E-mailadressen, telefoonnummers en huisadressen. Veel bedrijven sturen hun klantbestanden naar Facebook. Met als doel om gepersonaliseerde advertenties op Facebook te tonen. Dat mag niet volgens de privacywet tenzij de klant daarvoor toestemming heeft gegeven. De Consumentenbond sprak 17 bedrijven hierop aan.

Het begon allemaal met een klacht van een lid over Nuon. Nuon had contactgegevens ongevraagd aan Facebook doorgegeven. Wij onderzochten of er meer organisaties zijn die dit doen. Hieruit bleek dat bijvoorbeeld de ANWB de e-mailadressen van zijn leden deelde met Facebook. Hoewel zij op de website zeggen geen gebruik van persoonsgegevens door derden toe te laten.

Reacties bedrijven: 'Iedereen doet het'

De ANWB en Nuon zijn waarschijnlijk het topje van de ijsberg. Ons kleinschalige onderzoek leverde al 17 bedrijven op die hun klantbestanden zonder toestemming van de klant naar Facebook sturen om zo betere advertenties voor te kunnen schotelen. Meestal gaat het om mailadressen, maar soms ook om huisadressen, geboortedata en telefoonnummers.

We hebben alle bedrijven om een reactie gevraagd. ‘Bijna iedereen die zo online adverteert doet het’, lieten verscheidene bedrijven weten. Hun eerste verweer is vaak: ‘Maar we versleutelen de gegevens; dus Facebook kan daar niets mee.’ Dat doet volgens de toezichthouder, de Autoriteit Persoonsgegevens (AP) echter niet terzake.

Gerechtvaardigd belang

Een tweede argument om geen toestemming te vragen, is dat er een ‘gerechtvaardigd belang’ zou zijn. Die bepaling in de privacywet stelt dat bedrijven geen toestemming hoeven te vragen bij een zwaarwegend bedrijfsbelang. Onder andere de KLM en de Postcodeloterij gaven dit op als reden. Volgens de Postcodeloterij valt onder het gerechtvaardigd belang ‘het zo relevant en persoonlijk mogelijk benaderen van consumenten’.

De reactie van AP: 'Direct marketing aan klanten over andere producten mag alleen met toestemming van de klant. Dat de Postcodeloterij zich hier op haar gerechtvaardigd belang kan beroepen, is onjuist.'

Privacywet wordt overtreden

Wij kunnen niet anders concluderen dan dat de Postcodeloterij de wet overtreedt. De Postcodeloterij is niet gelukkig met ons onderzoek: ‘Wij stellen u aansprakelijk voor alle schade die voortvloeit uit uw publicatie’.

De Consumentenbond vindt het ontoelaatbaar dat organisaties ongevraagd klantbestanden met partijen als Facebook delen en oordeelt dat reclame geen ‘gerechtvaardigd belang’ is.

Laatste stand van zaken

Er is ook goed nieuws. Naar aanleiding van ons onderzoek zijn de ANWB, Nuon en Oxfam Novib gestopt met het ongevraagd delen van klantbestanden met Facebook. Hieronder een overzicht van alle reacties (en eventuele vervolgacties) van de bedrijven die door ons zijn benaderd.

Gestopt Heroverwegen Gaan door Geen reactie ANWB Essent Bankgiroloterij Heerlijk.nl Bijenkorf KLM KPN/Telfort Hello Fresh FBTO Transavia Persgroep Hotels.nl Nuon Postcodeloterij Oxfam Novib Vakantieveilingen Vriendenloterij

Update: 17 mei 2018

Kamervragen naar aanleiding van ons onderzoek

Eind 2017 hebben SP-Kamerleden Hijink en Van Nispen hebben minister Dekker van Rechtsbeschermingeind Kamervragen gesteld naar aanleiding van ons onderzoek.

Samengevat waren hun vragen en de antwoorden van de minister:

Hoeveel bedrijven zich schuldig maken aan deze overtreding? 'Hierover heeft Facebook geen cijfermatige informatie verstrekt.'

'Hierover heeft Facebook geen cijfermatige informatie verstrekt.' Wat kunnen consumenten doen om direct marketing te stoppen nadat hun persoonsgegevens al zijn doorgegeven? 'De consument kan vragen om de gegevensverwerking voor deze doeleinden te beëindigen. Hiervoor is geen motivatie nodig. Het bedrijf is dan verplicht de verwerking van de persoonsgegevens te beëindigen.'

'De consument kan vragen om de gegevensverwerking voor deze doeleinden te beëindigen. Hiervoor is geen motivatie nodig. Het bedrijf is dan verplicht de verwerking van de persoonsgegevens te beëindigen.' Deelt u de mening dat marketing niet als zwaarwegend bedrijfsbelang kan worden gezien en bedrijven die hiervoor klantgegevens met Facebook delen de AVG overtreden? 'Om een rechtmatigheidsoordeel te kunnen vellen, is (nader) onderzoek nodig naar de wijze waarop de bedrijven persoonsgegevens van betrokkenen verwerken. Naar aanleiding van het onderzoek van de Consumentenbond heeft de Autoriteit Personeelsgegevens (AP) laten weten dit signaal serieus te nemen. Het is aan de AP om te beoordelen of bij Facebook Custom Audience Targeting sprake is van een gerechtvaardigd belang waarop de gegevensverwerking kan worden gebaseerd.'

De Consumentenbond is tevreden met de politieke aandacht voor dit onderwerp, aangezien die kan bijdragen aan een betere privacybescherming voor de consument.

Tips

Wil je niet dat Facebook ziet waar je klant bent? Gebruik een alternatief e-mailadres voor Facebook. Garantie om de gerichte reclame op Facebook te ontlopen is er overigens niet. Als je WhatsApp gebruikt, kan Facebook namelijk ook je telefoonnummer gebruiken om te zien waar je klant bent.

Lees ook: