Privacy en een goede uitvoering van de overeenkomst

mijn-iak-portaal.pngEen lezer vroeg me:

Mijn verzekeraar heeft zonder mijn toestemming persoonsgegevens gebruikt voor een nieuwe dienst waarbij ik voortaan online via een ‘Mijn [naam verzekeraar]’ mijn verzekeringszaken kan afhandelen. Ik heb mijn verzekeraar een jaar geleden al laten weten dat ik hiervoor geen toestemming geef en dat ik geen gebruik wil maken van deze nieuwe dienst. De verzekeraar zegt nu dat ze mijn gegevens niet offline hoeven te halen en dat ik alleen de verzekering kan opzeggen.

Toestemming is de hoofdregel uit de privacywet, maar er zijn uitzonderingen. Eén zo’n uitzondering is als de verwerking “nodig is voor een goede uitvoering van de overeenkomst”. Ze hoeven bijvoorbeeld geen toestemming te vragen om je een pasje te geven met je naam erop. Dat pasje is nodig om elders te bewijzen dat je verzekerd bent. Net zoals een bank geen toestemming nodig heeft om mijn rekeningnummer te verwerken als iemand geld naar me overmaakt.

De vraag is dus of deze dienst “nodig” is voor het leveren van de verzekering. Zij zeggen van wel natuurlijk. Er is maar rechtspraak over dit onderdeel, dus dat wordt een moeilijke discussie. In de OV-chipkaartdiscussie was bijvoorbeeld de vraag of de NS studenten mocht verplichten om in- en uit te checken, onder meer met het argument dat dat een onterechte verwerking van hun persoonsgegevens opleverde. Maar dat mocht van de rechter. Dit had een redelijk doel en paste daarmee binnen de uitvoering van de vervoersovereenkomst:

Het niet inchecken maar het slechts laten uitlezen van de OV-chipkaart door de conducteur is dan ook niet meer voldoende omop basis van een geldig vervoersbewijs met het studentenreisrecht te kunnen reizen. (…) Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%-reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft. Het uitlezen van het type studentenreisrecht door de conducteur is dan onvoldoende.

Bij een verzekeringsportal zie ik de noodzaak iets minder. Het is immers goed mogelijk om de producten op papier te blijven leveren en telefonisch contact te onderhouden met de verzekerden. Maar aan de andere kant, het is een brede wens om dingen online te doen, dus redelijkerwijs is online aanbieden van verzekeringsinformatie wel een normale manier van levering van die dienst. En als je als grote verzekeraar dit voor veel mensen uitrolt, dan moet je het wel voor iedereen doen eigenlijk.

Wat denken jullie? Is een verplicht “Mijn [insert verzekeraar]”-portaal normaal en redelijk? Of moet je kunnen eisen dat alles op papier en telefoon gaat?

Arnoud

14 reacties

  1. Op zich is zo’n portal natuurlijk perfect, maar het gaat zo vaak mis. Ik ben er wel blij mee, want het is gemakkelijk en het scheelt de leverancier (en vaak mij) ook kosten, het is goed voor het milieu, en het scheelt in de ordners in mijn kast. Maar aan de andere kant kan ik zoveel anekdotes opnoemen waarbij ik niet blij ben met de manier waarop ze het uitvoeren.

    Toen ik bij mijn energieleverancier mijn e-mail adres doorgaf, kreeg ik daar binnen twee weken flinke hoeveelheden porno-spam op (ik gebruik bedrijfsnaam-mail@mijnachternaam.nl in combinatie met een catch-all op het domein).

    Een andere leverancier heeft mijn e-mail adres maar stuurt mij twee keer per jaar een brief dat ze mijn e-mail adres niet hebben. Laatst eens gebeld en ze snapten hun eigen brief ook niet.

    Mijn bank heeft een overeenkomst met een nieuwe creditcardmaatschappij. Toen ik mijn betalingsgegevens online wilde inzien moest ik een account aanmaken op basis van mijn e-mail adres. Dat vond ik jammer want vroeger kon het via internetbankieren, maar prima, het doel heiligt de middelen. Minder prima vond ik het dat ik na een paar weken een e-mail ontving ‘De prijswinnaars van de afgelopen actieperiode zijn bekend! Kijk snel of u één van de winnaars bent!’ en daarbij ook nog een paar keer de naam van de bank genoemd. De mail was verzonden door de creditcardmaatschappij.

