Beeld © Ivo van de Grift

Uitchecken bij Airbnb is een onvergetelijke ervaring (★☆☆☆☆)

Burgers van de Europese Unie hebben sinds 2018 meer zeggenschap over hun persoonsgegevens – in theorie. In de praktijk blijkt het een uitputtingsslag om iets te weten te komen over de informatie die bedrijven over je hebben vastgelegd. Redacteur Peter Teffer diende een verzoek in bij Airbnb en belandde in een kafkaëske klucht.

Dit stuk in 1 minuut
  • Welke persoonsgegevens bewaren internetbedrijven van hun klanten? Consumenten hebben sinds 2018 wettelijk recht op een antwoord op die ogenschijnlijk simpele vraag. Maar duidelijkheid verkrijgen van verhuursite Airbnb blijkt nog geen sinecure.
  • Dat is een probleem: Bedrijven verzamelen persoonlijke informatie, ook van jou. Dat brengt risico’s met zich mee.
  • Wanneer de opslag niet goed is beveiligd, kunnen hackers en dieven hun gang gaan en dreigt bijvoorbeeld identiteitsfraude. Bedrijven kunnen met jouw gegevens (je naam, adres, bankrekeningnummer maar ook je zoek- en klikgedrag) ‘persoonsprofielen’ maken waarmee je door kwaadwillenden kan worden gevolgd en gecontroleerd.
  • Het bedrijfsmatig hamsteren van data is zo vanzelfsprekend en massaal geworden, dat veel mensen niet meer beseffen welke informatie ze ooit hebben prijsgegeven en aan wie.
  • De lidstaten van de Europese Unie hebben afgesproken dat je meer inzicht moet krijgen in datavergaring door ondernemingen. En dat je gegevens kunt laten verwijderen, als je dat zou willen. Maar hoe pak je dat aan?
  • Recht hebben is nog geen recht krijgen. Redacteur Peter Teffer wilde dat Airbnb zijn klantgegevens verwijderde en deed daartoe een formeel verzoek. Toen daar geen duidelijk antwoord op kwam, vroeg hij Airbnb wélke data het eigenlijk van hem bewaart.
Lees verder
NOV '20
DEC '20
JAN '21
FEB '21
16 NOV
2020
3 JAN
2021
4-6 JAN
2021
9-11 JAN
2021
12 JAN
2021
23 JAN
2021
10 FEB
2021
15 FEB
2021
19 FEB
2021
28 FEB
2021

Het is alweer zo’n vijf jaar geleden dat ik voor het laatst van een particulier een slaapplek huurde via de platformdienst Airbnb. Ik moest soms als verslaggever voor de nieuws- en opiniewebsite EUobserver in Straatsburg zijn wanneer het Europees Parlement weer eens zijn hele hebben en houden voor vier dagen naar Frankrijk had verplaatst. Precies op de momenten dat iedereen op dezelfde hotelkamers zat te azen. Inwoners van de Elzasstad maakten van die tijdelijke schaarste handig gebruik door via Airbnb kamers te verhuren.

Maar ik kreeg steeds vaker aarzelingen om er nog gebruik van te maken. Vooral de verhalen uit mijn geboortestad Amsterdam – over hoe toeristen in woonwijken zorgden voor overlast, gesymboliseerd door het geluid van de rolkoffer – deden mijn beeld van de verhuursite kantelen. Daarnaast begon ik de dienstverlening in hotels meer te waarderen. Ik leerde mezelf aan om voortaan op tijd een kamer te boeken bij het gezellige Straatburgse hotelletje dat gasten op de dag van aankomst een taartje aanbood.

Start scrollchart linkNa al jaren niet meer te hebben ingelogd, besloot ik op 16 november 2020 om mijn Airbnb-profiel op te heffen. Dat ging relatief gemakkelijk en ik kreeg een bevestiging per e-mail dat mijn account ‘werd geannuleerd’. Die korte mail bevatte echter ook deze zin: ‘Je kan op elk moment met ons contact opnemen om een geannuleerd account te heropenen.’

Dat vond ik onwenselijk. Als heropenen van het account een optie is, bewaart het bedrijf dus nog ergens informatie over mij. Ik wilde juist dat Airbnb al mijn persoonlijke gegevens zou wissen.

