© Ivo van de Grift

·clock 8 MIN

Uitchecken bij Airbnb is een onvergetelijke ervaring (★☆☆☆☆)

Peter Teffer
31 Bijdragen

Burgers van de Europese Unie hebben sinds 2018 meer zeggenschap over hun persoonsgegevens – in theorie. In de praktijk blijkt het een uitputtingsslag om iets te weten te komen over de informatie die bedrijven over je hebben vastgelegd. Redacteur Peter Teffer diende een verzoek in bij Airbnb en belandde in een kafkaëske klucht.

Dit stuk in 1 minuut
  • Welke persoonsgegevens bewaren internetbedrijven van hun klanten? Consumenten hebben sinds 2018 wettelijk recht op een antwoord op die ogenschijnlijk simpele vraag. Maar duidelijkheid verkrijgen van verhuursite Airbnb blijkt nog geen sinecure.
  • Dat is een probleem: Bedrijven verzamelen persoonlijke informatie, ook van jou. Dat brengt risico’s met zich mee.
  • Wanneer de opslag niet goed is beveiligd, kunnen hackers en dieven hun gang gaan en dreigt bijvoorbeeld identiteitsfraude. Bedrijven kunnen met jouw gegevens (je naam, adres, bankrekeningnummer maar ook je zoek- en klikgedrag) ‘persoonsprofielen’ maken waarmee je door kwaadwillenden kan worden gevolgd en gecontroleerd.
  • Het bedrijfsmatig hamsteren van data is zo vanzelfsprekend en massaal geworden, dat veel mensen niet meer beseffen welke informatie ze ooit hebben prijsgegeven en aan wie.
  • De lidstaten van de Europese Unie hebben afgesproken dat je meer inzicht moet krijgen in datavergaring door ondernemingen. En dat je gegevens kunt laten verwijderen, als je dat zou willen. Maar hoe pak je dat aan?
  • Recht hebben is nog geen recht krijgen. Redacteur Peter Teffer wilde dat Airbnb zijn klantgegevens verwijderde en deed daartoe een formeel verzoek. Toen daar geen duidelijk antwoord op kwam, vroeg hij Airbnb wélke data het eigenlijk van hem bewaart.
Lees verder

Was dit kader nuttig?

Zijn we blij mee!

Balen!

Vertel ons wat beter kan:
Meld je aan voor onze nieuwsbrief en krijg een maand gratis Follow the Money.
NOV '20
DEC '20
JAN '21
FEB '21
16 NOV
2020
3 JAN
2021
4-6 JAN
2021
9-11 JAN
2021
12 JAN
2021
23 JAN
2021
10 FEB
2021
15 FEB
2021
19 FEB
2021
28 FEB
2021

Het is alweer zo’n vijf jaar geleden dat ik voor het laatst van een particulier een slaapplek huurde via de platformdienst Airbnb. Ik moest soms als verslaggever voor de nieuws- en opiniewebsite EUobserver in Straatsburg zijn wanneer het Europees Parlement weer eens zijn hele hebben en houden voor vier dagen naar Frankrijk had verplaatst. Precies op de momenten dat iedereen op dezelfde hotelkamers zat te azen. Inwoners van de Elzasstad maakten van die tijdelijke schaarste handig gebruik door via Airbnb kamers te verhuren.

Maar ik kreeg steeds vaker aarzelingen om er nog gebruik van te maken. Vooral de verhalen uit mijn geboortestad Amsterdam – over hoe toeristen in woonwijken zorgden voor overlast, gesymboliseerd door het geluid van de rolkoffer – deden mijn beeld van de verhuursite kantelen. Daarnaast begon ik de dienstverlening in hotels meer te waarderen. Ik leerde mezelf aan om voortaan op tijd een kamer te boeken bij het gezellige Straatburgse hotelletje dat gasten op de dag van aankomst een taartje aanbood.

