image

CBP: Albert Heijn schond privacy met bonuskaart

maandag 12 november 2012, 13:35 door Redactie, 5 reacties

Albert Heijn heeft met een nieuw voordeelprogramma rond de persoonsgebonden bonuskaart de Wet bescherming persoonsgegevens overtreden. zo concludeert het College bescherming persoonsgegevens (CBP). Zo voldeed de door Albert Heijn gevraagde toestemming voor het doen van persoonlijke aanbiedingen in het kader van het Mijn Bonus-programma (oftewel een ´opt-in´) niet aan de eisen.

Het CBP stelt dat Albert Heijn de in de loop van het onderzoek vastgestelde overtredingen van de Wet bescherming persoonsgegevens heeft beëindigd. Het het bedrijf heeft het Mijn Bonus-programma opgeschort totdat klanten een hernieuwde opt-in hebben gegeven. Daardoor is er geen aanleiding voor het opleggen van een sanctie.

Anoniem
Het CBP ontdekte verder dat Albert Heijn van houders van een anonieme bonuskaart over adresgegevens kan beschikken, bijvoorbeeld indien de klant zijn NAW-gegevens opgeeft voor het doen van bestellingen in de webwinkel. Hierdoor verliest deze houder zijn anonieme status.

Naar aanleiding van het onderzoek van het CBP heeft Albert Heijn haar privacy- en cookiebeleid aangepast en op haar website gepubliceerd en aangegeven in welke gevallen de houder van de anonieme bonuskaart zijn anonieme status verliest. Hierdoor handelt Albert Heijn ook op dit punt niet langer in strijd met de Wet bescherming persoonsgegevens.

Reacties (5)
12-11-2012, 13:43 door Anoniem
Nu de hamvraag: zijn de betreffende zogenaamd anonieme klanten nu wel op de hoogte gebracht? Zo nee, waarom zou dat niet moeten gebeuren als het voor het onderzoek kennelijk wel had gemoeten.

Het herkennen van de overtreding maakt nog niet dat je over de oude situatie de klanten maar niet hoeft in te lichten. Wanneer je een diefstal hebt begaan en nu maatregelen hebt getroffen om herhaling te voorkomen maakt dat het voor de slachtoffers nog niet goed, die zijn nog steeds slachtoffer.
12-11-2012, 17:55 door [Account Verwijderd]
[Verwijderd]
12-11-2012, 19:37 door Anoniem
Ach de appie marginaliseert de anoniemblijver alweer op een nieuwe manier: In een paar aparte rijen moeten staan want alle andere zijn slegs vir pinners. Waarmee je dus óf gestigmatiseerd, óf gedeanonymiseerd wordt.
13-11-2012, 07:40 door Dennixx
Dus als de overtreding niet meer gebeurt volgen ook geen sancties? Ik zal ik met mijn volgende snelheidsovertreding ook eens proberen...
"sorry agent, ik ging inderdaad te snel maar ik hou me nu aan de snelheid hoor... ". Volgens mij krijg ik gewoon een boete hoor....
13-11-2012, 11:38 door Anoniem
Door Anoniem: Nu de hamvraag: zijn de betreffende zogenaamd anonieme klanten nu wel op de hoogte gebracht? Zo nee, waarom zou dat niet moeten gebeuren als het voor het onderzoek kennelijk wel had gemoeten.

Het probleem was, afgaande op wat ik in het rapport lees, niet dat AH sneaky allerlei ongewenste koppelingen zat te leggen, maar dat ze niet duidelijk genoeg beschreven hoe het werkt in hun privacy- en cookiebeleid. Het gaat om koppelingen die de klanten zelf leggen: gebruik van de anonieme bonuskaart in combinatie met de 'Mijn ah.nl'-account, op de webwinkel, een bewust gekozen koppeling met een airmileskaart, een vermelding op een klachtenformulier. Wat AH nu moest doen is in detail uitleggen wat er precies met de gegevens gebeurt in welke situaties. Dat doen ze hier:

http://www.ah.nl/privacy

Zeer gedetailleerd, inderdaad. Ik heb niet alles in detail doorgelezen maar ik zie zo snel niets staan waar ik van schrik. Nogal wiedes dat ze om via je anonieme bonuskaart airmilesgegevens te verwerken een koppeling met die verwerking moeten leggen. Het is wel belangrijk om te weten dat daar een derde partij bij betrokken is. Als de koppeling via een klachtenformulier is gelegd wordt hij alleen voor het afhandelen van die klacht gebruikt. Net wat ik zou willen.

Ik vind het uitstekend dat bedrijven tot transparantie gedwongen worden. Het probleem met AH was zo te zien niet dat ze vervelende dingen met de gegevens doen (ik vind het er eigenlijk keurig uitzien) maar dat ze niet transparant genoeg waren.

Da's heel belangrijk, maar ik zie hier geen misleiding of ongeoorloofd gebruik van gegevens waarvan klanten individueel op de hoogte moeten worden gesteld. Ik kan me wel voorstellen dat CBP dat niet vereist.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.