CBP: Albert Heijn schond privacy met bonuskaart
Albert Heijn heeft met een nieuw voordeelprogramma rond de persoonsgebonden bonuskaart de Wet bescherming persoonsgegevens overtreden. zo concludeert het College bescherming persoonsgegevens (CBP). Zo voldeed de door Albert Heijn gevraagde toestemming voor het doen van persoonlijke aanbiedingen in het kader van het Mijn Bonus-programma (oftewel een ´opt-in´) niet aan de eisen.
Het CBP stelt dat Albert Heijn de in de loop van het onderzoek vastgestelde overtredingen van de Wet bescherming persoonsgegevens heeft beëindigd. Het het bedrijf heeft het Mijn Bonus-programma opgeschort totdat klanten een hernieuwde opt-in hebben gegeven. Daardoor is er geen aanleiding voor het opleggen van een sanctie.
Anoniem
Het CBP ontdekte verder dat Albert Heijn van houders van een anonieme bonuskaart over adresgegevens kan beschikken, bijvoorbeeld indien de klant zijn NAW-gegevens opgeeft voor het doen van bestellingen in de webwinkel. Hierdoor verliest deze houder zijn anonieme status.
Naar aanleiding van het onderzoek van het CBP heeft Albert Heijn haar privacy- en cookiebeleid aangepast en op haar website gepubliceerd en aangegeven in welke gevallen de houder van de anonieme bonuskaart zijn anonieme status verliest. Hierdoor handelt Albert Heijn ook op dit punt niet langer in strijd met de Wet bescherming persoonsgegevens.
Het herkennen van de overtreding maakt nog niet dat je over de oude situatie de klanten maar niet hoeft in te lichten. Wanneer je een diefstal hebt begaan en nu maatregelen hebt getroffen om herhaling te voorkomen maakt dat het voor de slachtoffers nog niet goed, die zijn nog steeds slachtoffer.
"sorry agent, ik ging inderdaad te snel maar ik hou me nu aan de snelheid hoor... ". Volgens mij krijg ik gewoon een boete hoor....
Het probleem was, afgaande op wat ik in het rapport lees, niet dat AH sneaky allerlei ongewenste koppelingen zat te leggen, maar dat ze niet duidelijk genoeg beschreven hoe het werkt in hun privacy- en cookiebeleid. Het gaat om koppelingen die de klanten zelf leggen: gebruik van de anonieme bonuskaart in combinatie met de 'Mijn ah.nl'-account, op de webwinkel, een bewust gekozen koppeling met een airmileskaart, een vermelding op een klachtenformulier. Wat AH nu moest doen is in detail uitleggen wat er precies met de gegevens gebeurt in welke situaties. Dat doen ze hier:
http://www.ah.nl/privacy
Zeer gedetailleerd, inderdaad. Ik heb niet alles in detail doorgelezen maar ik zie zo snel niets staan waar ik van schrik. Nogal wiedes dat ze om via je anonieme bonuskaart airmilesgegevens te verwerken een koppeling met die verwerking moeten leggen. Het is wel belangrijk om te weten dat daar een derde partij bij betrokken is. Als de koppeling via een klachtenformulier is gelegd wordt hij alleen voor het afhandelen van die klacht gebruikt. Net wat ik zou willen.
Ik vind het uitstekend dat bedrijven tot transparantie gedwongen worden. Het probleem met AH was zo te zien niet dat ze vervelende dingen met de gegevens doen (ik vind het er eigenlijk keurig uitzien) maar dat ze niet transparant genoeg waren.
Da's heel belangrijk, maar ik zie hier geen misleiding of ongeoorloofd gebruik van gegevens waarvan klanten individueel op de hoogte moeten worden gesteld. Ik kan me wel voorstellen dat CBP dat niet vereist.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.