CBP: Albert Heijn schond privacy met bonuskaart
Albert Heijn heeft met een nieuw voordeelprogramma rond de persoonsgebonden bonuskaart de Wet bescherming persoonsgegevens overtreden. zo concludeert het College bescherming persoonsgegevens (CBP). Zo voldeed de door Albert Heijn gevraagde toestemming voor het doen van persoonlijke aanbiedingen in het kader van het Mijn Bonus-programma (oftewel een ´opt-in´) niet aan de eisen.
Het CBP stelt dat Albert Heijn de in de loop van het onderzoek vastgestelde overtredingen van de Wet bescherming persoonsgegevens heeft beëindigd. Het het bedrijf heeft het Mijn Bonus-programma opgeschort totdat klanten een hernieuwde opt-in hebben gegeven. Daardoor is er geen aanleiding voor het opleggen van een sanctie.
Anoniem
Het CBP ontdekte verder dat Albert Heijn van houders van een anonieme bonuskaart over adresgegevens kan beschikken, bijvoorbeeld indien de klant zijn NAW-gegevens opgeeft voor het doen van bestellingen in de webwinkel. Hierdoor verliest deze houder zijn anonieme status.
Naar aanleiding van het onderzoek van het CBP heeft Albert Heijn haar privacy- en cookiebeleid aangepast en op haar website gepubliceerd en aangegeven in welke gevallen de houder van de anonieme bonuskaart zijn anonieme status verliest. Hierdoor handelt Albert Heijn ook op dit punt niet langer in strijd met de Wet bescherming persoonsgegevens.
Het herkennen van de overtreding maakt nog niet dat je over de oude situatie de klanten maar niet hoeft in te lichten. Wanneer je een diefstal hebt begaan en nu maatregelen hebt getroffen om herhaling te voorkomen maakt dat het voor de slachtoffers nog niet goed, die zijn nog steeds slachtoffer.
"sorry agent, ik ging inderdaad te snel maar ik hou me nu aan de snelheid hoor... ". Volgens mij krijg ik gewoon een boete hoor....
Het probleem was, afgaande op wat ik in het rapport lees, niet dat AH sneaky allerlei ongewenste koppelingen zat te leggen, maar dat ze niet duidelijk genoeg beschreven hoe het werkt in hun privacy- en cookiebeleid. Het gaat om koppelingen die de klanten zelf leggen: gebruik van de anonieme bonuskaart in combinatie met de 'Mijn ah.nl'-account, op de webwinkel, een bewust gekozen koppeling met een airmileskaart, een vermelding op een klachtenformulier. Wat AH nu moest doen is in detail uitleggen wat er precies met de gegevens gebeurt in welke situaties. Dat doen ze hier:
http://www.ah.nl/privacy
Zeer gedetailleerd, inderdaad. Ik heb niet alles in detail doorgelezen maar ik zie zo snel niets staan waar ik van schrik. Nogal wiedes dat ze om via je anonieme bonuskaart airmilesgegevens te verwerken een koppeling met die verwerking moeten leggen. Het is wel belangrijk om te weten dat daar een derde partij bij betrokken is. Als de koppeling via een klachtenformulier is gelegd wordt hij alleen voor het afhandelen van die klacht gebruikt. Net wat ik zou willen.
Ik vind het uitstekend dat bedrijven tot transparantie gedwongen worden. Het probleem met AH was zo te zien niet dat ze vervelende dingen met de gegevens doen (ik vind het er eigenlijk keurig uitzien) maar dat ze niet transparant genoeg waren.
Da's heel belangrijk, maar ik zie hier geen misleiding of ongeoorloofd gebruik van gegevens waarvan klanten individueel op de hoogte moeten worden gesteld. Ik kan me wel voorstellen dat CBP dat niet vereist.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