Als EU-burger heb ik in principe het recht om persoonsgegevens te laten verwijderen. Dat staat in de Algemene Verordening Gegevensbescherming (AVG), die sinds mei 2018 van kracht is. Die Europese verordening, geldig in alle lidstaten, geeft burgers ook het recht op inzage van de verzamelde persoonsgegevens.End scrollchart link

Over deze serie

De risico’s van het online verstrekken van persoonlijke informatie worden vooral inzichtelijk wanneer het misgaat. Onlangs weer, door het nieuws dat de gegevens van 3,6 miljoen klanten van het moederbedrijf van Allekabels.nl waren uitgelekt. Dat was kort na de onthulling dat de persoonljke data van een half miljard Facebookgebruikers op straat lagen. Bij Facebook zou het gaan om onder meer telefoonnummers en e-mailadressen. Volgens de ontdekker waren ruim vijf miljoen profielen van Nederlanders getroffen. En, toppunt van ironie, ook de gegevens van oprichter Mark Zuckerberg.

Een ander opmerkelijk slachtoffer was de Belgische eurocommissaris Didier Reynders, verantwoordelijk voor uitvoering van de Europese regels voor databescherming die dit soort lekken juist moeten voorkomen: de Algemene Verordening Gegevensbescherming (AVG). Een woordvoerder van de Europese Commissie zei dat het Facebookincident ‘het belang van de AVG om fundamentele rechten te beschermen alleen maar opnieuw bevestigde’.

In theorie staan EU-burgers sterker in hun dataschoenen dankzij de AVG. Op 25 mei 2018, op een conferentie om de inwerkingtreding van de verordening te vieren, somde Reynders’ voorganger Věra Jourová de nieuwe rechten van burgers op. Dankzij de AVG zouden burgers makkelijker toegang krijgen tot hun eigen data; het recht hebben om die van de ene naar de andere dienstverlener over te hevelen; een duidelijker omschreven recht hebben op gegevensvernietiging; en het recht hebben om snel op de hoogte te worden gesteld wanneer hun gegevens zijn gehackt. ‘De nieuwe regels zijn bedoeld om voordelen te bieden voor zowel burgers als bedrijven.’

Maar hoe werkt die verordening in de praktijk, bijna drie jaar nadat de regels van kracht zijn geworden? Ik onderzoek wat je er als EU-burger precies aan hebt. In dit eerste artikel laat ik zien wat er gebeurde toen ik mijn AVG-rechten probeerde te gebruiken bij Airbnb. 

Verantwoording

Het is in de (onderzoeks)journalistiek niet heel gewoon om jezelf als hoofdpersoon voor een verhaal te gebruiken.Maar om erachter te komen hoe de Algemene Verordening Gegevensbescherming in de praktijk werkt, kun je als burger alleen een verzoek indienen over je eigen dossier. Ik had natuurlijk een buurvrouw of een-man-in-de-straat kunnen vragen zo’n verzoek te doen en mij over de schouder te laten meekijken, maar zoals uit mijn eigen ervaring blijkt, vraag je iemand dan om een behoorlijke tijdsinvestering. Dat maakt het wat mij betreft verantwoord om – bij wijze van uitzondering – voor deze serie artikelen mijn journalistenpet af en toe om te wisselen voor mijn burgerpet.

Lees verder Inklappen

Ik diende bij Airbnb een formeel verzoek in om inzage van de over mij bewaarde informatie. Daarmee ging ik een traject in dat maanden zou duren, en duidelijk maakte dat er nogal een verschil zit tussen het theoretische recht en de praktijk.

Justin en Mark schieten te hulp

Hoe maak ik bij Airbnb gebruik van mijn AVG-rechten? Op de Engelstalige pagina met het privacybeleid vind ik een enkel zinnetje: ‘Learn more about rights under GDPR here.’ Door op die link te klikken, kom ik op de pagina ‘Buiten de Verenigde Staten’, waar ik het adres vind van de Data Protection Officer (DPO), de functionaris voor gegevensbescherming van wie de taken staan beschreven in de AVG. 

Ik stuur, kort nadat Airbnb bevestigde dat mijn account ‘werd geannuleerd’, een e-mail naar dpo@airbnb.com. Dat was dus op 16 november 2020. 