    Dus ik stuur een mail met de vraag waarom ik die e-mail krijg, en waarom ze het in hun hoofd halen om een e-mail adres wat ik geef als login-account te gaan spammen zonder mijn uitdrukkelijke voorafgaande toestemming. Antwoord #1:

    Hartelijk dank voor uw vraag over een mogelijke nep e-mail die u hebt ontvangen. Internetcriminelen sturen met enige regelmaat e-mails met [bank] als afzender. Het e-mailbericht dat u hebt ontvangen is een zogenaamde phishing-mail waarmee men probeert financiële informatie van u te achterhalen. U wordt gevraagd om op een link te klikken die leidt naar een imitatiewebsite die lijkt op die van [banknaam] Bank. Ook kunnen sommige phishing-mails een virus bevatten.
    Nog maar eens uitgelegd. Antwoord twee:
    We hebben de e-mail waarover u schrijft bekeken en deze is inderdaad door [creditcardmaatschappij] aan u verzonden. We hebben u deze toegezonden vanwege een actie waar u als Card-houder automatisch aan meedoet. We begrijpen uit uw eerdere e-mail dat u dit niet op prijs stelt. U hoeft dan verder niks met de e-mail te doen.
    Antwoord drie (op de vraag waar de opt-out was):
    Wat betreft de communicatie met betrekking tot uw [bank] Credit Card gelden de Algemene Voorwaarden: “Artikel 20.5. Al onze communicatie met betrekking tot het gebruik van de Card en de (uitvoering van de) Overeenkomst vindt plaats in het Nederlands en zal naar onze keuze schriftelijk, per e-mail of SMS, telefonisch, of via onze speciale internetsites plaatsvinden.” Daarmee ontlenen wij ons het recht om u een dergelijke e-mail toe te sturen.
    Antwoord vier (op de vraag waar de opt-out was)
    U kunt kosteloos en gemakkelijk afmelden via de link onderaan de e-mail over de actie.
    Antwoord vijf (op de vraag waar de opt-out was)
    Graag lichten we artikel 9.1.e en g uit: 9.1 Wij gebruiken uw persoonsgegevens in overeenstemming met en voor de doeleinden die zijn beschreven in de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. Onder meer verwerken wij uw persoonsgegevens voor de volgende doeleinden: (e) voor het toesturen van informatie over producten, diensten en speciale acties. Dit kan gebeuren na analyse van uw persoonsgegevens, de gegevens die wij krijgen door het gebruik van de Card en het soort en omvang dan de diensten die u van ons afneemt.
    Dan ben je dus bezig met het oprekken van een overeenkomst die ik wel MOEST accepteren wilde ik nog fatsoenlijk betalingen kunnen verrichten. De enige keuzes die ik dan heb zijn a) de spam tolereren en me afmelden middels de opt-out link in de mail b) mijn gegevens niet online inzien.

    Maar online afmelden is niet mogelijk, ik mag van mijn bank namelijk niet klikken op links in e-mails waar hun naam in staat…. ik heb niet de moeite genomen te vragen hoe ze dat zien, ik weet al wat ze gaan zeggen: (g) Indien u geen prijs stelt op de informatie genoemd onder (e) kunt u dat kosteloos aan ons laten weten via antwoordnummer 1110, 1110 VB Diemen. .

  2. Ik denk dat ik met dezelfde Creditcard organisatie te maken heb gehad. Ik moest een wachtwoord invullen en deze zijn mij bij standaard in het formaat gxiKgQn_/v5d,F-#MZ4$BNk{. Deze was echter te lang en bevatte vreemde tekens. Dus ik moest er een maken van max 8 tekens met alleen a-z0-9. Mijn klacht hierover werd maar raar gevonden….

    Over het algemeen ben ik wel een voorstander van de online klanten portals maar daar zouden wel zeer strenge voorwaarden aan moeten zitten mbt de veiligheid en het gebruik van de gegevens.

  3. @N.P. Da’s dezelfde, want ik had dat ook. Ook mijn wachtwoord voldeed niet aan hun standaard. Ik kreeg terug ‘Verder begrijpen we dat u onze website onhandig vindt. We waarderen het dat u de moeite neemt om uw ervaringen met onze website aan ons door te geven.‘. Ja, jammer dat jullie dan niet de moeite nemen daar iets mee te doen.

