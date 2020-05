Het is een opvallend blauw, rechthoekig pakje. Op de bovenkant, gedrukt in grote letters, staat het logo van margarinemerk Blue Band. Vlak daarnaast: mijn naam en mijn adres.

Ik scheur het pakket open. Een blauwe boterhammentrommel. Met een brief.

Gefeliciteerd met de vierde verjaardag van je kindje! Nu gaat hij/zij voor het eerst naar de grote school. Blue Band heeft voor deze gebeurtenis een cadeau. Een eigen boterhammentrommeltje.

Mijn eerst reactie: vragen.

Hoe komen ze aan mijn naam?

Hoe komen ze aan mijn adres?

Hoe weten ze dat mijn zoon jarig is?

Hoe weten ze überhaupt dat mijn zoon bestaat?

Voor de geboorte van onze zoon namen mijn vrouw en ik ons iets voor. We wilden proberen zo min mogelijk sporen van hem achter te laten op internet. Om, zo was het idee, te voorkomen dat persoonlijke gegevens van hem in databases van bedrijven terecht zouden komen. Informatie die hem, misschien, later in zijn leven zou kunnen achtervolgen. De reden waarom ik hem in dit artikel ook niet bij naam noem.

Op foto’s op de site van het kinderdagverblijf stond één kind met een knalgele smiley voor zijn gezicht – mijn zoon werd op verzoek geanonimiseerd. Facebookberichten met vragen om babyfoto’s bleven onbeantwoord. Onbegrip bij sommige familieleden, nadat wij hun hadden gemaild of ze ons liever niet op sociale media wilden feliciteren met onze baby.

Dat lukte – al die jaren – vrij goed. Dachten we.

Tot het pakket van Blue Band. De start van, zo zal achteraf blijken, een frustrerend bureaucratisch gevecht om onze gegevens uit databases van allerlei bedrijven door heel Nederland gewist te krijgen.

Over deze serie Op 25 mei is de Algemene verordening gegevensbescherming twee jaar in werking. In een korte serie onderzoekt NRC hoe deze privacyregels in de praktijk hebben gewerkt. 25 mei De voor- en nadelen van de AVG 26 mei Hoe functioneert de Autoriteit Persoonsgegevens? 30 mei Wat gebeurt er met de data van mijn kind als ik inschrijf voor de BabyBox?

November 2019

De eerste hint naar een antwoord op mijn vragen staat in kleine letters onderaan de brief die ik van Blue Band ontvang. „Wij hebben uw adres verkregen, omdat u staat ingeschreven bij de blije doos of De Zwangerbox.”

Inderdaad: alle voorzorgsmaatregelen ten spijt hebben we ons tijdens de zwangerschap ingeschreven voor de blije doos – een gesponsord pakket gratis spullen en informatiefolders voor zwangere vrouwen. Een doos ter waarde van een bedrag tussen de 25 en 40 euro. Met onder meer een pakket Pampers, maat 1. Een Avent-speen. Twee blikjes Bavaria 0,0. Inoli-babybadolie. Een nijntje rammelaar.

De blije doos wordt uitgegeven door WIJ Special Media (WSM), een organisatie die zichzelf omschrijft als een ‘datageoriënteerd mediabedrijf’. WSM heeft naar eigen zeggen data van 1 miljoen Nederlandse ouders met kinderen tot 12 jaar in bezit. Denk aan naam, adres, telefoonnummer, IP-adres, de uitgerekende datum, de geboortedatum en de naam van het kind. Elk jaar verstuurt het bedrijf 144.000 uitnodigingen waarmee consumenten de blije doos op kunnen halen bij Prénatal. Volgens WSM meldt 80 procent van de zwangere vrouwen zich voor zo’n doos aan.

Een gratis pakket spullen dus, in ruil voor je persoonlijke data. Gegevens die WSM vervolgens gebruikt „voor het doen van aanbiedingen door zorgvuldig geselecteerde partners [..] via e-mail, post of telefoon”, schrijft het bedrijf in het privacystatement op de site. „Ook kunnen de persoonsgegevens worden gebruikt om data van andere organisaties te verrijken.”

