Inzage persoonsgegevens bij bol.com

schermafdruk bol.com

Bol.com reageert snel op een verzoek tot inzage in de persoonsgegevens, maar de overzichten zijn herhaaldelijk incompleet. Zijn ze nog meer vergeten?

Deze zomer stuurde ik Bol.com een verzoek tot inzage in de persoonsgegevens. De brief is inhoudelijk gelijk aan de brief die privacy inzage machine van Bits of Freedom verstuurt.

Het eerste antwoord van 4 augustus was wel erg makkelijk. In de e-mail schrijft Bol.com dat ze mijn privacy respecteert en de persoonlijke informatie vertrouwelijk behandelt. Het enige dat meegestuurd wordt, is een verwijzing naar de privacy policy. Een soort Facebook-reactie.

Hetgeen waarom ik gevraagd heb ontbreekt. Ik stuur een nieuwe brief waarin ik aangeef dat mijn verzoek om inzage eigenlijk volledig genegeerd is. In mijn oorspronkelijke brief vroeg ik immers om een volledig overzicht van de persoonsgegevens die zij van mij verwerken, een omschrijving van de doeleinden voor die verwerking, de herkomst van de gegevens en de logica die ten grondslag ligt aan de geautomatiseerde verwerking van mijn gegevens.

Twee weken later volgt daarop het antwoord. In krijg mijn naam en adresgegevens te zien, een recent afleveradres, een oud telefoonnummer, een e-mailadres, een klantnummer en een verkoperid. Bol.com zegt mijn adressen te delen met distributiecentra en “logistieke partners”, zoals Post NL en UPS. Voor het verwerken van betalingen worden mijn gegevens ook aan Accountor Nederland B.V. verstrekt. Dat kan toch nog niet alles zijn, dus ik stuur opnieuw een brief.

Desondanks vermoed ik dat uw antwoord incompleet is en u nog altijd niet inzage heeft verleend in alle persoonsgegevens die u van mij verwerkt.

In uw antwoord noemt u onder meer één afleveradres, terwijl in het verleden bestellingen ook op ten minste één ander adres zijn afgeleverd. Is dat adres inmiddels uit uw systeem verwijderd? In uw overzicht kan ik ook geen informatie over mijn betalingen vinden. Ik neem aan dat u de nummers van mijn bankrekening en credit card opgeslagen heeft. Dit bevestigt u ook in uw privacy policy:

Als u bij bol.com een account aanmaakt bewaren wij uw gegevens op een Secure Server. In uw bol.com account slaan we informatie op zoals uw naam en adres, telefoonnummer, e-mailadres, aflever- en betaalgegevens, zodat u deze niet bij iedere nieuwe bestelling hoeft in te vullen.

Eind augustus krijg ik een helder antwoord:

Alleen de twee adressen […] die ik in mijn brief van 19 augustus jl. heb genoemd zijn bij ons bekend onder uw naam. Ook voor het overige zijn bij ons geen andere persoonsgegevens bekend, dan die ik u reeds heb medegedeeld.

Wij beschikken inderdaad over rekeningnummers van klanten, maar alleen indien zij met iDeal of acceptgiro betalen. Indien met creditcard wordt betaald, zoals in uw geval, dan beschikken wij niet over deze gegevens. Deze worden in het kader van het tegengaan van credit card fraude niet opgeslagen (hetgeen in de credit card industrie niet ongebruikelijk is).

Helder, maar niet correct. Via de website kan ik de gegevens van mijn eerdere bestellingen opvragen. Bij minstens één van deze bestellingen zijn een factuur- en afleveradres genoemd die u niet in het door Bol.com verstrekte overzicht zijn opgenomen. Deze adressen zijn gekoppeld mijn account, zijn persoonsgegevens en hadden dan ook in het overzicht opgenomen moeten zijn. Bovendien is het overzicht van alle bestellingen op zichzelf ook een identificerend gegeven. Het overzicht zal in veel gevallen uniek, identificerend en herleidbaar tot een natuurlijk persoon zijn.

Het door Bol.com verstrekte overzicht lijkt me dan ook niet compleet en de claim dat “geen andere persoonsgegevens bekend [zijn]” niet correct. Dat wordt dan ook bevestigd. Het leidt ook tot de vraag welke gegevens van mij verder nog worden verwerkt, zonder dat ik dat weet.