  4. Net als Richard (post 2) gebruik ik een catch-all op mijn domeinnaam en genereer per bedrijf dus een bedrijfs-specifiek email adres. Dat werkt perfect om spammers mee te identificeren maar ook om valse emails mee te detecteren want b.v. de email van ABN-AMRO komt bij mij steeds binnen op een adres dat ik niet voor deze bank heb gereserveerd. Nepmails dus. (Maar goed, Google Apps Mail weet ze prima weg te filteren.)

    Voor een portal zal een verzekeraar natuurlijk wel een email adres nodig hebben. Dus indien je hen geen email adres geeft wordt zo’n portal al een stuk lastiger. En nee, niet iedereen heeft al een email adres. Niet iedereen heeft sowieso internet, dus bedrijven mogen er niet van uit gaan dat hun gebruikers hierover beschikken. En je kunt er ook niet van uit gaan dat gebruikers voldoende kennis hebben om de nepmails van de echte mails te onderscheiden. Een bank of verzekeraar die al hun automatisch een internet portal aanbieden nemen dan ook een enorm risico met de prive-gegevens van hun klanten, en wel om de volgende redenen: 1. De klant is te onervaren en wordt dankzij nepmails besmet met malware die alle klantgegevens jatten. 2. De portal gegevens kunnen in verkeerde handen vallen, zodat iemand anders dan de klant over deze gegevens kan bezitten. 3. De portal kan het doelwit worden van hackers die de achterliggende data gaan stelen om deze te misbruiken. 4. Medewerkers van de verzekeraar krijgen mogelijk te eenvoudig toegang tot de prive-gegevens van de vele klanten. 5. Software fouten kunnen ervoor zorgen dat data corrupt raakt of aan de verkeerde persoon worden doorgestuurd, waarbij de software van webportals vaak van mindere kwaliteit is dan de software van de bank of verzekeraar zelf.

    Gezien de risico’s zou een dergelijke portal moeten vallen onder een opt-in en zou het bedrijf geen extra kosten mogen doorberekenen aan klanten die er geen gebruik van maken. Ik vind de risico’s te groot om klanten hiertoe te verplichten.

    Dat is mijn mening en daar zult U het mee moeten doen! 🙂

  5. Wim: Ik zie niet in waarom punt 3,4,5 specifiek zouden gelden voor een webportal en niet voor hun eigen klanten administratie. Over het algemeen is zo’n klanten portal bedoeld om zelf je adres te kunnen wijzigen, je laatste facturen te downloaden etc. Phishing is dan nauwelijks interessant.

  6. @Richard #2

    Wat betreft de communicatie met betrekking tot uw [bank] Credit Card gelden de Algemene Voorwaarden: /knip/ Daarmee ontlenen wij ons het recht om u een dergelijke e-mail toe te sturen.
    Misschien moet je ze toch eens wijzen op deze publicatie van de OPTA :
    Deze toestemming is alleen geldig als de ontvanger goed geïnformeerd is en op eigen initiatief specifiek toestemt. Toestemming via algemene voorwaarden, een privacy- en/of permission statement is niet geldig.

  7. @N.P. De punten 3, 4 en 5 hebben deels te maken met mijn eigen, persoonlijke ervaringen als software engineer. Eerst en vooral de kwaliteit van portals: de meeste grote bedrijven hebben in-house programmeurs die de administratieve software bijhouden en aanpassen als daar enige noodzaak voor is. Daarbij kan het gebeuren dat ze af en toe extra krachten inhuren maar de processen die gevolgd worden voor het bouwen van dergelijke software worden strict in de gaten gehouden. Een webportal, daarentegen, is meestal door een externe partij gebouwd waarbij een lage prijs vaak meeweegt met de beslissing voor welke software uiteindelijk gebruikt gaat worden. Dit geldt overigens niet alleen voor de webportal zelf maar ook andere software die voor extern gebruik bedoeld is. Over de kwaliteit van deze software is vaak minder controle dan over de in-house software en de code voor deze projecten ligt bij een externe partij die deze kan delen met andere partijen en waarbij de kans aanwezig is dat de broncode uitlekt. (Bijvoorbeeld omdat ex-werknemers de code kopieren voor ze vertrekken.)

