PostNL moet als uitvoerder van de universele postdienst in Nederland zorgvuldig omgaan met gegevens van klanten. Het bedrijf verwerkt namelijk een enorme hoeveelheid persoonsgegevens: offline en online. Hoe wordt daarmee omgesprongen?

Nog voordat je toegang krijgt tot de website de site van PostNL wordt er tijdens het tonen van de cookieverklaring al een trackingcookie van Adobe Analytics op je computer geplaatst. Je pseudo-geanonimiseerde zoekgeschiedenis, locatiegegevens en klikgedrag worden vanaf dat moment geanalyseerd. PostNL stelt bij de uitleg over Adobe Analytics geen informatie van bezoekers met derden te delen. Alleen wordt na enig onderzoek duidelijk dat het erop lijkt dat Adobe Analytics zelf wel gegevens van bezoekers mag verwerken binnen het Adobe-concern met vestigingen in Azië, Australië en Amerika. PostNL mag niet de indruk wekken minder gegevens te verwerken dan het geval is. Daarom kan het postbedrijf de cookieverklaring beter uitbreiden met het antwoord op de vraag of een cookieaanbieder zelf ook bezoekersgegevens met derden mag delen.

Voorwaarden PostNL

Het is positief dat op elke pagina van de PostNL-website een verwijzing is te vinden naar de voorwaarden. Wanneer je als bezoeker op de privacyverklaring klikt, staat daarin dat PostNL persoonsgegevens alleen zal gebruiken voor de in de verklaring omschreven doeleinden. Het valt bijna niet op dat bepalingen uit één van de zes aparte privacyverklaringen van PostNL, zoals die van de verhuisservice op grond waarvan op grote schaal gegevens mogen worden verkocht, voorrang kunnen hebben op deze privacyverklaring. Wat ook niet helpt is de chat van PostNL die klanten volledig zou moeten informeren. Tijdens het invullen van je verhuisgegevens wordt er via de chat met een doorverwijzing naar de voorwaarden een link naar de algemene voorwaarden gedeeld: de privacyverklaring van de verhuisservice wordt daarbij overgeslagen.

Buitenland

PostNL Holding BV is een Nederlands bedrijf met dochterbedrijven in Duitsland, Italië en Verenigd Koninkrijk. Persoonsgegevens kunnen met deze bedrijven worden gedeeld, daar is PostNL helder in. Het is voor klanten niet inzichtelijk of dit ook geldt voor de partners van deze dochterbedrijven in ruim 190 landen. Het postbedrijf biedt verder diensten zoals Adrescheck Internationaal aan. Dit is een dienst waarmee je volgens PostNL ‘Razendsnel, zonder dat uw klant het merkt’ een internationaal adres van iemand kan controleren. Hierbij kan worden opgemerkt dat persoonsgegevens niet mogen worden verwerkt als de betrokkene daar niet van op de hoogte is.

Anoniem?

Volgens de cookieverklaring spant PostNL zich in om profilering door Google te voorkomen. Het postbedrijf heeft met Google Analytics een aparte bewerkersovereenkomst gesloten op grond waarvan het ip-adres van bezoekers wordt geanonimiseerd. Aan de andere kant biedt PostNL uitgebreide diensten aan voor bedrijven die een bepaalde doelgroep zoals ‘ondernemende ouderen’ of ‘intellectuele doorgroeiers’ willen bereiken. Bedrijven kunnen ook hun adressenbestand tegen betaling matchen met het verhuisbestand van Post NL. Het is opvallend dat via de profielen van de verhuisservice volgens het toenmalige College Bescherming Persoonsgegevens in een onderzoek naar de AH-bonuskaarten naar voren kwam dat via PostNL zelfs de identiteit van anonieme houders van de bonuskaart kan worden achterhaald. Het CBP heeft hier geen nader onderzoek naar gedaan.

Welke data verzamelt PostNL?

PostNL verzamelt niet alleen adressen en namen, maar ook gegevens over het geslacht en de persoonlijke voorkeur. Op het gebied van dataminimalisatie zou PostNL een slag kunnen slaan: het opvragen van iemands geslacht is niet nodig om een brief of pakketje te kunnen bezorgen. Wanneer je gebruik maakt van de verhuisservice van PostNL moet je ook een geboortedatum opgeven, maar het is niet duidelijk waarom dat nodig is: naam en adres zouden voldoende moeten zijn bij het versturen van een verhuizingsmelding. PostNL stelt verder in de cookieverklaring bij gegevensbestanden van Innometrics dat gegevens die de cookies verzamelen maximaal tien jaar worden bewaard. Dit is een buitenproportioneel lange termijn voor het bewaren van gegevens.

Als je wilt dat jouw bericht niet zomaar door iemand anders wordt gelezen, kun je het best gebruik maken van de post. Want dankzij het grondrecht op briefgeheim mag een organisatie of persoon alleen met toestemming van de rechter je post openen. De AIVD maakt niet voor niets gebruik van papieren communicatie. PostNL stelt voldoende beschermingsmaatregelen te hebben getroffen om post te beschermen, maar hoe deze maatregelen er in de praktijk uitzien blijft onduidelijk doordat deze bijna nooit concreet zijn uitgewerkt in het PostNL privacybeleid.

Conclusie en reactie

Concluderend: PostNL moet nodig de cookieverklaring aanvullen met meer informatie over de aanbieders van cookies en in de privacyverklaring van PostNL wordt onterecht de indruk gewekt dat het bedrijf persoonsgegevens helemaal niet doorverkoopt. Via de website wordt in beperkte mate duidelijk dat gegevens van PostNL over landsgrenzen heen worden verwerkt, en PostNL beschikt over waardevolle doelgroepprofielen die worden verhandeld. Dankzij het grondrecht op briefgeheim worden je berichten goed beschermd, maar PostNL zou die beschermingsmethoden wel concreter kunnen maken. Er zouden tevens minder klantgegevens via het webportaal van PostNL kunnen worden opgevraagd.