Tijdlijn: begin linkNa al jaren niet meer te hebben ingelogd, besloot ik op 16 november 2020 om mijn Airbnb-profiel op te heffen. Dat ging relatief gemakkelijk en ik kreeg een bevestiging per e-mail dat mijn account ‘werd geannuleerd’. Die korte mail bevatte echter ook deze zin: ‘Je kan op elk moment met ons contact opnemen om een geannuleerd account te heropenen.’

Dat vond ik onwenselijk. Als heropenen van het account een optie is, bewaart het bedrijf dus nog ergens informatie over mij. Ik wilde juist dat Airbnb al mijn persoonlijke gegevens zou wissen.

Als EU-burger heb ik in principe het recht om persoonsgegevens te laten verwijderen. Dat staat in de Algemene Verordening Gegevensbescherming (AVG), die sinds mei 2018 van kracht is. Die Europese verordening, geldig in alle lidstaten, geeft burgers ook het recht op inzage van de verzamelde persoonsgegevens.Tijdlijn: einde link

Over deze serie

De risico’s van het online verstrekken van persoonlijke informatie worden vooral inzichtelijk wanneer het misgaat. Onlangs weer, door het nieuws dat de gegevens van 3,6 miljoen klanten van het moederbedrijf van Allekabels.nl waren uitgelekt. Dat was kort na de onthulling dat de persoonljke data van een half miljard Facebookgebruikers op straat lagen. Bij Facebook zou het gaan om onder meer telefoonnummers en e-mailadressen. Volgens de ontdekker waren ruim vijf miljoen profielen van Nederlanders getroffen. En, toppunt van ironie, ook de gegevens van oprichter Mark Zuckerberg.

Een ander opmerkelijk slachtoffer was de Belgische eurocommissaris Didier Reynders, verantwoordelijk voor uitvoering van de Europese regels voor databescherming die dit soort lekken juist moeten voorkomen: de Algemene Verordening Gegevensbescherming (AVG). Een woordvoerder van de Europese Commissie zei dat het Facebookincident ‘het belang van de AVG om fundamentele rechten te beschermen alleen maar opnieuw bevestigde’.

In theorie staan EU-burgers sterker in hun dataschoenen dankzij de AVG. Op 25 mei 2018, op een conferentie om de inwerkingtreding van de verordening te vieren, somde Reynders’ voorganger Věra Jourová de nieuwe rechten van burgers op. Dankzij de AVG zouden burgers makkelijker toegang krijgen tot hun eigen data; het recht hebben om die van de ene naar de andere dienstverlener over te hevelen; een duidelijker omschreven recht hebben op gegevensvernietiging; en het recht hebben om snel op de hoogte te worden gesteld wanneer hun gegevens zijn gehackt. ‘De nieuwe regels zijn bedoeld om voordelen te bieden voor zowel burgers als bedrijven.’

Maar hoe werkt die verordening in de praktijk, bijna drie jaar nadat de regels van kracht zijn geworden? Ik onderzoek wat je er als EU-burger precies aan hebt. In dit eerste artikel laat ik zien wat er gebeurde toen ik mijn AVG-rechten probeerde te gebruiken bij Airbnb. 

Verantwoording

Het is in de (onderzoeks)journalistiek niet heel gewoon om jezelf als hoofdpersoon voor een verhaal te gebruiken.Maar om erachter te komen hoe de Algemene Verordening Gegevensbescherming in de praktijk werkt, kun je als burger alleen een verzoek indienen over je eigen dossier. Ik had natuurlijk een buurvrouw of een-man-in-de-straat kunnen vragen zo’n verzoek te doen en mij over de schouder te laten meekijken, maar zoals uit mijn eigen ervaring blijkt, vraag je iemand dan om een behoorlijke tijdsinvestering. Dat maakt het wat mij betreft verantwoord om – bij wijze van uitzondering – voor deze serie artikelen mijn journalistenpet af en toe om te wisselen voor mijn burgerpet.

Lees verder Inklappen

Ik diende bij Airbnb een formeel verzoek in om inzage van de over mij bewaarde informatie. Daarmee ging ik een traject in dat maanden zou duren, en duidelijk maakte dat er nogal een verschil zit tussen het theoretische recht en de praktijk.

Justin en Mark schieten te hulp

Hoe maak ik bij Airbnb gebruik van mijn AVG-rechten? Op de Engelstalige pagina met het privacybeleid vind ik een enkel zinnetje: ‘Learn more about rights under GDPR here.’ Door op die link te klikken, kom ik op de pagina ‘Buiten de Verenigde Staten’, waar ik het adres vind van de Data Protection Officer (DPO), de functionaris voor gegevensbescherming van wie de taken staan beschreven in de AVG. 

Ik stuur, kort nadat Airbnb bevestigde dat mijn account ‘werd geannuleerd’, een e-mail naar dpo@airbnb.com. Dat was dus op 16 november 2020. 

Tijdlijn: begin linkDaarna bleef het 48 dagen stil. Pas op 3 januari 2021 ontving ik een reactie: een e-mail afkomstig van dpo@airbnb.com maar ondertekend door ene 'Justin’ zonder achternaam, met de mededeling this email is a service from Airbnb Community Support

Justin vroeg of ik mijn verzoek zou willen indienen via mijn Airbnb-account

Ik deelde hem mee dat ik juist mijn profiel had laten verwijderen, en dat ik op de website van Airbnb had gelezen dat ik een e-mail moest sturen naar dpo@airbnb.com als ik van mijn AVG-rechten gebruik wilde maken.Tijdlijn: einde link

Daar had Justin kennelijk geen antwoord op want later die dag kreeg ik een reactie ondertekend door ‘Mark’. Hij introduceerde zich als Airbnb customer support ambassador. Marks e-mail was ook niet meer afkomstig van het dpo-adres, maar van reply@support-email.airbnb.com.

Tijdlijn: begin linkDe volgende dag schreef Mark me in weer een nieuwe e-mail dat ik geen profiel meer had. En dat, als ik in de toekomst Airbnb nog eens wilde gebruiken, ik een nieuw profiel zou moeten aanmaken. Maar dat was niet mijn punt, reageerde ik. Ik wilde bevestiging dat al mijn persoonsgegevens waren verwijderd.

Weer een dag later, op 5 januari, stuurde Mark een wat uitgebreider bericht. Hij informeerde me dat ik in sommige rechtsgebieden een verzoek kan doen om persoonsgegevens te laten verwijderen – wat ik natuurlijk al wist, want ik had juist zo’n verzoek gedaan. 

Mark voegde daaraan toe dat Airbnb niettemin ‘mogelijk’ sommige persoonsgegevens blijft bewaren, bijvoorbeeld om witwassen en fraude te voorkomen of te ontdekken, maar ook om aan wettelijke verplichtingen te voldoen richting de belastingautoriteiten.

Begrijpelijk. Wie via Airbnb kamers verhuurt, ontvangt inkomsten waaraan wellicht belastingverplichtingen zijn verbonden. Maar ik gebruikte Airbnb nooit om slaapplekken te verhuren, ik was alleen af en toe huurder. 

Ook onbevredigend was dat Mark alleen maar informatie gaf over welke persoonsgegevens Airbnb mogelijk over mij heeft bewaard, niet welke data het daadwerkelijk nog ergens op een server heeft staan. 

Daarom vroeg ik op 6 januari welke specifieke informatie Airbnb nog over mij beheert. Voor de volledigheid citeerde ik artikel 15 uit de AVG, over het recht van inzage. Mark liet kort na middernacht nog even weten dat hij de twee dagen daarop vrij was en weer aan mijn zaak zou werken als hij terug was.Tijdlijn: einde link

Aan welke regels moet Airbnb zich houden?

De Algemene Verordening Gegevensbescherming bevat regels voor alle bedrijven die diensten aanbieden aan Europeanen en daarbij persoonsgegevens verwerken. De artikelen die gebruikers van die diensten – ‘betrokkenen’ – recht geeft op inzage (artikel 15) en verwijdering (artikel 17) zijn dus sowieso van toepassing op Airbnb. 

Airbnb moet ‘de uitoefening van de rechten van de betrokkene’ faciliteren en ‘binnen een maand’ laten weten welk gevolg het heeft gegeven aan een inzageverzoek. Ook als Airbnb besluit om zo'n verzoek niet in te willigen, moet het bedrijf dat binnen een maand aan ‘betrokkene’ uitleggen.

Daarnaast gelden de regels (artikelen 37-39) voor het hebben van een ‘functionaris voor gegevensbescherming’ (data protection officer), omdat Airbnb ‘regelmatige en stelselmatige observatie op grote schaal van betrokkenen’ uitvoert. Die omschrijving is in de wetgeving niet gedefinieerd, maar volgens een officieel document met richtlijnen omvat die term ‘alle vormen van opsporing en profilering op het internet, ook met het oog op gedragsgerelateerde publiciteit’. Airbnb zegt zelf in zijn privacybeleid dat het bedrijf persoonsgegevens gebruikt om advertenties ‘te personaliseren’.

Gebruikers van Airbnb’s diensten moeten contact kunnen opnemen met de functionaris voor gegevensbescherming ‘over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun [AVG-]rechten’. De functionaris moet worden aangewezen ‘op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming’ en het vermogen om de wettelijk vastgelegde taken te vervullen.

Lees verder Inklappen

Tijdlijn: begin linkEnkele dagen later, op een zaterdag, kreeg ik een joviaal berichtje van Mark die vroeg of alles goed met me ging en of ik zijn mailtje nog had ontvangen. Kon hij me nog van dienst zijn? Zo niet, dan zou hij de zaak sluiten. 

Op zondag had ik nog niet gereageerd en Mark was kennelijk ongeduldig geworden. Hij schreef dat hij had geprobeerd te bellen maar me niet te pakken had gekregen. ‘Het lijkt erop dat je er nog niet klaar voor bent om me een reactie te sturen over je profielvraag. Voor nu sluit ik dit ticket,’ schreef Mark.

Hoewel ik eigenlijk niet veel zin had om er in het weekend tijd aan te besteden, stuurde ik zondagavond een reactie. Ik liet weten dat ik nog altijd geen antwoord had op mijn vraag en herhaalde mijn verzoek om informatie over de persoonsgegevens die Airbnb in bezit heeft. 

En ik vroeg hem om opheldering: Mark zei dat hij had geprobeerd me te bellen. Klaarblijkelijk heeft Airbnb dus een telefoonnummer van mij? Hoe zit dat?

Een antwoord kreeg ik niet. Wel liet Mark de volgende dag weten dat mijn verzoek zou worden doorgestuurd ‘naar een lid van ons team dat je beter kan helpen’.Tijdlijn: einde link

Eerst je paspoort sturen

Tijdlijn: begin linkDat bleek ene Simon te zijn, die op 12 januari schreef dat ik, om mijn datarechten te doen gelden, een nieuw verzoek moest sturen naar dpo@airbnb.com, vergezeld van een fotokopie van mijn ID-bewijs. Tijdlijn: einde link

Tijdlijn: begin linkOp 16 januari, opnieuw een zaterdag, kreeg ik nog een e-mail van Simon. Hij liet weten dat Airbnb nog geen ID-bewijs van me had ontvangen en dat ik dat binnen 48 uur moest sturen, omdat Airbnb er anders ‘vanuit gaat dat u niet langer verder wilt gaan en dat u uw verzoek heeft ingetrokken’. Tijdlijn: einde link

Toen werd ik pissig. Airbnb kan niet kan verwachten dat mensen 24 uur per dag, zeven dagen per week tijd hebben om op e-mails te reageren. Daarbij, schreef ik in een mailtje op maandagochtend, staat er in de AVG helemaal niets over zulke deadlines. Daar is helemaal geen juridische grond voor. Hierop reageerde Simon niet meer.