Start scrollchart linkDaarna bleef het 48 dagen stil. Pas op 3 januari 2021 ontving ik een reactie: een e-mail afkomstig van dpo@airbnb.com maar ondertekend door ene 'Justin’ zonder achternaam, met de mededeling this email is a service from Airbnb Community Support

Justin vroeg of ik mijn verzoek zou willen indienen via mijn Airbnb-account

Ik deelde hem mee dat ik juist mijn profiel had laten verwijderen, en dat ik op de website van Airbnb had gelezen dat ik een e-mail moest sturen naar dpo@airbnb.com als ik van mijn AVG-rechten gebruik wilde maken.End scrollchart link

Daar had Justin kennelijk geen antwoord op want later die dag kreeg ik een reactie ondertekend door ‘Mark’. Hij introduceerde zich als Airbnb customer support ambassador. Marks e-mail was ook niet meer afkomstig van het dpo-adres, maar van reply@support-email.airbnb.com.

Start scrollchart linkDe volgende dag schreef Mark me in weer een nieuwe e-mail dat ik geen profiel meer had. En dat, als ik in de toekomst Airbnb nog eens wilde gebruiken, ik een nieuw profiel zou moeten aanmaken. Maar dat was niet mijn punt, reageerde ik. Ik wilde bevestiging dat al mijn persoonsgegevens waren verwijderd.

Weer een dag later, op 5 januari, stuurde Mark een wat uitgebreider bericht. Hij informeerde me dat ik in sommige rechtsgebieden een verzoek kan doen om persoonsgegevens te laten verwijderen – wat ik natuurlijk al wist, want ik had juist zo’n verzoek gedaan. 

Mark voegde daaraan toe dat Airbnb niettemin ‘mogelijk’ sommige persoonsgegevens blijft bewaren, bijvoorbeeld om witwassen en fraude te voorkomen of te ontdekken, maar ook om aan wettelijke verplichtingen te voldoen richting de belastingautoriteiten.

Begrijpelijk. Wie via Airbnb kamers verhuurt, ontvangt inkomsten waaraan wellicht belastingverplichtingen zijn verbonden. Maar ik gebruikte Airbnb nooit om slaapplekken te verhuren, ik was alleen af en toe huurder. 

Ook onbevredigend was dat Mark alleen maar informatie gaf over welke persoonsgegevens Airbnb mogelijk over mij heeft bewaard, niet welke data het daadwerkelijk nog ergens op een server heeft staan. 

Daarom vroeg ik op 6 januari welke specifieke informatie Airbnb nog over mij beheert. Voor de volledigheid citeerde ik artikel 15 uit de AVG, over het recht van inzage. Mark liet kort na middernacht nog even weten dat hij de twee dagen daarop vrij was en weer aan mijn zaak zou werken als hij terug was.End scrollchart link

Aan welke regels moet Airbnb zich houden?

De Algemene Verordening Gegevensbescherming bevat regels voor alle bedrijven die diensten aanbieden aan Europeanen en daarbij persoonsgegevens verwerken. De artikelen die gebruikers van die diensten – ‘betrokkenen’ – recht geeft op inzage (artikel 15) en verwijdering (artikel 17) zijn dus sowieso van toepassing op Airbnb. 

Airbnb moet ‘de uitoefening van de rechten van de betrokkene’ faciliteren en ‘binnen een maand’ laten weten welk gevolg het heeft gegeven aan een inzageverzoek. Ook als Airbnb besluit om zo'n verzoek niet in te willigen, moet het bedrijf dat binnen een maand aan ‘betrokkene’ uitleggen.

Daarnaast gelden de regels (artikelen 37-39) voor het hebben van een ‘functionaris voor gegevensbescherming’ (data protection officer), omdat Airbnb ‘regelmatige en stelselmatige observatie op grote schaal van betrokkenen’ uitvoert. Die omschrijving is in de wetgeving niet gedefinieerd, maar volgens een officieel document met richtlijnen omvat die term ‘alle vormen van opsporing en profilering op het internet, ook met het oog op gedragsgerelateerde publiciteit’. Airbnb zegt zelf in zijn privacybeleid dat het bedrijf persoonsgegevens gebruikt om advertenties ‘te personaliseren’.

Gebruikers van Airbnb’s diensten moeten contact kunnen opnemen met de functionaris voor gegevensbescherming ‘over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun [AVG-]rechten’. De functionaris moet worden aangewezen ‘op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming’ en het vermogen om de wettelijk vastgelegde taken te vervullen.

