Goede doelen schenden stelselmatig privacy donateurs
Uit onderzoek van Stichting Donateursbelangen blijkt dat goede doelen stelselmatig de privacy van donateurs schenden. Een groot aantal goede doelen profileert en segmenteert donateurs zonder dat donateurs kunnen weten dat ze op basis hiervan benaderd worden. Uit een steekproef blijkt daarnaast dat 84% van de onderzochte CBF-Erkende goede doelen zonder toestemming vooraf tracking cookies plaatst.
Naar aanleiding van de massaclaim door Stichting Data Bescherming Nederland (SDBN) tegen Adobe, gestart op 13 december 2023, heeft Stichting Donateursbelangen (SDB) onderzoek gedaan hoe goede doelen met de privacy van donateurs omgaan.
Dit onderzoek laat zien dat goede doelen donateurs profileren en segmenteren waarbij, onder andere op basis van vermogen of leeftijd van de donateur, donateurs getarget worden met (online) marketing. Denk hierbij aan het vinden en targeten van zogenaamde ‘major donors’ en het begeleiden van senioren tot het doen van een nalatenschap aan het desbetreffende goede doel. Veel privacyverklaringen van goede doelen zijn hier niet helder over en het is voor donateurs niet duidelijk op basis van welke verwerkte persoonsgegevens ze getarget worden en hoe men inzage kan krijgen in welke gegevens zijn vastgelegd en hoe men eventueel hiertegen bezwaar kan maken. Als je als donateur niet weet dat dit gebeurt, kun je er ook geen bezwaar tegen maken.
Rode Kruis
SDB heeft juridische informatie ingewonnen op basis van een voorgelegd praktijkvoorbeeld van het Rode Kruis waarbij via de website van het Rode Kruis een eenmalige donatie gedaan kan worden. Hieruit blijkt dat:
het plaatsen van tracking cookies, zoals dit bij het Rode Kruis plaatsvindt vóórdat de websitebezoeker toestemming heeft gegeven, niet is toegestaan.
Wanneer het Rode Kruis gegevens verzamelt buiten de donateur om, op basis van verplicht achter te laten gegevens zoals postcode en huisnummer, zal zij in beginsel dezelfde informatie moeten verstrekken als wanneer zij de gegevens van de betrokkene zelf heeft gekregen. Dit gebeurt nu niet.
Het gebruik van vooraf aangekruiste vakjes in het donatieformulier op de manier waarop het Rode Kruis dit nu toepast, niet geldt als ondubbelzinnige toestemming en is dus niet toegestaan.
Het Rode Kruis de privacyverklaring pas verstrekt nadat de gegevens zijn ingevuld. Dit terwijl de wet vereist dat dit gebeurt op het moment dat het de persoonsgegevens verkrijgt.
Indien donateurs willen doneren zij zijn gehouden akkoord te gaan met de verwerking van de gegevens door het Rode Kruis. Gelet hierop is toestemming niet vrijelijk gegeven.
Via deze werkwijze, waarbij donateurs verplicht zijn postcode en huisnummer achter te laten, maakt het Rode Kruis, met behulp van extern verkregen data, profielen aan op basis waarvan het onder andere vermogende (potentiële) donateurs benadert zonder dat donateurs dit weten en hier geen bezwaar tegen kunnen maken.
SDB heeft via hoor en wederhoor op 16 december navraag bij het Rode Kruis gedaan maar geen reactie ontvangen.
Daarnaast blijkt, uit een steekproef, dat maar liefst 52 van de onderzochte 62 CBF-Erkende goede doelen tracking cookies zetten voordat een internetgebruiker of donateur toestemming heeft verleend. 84% van de onderzochte goede doelen in de steekproef schenden hiermee de privacy van internetgebruikers en donateurs. SDB heeft deze steekproef als open data beschikbaar gemaakt voor donateurs en legt via haar website aan donateurs uit hoe zij in twee simpele stappen zelfstandig kunnen controleren of goede doelen zonder toestemming tracking cookies plaatsen en daarmee de privacy schenden.
Geen officiële toezichthouder
Er is geen officiële toezichthouder op goede doelen in Nederland. Het CBF presenteert zich als toezichthouder op goed doen. Het CBF is een instantie die goede doelen, die zich vrijwillig laten toetsen op basis van normen, de zogenaamde CBF-Erkenning verstrekt als keurmerk indien aan de normen wordt voldaan.
