Albert Heijn is op de vingers getikt door het College bescherming persoonsgegevens (Cbp) vanwege overtreding van de Wet bescherming persoonsgegevens (Wbp). Het onderzoek van het Cbp is vandaag gepubliceerd.
Uit het onderzoek blijkt dat Albert Heijn niet heeft voldaan aan de vereisten die worden gesteld aan het verkrijgen van toestemming, voor het doen van persoonlijke aanbiedingen in het kader van haar “Mijn bonus” programma. Albert Heijn dient namelijk de “ondubbelzinnige” toestemming te hebben verkregen van haar klanten , waarbij de klant zo goed mogelijk moet worden geïnformeerd om de toestemming rechtsgeldig te laten zijn. En daar voldeed ze niet aan.
Ook blijkt dat Albert Heijn over de adresgegevens van houders van een anonieme bonuskaart kan beschikken, bijvoorbeeld indien de klant zijn NAW-gegevens heeft opgegeven voor het doen van bestellingen in de webwinkel. Doordat deze koppeling kan plaatsvinden is de “anonieme” bonuskaart toch te herleiden tot een natuurlijk persoon, en daardoor niet meer anoniem.
Als gevolg van het onderzoek heeft Albert Heijn het Mijn Bonus programma opgeschort totdat klanten een hernieuwde toestemming hebben gegeven. Ook het privacy- en cookiebeleid van Albert Heijn is in aangepaste vorm gepubliceerd op haar website. Daarin is nu aangegeven dat het mogelijk is dat houders van een “anonieme” bonuskaart de anonieme status kunnen verliezen in het geval er via de webwinkel bestellingen worden gedaan. Volgens het Cbp handelt Albert Heijn op dit punt daardoor niet langer in strijd met de Wbp.
Het volledige onderzoeksrapport is hier te lezen
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.