KPN laat op de privacypagina weten dat zij gegevens van al haar klanten levert aan datahandelaar Experian.

De slechte track record van Experian
Deze grote Amerikaanse datahandelaar is bekend van enorme datalekken [1]. Experian lapt de internationale gegevensbeschermingsregelgeving aan haar laars. Een recent voorbeeld is de uitspraak van de Engelse rechter van 20 februari 2023 in een zaak tegen de Engelse gegevensbeschermingstoezichthouder ICO [2]. Recent kwam in het nieuws dat Experian handelde in strijd met de Amerikaanse spamregels, door marketingmails te sturen zonder opt-out mogelijkheid [3].

Foute aanpak KPN
Op de KPN site staat dat niet alleen gegevens van mensen die een kredietaanvraag indienen (= een telefoon op afbetaling kopen) worden geleverd aan Experian. KPN levert gegevens van alle abonnees aan de datahandelaar:

Op het moment dat een aanvraag voor een (nieuw) telefoonabonnement wordt ingediend of verlengd, worden jouw gegevens aan handelsinformatiebureau Experian gegeven. (…) Al je gegevens rond je betaalgedrag worden ook gedeeld met Experian. Experian verwerkt die gegevens verder onder haar eigen verantwoordelijkheid voor kredietwaardigheidsanalyse, fraudepreventie, schuldinningen en datakwaliteitsvalidatie. Experian kan op basis van deze gegevens een goede risicoanalyse maken. Als jij door een betalingsachterstand ooit bent afgesloten, kan deze informatie dus ingezien worden en gevolgen hebben voor andere overeenkomsten met (financiële) verplichtingen. Dit geldt voor mobiele abonnementen gesloten na 1 januari 2010 en voor vaste abonnementen gesloten na 1 mei 2016.

In de blauw gemarkeerde tekst staat dat Experian de persoonsgegevens van de KPN-klanten mag doorleveren aan andere Experian-klanten. Er worden zonder dat KPN-klanten dat weten gegevens aan onbekende derden verschaft, wat uiteraard onaanvaardbaar is. Experian informeert betrokkenen niet, noch over de ontvangst van gegevens van KPN, noch over de doorlevering aan derden.

Door zaken te doen met deze datahandelaar, handelt KPN in strijd met de AVG, zeker nu KPN de gegevens van alle klanten ook al levert aan de speciale stichting voor telecombedrijven, Preventel, een stichting die nauwe banden heeft met een andere datahandelaar, Focum [4].

Eerder kwam KPN in het nieuws omdat zij onrechtmatig gegevens leverde aan asociale mediabedrijven (blog, Consumentenbond).

Het wordt tijd dat handhavend wordt opgetreden tegen deze telecomprovider en andere bedrijven die soortgelijk handelen.

Recht van bezwaar
Het bovenstaande geeft aan dat het hoog tijd wordt dat in wetgeving wordt opgenomen dat een klant bezwaar kan maken tegen de keuze van een bedrijf waarmee zaken wordt gedaan voor een datahandelaar.

Noten

[1] Voorbeelden zijn onder meer deze en (mogelijk verkoop en geen datalek) deze.

[2] First-tier Tribunal (General Regulatory Chamber), Appeal Number: EA/2020/0317, hier (pdf) te vinden. Lees mijn Engelstalige blog over de uitspraak.

[3] Zie security.nl, FTC beschuldigt Experian van het versturen van spam zonder opt-out, dat verwijst naar het FTC, FTC Charges Experian with Spamming Consumers Who Signed Up for Company Accounts with Marketing Emails They Couldn’t Opt Out Of (overigens geldt in Nederland voor directmail een opt-in systeem).

[4] Stichting Preventel houdt een bestand bij van klanten van telecombedrijven van wie de aansluiting buiten gebruik is gesteld of bij wie de overeenkomst is beëindigd omdat ze niet betaalden, aldus KPN op de privacypagina. Het is dus een zwarte lijst. Op de Preventel site wordt beweerd dat er in het belang van de klant wordt gehandeld: “De stichting … heeft een maatschappelijk belang: het voorkomen dat personen en bedrijven verplichtingen voor het gebruik van telecommunicatie diensten aangaan die zij niet kunnen dragen of niet willen betalen“, dat is natuurlijk niet waar. Het gaat puur om de belangen van de telecomproviders. Lees de wikipedia pagina over Preventel, waarin een boekje open wordt gedaan over onzorgvuldig optreden door telecomproviders. De stichting wordt gerund door een andere datahandelaar, Focum (kredietinformatie- en incassobureau), waarvan eveneens de vraag kan worden gesteld of de AVG wordt nageleefd. Volgens de privacystatement van Preventel verwerkt Focum de persoonsgegevens enkel voor de door Preventel vastgestelde doeleinden.