Ik wist nu eindelijk wel (bijna twee maanden na mijn eerste e-mail) wat de procedure is om van mijn AVG-rechten gebruik te maken: een fotokopie van een ID-bewijs sturen, samen met je verzoek. Je kunt je afvragen waarom dat niet gewoon op de privacypagina van Airbnb staat, maar goed.

Tijdlijn: begin linkOp 23 januari verstuurde ik mijn AVG-verzoek naar Airbnb inclusief een kopie van mijn paspoort. Met het idee dat ik nu meer gegevens moest verstrekken om informatie te krijgen over de al verzamelde persoonsgegevens was ik niet heel blij, dus ik gaf Airbnb ook meteen de opdracht om het kopietje na gebruik te verwijderen en mij daarvan een bevestiging te sturen. Vervolgens bleef het weer 18 dagen stil.Tijdlijn: einde link

Welke boetes riskeert Airbnb?

Airbnb is zich bewust van het risico op boetes, blijkt uit informatie die het bedrijf – voorafgaand aan de beursgang in 2020 – indiende bij de Amerikaanse toezichthouder Securities and Exchange Commission (SEC). ‘Het niet naleven van de AVG kan leiden tot boetes tot 20 miljoen euro of tot 4 procent van de jaarlijkse wereldwijde inkomsten van de inbreukmaker, afhankelijk van welke van de twee het grootst is,’ aldus Airbnb.

De jaaromzet van Airbnb was in 2020 3,4 miljard dollar, dus dat komt neer op een boete van maximaal 136 miljoen dollar (ongeveer 114 miljoen euro). Die omzet was overigens flink gedaald door de reisonderdrukkende pandemie – een jaar eerder was de omzet nog 4,8 miljard dollar. 

Airbnb zei in het SEC-document dat het weliswaar ‘significante middelen’ heeft geïnvesteerd om ervoor te zorgen dat het aan de AVG voldoet, maar dat het risico op boetes blijft. 

Airbnb wees potentiële aandeelhouders ook op andere gevaren van het niet-naleven van de AVG: ‘Het kan ook leiden tot civiele rechtszaken, met de risico's van schade of rechterlijke verboden, of regelgevende bevelen die een negatieve invloed hebben op de manieren waarop ons bedrijf persoonlijke gegevens kan gebruiken.’ Ook waarschuwde Airbnb voor ‘aanzienlijke negatieve publiciteit en een aantasting van het vertrouwen’ in het geval Airbnb zich zou moeten verdedigen tegen ‘verzuim of waargenomen verzuim van ons om te voldoen aan het privacy- en gegevensbeschermingsbeleid’.

De hoogste AVG-boete tot nu toe ging naar Google en bedroeg 50 miljoen euro.

Lees verder Inklappen

Tijdlijn: begin linkOp 10 februari 2021 stuurde ik maar weer eens een herinneringsmail naar dpo@airbnb.com. Diezelfde dag ontving ik antwoord, niet van een Data Protection Officer, maar van ene Jhilarmi, van het community support team. Hij vroeg om meer details over mijn verzoek.

Ik naderde de wanhoop en kon dat in mijn reactie niet echt meer verhullen. Ik schreef dat ik de door Airbnb voorgeschreven procedure had gevolgd en dat het bedrijf zijn juridische verplichtingen uit de AVG overtrad. Ik dreigde met een klacht bij de Autoriteit Persoonsgegevens.Tijdlijn: einde link

De dag erop kreeg ik een standaardreactie, gevolgd door een mailtje van ene Aaron, die beweerde te werken voor een ‘gespecialiseerd team bij Airbnb’. Hij vroeg me mijn e-mailadres te bevestigen en dat deed ik.

Tijdlijn: begin linkOp 15 februari 2021, 91 dagen na mijn eerste e-mail en 23 dagen na toezending van een kopie van mijn ID-bewijs, schreef Aaron dat als ik van mijn AVG-rechten gebruik wilde maken, ik mijn verzoek moest indienen via dpo@airbnb.com, vergezeld van een kopie van mijn ID-bewijs.Tijdlijn: einde link

Ik antwoordde Aaron dat ik dat al had gedaan, maar geen antwoord had ontvangen. Op 16 februari kreeg ik een bericht waar ik weinig wijs uit kon worden en ik gaf de hoop op dat Airbnb mijn verzoek ooit zou inwilligen.