Lees verder Inklappen

Start scrollchart linkEnkele dagen later, op een zaterdag, kreeg ik een joviaal berichtje van Mark die vroeg of alles goed met me ging en of ik zijn mailtje nog had ontvangen. Kon hij me nog van dienst zijn? Zo niet, dan zou hij de zaak sluiten. 

Op zondag had ik nog niet gereageerd en Mark was kennelijk ongeduldig geworden. Hij schreef dat hij had geprobeerd te bellen maar me niet te pakken had gekregen. ‘Het lijkt erop dat je er nog niet klaar voor bent om me een reactie te sturen over je profielvraag. Voor nu sluit ik dit ticket,’ schreef Mark.

Hoewel ik eigenlijk niet veel zin had om er in het weekend tijd aan te besteden, stuurde ik zondagavond een reactie. Ik liet weten dat ik nog altijd geen antwoord had op mijn vraag en herhaalde mijn verzoek om informatie over de persoonsgegevens die Airbnb in bezit heeft. 

En ik vroeg hem om opheldering: Mark zei dat hij had geprobeerd me te bellen. Klaarblijkelijk heeft Airbnb dus een telefoonnummer van mij? Hoe zit dat?

Een antwoord kreeg ik niet. Wel liet Mark de volgende dag weten dat mijn verzoek zou worden doorgestuurd ‘naar een lid van ons team dat je beter kan helpen’.End scrollchart link

Eerst je paspoort sturen

Start scrollchart linkDat bleek ene Simon te zijn, die op 12 januari schreef dat ik, om mijn datarechten te doen gelden, een nieuw verzoek moest sturen naar dpo@airbnb.com, vergezeld van een fotokopie van mijn ID-bewijs. End scrollchart link

Start scrollchart linkOp 16 januari, opnieuw een zaterdag, kreeg ik nog een e-mail van Simon. Hij liet weten dat Airbnb nog geen ID-bewijs van me had ontvangen en dat ik dat binnen 48 uur moest sturen, omdat Airbnb er anders ‘vanuit gaat dat u niet langer verder wilt gaan en dat u uw verzoek heeft ingetrokken’. End scrollchart link

Toen werd ik pissig. Airbnb kan niet kan verwachten dat mensen 24 uur per dag, zeven dagen per week tijd hebben om op e-mails te reageren. Daarbij, schreef ik in een mailtje op maandagochtend, staat er in de AVG helemaal niets over zulke deadlines. Daar is helemaal geen juridische grond voor. Hierop reageerde Simon niet meer.

Ik wist nu eindelijk wel (bijna twee maanden na mijn eerste e-mail) wat de procedure is om van mijn AVG-rechten gebruik te maken: een fotokopie van een ID-bewijs sturen, samen met je verzoek. Je kunt je afvragen waarom dat niet gewoon op de privacypagina van Airbnb staat, maar goed.

Start scrollchart linkOp 23 januari verstuurde ik mijn AVG-verzoek naar Airbnb inclusief een kopie van mijn paspoort. Met het idee dat ik nu meer gegevens moest verstrekken om informatie te krijgen over de al verzamelde persoonsgegevens was ik niet heel blij, dus ik gaf Airbnb ook meteen de opdracht om het kopietje na gebruik te verwijderen en mij daarvan een bevestiging te sturen. Vervolgens bleef het weer 18 dagen stil.End scrollchart link

Welke boetes riskeert Airbnb?

Airbnb is zich bewust van het risico op boetes, blijkt uit informatie die het bedrijf – voorafgaand aan de beursgang in 2020 – indiende bij de Amerikaanse toezichthouder Securities and Exchange Commission (SEC). ‘Het niet naleven van de AVG kan leiden tot boetes tot 20 miljoen euro of tot 4 procent van de jaarlijkse wereldwijde inkomsten van de inbreukmaker, afhankelijk van welke van de twee het grootst is,’ aldus Airbnb.

De jaaromzet van Airbnb was in 2020 3,4 miljard dollar, dus dat komt neer op een boete van maximaal 136 miljoen dollar (ongeveer 114 miljoen euro). Die omzet was overigens flink gedaald door de reisonderdrukkende pandemie – een jaar eerder was de omzet nog 4,8 miljard dollar. 

Airbnb zei in het SEC-document dat het weliswaar ‘significante middelen’ heeft geïnvesteerd om ervoor te zorgen dat het aan de AVG voldoet, maar dat het risico op boetes blijft. 

