Dossier: 

Deze bedrijven weten véél over u

Bedrijven die persoonsgegevens verwerken, moeten dat aangeven in het Openbaar Register van de Privacycommissie. In opdracht van MO* scrapete een IT-bedrijf alle data uit het register. De opmerkelijkste conclusies zetten we op een rijtje.

© Kristof Clerix

Een supermarkt die klanten een antwoordstrookje laat invullen, een hotel dat online reservaties afhandelt: het zijn maar enkele voorbeelden van bedrijven die persoonsgegevens verwerken. Die verwerkingen moeten ze vooraf aangeven bij de Privacycommissie. Alle inlichtingen uit de aangiftes worden vervolgens opgenomen in het Openbaar Register, dat iedereen online kan raadplegen.

De Privacycommissie heeft wel een beperking ingebouwd: per zoekopdracht worden maximum 100 resultaten getoond. Daardoor is het onmogelijk om gedetailleerde analyses te doen op deze schat aan informatie.

‘Wanneer de politie en andere overheidsdiensten ons om uitgebreide data-extracties uit het Openbaar Register vragen, weigeren we dat in de meeste gevallen omdat de openbaarheid nu eenmaal wettelijk beperkt is’, zegt Eva Wiertz, woordvoerster van de Privacycommissie. ‘Voor bewakingscamera’s daarentegen zijn er wel een aantal bewerkingen mogelijk, omdat de camerawet dat toelaat.’

Zelf doet de Privacycommissie nauwelijks analyses op de data uit het Openbaar Register. Daarom liet MO* de volledige databank scrapen – letterlijk: via een op maat geschreven programmaatje de databank leegschrapen en kopiëren.

Vandaag publiceren we enkele eerste bevindingen – in de toekomst volgen nog verdere artikels met meer analyse.

‘Louter registratie, géén goedkeuring’

Het Openbaar Register telt maar liefst 70.147 aangiftes. Het gaat onder meer om bewakingscamera’s en om het beheer van persoonsgegevens door apothekers, thuisverpleegkundigen, interimkantoren, banken, supermarkten en telefonie- en internetbedrijven. Enkele voorbeelden:

Bank Aantal aangiftes
Belfius-Dexia 883 (34 +849)
BNP Paribas Fortis 818
KBC 401
Supermarkt
Colruyt 462
Delhaize 221
Carrefour 155
Telecom
Belgacom 272
Mobistar 67
Telenet 58
© Kristof Clerix

Gegevensverwerking voor puur persoonlijke of huishoudelijke doeleinden moet niet aangegeven worden bij de Privacycommissie. ‘Datzelfde geldt voor een aantal courante verwerkingen, zoals personeelsbeheer, boekhouding of klantenbeheer’, zegt Eva Wiertz.

‘Aan deze uitzondering op de aangifteverplichting zijn een aantal voorwaarden verbonden, bijvoorbeeld dat de gegevens niet mogen worden doorgespeeld aan derden of dat het niet om gevoelige gegevens mag gaan.’

‘Wanneer een bedrijf bij ons toch een aangifte doet over zijn klantenbeheer, dan is dat wellicht omdat het niet aan de voorwaarden voldoet om geen aangifte te hoeven indienen. Ofwel weet het bedrijf het niet zeker – het moet daarvoor immers een kleine juridische studie uitvoeren, en daar kruipt vaak meer tijd en middelen in dan even het aangifteformulier invullen.’

Wiertz onderstreept dat het Openbaar Register louter meldingen van gevensverwerking bundelt. ‘Dat houdt geen enkele controle of goedkeuring van onze kant in, tenzij er achteraf een klacht over komt natuurlijk. Wij registreren gewoon. Dat wordt ook vermeld op onze website en in elk aangiftedossier.’

“Financiële bijzonderheden”

Het Openbaar Register geeft een interessant inzicht in welk soort privégegevens bedrijven zoal verzamelen, en wat ze er vervolgens mee doen. Enkele voorbeelden eruitgelicht:

• Voor doeleinden van direct marketing verwerkt Belgacom de volgende categorieën van gegevens: naam, adres, telefoonnummer, financiële bijzonderheden, leeftijd, geslacht, burgerlijke staat, leefgewoonten, samenstelling van het gezin, vrijetijdsbesteding en interesses, consumptiegewoonten, woningkenmerken, beroep en betrekking, en ‘andere categorieën’ van gegevens (telecomgegevens).