Ofwel: de persoonsdata van degenen die zich inschrijven (98 procent vrouwen met een gemiddelde leeftijd van 29 jaar), worden gedeeld met bedrijven waaronder Prénatal, Nutricia, Rabobank, ING en Procter & Gamble. Inclusief de eerste gegevens van het – dan nog – ongeboren kind, mits klanten hiervoor toestemming geven. Op basis daarvan schotelen die bedrijven de vrouwen onder meer gepersonaliseerde YouTube- of Instagram-advertenties voor of sturen boterhammentrommels toe.

Voor mijn zoon geboren werd, voor hij überhaupt bestond, stond hij al genoteerd in de database van WIJ Special Media met de datum waarop hij waarschijnlijk ter wereld zou komen. Data die, zo meldt WSM-directeur Marcel Bakker desgevraagd, bewaard worden „tot het jongste kind de leeftijd van 18 jaar heeft bereikt”.

Twee spelers

Een zwangerbox in ruil voor data Er zijn twee grote spelers in de markt voor babyboxen: de blije doos (van WIJ Special Media) en Zwanger- en Babyboxen van Ouders van Nu, een tijdschrift dat wordt uitgegeven door Sanoma en wordt verspreid via de winkels van Blokker. Het principe erachter is hetzelfde: een uitnodiging om de pakketten op te halen bij Prénatal of Blokker wordt alleen toegestuurd als deelnemers een reeks persoonsgegevens invullen, inclusief gegevens over de baby. Deze gegevens worden vervolgens gebruikt door de betrokken bedrijven om gepersonaliseerde aanbiedingen te kunnen doen. Sinds de AVG er is, kunnen burgers inzien welke data bedrijven precies van hen bezitten. Via de website My Data Done Right zijn standaardformulieren te downloaden die naar de betrokken bedrijven kunnen worden toegestuurd. Daarin kan ook worden aangeven dat de persoondata moeten worden verwijderd. Bedrijven zijn wettelijk verplicht om binnen een maand op een dergelijk verzoek te reageren.

Dat kan dus zo twintig tot vijfentwintig jaar duren, bevestigt Bakker. „We richten ons op een doelgroep die in een nieuwe levensfase komt en een enorme honger heeft naar informatie. Dat is waar je op inspeelt.” Over wat er precies met die data gebeurt is WSM heel open, zegt Bakker. „En we zijn altijd heel duidelijk over hoe je je ook weer kunt uitschrijven.”

Zwangerschapsboxen blijken een data-goudmijn. „De echte prijs voor zo’n vrolijke cadeaudoos zijn je persoonsgegevens”, constateerde De Consumentenbond al in 2016. „Met een paar muisklikken geef je bijzonder waardevolle informatie over jou én je kind weg. Wat er daarna met die gegevens gebeurt is niet altijd helemaal duidelijk.”

Dat was 2016. Inmiddels is er de Algemene verordening gegevensbescherming (AVG), die deze week precies twee jaar bestaat. Deze wet geeft burgers de mogelijkheid hun data in te zien – en vervolgens precies vast te stellen wat een organisatie met die data heeft gedaan. Bedrijven of overheidsorganisaties zijn wettelijk verplicht aan verzoeken tot inzage of verwijdering te voldoen.

Drie dagen nadat ik de boterhammentrommel heb ontvangen, doen mijn vrouw en ik een verzoek tot data-inzage bij WIJ Special Media.

Enkele dagen later ontvang ik een keurige e-mail, waarmee direct helder wordt wat WSM precies weet. De naam, geboortedatum, mailadres en het 06-nummer van mijn vrouw. Ons adres, de uitgerekende datum, de naam van mijn kind, het geslacht van mijn kind en zijn geboortedatum.

Geslacht, naam en geboortedatum zijn na zijn geboorte toegevoegd. Dat hebben we zelf gedaan – onder meer om een gratis blauw geboortemutsje met zijn naam erop te kunnen ontvangen.

En, zo staat in de e-mail: „Uw gegevens hebben wij in 2015 gedeeld met Procter & Gamble, Partou, Smallsteps en Rabobank.”

