Laatste update op 17 oktober 2017

museumkaartOrganisaties kunnen nauwelijks meer buiten databases die via onlinekanalen persoonlijke gegevens binnenhalen en verwerken. Die databases zijn kwetsbaar; dat blijkt uit de vele (verplichte) meldingen die worden gedaan van datalekken. De kans op identiteitsfraude stijgt met iedere opname van gegevens die gemakkelijk tot jou leiden. Ook de kans dat men informatie over jou verzamelt waar men niets mee te maken hebt wordt groter. Tijd om de touwtjes weer in eigen handen te nemen.

Al jaren koop ik museumkaart. Tot voor kort kocht je die kaart aan de kassa van een museum, je schreef je naam en geboortedatum erop en klaar was je. Maar dat gaat voortaan anders: het proces van een kaart kopen is gemoderniseerd. Je krijgt eerst een tijdelijke pas met nummer mee. Als je thuis bent, kun je die kaart op de website van Museumkaart registreren. Je vraagt dan als het ware een definitieve kaart aan.

Op zich is daar helemaal niets mis mee; het nieuwe systeem werkt perfect en zodra je je gegevens op de website hebt ingevuld en je foto hebt geüpload, duurt het maar een paar dagen voordat je je kaart in je bezit hebt.  Op de kaart staan zowel je foto als je geboortedatum. Daarmee kan misbruik (lees: onrechtmatige toegang door kaart uitlenen) worden voorkomen. Prima.

Je hoort een “maar” aankomen

Ja. Een grote maar. De gegevens komen niet alleen op de pas te staan. Ze blijven ook in de database van Museumkaart staan en dat is helemaal niet nodig. Het probleem daarmee is dat die gegevens zonder grote inspanning kunnen leiden tot tot een identificeerbare natuurlijke persoon (in dit geval tot mijn persoon). Vermelding op de pas is voldoende. Lees dit verhaal vooral uit, want het krijgt een bijzonder staartje, dat ik in mijn naïviteit ook niet had zien aankomen.

Waarom ik hierover nadenk? Omdat ik niet wil dat mijn geboortedatum en mijn pasfoto in één database terechtkomen bij een partij waarvan ik niet weet of die hun gegevens goed beveiligen. Nee, ook niet bij het ziekenhuis, lees maar eens ‘Het nieuwe ponskaartje: ik wil niet‘.

Waarom dit niet zeuren of dwarsliggen is? Bedrijven zijn verplicht een melding te doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Zoek bij NOS.nl of in de zoekmachine van Google maar eens naar ‘datalek persoonlijke gegevens’: de lijst is eindeloos en groeit dagelijks. Vanaf het moment dat zelfs mijn DiGiD niet meer in veilige handen bleek bij Diginotar, werd mij duidelijk dat ik de regie zelf in handen moet zien te houden. Je kunt spreken van slordigheid en nalatigheid ten top bij een organisatie die boven alle andere je gegevens veilig moet bewaren. En dus heb ik moeite met de combinatie van mijn foto en geboortedatum bij een willekeurige organisatie. Ik laat Facebook niet voor niets denken dat ik nog maar 26 ben (wat, als je niet oppast, weer leidt tot grappige reclame met zwangerschapstesten en zo ;-D). Dus …

Wat Museumkaart zegt

… zodra ik mijn museumkaart had ontvangen, vroeg ik om verwijdering van mijn gegevens uit de database.  En wat zeiden de medewerkers van Museumkaart:

Helaas is het niet mogelijk om uw gegevens te verwijderen uit onze administratie. Wanneer u de Museumkaart verliest of de kaart wordt gestolen, moeten wij de mogelijkheid hebben om een vervangende Museumkaart naar u toe te sturen. Als wij uw gegevens verwijderen hebben wij die mogelijkheid niet meer. Uw online account kunnen wij indien gewenst wel voor u verwijderen. Na het verlopen van uw huidige Museumkaart, worden uw gegevens automatisch verwijderd uit onze administratie.”

Ze willen niet (ze kunnen heus wel) omdat ik mijn kaart kan verliezen en ze dan een vervangende kaart moeten kunnen sturen. Huh? Wie bepaalt dat zij die mogelijkheid moeten hebben? Dat is helemaal niet in de wet vastgelegd. Het is bovendien een onbedoeld neerbuigend antwoord, want dat risico kan ik ook voor mijn eigen rekening nemen. Ik was toch al niet van plan om € 4,95 te betalen voor het toesturen van een nieuwe pas, dus een vervangende kaart zou ik toch niet krijgen. Kortom: ik ben niet tevreden met het antwoord.

