Zelf eens opgevraagd bij Experian welke gegevens nu exact gedeeld worden, en welke gegevens tot voor kort dus blijkbaar doorverkocht konden worden door Experian.

Het aanvraagproces van je data is eenvoudig en antwoord kwam bij mij twee dagen later per post, dat is wel netjes.

Hierbij de geanonimiseerde Experian data.

In mijn geval niet zo heel spannend allemaal, maar ik kan me voorstellen dat dit in sommige gevallen anders ligt.

Met name doorverkoop van email en telefoongegevens lijkt mij totaal onnodig. Ik had zelf geen benul dat een telefoonnummer dat ik in mijnKPN zet ook wordt gedeeld en evt doorverkocht.

Data wordt 6 jaar bewaard met data ouder dan 3 jaar wordt alleen voor “analytische doeleinden” bewaard.

Analyse is een middel en geen doel. Wat is het doel?

Ben ook niet helemaal gerust op de belofte die KPN maakt in Mijn KPN onder privacy:

Jouw privacy

Jouw privacy is voor ons net zo belangrijk als voor jou

Daarom gaan we bij KPN uiterst zorgvuldig met je persoonsgegevens om. 

De DDMA heeft onze privacy waarborg beoordeeld met goud.

We beloven jou dat:

1. je de baas bent over jouw gegevens.
2. je persoonsgegevens niet verkocht worden aan andere partijen.

3. we nooit kijken naar de inhoud van je gesprekken en berichten.

Nog een ding, het zou fijn zijn als KPN daar toelichting op kan geven:

Het gaat om deze zin:

“De DDMA heeft onze privacy waarborg beoordeeld met goud “

Het zou heel fijn zijn om te snappen, waarom de DDMA “Goud” aanbeveling, voor ons abonnees, en voor KPN klanten een positieve aanbeveling zou zijn.

DDMA is de branchevereniging voor bedrijven die graag marketing ondersteunen met data, die hebben voor mij -even zwart/wit- en misschien wat dik aangezet een deels tegengesteld belang.

“ DDMA staat voor succesvolle en verantwoorde data-driven marketing. Marketing die mensen in beweging brengt, door data, technologie en creatie elkaar te laten versterken. Verantwoord omgaan met data en technologie is daarbij essentieel. Voor het vertrouwen van consumenten én de toekomst van de marketingsector.”

Waarom geen gouden aanbeveling door een consumentenbelangenvereniging zoals bijvoorbeeld de consumentenbond ? Er zijn meer dan 3 miljoen door KPN aangesloten huishoudens die een belang hebben dat er netjes gehandeld wordt. 

Dat DDMA klinkt voor mij als je aansluiten bij een branche vereniging van eender welke sector dan ook of het nu in bouw is of hoveniers je kan een mooie sticker op je bus plakken of een logo op je website maar het zegt helemaal niets over hoe betrouwbaar je bedrijf is.

KPN doet de volgende belofte:

• Wij ….  bieden je simpele mogelijkheden om je gegevens en privacy-keuzes in te zien en aan te passen.

Ik ben nu toch wel heel benieuwd waar ik in MijnKPN kan aangeven dat mijn gegevens niet gedeeld mogen worden met derden. Alles wat ik in mijn profiel qua privacy kan instellen, gaat niet over het delen met derden. Dus is mijn vraag:

Heeft de kpn-klant dan geen enkele mogelijkheid om aan te geven dat persoonlijke gegevens niet gedeeld mogen worden met derden?

Zoals ik hem lees, zijn de privacy voorwaarden van toepassing, waarin staat in artikel 10.2.8 dat onze gegevens gedeeld worden.

Vervolgens staat dan in MijnKPN onder “Jouw Privacy” vrijwel het tegenovergestelde. Dus ik ben het helemaal met je eens dat dit onduidelijk is.

De privacy-keuzes zijn maar heel beperkt, de illusie die gewekt wordt is anders.

Dat een groot percentage van het bedrijfsleven maling heeft aan hun klanten weten we inmiddels wel, maar het feit dat de Autoriteit Persoonsgegevens al meerdere jaren onderzoek naar betreffende constructie doet en tot dusver nog geen officieel oordeel geveld heeft en daarmede de politiek hun minachting richting de consumentenbevolking bewijst maakt mij boos tot zeer kwaad!

In onderstaand topic op het forum van Simyo heb ik ook de vraag gesteld waar precies ik dan in mijn instellingen van Simyo zou kunnen aangeven dat mijn gegevens niet gedeeld mogen worden.

https://forum.simyo.nl/mijn-simyo-148/simyo-en-experian-gegevens-doorverkocht-47438

Ach die hele AVG is een lachertje. Als je jouw klanten maar inlicht en goed op papier hebt staan wat je doet met welke gegevens dan kom je met zeer veel zaken weg.

Heel simpel gesteld komt de regelgeving daar op neer.