Airbnb wees potentiële aandeelhouders ook op andere gevaren van het niet-naleven van de AVG: ‘Het kan ook leiden tot civiele rechtszaken, met de risico's van schade of rechterlijke verboden, of regelgevende bevelen die een negatieve invloed hebben op de manieren waarop ons bedrijf persoonlijke gegevens kan gebruiken.’ Ook waarschuwde Airbnb voor ‘aanzienlijke negatieve publiciteit en een aantasting van het vertrouwen’ in het geval Airbnb zich zou moeten verdedigen tegen ‘verzuim of waargenomen verzuim van ons om te voldoen aan het privacy- en gegevensbeschermingsbeleid’.

De hoogste AVG-boete tot nu toe ging naar Google en bedroeg 50 miljoen euro.

Lees verder Inklappen

Start scrollchart linkOp 10 februari 2021 stuurde ik maar weer eens een herinneringsmail naar dpo@airbnb.com. Diezelfde dag ontving ik antwoord, niet van een Data Protection Officer, maar van ene Jhilarmi, van het community support team. Hij vroeg om meer details over mijn verzoek.

Ik naderde de wanhoop en kon dat in mijn reactie niet echt meer verhullen. Ik schreef dat ik de door Airbnb voorgeschreven procedure had gevolgd en dat het bedrijf zijn juridische verplichtingen uit de AVG overtrad. Ik dreigde met een klacht bij de Autoriteit Persoonsgegevens.End scrollchart link

De dag erop kreeg ik een standaardreactie, gevolgd door een mailtje van ene Aaron, die beweerde te werken voor een ‘gespecialiseerd team bij Airbnb’. Hij vroeg me mijn e-mailadres te bevestigen en dat deed ik.

Start scrollchart linkOp 15 februari 2021, 91 dagen na mijn eerste e-mail en 23 dagen na toezending van een kopie van mijn ID-bewijs, schreef Aaron dat als ik van mijn AVG-rechten gebruik wilde maken, ik mijn verzoek moest indienen via dpo@airbnb.com, vergezeld van een kopie van mijn ID-bewijs.End scrollchart link

Ik antwoordde Aaron dat ik dat al had gedaan, maar geen antwoord had ontvangen. Op 16 februari kreeg ik een bericht waar ik weinig wijs uit kon worden en ik gaf de hoop op dat Airbnb mijn verzoek ooit zou inwilligen.

Start scrollchart linkOp 19 februari 2021 stuurde ik een formele klacht naar Airbnb. Dat is nodig voordat je een klacht indient bij de Autoriteit Persoonsgegevens.End scrollchart link

Airbnb erkent op zijn website dat gebruikers het recht hebben een klacht in te dienen en verwijst daarvoor naar de Data Protection Officer van het bedrijf. Maar in reactie op mijn klacht ter attentie van de Data Protection Officer kreeg ik geen antwoord van die functionaris maar weer van Airbnb Community Support, en weer van Aaron. Hij verwees me terug naar zijn onbegrijpelijke e-mailtje van 16 februari.

Ik vroeg Aaron mijn formele klacht door te spelen naar een van zijn meerderen.

Start scrollchart linkOp 28 februari kreeg ik bericht, van ene Paul van Airbnb Community Support: ‘We hebben u eerder laten weten dat we een kopie van uw identiteitsbewijs nodig hebben om aan uw verzoek te kunnen voldoen. We hebben nog geen dergelijke documentatie ontvangen.’End scrollchart link

Toen was ik er klaar mee. Airbnb erkende op geen enkele manier dat ik een formele klacht heb ingediend. Mijn al toegestuurde paspoortkopie was kennelijk kwijtgeraakt. Ook kreeg ik geen enkele keer een bericht van een ‘Data Protection Officer’ – al mijn vragen werden beantwoord door niet bijster goed geïnformeerde medewerkers van de klantenservice. Ik kreeg sterk de indruk dat Airbnb helemaal geen data protection officer heeft, of in elk geval niet één die beschikbaar is voor klanten. 

Follow the Money vroeg een interview met de data protection officer van Airbnb. In eerste instantie was dat  ‘momenteel’ niet mogelijk. Daarna reageerde Airbnb aldus: ‘Bedankt voor de informatie en de mogelijkheid om geïnterviewd te worden voor dit artikel. We zullen echter deze mogelijkheid respectvol afwijzen.’

Volgende keer: Mijn klacht bij de Autoriteit Persoonsgegevens.