Conclusies CBP-onderzoek AH Bonuskaart en voordeelprogramma Bonus
Aangekondigde maatregelen Albert Heijn
Albert Heijn heeft aangegeven dat de verwachting is dat zij begin 2013 op basis van hernieuwde informatie opnieuw opt-ins voor Mijn Bonus zal gaan vragen. Albert Heijn heeft toegezegd de Persoonsgebonden Bonuskaarthouder alsnog adequaat te informeren en (opnieuw) een algehele opt-in te vragen. Albert Heijn heeft, naar aanleiding van de voorlopige bevindingen, de informatievoorziening in het Privacy- en Cookiebeleid aangepast op de (her)introductie van het Mijn Bonusprogramma. Nadere informatie waaruit blijkt op welke wijze de betrokkenen expliciet om toestemming wordt gevraagd, is nog niet van Albert Heijn ontvangen. De hernieuwde informatievoorziening is, mede gelet op stopzetting van Mijn Bonus, niet door het CBP beoordeeld.
Anonieme Bonuskaart
Van Persoonsgebonden en Anonieme Bonuskaarthouders legt Albert Heijn - gekoppeld aan het unieke AH Bonuskaartnummer - aankoopgegevens vast in de Albert Heijn systemen, zoals het AH filiaal, de gekochte artikelen en bijbehorende bedragen en de datum en tijd waarop de transactie heeft plaatsgevonden.
Van de in totaal ongeveer [VERTROUWELIJK: (...)] door Albert Heijn uitgegeven AH Bonuskaarten (actieve AH Bonuskaarthouders plus verloren, versleten of weggegooide en weer vervangen AH Bonuskaarten) zijn er [VERTROUWELIJK: (...)] anoniem ([VERTROUWELIJK: (...)]). Het CBP heeft vastgesteld dat Albert Heijn persoonsgegevens verwerkt van Persoonsgebonden en Anonieme Bonuskaarthouders.
Bij de registratie van een Persoonsgebonden Bonuskaart worden, naast het AH Bonuskaartnummer, in alle gevallen direct identificeerbare persoonsgegevens (NAWgegevens) vastgelegd van de Persoonsgebonden Bonuskaarthouder en is sprake van een identificeerbare persoon.
Klanten die hun persoonsgegevens niet bekend willen maken, wordt door Albert Heijn de mogelijkheid geboden om gebruik te maken van Bonuskortingen zonder NAW-gegevens aan Albert Heijn op te hoeven geven (de Anonieme Bonuskaart). Het CBP heeft vastgesteld dat de gegevens van Anonieme Bonuskaarthouders (doorgaans) toch direct of indirect te herleiden zijn tot individuele personen. In het geval van gebruik van een Anonieme Bonuskaart, in combinatie met:
- een Mijn ah.nl account en/of gebruik van de AH Boodschappen webwinkel
- een Mijn ah.nl account en gebruik van Appie
- een Air Mileskaart
- vragen en klachten in de winkel inzake betalingen
blijkt een koppeling mogelijk tussen het Anonieme Bonuskaartnummer en (andere) persoonsidentificerende gegevens (bijvoorbeeld NAW-gegevens en/of e-mailadres).Circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders gebruiken de hiervoor genoemde online diensten van Albert Heijn. Van de circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders die gebruik maken van zulke online diensten, zijn er [VERTROUWELIJK: (...)] Anonieme Bonuskaarthouders (dat is [VERTROUWELIJK: (...)] van alle Anonieme Bonuskaarthouders).
Albert Heijn geeft aan een Anonieme Bonuskaart met bij haar bekende NAWgegevens en/of e-mailadres wel anoniem te blijven behandelen. Zolang echter een koppeling mogelijk is tussen het Anonieme Bonuskaartnummer en direct of indirect identificerende persoonsgegevens, is sprake van (in)directe herleidbaarheid tot een individuele persoon en is de Wbp van toepassing. Dit betekent dat Albert Heijn met betrekking tot de Anonieme Bonuskaarthouder moet voldoen aan de verplichtingen uit de Wbp, waaronder de artikelen 33 jo. 34 (informatieplicht) en 35 (inzagerecht).