Het CBF liet het volgende weten op basis van het onderzoek en de gestelde vragen door SDB: “Dataverzameling via cookies op websites is een onderdeel van onze samenleving geworden, maar is voor de meeste van ons een “black box”. Het is goed dat op misbruik van dataverzameling en wetsovertreding door de daarvoor aangewezen toezichthouder (de Autoriteit Persoonsgegevens) wordt toegezien. Het CBF verwacht van de Erkende goede doelen dat zij de wet volgen bij hun dataverzameling. Vaak werken goede doelen met een externe partij die hun website en cookies beheren. Wij gaan er vooralsnog van uit dat Erkende goede doelen waarvan is geconstateerd dat zij cookies plaatsen voordat toestemming is gegeven, dit doen zonder zich hiervan bewust te zijn. We zullen hen ook wijzen op de berichten in de media rondom Adobe cookies en de nog lopende rechtszaak. Het CBF vraagt Erkende goede doelen om actief na te gaan of zij cookies op onjuiste wijze gebruiken en -indien dat het geval is- hun werkwijze aan te passen in lijn met vigerende wet- en regelgeving“, aldus Harmienke Kloeze, directeur CBF.
Naïf
SDB vindt dat het CBF op basis van de reactie het onderzoeksresultaat bagatelliseert en eigenlijk direct hoort in te grijpen. Een toezichthouder die ervan uitgaat dat de goede doelen zich hier niet bewust van zijn is op zijn zachts te zeggen naïef te noemen. Zeker als SDB het CBF maanden geleden al gewezen heeft op het plaatsen van de Adobe tracking cookies bij KWF. SDB heeft het CBF uitgenodigd gezamenlijk uitgebreider onderzoek naar dit onderwerp te doen.
KWF
KWF heeft op basis van de massaclaim vanuit SDBN tegen Adobe en navraag vanuit Stichting Donateursbelangen haar website aangepast en liet weten: “Wij hebben het persbericht woensdag gezien en zijn daarop direct een onderzoek gestart. Hierna hebben wij alles in werking gezet om samen met onze leverancier aanpassingen te maken, zodat de cookies niet meer geplaatst worden. Deze wijzigingen zijn eerst getest en inmiddels ook verwerkt in onze live omgeving”, aldus Linda Sumner, woordvoerder KWF. In dit geval geldt dat KWF de Adobe cookies inderdaad verwijderd heeft maar geldt dat andere tracking cookies nog steeds gezet worden voordat toestemming is verleend.
"Dit voorbeeld laat zien op hoeveel verschillende plekken op het internet de tracking cookies van Adobe op illegale wijze worden geplaatst. Onze inzet is om dit bij de basis te stoppen. Adobe moet hiermee stoppen, en daarom zijn we een massaclaim gestart tegen het bedrijf", aldus Anouk Ruhaak van Stichting Data Bescherming Nederland.
Bernard Martina, jurist bij de Privacywacht: ''Wanneer we de feiten in deze kwestie onder de loep nemen, blijkt er een patroon van ernstige en opzettelijke schendingen van de privacy te zijn, gefaciliteerd door Adobe en ondersteund door en mede mogelijk gemaakt door de grootste websites van het land. Ook hebben wij als kantoor al enige klachten ontvangen van bezorgde donateurs omdat enkele non-profitorganisaties meedoen aan deze onwettige vorm van gegevensvergaring. Dit is een ernstige aangelegenheid, en het is verontrustend dat uiterst gevoelige persoonsgegevens op internationale schaal worden 'verhandeld' voor financieel gewin, met alle mogelijke gevolgen voor de bezoekers van deze websites van dien.''
Stichting Donateursbelangen roept alle goede doelen in Nederland op te controleren hoe zij met de privacy van internetgebruikers en donateurs omgaan en daar waar zaken niet blijken te kloppen, dit zo spoedig mogelijk aan te passen.
Doel van het onderzoek, uitgevoerd door SDB, was om inzicht te krijgen of goede doelen in Nederland de privacy van internetgebruikers en donateurs schenden. De goededoelensector is in de afgelopen jaren verder geprofessionaliseerd. Het is onwenselijk dat non-profitorganisaties dezelfde privacyschendingen toepassen als de big tech for-profit organisaties. Vaker dan door goede doelen gedacht, geldt dat het recht op privacy van donateurs zwaarder weegt dan het belang van het goede doel bij de verwerking van persoonsgegevens.