• De klantenprofilering van Fortis wordt dertig jaar lang bijgehouden en kan worden doorgegeven naar het buitenland. Eva Wiertz over gegevens doorspelen aan het buitenland: ‘In de meeste gevallen zal het enerzijds gaan om een verwerker, bijvoorbeeld wanneer de hosting van een bedrijfswebsite in het buitenland gebeurt. Met de huidige cloud-oplossingen komt dit steeds vaker voor. Anderzijds zijn het soms ook multinationals die vestigingen in verschillende landen hebben, en waar de personeelsadministratie bijvoorbeeld centraal gebeurt, in een ander land dan België.’

Rekeningenbeheer BNP Paribas Fortis: financiële bijzonderheden en persoonlijke kenmerken kunnen doorgegeven worden aan andere privé-ondernemingen. ‘Dit zijn partijen waarmee de bank een overeenkomst heeft om in onderaanneming bepaalde taken voor haar uit te voeren’, zegt Kim Cauberghs van de persdienst van de bank.

• Sommige gegevens kunnen worden doorgegeven aan gerecht en politiediensten. Een voorbeeld: ‘psychische gegevens’ en ‘consumptiegewoonten’ uit het centraal cliëntenbeheer van Belfius.

© MarsmettnnTallahassee / Creative Commons

• Heel wat databanken houden elektronische localisatiegegevens bij (gsm, gps), alsook IP-adressen van computers en cookies. Eva Wiertz: ‘Wij vermoeden dat het hier in veel gevallen simpelweg gaat om een verwarring tussen IP-adres en e-mailadres. Verder kan het gaan om het gebruik van de elektronische identiteitskaart voor de identificatie op een website, of om zaken zoals pc-banking. Wanneer “gsm” vermeld staat bij “elektronische lokalisatiegegevens”, is dat wellicht omdat de meeste verantwoordelijken denken aan het gsm-nummer en dus niet noodzakelijkerwijs aan een tracering van de bedrijfs-gsm.’

KBC Verzekeringen kan medische gegevens doorgeven aan andere instanties en naar andere landen. In een aantal gevallen vastgelegd in de Privacywet (art. 7, § 2, a-k) mogen gezondheidsgegevens inderdaad verwerkt worden.

Casestudy 1: Colruyt

Colruyt zamelt voor zijn klantenbeheer elektronische identificatiegegevens in. ‘Dat gebeurt via cookies’, zegt Jan Derom, woordvoerder van Colruyt. ‘Dat kan gaan om cookies voor taal, op die manier komt de klant elke keer terug op de webpagina in zijn landstaal en niet op de overzichtspagina. Andere cookies geven algemene info over gebruik van onze website: op welke buttons wordt geklikt, hoeveel, vanop welk type toestel, wanneer, vanwaar komt de klant (wat was de vorige site waarop de klant aanwezig was?). Deze gegevens worden gebruikt om onze website nog te verbeteren en nog beter af te stemmen op de noden van de klant.’

© Stéfan / Creative Commons

Colruyt kan privégegevens van klanten doorspelen aan het gerecht en politiediensten. Derom: ‘Voor sommige zaken hebben we een samenwerkingsplicht met het gerecht en de politiediensten. Dat zal nooit proactief gebeuren en we zullen dan ook geen gegevens zomaar doorgeven aan politiediensten. Dat kan enkel op voorlegging van een gemotiveerd verzoek, waarbij duidelijk wordt meegegeven wat politie of gerecht wensen en waaruit blijkt dat ze dit doen in het kader van een gerechtelijk/politioneel onderzoek. Dit is trouwens ook een van de rechtvaardigingsgronden die in de privacywet naast toestemming wordt geplaatst om gegevens te mogen verwerken.’