De Anonieme Bonuskaarthouder moet zicht (kunnen) hebben op het aantal en de soort verwerkingen die plaatsvinden met zijn persoonsgegevens en de (lange termijn)gevolgen daarvan. Bij gebrek aan kennis over de gegevensverwerking kan hij zijn rechten, zoals het vragen om inzage, niet uitoefenen.
Doordat Albert Heijn de Anonieme Bonuskaarthouders (aanvankelijk) niet, althans onvolledig en onvoldoende duidelijk nader informeerde over de gevallen waarin de Anonieme Bonuskaarthouder zijn anonieme status (alsnog) verliest (dat wil zeggen: wanneer sprake is van verwerking van persoonsgegevens in de zin van de Wbp) alsmede over de categorieën van verwerkte persoonsgegevens (naast aankoopgegevens) teneinde tegenover de betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen, heeft Albert Heijn in strijd gehandeld met artikel 33 jo. 34 van de Wbp.
Albert Heijn heeft, voorafgaand aan het rapport van voorlopige bevindingen van het CBP, ten aanzien van gebruik van een Anonieme Bonuskaart, in combinatie met gebruik van de AH Boodschappen webwinkel en ten aanzien van vragen en klachten in de winkel inzake betalingen, in een nieuw privacybeleid vermeld dat de Anonieme Bonuskaart dan “strikt genomen niet langer meer "anoniem" is”. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar informatievoorziening over gebruik van een Anonieme Bonuskaart, in combinatie met een Mijn ah.nl account, bepaald gebruik van Appie, en koppeling met een Air Mileskaart aangepast. In haar nieuwe Privacy- en Cookiebeleid maakt Albert Heijn duidelijk dat de Anonieme Bonuskaarthouder (ook) in de hiervoor genoemde gevallen zijn anonieme status verliest en welke categorieën van gegevens Albert Heijn in dat geval verwerkt. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 33 jo. 34 van de Wbp.
Doordat Albert Heijn de Anonieme Bonuskaarthouders niet op verzoek mededeelde of en zo ja, welke hen betreffende persoonsgegevens zij verwerkt, ontnam Albert Heijn de Anonieme Bonuskaarthouders hun inzagerecht en heeft zij daarmee voorts in strijd gehandeld met artikel 35 van de Wbp. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar inzagebeleid aangepast, in die zin dat Albert Heijn ook voldoet aan inzageverzoeken van Anonieme Bonuskaarthouders van wie zij identificerende gegevens heeft. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 35 van de Wbp.
Mijn Bonus
Op 3 januari 2012 heeft Albert Heijn een nieuw voordeelprogramma aangekondigd voor Persoonsgebonden Bonuskaarthouders, Mijn Bonus. Het ging om persoonlijke Bonusaanbiedingen/-kortingen, gebaseerd op aankoopgegevens in aanvulling op de bestaande algemene Bonusaanbiedingen. Persoonsgebonden Bonuskaarthouders hebben een brief ontvangen van Albert Heijn met een korte toelichting op Mijn Bonus. Daarmee samenhangend is de privacyverklaring met betrekking tot de AH Bonuskaart gewijzigd.Albert Heijn heeft in de periode 2010 tot en met 2012 op verschillende manieren gepersonaliseerde marketingactiviteiten verricht. (De pilot voor) Mijn Bonus is medio februari 2012 stopgezet, mede naar aanleiding van dit onderzoek van het CBP.
(De pilot voor) Mijn Bonus zag enerzijds op korting op producten die de Persoonsgebonden Bonuskaarthouder veel koopt. Anderzijds op korting op producten die andere klanten kopen die vergelijkbare producten kopen, maar die de Persoonsgebonden Bonuskaarthouder tot dan toe nog niet heeft gekocht. Van de producten in de aanbieding werden dan de artikelen geselecteerd die het beste aansluiten op de bekende aankoopgegevens van de Persoonsgebonden Bonuskaarthouder (uitkomstwaarden op basis van koopgedrag).
Albert Heijn verwerkte in dit kader onder andere het Persoonsgebonden Bonuskaartnummer en NAW-gegevens, met aankoopgegevens.
Albert Heijn baseerde deze gegevensverwerking voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen op ondubbelzinnige toestemming (artikel 8, aanhef en onder a, van de Wbp). Om te kunnen spreken van ondubbelzinnige toestemming dient te zijn voldaan aan de volgende criteria: een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking ( ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene). Het CBP heeft vastgesteld dat de toestemming niet aan deze criteria voldeed.