En mischien heb ik het fout maar toch verwacht ik dat niet veel klanten de voorwaarden uitgebreid bestuderen voor ze klant worden bij een internet provider, of waar dan ook.

Het grootste probleem van dit geval is natuurlijk dat de adressen van bepaalde personen zo te achterhalen waren, anders hadden we hier weinig tot niets van gelezen.

Ik heb inmiddels een klacht ingediend bij KPN

Ben het niet eens met het feit dat KPN verder gaat dan in “10.2.8 Verstrekken gegevens aan derden ten behoeve van risico-analyse en kredietregistraties” staat.

Het bewijs dat er een continue deling van persoonsgegevens is, is geleverd.  Delen is niet alleen bij afsluiten of verlenging.  Mijn telefoonnummer is in november gewijzigd, dit is gedeeld met Experian, waarom?

Deze werkwijze is niet gedekt onder de voorwaarden, en wat mij betreft ook niet akkoord.

Ik wacht de 5 werkdagen af.

@Katana321 

Heb die ook eens goed gelezen. Het verhaal wordt steeds mooier. KPN deelt dus binnen de BV’s  onderling dus gegevens. Heb dat nog niet in de KPN voorwaarden kunnen vinden. Simyo daarentegen noemt Experian niet, terwijl ze feitelijk dezelfde route volgen.

Dank voor deze informatie.

Intressant VodafoneZiggo deelt volgens eigen zeggen geen gegevens met Experian echter uit hun privacystatement blijkt duidelijk dat de database van Experian naast een paar andere diensten wel wordt gebruikt.

De 5 werkdagen voorbij. Alleen een paar mails met inhoud van het privacy reglement van KPN dat ik zelf ook al had bijgesloten. Geen antwoord op de vragen.
Ga de case uitwerken en opschalen. 

@Galdor68 Ik heb eens, uit nieuwsgierigheid, ook mijn gegevens bij Experian opgevraagd. Ik sta ook met Vodafone in het register, terwijl ik dat nergens in hun Privacy statement terug kan lezen.

Verder wel echt bijzonder hoeveel gegevens er van mij worden opgeslagen. Van Vodafone, KPN, Riverty, Klarna, Zalando (maar één keer wat besteld daar joh) en Capayable. Gelukkig, zoals verwacht, niet negatief.

Vind het ook wel een dilemma: ene kant begrijp ik bedrijven wel, want er zijn veel mensen die hier ook misbruik van maken en op deze manier bouw je wel reputatie op. Maar ja, je hebt natuurlijk ook privacy.

Vandaag alsnog gebeld door iemand van de klachtenafdeling.

De vragen in de klacht zijn dacht ik helder:

• Hoe kan het dat onze gegevens verkocht worden, iets wat specifiek wordt uitgesloten in de privacy statement. KPN had dit kunnen en moeten weten omdat het in de privacy statement van Experian staat..
• Krijgen we een excuus en een lijst met aan wie onze gegevens zijn doorgegeven?
• is de Authoriteit gegevensbescherming geïnformeerd

Dan nog de systeemzaken:

• in 10.2.8 staat dat de gegevens gedeeld worden bij aangaan of verlengen van een contract. De praktijk is dat dit er een continue update is van KPN->Experian.
• De vraag is of er een overwegend belang is om ook o.a. email-adres en telefoonnummer te delen met de externe partijen. Wat moeten die daarmee (anders dan verkopen?)

De uitkomst van het gesprek was eigenlijk wel als verwacht. De persoon zat niet diep in de materie we konden het dan ook niet eens worden. Hij belde terwijl ik op mijn werk was, dus ik had ook de gelegenheid niet om stap voor stap door de onduidelijkheden te lopen.

Op de expliciete vraag of hij een mail zou sturen met de uitleg/vastlegging, werd aangegeven dat een klachtbehandeling altijd telefonisch gaat. Even puntsgewijs de klachtpunten langslopen en vastleggen zit er niet in.

Dus twee dingen geleerd: 

• Ik heb niet voor niets een klacht ingediend bij de autoriteit persoonsgegevens.
• Klacht indienen: neem het gesprek op als ze bellen, want een vastlegging is er niet, iets wat een escalatie in een later stadium kan belemmeren

Tot zover. Ik sluit voor mezelf de post, omdat ik denk ik gedaan heb wat ik tot nu toe kon.

Ik zie dat een moderator in dit topic nog niet gereageerd heeft. Ik hoop dat dat snel gaat gebeuren.

Ik kan ook bevestigen dat KPN persoonsgegevens doorgeeft aan Experian Nederland. Dit heb ik zowel via Experian als KPN bevestigd gekregen. Het gaat om de volgende persoonsgegevens: Naam, Geboortedatum, Adres, Telefoonnummer en E-mailadres. Deze gegevens worden al gedeeld vanaf het moment dat je een abonnement afsluit. Dus niet pas op vanaf moment dat je een betaalachterstand hebt. In principe worden dus de persoonsgegevens van alle KPN klanten doorgegeven.