En toen

In mijn reactie aan Museumkaart heb ik aangegeven dat ik zelf wil beslissen over waar deze gegevens in een database bewaard mogen blijven. Dat ik de combinatie van geboortedatum en foto niet bij Museumkaart in een database (online dan wel offline) geregistreerd wil hebben. Dat ik het risico dat ik de kaart verlies voor mijn eigen rekening neem en dat ik andermaal verzoek om mijn gegevens uit de bestanden te verwijderen. Een bevestiging heb ik nog niet ontvangen, maar ik ga er vanuit dat dit deze week volgt* En als de boel dan onverhoopt lekt, dan zitten mijn persoonsgegevens er – hopelijk – niet meer tussen.

Natuurlijk snap ik dat dit lastig is voor Museumkaart. Het vergt een extra handeling. Het zou een goede service zijn om een extra knop aan te brengen waarmee je kunt aangeven dat je je gegevens verwijderd wilt hebben zodra de pas is verstuurd. Een soort uitbreiding van het vergeetrecht (het recht om te eisen dat persoonsgegevens worden verwijderd en dat verdere verspreiding wordt tegengegaan via links op het internet). Zouden ze bij Museumkaart al een functionaris voor de gegevensbescherming hebben (ook wel Data Protection Officer, DPO, genoemd)? Die zou dit misschien als service aanraden.

En natuurlijk snap ik ook dat ik straks ook geen nieuwsbrieven meer ontvang. Dat neem ik dan maar voor lief.

* Een staartje: datadrift!

Nee, we zijn er nog niet. Museumkaart reageert via hun dataverwerker DBF dat zij bij wijze van compromis mijn telefoonnummer en foto kunnen verwijderen. De rest zou niet verwijderd kunnen worden omdat het werkprocesproblemen oplevert (niet mijn werkproces hoor): ze moeten dan namelijk zien te voorkomen dat de kaart dubbel wordt uitgegeven. Dat is onzin, want technisch gezien is dit helemaal geen probleem. Zo’n kaart (klantrecord) heeft een uniek ID (in MS Access bijvoorbeeld zo: primary key, lange integer, geïndexeerd, geen duplicaten). Als je het verwijdert, is het gewoon weg.

Na een kort onderzoekje komt er wat anders naar boven. Een reden waarom men mij liever niet uit de database heeft, namelijk: datadrift. Museumkaart doet er grif aan mee!  Ze verzamelen informatie over jouw museabezoek.

Kijk maar eens, uit de website van DBF blijkt dat zij:

“voor Stichting Museumkaart een centrale bezoekregistratie verzorgen centraal voor alle 400 aangesloten musea.  Het registreren van bezoek maakt klantanalyse mogelijk. Dit geeft inzicht in gedrag en voorkeuren van een kaarthouder (soort museum, frequentie, gecombineerd bezoek). Het grootste voordeel van deze aanpak is uiteraard de mogelijkheid voor het creëren en bijhouden van een klantprofiel voor iedere pashouder. “

Aha! Maar dat was mij niet verteld. Nergens rept Museumkaart erover dat er een klantprofiel over mij wordt opgesteld op basis van de bezoekjes aan musea. Niet in de gebruikersovereenkomst en niet in het privacystatement. Ik lees het op de site van hun dataverwerker. Maar nergens wordt er toestemming voor gevraagd aan mij en ik wil ook helemaal niet dat er een klantprofiel van mij wordt opgesteld. Als het al zo logisch is, waarom wordt dat dan niet duidelijk over gecommuniceerd?

Kan ik het museum wel binnen?

Update 17 december: ik heb aan de dataverwerker aangegeven dat ik niet wil dat men een klantprofiel van mij maakt op basis van bezoekregistratie. Hierop heb ik nog geen reactie gehad. Ondertussen vraag ik mij af of ik überhaupt het een museum in kan, want: ze willen mijn kaart natuurlijk scannen bij de entree. Dat gaat ongetwijfeld onder de noemer “kaartcontrole“, maar feitelijk wordt de informatie verwerkt in het klantprofiel bij DBF.

Opt-out

Vermoedelijk heb ik niets aan de kaart. Ik begrijp werkelijk niet waarom Museumkaart niet aangeeft dat ze een klantprofiel van je willen maken, waarvoor je de keuze tot opt-out zou moeten krijgen.

Straks stemmen: houd rekening met de digitale samenleving

Wil jij straks stemmen op een partij die voor je digitale burgerrechten opkomt? Kijk dan eens wat D66 en de Piratenpartij hierover zeggen. Bij die partijen zit je beter.

Meer weten? Informatieve links