Illustraties door Ivo van de Grift
Illustraties door Ivo van de Grift

Tijdlijn: begin linkOp 19 februari 2021 stuurde ik een formele klacht naar Airbnb. Dat is nodig voordat je een klacht indient bij de Autoriteit Persoonsgegevens.Tijdlijn: einde link

Airbnb erkent op zijn website dat gebruikers het recht hebben een klacht in te dienen en verwijst daarvoor naar de Data Protection Officer van het bedrijf. Maar in reactie op mijn klacht ter attentie van de Data Protection Officer kreeg ik geen antwoord van die functionaris maar weer van Airbnb Community Support, en weer van Aaron. Hij verwees me terug naar zijn onbegrijpelijke e-mailtje van 16 februari.

Ik vroeg Aaron mijn formele klacht door te spelen naar een van zijn meerderen.

Tijdlijn: begin linkOp 28 februari kreeg ik bericht, van ene Paul van Airbnb Community Support: ‘We hebben u eerder laten weten dat we een kopie van uw identiteitsbewijs nodig hebben om aan uw verzoek te kunnen voldoen. We hebben nog geen dergelijke documentatie ontvangen.’Tijdlijn: einde link

Toen was ik er klaar mee. Airbnb erkende op geen enkele manier dat ik een formele klacht heb ingediend. Mijn al toegestuurde paspoortkopie was kennelijk kwijtgeraakt. Ook kreeg ik geen enkele keer een bericht van een ‘Data Protection Officer’ – al mijn vragen werden beantwoord door niet bijster goed geïnformeerde medewerkers van de klantenservice. Ik kreeg sterk de indruk dat Airbnb helemaal geen data protection officer heeft, of in elk geval niet één die beschikbaar is voor klanten. 

Follow the Money vroeg een interview met de data protection officer van Airbnb. In eerste instantie was dat  ‘momenteel’ niet mogelijk. Daarna reageerde Airbnb aldus: ‘Bedankt voor de informatie en de mogelijkheid om geïnterviewd te worden voor dit artikel. We zullen echter deze mogelijkheid respectvol afwijzen.’

Volgende keer: Mijn klacht bij de Autoriteit Persoonsgegevens. 

Gerelateerde artikelen

Peter Teffer
Peter Teffer
Onderzoekt hoe de EU in de praktijk werkt: het lobbyen, de subsidies, de regeltjes en het toezicht.
Gevolgd door 1262 leden
Verbeteringen of aanvullingen?   Stuur een tip
Annuleren

31 Bijdragen

Oudste eerst
Nieuwste eerst

Peter Tetteroo 2

Dit is een uitstekend dossier om bij de NL authoriteit persoonsgegevens op tafel te leggen en middels een klacht AirBnB een boete te laten betalen. Geen verbetering weer een aanklacht. Wij moeten os ook aan de wet houden dus ...
Bedankt voor wederom een uitstekend stuk onderzoeks journalistiek ..

Hans ten Berge

Peter Tetteroo
Ongelofelijk en dank ja voor al deze moeite en documentatie. Ik hoop dat die boete nu ook echt opgelegd wordt

Bèr Kessels

kennis of ervaring
Ik was in de veronderstelling dat een verzoek tot verwijdering altijd beantwoord moet worden met, onder andere, een extrect (uitdraai) van alle data van de persoon die de verwijdering vraagt. Dat is althans hoe ik het in opdracht van de DPO gebouwd heb, in het verleden.

Verder is het wel verklaarbaar dat een verwijderingsverzoek, of dataverzoek extra stappen ingebouwd heeft om de aanvrager te identificeren. Deze moeten dan wel duidelijk zijn en werken, natuurlijk. Het zou namelijk pas echt zorgwekkend zijn als zo een verzoek zonder zulke garanties of identificatie gaat: dan is uw privacy pas echt in gevaar.