Januari 2020

Tijd voor de volgende stap: een bericht naar alle bedrijven waarmee WIJ Special Media mijn data heeft gedeeld. En ook naar Upfield, eigenaar van Blue Band en klant van WSM.

Elk bedrijf dat persoonsgegevens verzamelt, is verplicht een privacystatement op zijn site bij te houden. Veel organisaties hebben na het invoeren van de AVG een privacy officer aangesteld: iemand in de organisatie die verantwoordelijk is voor zaken die gegevensbescherming aangaan. Dataverzoeken als de mijne gaan doorgaans via een e-mail naar de privacy officer, of door invullen van een online formulier.

Ik vul een digitaal formulier in bij Procter & Gamble en Rabobank. En stuur een e-mail naar Upfield, Partou en Smallsteps (beide kinderopvangorganisaties) met het verzoek mijn gegevens in te zien. Organisaties zijn wettelijk verplicht om binnen een maand te reageren op dergelijke verzoeken.

De eerste problemen doemen al snel op: de bedrijven aan wie ik een verzoek heb gestuurd reageren niet, of sturen een e-mail met een verzoek tot identificatie. Ze willen tenslotte zeker zijn dat ze de juiste persoon voor zich hebben. Dat gaat, opnieuw, per bedrijf verschillend.

Procter & Gamble stuurt een brief per post toe met daarin een formulier waarin ik, met tegenzin, opnieuw – en nog meer – persoonsgegevens invul.

Partou mailt terug „ondanks zorgvuldig onderzoek” geen persoonsgegevens aangetroffen te hebben in zijn database. „Om die reden kunnen wij nu niet aan uw verzoek voldoen.” Ik stuur een bezwaar. Na nader onderzoek blijkt Partou mijn persoonsgegevens wel te hebben gehad, maar „niet meer in bezit te hebben”.

Partou stuurt ook meer details over wat het precies doet met de gegevens. De kinderopvangorganisatie blijkt WIJ Special Media te betalen „voor adressen die we (eenmalig) mochten benaderen met een DM (direct marketing) kaart [...]. In sommige gevallen hebben we apart betaald aan WIJ Special Media voor adressen om te mogen nabellen.” Na de DM-actie worden gegevens verwijderd, meldt Partou, dat zegt mijn data verder niet met derden te hebben gedeeld. Daarmee is voor mij de kous af.

Bij Rabobank gaat het net weer even anders. De bank stuurt een kopie van mijn persoonsgegevens toe via een beveiligde verzenddienst. Om toegang te krijgen tot de documenten is een sms-code nodig, die achterwege blijft. Rabobank vraagt daarna om mijn woonadres, zodat zij documenten kunnen toesturen – wat ik deze keer toch maar weiger, om zo niet nog meer gegevens toe te hoeven sturen.

Kinderopvangorganisatie Smallsteps kiest weer voor een andere benadering, blijkt als ik op 17 januari een mail van hen ontvang.

In het kader van een zorgvuldige afhandeling van uw verzoek, moeten wij allereerst uw identiteit vaststellen. Hiervoor ontvangen wij u graag op één van onze locaties. U bent voor deze legitimatie van harte welkom op het Smallsteps servicekantoor in Hengelo.

Ik besluit – vanwege corona – niet langs te gaan. Identificatie via post of videobellen blijkt onmogelijk. Het moet fysiek, laat een medewerker van Smallsteps weten aan mijn vrouw: „Dan zien we u graag op een later moment in Hengelo.”

Van Upfield, het bedrijf achter het Blue Band-trommeltje, horen we niets.

Februari 2020

Wat ik al snel leer, door de correspondentie met al deze bedrijven: ze zijn dergelijke verzoeken niet gewend.

Mails worden doorgestuurd naar verschillende afdelingen, er ‘moet even overlegd worden met een collega’. Brieven ‘komen niet aan’, privacyvoorwaarden zijn plots een tijd offline.

