VN KozijnTechniek overtreed privacywet

Stel je wilt nieuwe kozijnen laten plaatsen en je vraagt hiervoor een offerte aan bij een partij die je via Google hebt gevonden. Vervolgens komt de verkoper bij je over de vloer en ontvang je een offerte. Dit herhaal je een aantal keren om verschillende aanbieders te vergelijken. Dan ontvang je opeens een reclamefolder via de post van een firma waar je nooit contact mee hebt gezocht. De dagen daarna heb je herhaaldelijk gemiste oproepen op je telefoon van een nummer dat je niet kent, zonder dat er een voicemail wordt ingesproken. Voor mensen die een offerte hebben aangevraagd bij de firma VN KozijnTechniek klinkt dit vast herkenbaar.

Mij is dit in ieder geval overkomen. Ongeveer twee weken na het bezoek van VN KozijnTechniek ontving ik opeens post van de firma KeurKozijn. Toen ik na een aantal dagen van gemiste oproepen eindelijk in de gelegenheid was om mijn telefoon op te nemen, bleek ik te spreken met een medewerker van de firma KeurKozijn. Verbaasd over de gang van zaken vroeg ik hoe men aan mijn gegevens is gekomen. “Die hebben wij gekregen van de firma VN KozijnTechniek”, was het antwoord. Verbazingwekkend, ze proberen ook alles om werk binnen te slepen in deze crisistijden. Maar linksom of rechtsom is dit gewoon niet netjes en zit ik hier niet op te wachten. Onderzoeksmodus aan…

Eerst maar eens kijken of het hier twee verschillende organisaties betreft. De WHOIS details van de website maken dit makkelijk en het blijkt inderdaad te gaan om twee verschillende organisaties: VN KozijnTechniek BV (KvK: 30127295, statutaire zetel: Den Haag) en KeurKozijn BV (KvK: 30130309, statutaire zetel: Utrecht). Wat daarnaast opvalt is dat beide organisaties eigendom zijn van Catsheuvel Beheer BV. Via Google kom ik al snel uit op dit vonnis van de rechtbank in Den Haag, waaruit blijkt dat ook de firma KroonKozijn een dochteronderneming van Catsheuvel Beheer is.

De vraag die ik mezelf stel is of de uitwisseling van mijn persoonsgegevens (NAW, telefoonnummer, emailadres) tussen VN KozijnTechniek en KeurKozijn juridisch is toegestaan. Toen ik mijn gegevens achterliet op kozijntechniek.nl werd ik gewezen op de privacy policy van de organisatie.

De door u opgegeven persoonsgegevens (uw NAWT gegevens en eventueel uw e-mailadres) worden uitsluitend gebruikt door VN KozijnTechniek voor het doel waarvoor u ze aan ons verstrekt heeft, namelijk het aanvragen van informatie of een offerte voor kozijnen, deuren, schuifpuien of dakkapellen. Uw gegevens worden niet voor andere doeleinden gebruikt.

Uw gegevens worden opgeslagen in een database die uitsluitend toegankelijk is voor medewerkers van VN KozijnTechniek. De medewerkers van VN KozijnTechniek zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen.

Klinkt goed, maar blijkbaar neemt VN KozijnTechniek het niet zo nauw met haar eigen beleid. Mijn gegevens werden waarschijnlijk vanuit een standaardprocedure verstrekt aan KeurKozijn. Het feit dat Catsheuvel Beheer eigenaar is van beide organisaties, is niet het argument dat deze uitwisseling van gegevens legaal maakt. Nu ben ik geen jurist, maar in mijn beleving beschrijft de Wet Bescherming Persoonsgegevens (Wbp) dat een dergelijke uitwisseling van gegevens alleen maar is toegestaan als er een bewerkersovereenkomst tussen beide partijen is afgesloten, én wanneer klanten bij het verstrekken van hun gegevens expliciet worden gewezen op de uitwisseling.

Één ding is zeker: ik ben vooraf en achteraf niet gewezen op de uitwisseling van mijn gegevens. Ik moest er zelf naar vragen. Dus op dat punt voldoet VN KozijnTechniek sowieso niet aan de Wbp. Daarnaast viel me op dat er geen gebruik werd gemaakt van een beveiligde HTTPS verbinding toen ik mijn gegevens op de website achterliet. Op dat moment accepteer ik het risico, maar dat zou niet nodig moeten zijn. Artikel 13 Wbp verplicht organisaties namelijk om passende technische en organisatorische maatregelen te nemen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan. Het gebruik van HTTPS is toch een de facto standaard voor het transporteren van persoonsgegevens over internet. Wbp – VN KozijnTechniek: 2-0.

In plaats van meteen een signaal aan het CBP te geven, heb ik VN KozijnTechniek per e-mail van mijn verbazing op de hoogte gesteld. In deze e-mail heb ik tevens gevraagd om mij de bewerkersovereenkomst tussen VN KozijnTechniek en KeurKozijn te tonen. Hierop kreeg ik een reactie van Catsheuvel Beheer dat men hier over een aantal dagen op terugkomt, maar dat men (zonder dat ik hierom heb gevraagd) mijn gegevens (NAWTE en belhistorie VN KozijnTechniek en KeurKozijn) heeft verwijderd om verder contact te voorkomen. Dat was ruim een week geleden, en daar is het vooralsnog bij gebleven. Ik ben benieuwd of er nog een reactie volgt. Dat zou wel netjes zijn. Ik hoop in ieder geval dat ze hiervan geleerd hebben en de nodige aanpassingen zullen doorvoeren.

Afbeelding door: Tunix Digital Security.