    Daarnaast is het beheer van de in-house administratie meestal vrij beperkt door toegangsrechten en terminals die aan een mainframe zijn gekoppeld. Een webportal biedt vaak betere toegang tot de data en maakt het daardoor eenvoudiger om de data in te kijken. De webportal fungeert hierbij als een brug tussen de gebruiker en het mainframe en de portal site zelf heeft toegang tot alle data, zonder al te veel beperkingen. Daardoor kan iedereen met toegang tot de portal in theorie bij meer gegevens dan wanneer ze met hun eigen account rechtstreeks op de mainframe werken. Dit hoeft niet altijd het geval te zijn, natuurlijk. Daarnaast zal een webportal zelf ook de gebruikers kunnen inperken in hun rechten. Maar als een gebruiker op de portal zijn rechten kan verhogen dan kan hij overal bij komen waar de portal bij kan komen. Dat in combinatie met dat portals vaak door externe partijen zijn gebouwd maakt een portal vaak kwetsbaarder dan de in-house toepassingen.

  8. “Ik heb geen toestemming voor deze aktie gegeven, of beter gezegd, ik het gezegd dat ik het niet wilde! Wat begrijpt U hiervan niet?” Mijn leverancier heeft dan twee mogelijkheden. Of ze stoppen per direkt met het misbruik maken van persoonsgegevens of e mogen de toezichthouder uitleggen, waarom ze van mening zijn het toch te moeten doen. Alleen als er konsequent klachten bij dit soort misbruk wordt ingedient bestaat de kans, dat het afneemt.

  9. @Eric, dank, ga ik zeker doen!

    @Wim

    Voor een portal zal een verzekeraar natuurlijk wel een email adres nodig hebben. Dus indien je hen geen email adres geeft wordt zo’n portal al een stuk lastiger
    Inderdaad, en daarom geef ik ook met liefde mijn e-mail adres daarvoor. Maar dan moeten ze het wel gebruiken voor de noodzakelijke mails: bevestiging van het account, en wachtwoord vergeten. Wanneer ik zo’n e-mail krijg dan verwacht ik die ook. En alle andere mails, de bank zegt zelf al dat ik die niet mag vertrouwen.
    En je kunt er ook niet van uit gaan dat gebruikers voldoende kennis hebben om de nepmails van de echte mails te onderscheiden
    Mijn bank kan dat dus zelf niet eens…

  10. Ik heb zo mijn twijfels over de praktische invulling van ‘goede uitvoering van de overeenkomst’. Ik ken ook een bedrijf dat op deze manier te werk is gegaan en niet meer toestaat dat klanten bij lokale kantoortjes hun zaken doen, maar eist dat klanten dat via een centrale webserver doen. Daar hangt voor mij een sterke geur van kostenbesparing aan vast. En daar wil ik mijn persoonsgegevens niet voor laten gebruiken. Daarbij komt dat ik voor sommige zaken, zoals verzekeringen, liever iemand tegenover me heb die me helpt, dan dat ik aan een webserver hang.

  11. @Richard: Ik heb het hier niet over vieze of mooie woorden. Mijn punt is of kostenbesparing gezien wordt als ‘goede uitvoering van de overeenkomst’ en of ik verplicht ben mijn persoonsgegevens daarvoor te laten gebruiken. Als dat zo is, stelt (in mijn beleving) de bescherming van persoonsgegevens niet veel voor. Elk bedrijf kan dan wel een reden verzinnen waarom gebruik van de persoonsgegevens nodig is voor een ‘goede uitvoering van de overeenkomst’.

  12. T.a.v. #2, #4, #7, na veel heen en weer gemail (met vele pijnlijk foute statements vanuit de creditcardmaatschappij) werd ik vanmiddag gebeld door een juriste van betreffende organisatie.

    Samenvattend: – alle communicatie rondom AV was onjuist en mag ik – met excuses – negeren. – bij het inschrijven van nieuwe klanten gaan deze expliciet akkoord op het (papieren) aanmeldformulier; – bij mij is dat aanmeldformulier 14 jaar geleden ingevuld (dus van voor deze wetgeving) – het scherm waarop ik mijn e-mail adres moest invoeren vroeg dit adres (naar zeggen) ter verificatie. Men is het eens met mijn stelling dat dat niet echt duidelijk was.

    Nog steeds tikje twijfelachtig maar in ieder geval heeft men dit serieus uitgezocht.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.