Colruyt geeft identificatiegegevens van klanten door aan de Verenigde Staten. Derom: ‘Dat gaat over Silverpop, waarmee we e-mails versturen naar klanten. Daarbij gebruiken wij een tool die in Amerika staat en dus zullen bepaalde gegevens – uitsluitend e-mailadres en e-mailinhoud – ook naar de VS worden doorgegeven. Daarvoor zijn contractueel zware waarborgen ingebouwd dat er niets mag gebeuren met die gegevens. We houden bij wie de e-mail opent, wanneer dat gebeurt, of de klant daarna naar onze site gaat, via welke link, enzovoort. Opnieuw met als doel om onze werking beter af te stemmen op de noden van de klant.’

Derom benadrukt dat het hierbij gaat om een zogenaamde SaaS-oplossing (Software as a Service): ‘We versturen zelf de e-mails en geven zelf de e-mailadressen in, maar omdat deze tool in Amerika staat, worden de gegevens ook tijdelijk naar dat land verstuurd. De onderneming die de tool beschikbaar stelt, is toegetreden tot de Safe Harbor-overeenkomst. Dat wil zeggen dat ze eenzelfde beschermingsniveau voor persoonsgegevens hanteert als in Europa – dus strenger dan wat algemeen wordt toegepast in Amerika. Deze onderneming zal dus nooit iets mogen doen met de gegevens die wij via die tool versturen, ingeven of terugkrijgen.’

Colruyt zamelt ook elektronische localisatiegegevens in. Derom: ‘Dat gaat over de aangifte van Colruyt Mobile, het door ons uitgebaatte mobiele telefonie-netwerk. Dat is niet hetzelfde als Colruyt. Colruyt Mobile behoort wel tot de groep maar is een aparte entiteit, met eigen verplichtingen.’

‘Elektronische localisatiegegevens zijn nodig om te kunnen overgaan tot een correcte afrekening van de door ons geleverde diensten. Als je in het buitenland zit, bel je aan een ander tarief. Daarnaast bestaat ook hier een wettelijke plicht om bepaalde gegevens bij te houden. Verkeersgegevens zijn daar een voorbeeld van, want ze bevatten ook de identificatie van zendmasten. Deze laatste plicht kadert in de opsporingsmogelijkheden voor politie en gerecht in het kader van bepaalde onderzoeken.’

Casestudy 2: BNP Paribas Fortis

‘De verwerking van de persoonsgegevens door de bank gebeurt overeenkomstig de principes die in onze Algemene Bankvoorwaarden beschreven zijn’, zegt Kim Cauberghs van de persdienst van BNP Paribas Fortis. ‘De verwerking staat onder de controle van een data protection officer, en in tweede lijn van de bevoegde compliance.’

Cauberghs wijst erop dat het feit dat bepaalde verwerkingen van persoonsgegevens in het Openbaar Register vermeld staan, niet noodzakelijk impliceert dat ze ook daadwerkelijk gebeuren. Ze verwijst ook naar artikel negen van de Algemene Bankvoorwaarden – dat gaat over het ‘registreren en verwerken van persoonsgegevens’ – en naar het cookie-beleid dat op de website van de bank aangekondigd staat.

© Harry_nl / Creative Commons

BNP Paribas verwerkt onder meer elektronische identificatiegegevens zoals ip-adressen en cookies, alsook elektronische localisatiegegevens. ‘Wat gsm-nummers betreft, is er een specifieke procedure voorzien als de bank die gegevens voor marketingdoeleinden wil gebruiken’, zegt Cauberghs. Die procedure is de opt-in: de betrokkene moet vooraf zijn toestemming gegeven. Gps-gegevens worden volgens Cauberghs niet bijgehouden.

Ook opmerkelijk is dat BNP Paribas Fortis sommige persoonsgegevens van klanten bewaart ‘tot tien jaar na het afsluiten van de relatie met de klant’.  Cauberghs: ‘Deze termijn werd in het bijzonder bepaald in functie van de verjaringstermijn van eventuele betwistingen tussen de klant en de bank.’

Zonder jouw steun bestaat MO* niet.

Wil je dat MO* dit soort verhalen blijft brengen?
Steun ons en word proMO* voor maar €4/maand of doe een vrije gift. 2838   proMO*’s steunen ons vandaag al.

Word proMO* of Doe een gift