Uit het papieren registratie- en wijzigingsformulier en het online registratieformulier (webformulier) bleek onvoldoende duidelijk wat de gegevensverwerking behelsde. De toestemmingsvraag ‘Ik wil wel/niet door Albert Heijn op de hoogte worden gehouden van nieuws, persoonlijke aanbiedingen en speciale services voor Bonuskaarthouders’ respectievelijk ‘Albert Heijn mag mij informatie (zoals nieuws, persoonlijke aanbiedingen) toesturen’ was onvoldoende specifiek. Daaruit volgde dat niet voor elk verwerkingsdoeleinde/-element (het maken van persoonlijke analyses en het doen van gepersonaliseerde aanbiedingen) toestemming werd verkregen.
De verschillende elementen van de verwerking van persoonsgegevens en de categorieën van verwerkte persoonsgegevens waren niet althans onvoldoende begrijpelijk omschreven in het papieren registratie- en wijzigingsformulier, het online registratieformulier, het oude privacybeleid, de webpagina ah.nl/bonuskaart. Dit gold ook voor de Mijn Bonus brief van op of rond 3 januari 2012, met de woorden: ‘(informeren over/ontvangen van) persoonlijke aanbiedingen’, ‘om u te kunnen bereiken en om te bepalen of een service of aanbieding voor u interessant kan zijn. Bijvoorbeeld (…) korting op een product dat u regelmatig koopt’, ‘voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen’ en ‘persoonlijke Bonusaanbiedingen, speciaal voor u geselecteerd’. De informatie was voorts fragmentarisch aangeboden, in die vijf documenten. Er was derhalve geen sprake van duidelijke, volledige, begrijpelijke en nauwkeurige informatie.
Albert Heijn heeft verklaard dat een opt-in is gevraagd middels een online registratieformulier, waarop het vakje ‘Ja’ al was aangevinkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking (oftewel: bij ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene, zoals een vooraangevinkt vakje). Albert Heijn heeft ook zelf met zoveel woorden verklaard dat zij zich thans realiseert dat doordat het vakje al was aangevinkt de toestemming voor het doen van persoonlijke aanbiedingen niet goed was vormgegeven. Dit is voorafgaand aan het rapport van voorlopige bevindingen op de website gewijzigd in die zin dat het vakje niet langer vooraf is aangevinkt. Ten slotte was in veel gevallen het tijdsverloop tussen het moment van toestemmingverlening (soms zelfs vanaf 1998) en de gewijzigde werkwijze van algemene naar gepersonaliseerde marketingactiviteiten (wijze van verwerking van persoonsgegevens vanaf 2010) te groot. Albert Heijn diende in zo’n geval niet te volstaan met het aannemen van een impliciete toestemming voor de nieuwe wijze van verwerking van persoonsgegevens, maar had de Persoonsgebonden Bonuskaarthouder (opnieuw) expliciet om toestemming moeten vragen alvorens deze gewijzigde verwerking toe te passen. Albert Heijn heeft dit echter nagelaten.
Doordat geen sprake was van ondubbelzinnige toestemming beschikte Albert Heijn niet over een rechtsgeldige grondslag voor het verwerken van de persoonsgegevens die zijn verkregen met behulp van de Persoonsgebonden Bonuskaart. Met het verwerken van persoonsgegevens voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen, heeft Albert Heijn daarom in strijd gehandeld met artikel 8 van de Wbp.
Het CBP heeft vastgesteld dat Albert Heijn ten tijde van het rapport van voorlopige bevindingen beschikte over de bestanden van de pilots in 2010 en 2011 ([VERTROUWELIJK: (...)]) waarop uiteindelijk een gepersonaliseerde marketing mailing werd gedaan. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn verklaard de mailbestanden met uitkomstwaarden van analyses onomkeerbaar te hebben verwijderd. Doordat (de pilot voor) Mijn Bonus is stopgezet en Albert Heijn niet meer beschikt over de achterliggende persoonsgegevens in deze bewaarde mailbestanden (het Persoonsgebonden Bonuskaartnummer, NAWgegevens en aankoopgegevens), handelt Albert Heijn niet langer in strijd met artikel 8 van de Wbp.
Op andere blogs:
CBP-web (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)
Nederlands Juridisch Dagblad (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)