Niek Jansen 9

Mooi staaltje van volhardende onderzoekjournalistiek, wat toch een dossier oplevert dat rijp zal zijn voor een aanklacht bij bijv. de autoriteit persoonsgegevens, zoals Peter Tetteroo ook voorstelt.
Gaat dat nog gebeuren?
Ook mijn compliment voor de toepasselijke illustraties.

Walter Boer 3

Meer dan benieuwd naar deel 2.... "Hou Vol"

Koos Breuker 2

kennis of ervaring
Even afgezien van deze tegenwerking het volgende.
Ik heb ooit geprobeerd mijn gegevens te laten verwijderen bij een ticketverkoop-organisatie, waar ik in 2019 een concertkaartje had gekocht.
Dat kan... over 7 jaar. Het lijkt erop dat data rond financiele transacties wettelijk zo lang bewaard moeten blijven.
Als dat waar is, stelt dit consumentenrecht niet heel veel voor in vele gevallen.

Eveline Bernard 6

Koos Breuker
Die 7 jaar bewaarplicht geldt alleen voor de boekhouding (facturen, betalingen). Uw persoonsgegevens horen daar niet in te zitten.

Tim Vos

Tja, ik lees hier toch vooral een ingecalculeerd ‘bedrijfsrisico’. Als je erbij pakt dat ‘Het niet naleven van de AVG kan leiden tot boetes tot 20 miljoen euro of tot 4 procent van de jaarlijkse wereldwijde inkomsten van de inbreukmaker, afhankelijk van welke van de twee het grootst is,’ dan is dat toch duidelijk. Deze bewoording is van zichzelf al suggestief doordat de 4 procent niet direct naar een getal om te zetten is waardoor de mogelijke boete een factor 6 kleiner lijkt dan die zou kunnen zijn.

Dit doet me denken aan de consumentenwetgeving met betrekking tot de luchtvaart. De luchtvaartmaatschappijen maken het ondanks de wetgeving ook niet makkelijk een vergoeding te claimen in geval van vertraging/annulering. Er zijn hier zelfs gespecialiseerde bedrijven voor opgericht om dit proces vanuit de consument te ondersteunen. Het zou me niet verbazen als dat bij AVG gerelateerde zaken ook gaat gebeuren.

Tenzij er dus wat veranderd waardoor de kosten/baten analyse naar de klant uitslaat in plaats van het bedrijf zie ik het niet rooskleurig in.

P.S. wees niet te hard voor de klantenservice, zij werken vaak ook met de beperkte mogelijkheden die ze hebben en worden waarschijnlijk streng beoordeeld op success rates in de tickets (vandaar de push het ticket te sluiten)

Justus van Melissant

Tim Vos
Herkenbare werkwijze inderdaad. Zelf heb ik nooit iets via airbnb gedaan maar deze services, met officer, ambassador en champion rollen zijn standaard in het VS bedrijfsproces. In theorie lijkt het allemaal netjes in orde en zou je overal terechtkunnen; in werkelijkheid krijg je zelden een (goed) antwoord van de hekpdesk-medewerkers (die vaak in lage lonen landen zoals India zitten). Erger nog zijn standaardantwoorden gegenereerd door bots. Mijn ervaring bij grote VS bedrijven, waarvoor ik ook als medewerker heb gewerkt, is dat je daardoor wordt afgepoeierd en dat zij slechts het aantal gesloten tickets tellen om hun quality and compliance dashboards er goed uit te laten zien.

Peter Kulche

kennis of ervaring
Prima artikel. Wel een detaildingetje: bedrijven moeten niet alleen aan de AVG maar ook aan fiscale wetgeving voldoen, zoals die Airbnb medewerker ook stelt. Dus moet Airbnb gegevens bewaren over zijn klanten en dat gedurende enige jaren. Dat zijn anders dan je stelt niet alleen verhuurders maar ook de huurders. Daar hebben ze immers ook een betaaltransactie mee gedaan: de vermadelijde servicekosten (die Airbnb zowel bij verhuurder als huurder in rek brengt) .