Hoeveel Nederlanders jaarlijks een verzoek tot data-inzage doen is onduidelijk. Een indicatie is er wel: ruim tienduizend Nederlanders vulden vorig jaar op de site van privacyorganisatie Bits of Freedom een standaardformulier in, waarmee bedrijven kunnen worden aangeschreven met een dataverzoek. De meeste verzoeken gaan naar grote bedrijven als ING, Albert Heijn of Google. Niet gek dus dat een kinderopvangorganisatie geen raad weet met mijn vragen.

WIJ Special Media krijgt „niet meer dan twintig verzoeken per jaar” binnen, meldt directeur Marcel Bakker. „We verwijderen jaarlijks circa tienduizend accounts uit ons systeem”, zegt hij. „Voor een deel op verzoek van een consument, en voor een deel omdat gegevens niet (meer) juist zijn.”

Intussen boek ik ook een succesje: Rabobank stuurt na wat mails over en weer de documenten op – zonder dat ik extra informatie hoef prijs te geven. De bank gebruikt de informatie uit de blije doos om „te checken of we deze klant aan onze kant herkennen”, laat een medewerker weten. „Zo ja, dan is het mogelijk dat de klant een aanbieding van onze kant krijgt, bijvoorbeeld om een rekening voor de pasgeborene te openen.”

Rabobank belooft binnen twee weken alle persoonsgegevens uit haar database te verwijderen. Dat heeft in totaal vier weken gekost.

Diezelfde week krijg ik ook een brief van Procter & Gamble, waarin het bedrijf belooft mijn via WIJ Special Media verkregen data binnen dertig dagen te verwijderen. Ook dat kostte vier weken: één online formulier, twee papieren formulieren en een handvol e-mails.

Maart 2020

Alleen Blue Band nog, maar eigenaar Upfield weigert nog altijd op e-mails te reageren. Ik besluit na twee reminders te dreigen met een stap naar de Autoriteit Persoonsgegevens, aangezien Upfield door niet aan mijn verzoek te voldoen de wet overtreedt.

Ik krijg direct antwoord.

Many thanks for your email. We are reviewing your request and shall respond shortly. Apologises for the delay.

Mijn e-mails bleken niet ontvangen, vanwege „Upfield-e-mailsystemen en een interne migratie tussen hostingplatforms”, zo mailt het bedrijf later.

Als later, op 6 maart, een overzicht van mijn persoonsgegevens volgt, komt het antwoord. „We begrijpen dat u uw toestemming heeft gegeven aan Upfield om uw persoonsgegevens te verwerken met als specifiek doel het deelnemen aan een promotie. Als onderdeel van de promotie stuurde Upfield u een broodtrommel”, schrijft het bedrijf. „Graag attenderen wij u erop dat u Upfield kunt vragen om al uw persoonlijke gegevens te verwijderen.”

Ik stuur de laatste e-mail, vier maanden nadat ik de boterhammentrommel ontving. Nog één keer 100 kilometer op en neer naar Hengelo – en dan ben ik klaar.

Reacties van de betrokken bedrijven

Rabobank: „Wij ontvangen klantgegevens van WSM. Consumenten die ook Rabobankklant zijn, ontvangen eenmalig een mail met een aanbieding voor een kosteloze spaarrekening voor het kind. Rabobank hecht er belang aan dat de klant regie heeft over gebruik van zijn data. ” Partou: „Via onze samenwerking met WSM, benaderen we zwangere vrouwen in de omgeving van onze vestigingen én ouders voor wie een Partou-locatie mogelijk interessant is. De zwangere vrouwen sturen we eenmalig een kaart. Daarnaast worden er vanuit WSM maximaal drie mails verzonden. We benadrukken dat we ons als vanzelfsprekend houden aan de regels die in de AVG zijn vastgelegd.” Smallsteps: „We werken samen met Yourzine, die op haar beurt een verwerkersovereenkomst heeft met WSM. Zo benaderen we zwangere vrouwen en jonge moeders door eenmalig een kaart met sokjes toe te sturen. Wij ontvangen geen gegevens van ouders. Yourzine krijgt gegevens van WSM en koppelt deze op basis van postcode aan locaties in de buurt.” Procter & Gamble: „P&G neemt de privacy van haar consumenten zeer serieus en streeft ernaar om alle wet- en regelgeving op het gebied van privacy- en databescherming na te leven.”