Albert Heijn: strikte naleving voorloper Wbp

schermafdruk medewerkersmagazine Bewust en Betrokken

In antwoord op een verzoek tot inzage in de persoonsgegevens beriep Albert Heijn zich op voorloper van de tien jaar oude Wet bescherming persoonsgegevens. 

Deze zomer stuurde ik ook Albert Heijn een verzoek tot inzage in de persoonsgegevens. De brief is inhoudelijk gelijk aan de brief die privacy inzage machine van Bits of Freedom verstuurt. Albert Heijn  reageerde aanvankelijk niet. Ook de tweede brief werd vakkundig genegeerd. De derde brief kon men niet meer negeren, die was aangetekend.

Het antwoord is opmerkelijk:

Bonuskaarthouders die hun persoonsgegevens hebben laten registreren, kunnen er op vertrouwen dat Albert Heijn zich strikt houdt aan de Wet Persoonsregistratie. Ieders privacy is bij ons bedrijf absoluut gewaarborgd.

De claim, dat ieders privacy bij Albert Heijn absoluut is gewaarborgd, komt bepaalt niet geloofwaardig over. Niet als dat onderstreept wordt met een referentie aan de Wet Persoonsregistratie. Immers, die wet is meer dan tien jaar geleden, op 1 september 2001, vervangen door de Wet bescherming persoonsgegevens. In dezelfde reactie schrijft Albert Heijn ook:

Een verzoek om inzage in de persoonsgegevens […] kan alleen ingewilligd worden als een kaarthouder […] 4,50 euro overmaakt. Dat bedrag is wettelijk vastgesteld.

Dat is op zijn minst onvolledig, of zelfs onjuist. In de Wet bescherming persoonsgegevens is immers niet vastgelegd dat Albert Heijn 4,50 euro in rekening moet brengen. In de wet is bepaald dat de supermarkt de kosten die het moet maken voor het geven van inzage in rekening kan brengen en dat die vergoeding, behoudens bijzondere situaties, maximaal 4,50 euro mag zijn.

In haar reactie beperkt Albert Heijn zich ook nog eens tot de gegevens van het veronderstelde gebruik van een bonuskaart. Dat is echter niet waar ik om vroeg, ik wilde inzage in alle persoonsgegevens. Er zijn meer dan genoeg gegevens te bedenken die niet zijn gekoppeld aan een bonuskaart, zoals de gegevens die Albert Heijn over mij opslaat bij het bezoeken van de website, het gebruik van de applicatie Appie op mijn mobiele telefoon, afgeleide profielen, gegevens over mijn sollicitaties of dienstverband en eerdere communicatie – allemaal voor zover van toepassing uiteraard. :)

Een paar weken later volgt een ongedateerd antwoord:

[…] Daarin plaatst u terecht een aantal opmerkingen. In onze brief van 19 oktober jl. wordt inderdaad foutief verwezen naar de Wet persoonsregistratie in plaats van naar de toepasselijke Wet bescherming persoonsgegevens, waarvoor opnieuw onze excuses. Natuurlijk is Albert Heijn op de hoogte van het feit dat de Wet bescherming persoonsgegevens al tien jaar van kracht is en kunt u erop vetrouwen dat Albert Heijn de toepasselijke wetgeving naleeft.

Ook wat betreft de gevraagde vergoeding, hebt u helemaal gelijk Albert Heijn zal het reeds door u betaalde bedrag dan ook terugstorten. Graag ontvangen wij het rekeningnummer waarop wij het bedrag van € 4,50 kunnen overmaken.

De rest van de brief bevat, voor zover ik kan nagaan, een volledig overzicht.

Om positief af te sluiten: als een van de weinige organisaties geeft Albert Heijn aan wat ze met de kopie van legitimatiebewijs gedaan heeft. Na vaststelling van mijn identiteit is de kopie vernietigd. Ik ben in ieder geval benieuwd naar ervaringen van anderen met de Albert Heijn.