus weet van het onderzoek van VRT NWS.

De brieven werden op 22 oktober verstuurd. Volgens de wet moet er binnen de 30 dagen een antwoord komen. Begin december maakte VRT de balans op. De bedrijven kregen dus iets meer tijd, omdat er begin november een staking bij de post was en de brieven mogelijk iets later in hun bus vielen. 

Van de 40 bedrijven hadden er begin december 10 nog steeds niet geantwoord. Drie andere bedrijven bevestigden wel dat ze de brief hadden ontvangen, maar kwamen niet over de brug met antwoorden.  Die 13 bedrijven kregen een rappelbrief. De helft daarvan kwam toen alsnog met een antwoord.

Na grondig onderzoek van alle antwoorden, kwam VRT NWS samen met enkele privacy-experts tot de volgende conclusie. 4 bedrijven antwoordden helemaal niet. 3 anderen gaven een gebrekkig antwoord. "Sommige bedrijven belden de klant zelf op. Dat is eigenlijk niet de bedoeling", zegt Els Kindt, docent privacyrecht aan de KU Leuven. "Eén bedrijf vroeg zelf aan de klant om hén op te bellen. Dat was één van de meest vreemde antwoorden", aldus Kindt. Van 33 bedrijven kregen we wél een behoorlijk antwoord, maar nooit was het perfect volgens de nieuwe Europese privacyregels. Zo antwoordde een bank bijvoorbeeld via de berichtenmap van hun onlinebanking, wat niet de correcte manier is om te communiceren.

Zorgwekkender is dat de meeste winkels, bedrijven en instanties vaag blijven over welke gegevens ze bijhouden als je hun website bezoekt, of wat ze doen met de gegevens die ze verkrijgen door geplaatste cookies. Velen zwijgen ook in alle talen over het feit dat ze persoonsgegevens gebruiken om een profiel van hun klant op te maken, om dan gerichte reclame toe te sturen. "Vaak krijg je enkel de mededeling dat je gegevens gebruikt worden voor marketingdoeleinden. Maar hoe dat precies gaat en in welke categorie u dan valt, daarover wordt vaak gezwegen", zegt Peggy Valcke, docent technologie en recht aan de KU Leuven.

Daarnaast valt het onze privacy-experts ook op dat een aantal bedrijven pas reageren na de rappelbrief. Opvallend daar is dat die brief vergezeld wordt met het excuus dat het bedrijf onze eerste brief niet had ontvangen. "Het is een manier om drempels op te werpen", zeggen onze privacy-experts.

De 7 klanten die geen antwoord of een slecht antwoord kregen op hun brief zullen nu de Gegevensbeschermingsautoriteit inschakelen in een poging om een goed antwoord te krijgen op hun vragen. 

Geen enkele winkel, bedrijf of instantie doet het dus helemaal zoals het hoort, maar toch zijn de antwoorden al heel wat beter dan 2 jaar geleden. Toen deden studenten van de KU Leuven een soortgelijk onderzoek. In die periode was de voorbereidingstijd van de GDPR-wetgeving al gestart. Bedrijven kregen de raad om zich al in orde te brengen, maar het recht op inzage kon wel nog niet afgedwongen worden, omdat de wet nog niet officieel van kracht was. "De meeste bedrijven antwoordden toen helemaal niet. Ze wisten zelfs niet waarover het ging", zegt Peggy Valcke.

Daarnaast zijn er ook bij dit onderzoek enkelen die het al heel goed doen. Onze experts geven Colruyt, Proximus en Scouts en Gidsen Vlaanderen een pluim. Toch zijn er ook bij hen nog werkpuntjes. Colruyt bijvoorbeeld gaf in haar eerste antwoord geen zicht op de aankoophistoriek. "Terwijl ze dat wel 5 jaar bijhouden volgens hun beleid", aldus Peggy Valcke.

Colruyt laat weten dat de reden waarom ze de aankoopgegevens van een klant niet meteen via de website beschikbaar maken is omdat het over massa’s gegevens gaat. "Maar op de site is er wel een knop waar klanten hun aankoopgegevens kunnen opvragen en dan krijgen ze die zeker binnen de week, via het internet", aldus Colruyt. 

Ook Proximus lijkt volgens Valcke geen duidelijkheid te scheppen in welke gegevens ze precies bijhouden, als het gaat om het bepalen van interesses. "Op basis van hoe ik mijn mobiel abonnement en dergelijke gebruik kan men makkelijk afleiden naar welke restaurants ik ga en welke zaken ik bezoek. Ik vermoed dat ze daar informatie over bijhouden, maar daar zijn ze niet transparant over", aldus Valcke.

Proximus ontkent dat het in haar antwoord onvolledig of te vaag zou zijn. "Wij houden geen informatie bij over het surfgedrag van onze klanten om op basis daarvan een marketingprofiel op te stellen. De informatie die we over het surfgedrag hebben komt alleen van cookies die de klant aanvaard heeft.  En locatiegegevens die Proximus verzamelt via het mobiel netwerk laten toe om te weten via welke antenne een mobiel telefoontoestel connectie maakt met het Proximus-netwerk, maar niet om bijvoorbeeld te achterhalen welk restaurant of welke winkel de klant bezoekt", aldus het telecombedrijf.

VRT NWS stelde de brieven dus op volgens de letter van de GDPR-wetgeving. Ook u kan dat recht op inzage uitoefenen. Wanneer u een brief wil sturen naar een bedrijf, zoekt u eerst het correcte adres op om de privacyverantwoordelijke aan te schrijven. Meestal volstaat het officiële adres van het bedrijf, als u op de enveloppe 'aan de privacyverantwoordelijke' vermeldt.

Daarna stelt u de brief op, waarbij u enkele vragen richt aan het bedrijf. Op de website van de Gegevensbeschermingsautoriteit vindt u welke vragen u precies kan stellen, op basis van artikel 15 van de GDPR-wetgeving. Het gaat om de volgende vragen:

• Welke persoonsgegevens verwerkt u over mij?
• Waarvoor gebruikt u mijn persoonsgegevens?
• Waar en hoe bent u aan mijn persoonsgegevens geraakt?
• Aan wie heeft u mijn persoonsgegevens meegedeeld? En aan wie wil u ze mogelijk in de toekomst meedelen?
• Hoe lang bewaart u mijn persoonsgegevens?

Bij de brief voegt u ook een kopie van uw identiteitskaart. Volgens de wet moet er binnen de 30 dagen een antwoord komen. Gebeurt dat niet, dan kan u een rappelbrief sturen. Als het bedrijf dan nog steeds niet reageert, dan kan u een verzoek tot bemiddeling indienen bij de Gegevensbeschermingsautoriteit.

Uit het onderzoek van VRT NWS blijkt duidelijk dat het niet voor elk bedrijf makkelijk is om aan de strenge voorwaarden van de nieuwe Europese privacywetgeving te voldoen. De Gegevensbeschermingsautoriteit in ons land verspreidt vandaag een filmpje om duidelijk te maken welke rechten klanten nu precies hebben, en welke plichten de bedrijven. Dat kan u hieronder bekijken.

Bekijk hieronder het verslag van "Het Journaal":