Peter Teffer 3

Peter Kulche
Bedankt voor de reactie. Maar mijn laatste transactie was een jaar of vijf geleden. En zelfs als de bewaartermijn zo lang zou zijn, waarom legt Airbnb dat dan niet gewoon uit? Dat hoort ook bij het recht op inzage.

Peter Kulche

Peter Teffer
Klopt dat transparantie en uitleg hoort bij het verwerken van onze gegevens. Ze mogen de dubbele toeslag op de huurbemiddeling uberhaupt al niet doen, maar dat is weer een ander verhaal. ;-) Rijksoverheid.nl meldt het volgende over bewaartermijnen voor bedrijfsadministraties: "Bedrijven en zelfstandigen moeten hun administratie 7 jaar bewaren. Dit is wettelijk geregeld. Er zijn ook gegevens die een bedrijf 10 jaar moet bewaren. Op de website van de Belastingdienst staat welke administratieve gegevens u moet bewaren en hoe lang."

Floor Terra

Peter Kulche
In dat geval hoort de reactie op hoofdlijnen als volgt te zijn: we hebben de volgende gegevens verwijderd [...] met uitzondering van x, y en z die onder een wettelijke bewaarplicht vallen en volgens artikel 17(3)(b) uitgezonderd zijn van de verplichting om op verzoek van de betrokkenen verwijderd te worden.

Een punt dat wat mij betreft wat meer benadrukt mag worden is de schijnbare onmogelijkheid om met de FG in contact te komen. Ik ben benieuwd of art. 38(4) ook onderdeel van de klacht aan de AP is.

Nico Janssen 7

Haha, inderdaad kafkaiaans! Mooie en nodige inspanning als ‘burger’ journalist. Ik ben heel benieuwd hoe het erbij de AP aan toeging / gaat!

jp rebel 2

Corporate Kafka uit t boekje, heel herkenbaar!

Reinier van der Drift 2

kennis of ervaring
Dus je hebt al heel wat uurtjes erin gestopt en 0 product geleverd gekregen. Ik zou een factuur sturen, ik neem aan dat je een freelancer bent en je staat in je recht. Als ze niet betalen, gelijk uit handen geven. Yanken komen alleen in actie als het ze geld dreigt te kosten

Henry Vorselman

Hou vol! Ik ben erg benieuwd. Het is natuurlijk superfrustrerend, maar als het je verder de kop niet kost is het natuurlijk lekker stoken tegen zo'n bedrijf dat maar denkt dat alles mag.

Gerard van Dijk 6

vraag
Het is maar een ideetje. Die boete is telkens ten gunste van de overheid, stel dat wanneer burgers zoiets in gang zetten, collectief of niet en dat die groep burgers zelf de helft van de boete zou mogen incasseren.
Dan ga je een hele andere dynamiek krijgen. De overheid ontvangt fors meer boetes, en reken maar dat de bedrijven hun zaken dan wel snel op orde hebben.
Maar ja, dan moet bij de politici de plutocratisch neuzen wel richting de burgers staan. En dat zal never nooit gebeuren, dan gooien ze hun eigen politieke hiernamaals in.

Eveline Bernard 6

Gerard van Dijk
Dan moet de AP wel eerst veel meer mensen hebben om de aangedragen overtredingen vast te leggen en de straf op te leggen.

F. Passet 4

kennis of ervaring
Prima artikel, de naleving van AVG is echt super slecht geregeld! Goed dat je hiermee doorgaat.

David Bartenstein 9

Nice. Goed bezig Peter! Ik ben zelf een keer afgehaakt na een vruchteloze poging om mijn gegevens te laten verwijderen toen vorig jaar bleek dat mijn gegevens - samen met die van vrijwel alle mensen met een LinkedIn profiel (!) - op de website apollo[.]io terecht waren gekomen, en ik vind het heel tof om te zien dat jij er nu werk van maakt!