Na doorvragen bij KPN begrijp ik dat zij geen verwerkersovereenkomst hebben met Experian voor het uitwisselen van deze persoonsgegevens. Experian is namelijk geen verwerker, maar een “zelfstandig verwerkingsverantwoordelijke”. Dit betekend dat Experian zelf de doelen bepaalt waarvoor zij persoonsgegevens verwerken. Experian heeft hier een eigen juridische grondslag voor nodig, die beschreven is in de Experian privacyverklaring.

KPN geeft ook aan dat er contractuele afspraken zijn waardoor Experian de doorgegeven persoonsgegevens alleen mag verwerken voor “opstellen en verstrekken van hun kredietinformatieproducten en -diensten”. Het is mij helaas niet duidelijk geworden hoe dit afgesproken kan worden tussen twee zelfstandig verwerkingsverantwoordelijke. KPN geeft aan dat zij met Experian een eigen contract overeengekomen zijn. Opvallend is dat Experian nergens dat deze contractuele afspraken noemt, ook niet als naar gevraagd wordt in de context van de gegevens die door KPN doorgegeven zijn.

Voor de volledigheid het citaat, afkomstig uit een e-mail vanuit rechtenavg@kpn.com:

“Experian treedt niet op als verwerker van KPN, maar als zelfstandig verwerkingsverantwoordelijke. Zij gebruiken de gegevens namelijk niet alleen ten behoeve van KPN, maar ook om risicoprofielen op te stellen die tevens ter beschikking worden gesteld aan andere bedrijven dan KPN. Dat betekent echter niet dat Experian de gegevens ongelimiteerd voor eigen doeleinden mag gebruiken; contractueel heeft KPN met Experian afgesproken dat zij de gegevens alleen mogen gebruiken voor het opstellen en verstrekken van hun kredietinformatieproducten en -diensten (en daarnaast, voor de volledigheid, voor onderzoeks- en testdoeleinden).”

Verder heb ik geprobeerd om bezwaar te maken tegen het delen van mijn persoonsgegevens met Experian. Mijn argumentatie is dat ik een vast internetabonnement heb dat vooraf gefactureerd wordt. Er is geen sprake van krediet (telefoon op afbetaling), of kosten die tijdens het abonnement nog gemaakt kunnen worden (belminuten, etc.) KPN geeft geen gehoor aan dit bezwaar en blijft persoonsgegevens uitwisselen om zo de krediet- en incassorisico’s te beperken.

Mijn grootste resterende vragen zijn op dit moment:

1. KPN deelt persoonsgegevens met een zelfstandig verwerkingsverantwoordelijke. Hiervoor beroept KPN zich op een gerechtvaardigd belang, namelijk haar krediet- en incassorisico. Het is onduidelijk of dit gerechtvaardigd belang wel een grondslag kan zijn om persoonsgegevens door te geven aan derde partijen. Het doorgeven van persoonsgegevens aan een derde partij - Experian als zelfstandig verwerkingsverantwoordelijke - is op zichzelf al een verwerking van persoonsgegevens, waarvoor een juridische grondslag nodig is. Waarom sluit KPN niet gewoon een verwerkersovereenkomst af?

2. De eerste keer dat mijn persoonsgegevens gedeeld zijn was in 2021. Er was toen nog een oudere KPN privacyverklaring ‘van toepassing’, waarin niet duidelijk beschreven stond dat er persoonsgegevens gedeeld worden bij het afsluiten van vaste internetabonnementen. Is KPN haar boekje te buiten gegaan en is dat ‘stilletjes’ opgelost in de jaren daarna? Zonder dat de klanten die dit betreft zijn geïnformeerd en de kans hebben gekregen om hun abonnement op te zeggen voordat die gegevens gedeeld worden?

Ik verwacht hier verder weinig werk van de maken. Mijn abonnement is inmiddels opgezegd en ik sluit komende week een internetabonnement af bij een provider die wel om privacy geeft. Ik zal waarschijnlijk nog een aantal verwijder verzoeken sturen naar zowel KPN als Experian na het aflopen van mijn abonnement. Ik heb er echter weinig vertrouwen in dat daar iets mee gedaan wordt. Net zoals ik weinig vertrouwen heb in de relevante toezichthouder (AP). De enige realistische optie om dit soort praktijken te stoppen is een gerechtelijke (kantor)rechter procedure die toetst aan de rechtmatigheid van al deze praktijken. Maar dat is mij op dit moment nog een drempel te ver.

Mocht iemand anders de vragen willen oppakken, dan lees ik in dit topic graag mee hoe het loopt.

Maak je er toch niet druk over @darses je bereikt er geen moer mee. Dat maat het leven een stuk aangenamer. 

Ik ben niet zo fatalistisch ingesteld. Op deze manier kan iedereen die bij KPN een abonnement wil afsluiten in ieder geval een geïnformeerde keuze maken. Dat is op zichzelf al een nuttige bijdrage.