AVG : op 26 mei 2018 verzond ik 20 verzoeken. Hier de resultaten

Op 26 mei 2018 heb ik een twintigtal bedrijven om toegang tot mijn gegevens gevraagd en heb ik van de gelegenheid gebruik gemaakt om vragen te stellen over de algoritmische verwerking ervan, over gegevens van derden verkregen, … Ik moet zeggen dat ik positief verrast ben over de kwaliteit van de antwoorden die ik van de meeste bedrijven heb ontvangen. Bij een aantal van hen werd echter al snel duidelijk dat uitvoerig antwoorden (of gewoon al antwoorden) op een klant geen prioriteit was.

Laten we beginnen met de conclusies: wat heeft me verrast?

Een aantal reacties heeft me positief verrast door hun kwaliteit, maar bij andere was ik eerder teleurgesteld. De bedrijven die het meest over mij weten (Facebook, Spotify, Pinterest en andere sociale netwerken) hebben mijn vragen niet beantwoord en hebben mij gewoon een kopie van mijn ruwe gegevens verstrekt. Op het eerste gezicht zagen deze gegevens er niet buitengewoon, niet ongewoon uit. Omdat ik weet wat ik doe op sociale netwerken en een kort geheugen heb, was er niets wat me in het bijzonder verbaasde.
Ik had graag gezien hoe mijn gegevens worden verwerkt en vermalen, maar natuurlijk gaf geen van de sociale netwerken mij dit soort informatie (hoewel het expliciet deel uitmaakte van mijn verzoek).

Alleen lokale bedrijven hebben mijn vragen beantwoord. De antwoorden die ik ontving hadden alleen betrekking op gestructureerde gegevens; alle ongestructureerde gegevens (documenten, gesprekken, e-mails) werden door alle ondervraagde bedrijven weggelaten (hoewel die persoonsgegevens bevatten). Slechts 2 (van de 20 bevraagde) bedrijven kunnen er prat op gaan mijn vragen perfect beantwoord te hebben. Slechts drie maatschappijen (een aanvullende verzekering, een grote bank en een autoverzekeringsmaatschappij) hebben niet binnen de termijn van 30 dagen geantwoord.

Hieronder vindt u de resultaten in detail. Om redenen van vertrouwelijkheid geef ik geen namen van de betrokken bedrijven, behalve voor bedrijven die actief zijn in sociale media.

Niveau 1: bedrijven die zich er niets van aantrekken of er alles aan doen om niet te moeten antwoorden

Van de 20 brieven die ik heb verstuurd, werden er slechts 3 nog niet beantwoord; de eerste maatschappij (mijn aanvullende ziektekostenverzekering) heeft mij een formulier gestuurd dat ik voor de inwerkingtreding van de AVG moest ondertekenen (op straffe van het niet meer kunnen terugbetalen). Helaas werd hun bereidheid om mij te laten ondertekenen niet gevolgd door dezelfde bereidheid om mij te antwoorden. Het tweede bedrijf (een bank) eiste van mij dat ik een afspraak maakte in een van hun kantoren om mezelf te identificeren voordat ze mijn vragen konden beantwoorden. Dit soort identificatiemethode is een uitstekend afschrikmiddel en een barrière die ervoor zal zorgen dat slechts een paar verzoeken worden verwerkt (kent u veel mensen die tijdens hun werkdag vrij kunnen nemen om naar de bank te gaan?). Ter informatie, ik ben naar een van de 3 betrokken banken gegaan en wacht nog altijd. Het derde bedrijf is mijn autoverzekering.

Niveau 2: bedrijven die u gewoonweg een bestand toesturen

Alle internetreuzen (Twitter, Facebook, Pinterest) aan wie ik mijn verzoeken heb gestuurd, hebben snel gereageerd met een kopie van mijn gegevens. Maar alle vragen die ik had gesteld, bleven onbeantwoord. Ik meldde dat ik wachtte op een antwoord op mijn andere vragen, zonder succes. Hun echte bekommernis is de AVG-kosten zo veel mogelijk te verminderen door het proces zo veel mogelijk te automatiseren, wat natuurlijk betekent dat alles buiten het kader wegvalt. In deze categorie zit ook een datamakelaar die, ondanks een grondig antwoord op mijn vragen, de bal doorspeelde toen ik hem vroeg waar de gegevens die hij over mij had vandaan kwamen en of hij had gecontroleerd of ze legaal waren verzameld. Hij beriep zich op zijn “rechtmatig belang” om zijn gebrek aan controle te rechtvaardigen. Een beetje gemakkelijk maar wel effectief als de controlerende autoriteit (die ik contacteerde) niet echt de tijd of de middelen heeft om verzoeken van burgers te verwerken (zie mijn ander artikel over dit onderwerp).

Niveau 3: gedetailleerde antwoorden, maar onvolledige gegevens

In deze categorie bevinden zich alle bedrijven die mijn vragen hebben beantwoord, maar niet in staat waren mij een volledige lijst te geven van de persoonlijke gegevens die ze over mij hadden. Een bank had bijvoorbeeld, ondanks herhaalde contacten in het verleden en een groot aantal documenten die werden verstuurd om een kredietofferte te krijgen, niets anders dan mijn geboortedatum in haar databases. Het lijkt erop dat er geen gecentraliseerde database is. Ongestructureerde gegevens worden waarschijnlijk ook niet geanalyseerd, wat zou verklaren waarom er zo weinig werd gevonden over mijn persoon.

Niveau 4: grote klasse

Deze categorie omvat slechts 2 bedrijven: een kredietmakelaar en een bedrijf voor directe mailing. In het bijzonder de kredietmakelaar (de enige die zijn antwoord per aangetekende brief heeft gestuurd) heeft zich duidelijk ingespannen om een zo nauwkeurig mogelijke reeks van mijn persoonsgegevens te bewaren en heeft al mijn vragen perfect beantwoord, zonder ze te verbergen.

Door Pierre-Nicolas Schwab Pierre-Nicolas is de directeur van de marketing agentschap IntoTheMinds. Hij heeft speciaal interesse voor e-commerce, retail, HoReCa en supply-chain projecten. Hij is ook een onderzoeker aan de Vrije Universiteit Brussel en werkt ook als coach voor meerde publieke organisaties. Hij verwelkomt Linkedin uitnodigingen : gelieve gewoon een paar woorden toe te voegen en uit te leggen waarom U wilt connecteren.