Uit een rondgang van NU.nl langs 22 pret- en dierenparken blijkt dat zeven bedrijven bij de online ticketverkoop ook een woonplaats of postcode eisen.

De vijf dierenparken en twee attractieparken hebben gegevens over je woonplaats niet écht nodig als je online een kaartje koopt. Ze verplichten het, net als een naam en e-mailadres, om commerciële redenen.

Zo kunnen ze een woonplaats gebruiken om inzicht te krijgen in waar bezoekers vandaan komen (GaiaZOO, Toverland en WILDLANDS), om mensen uit de omgeving een abonnement aan te bieden (Ouwehands Dierenpark) of om bezoekers te informeren over wegwerkzaamheden op de route (Burgers' Zoo, Toverland). Duinrell en DierenPark Amersfoort eisen ook een postcode, maar reageerden niet op het verzoek om een toelichting.

Door het verstrekken van privégegevens te verplichten, dwingen de bedrijven hun bezoekers ertoe de controle over hun gegevens uit handen te geven. Dat is risicovol, omdat die gegevens ook onbedoeld op straat kunnen belanden.

Dat de pret- en dierenparken meer informatie eisen dan nodig is, is volgens toezichthouder AP onwenselijk. "Ze moeten goed kunnen uitleggen waarom ze die gegevens graag willen hebben", zegt inspecteur Dennis Davrados van de AP. "Bijvoorbeeld in de privacyverklaring, maar beter is als het er bij het bestellen gelijk bij staat."

De AP vindt het over het algemeen niet raadzaam om meer gegevens te vragen dan nodig. "Hoe minder informatie je bezit, hoe minder kan uitlekken", vat woordvoerder Silvia Pilger het samen.

De waarschuwing van de toezichthouder komt niet uit de lucht vallen. Dat blijkt wel uit een recent incident bij Ticketcounter, een bedrijf dat de online kaartverkoop verzorgt voor pretparken en dierentuinen, maar ook voor musea en evenementen. Daarbij kwamen namen, woonadressen, geboortedatums, e-mailadressen, telefoonnummers en bankgegevens van honderdduizenden mensen op straat te liggen.

"Al die mensen lopen een reëel risico op oplichting doordat criminelen zich in een e-mail kunnen voordoen als bijvoorbeeld een dierentuin", zegt Davrados. Hoe meer informatie een oplichter bezit, hoe geloofwaardiger zo'n frauduleus bericht kan overkomen. "Je kunt zomaar op een verkeerde link klikken."

De AP onderzoekt de nasleep van het Ticketcounter-incident. Eerder dit jaar stuurde de toezichthouder brieven naar 46 klanten van het bedrijf die nalieten hun eigen klanten te informeren over het datalek. Sindsdien hebben zestien bedrijven aan 300.000 mensen alsnog laten weten dat zij slachtoffer van het lek zijn geworden.

Over de dertig andere partijen wil de AP op dit moment niets kwijt. Of die in overtreding zijn, staat niet vast: mogelijk was de meldplicht in een aantal gevallen toch niet van toepassing. De toezichthouder heeft het onderzoek afgerond, laat de woordvoerder woensdagochtend aan NU.nl weten.

Naast dat zeven pret- en dierenparken een postcode eisen, is het bij Walibi Holland ook verplicht om bij een online bestelling je telefoonnummer af te staan.

Doordat de kassa's bij de ingang gesloten zijn en online reserveren een opmars heeft gemaakt door de coronacrisis, kunnen bezoekers daar nu niet onderuit. Bij pretpark Julianatoren, Ouwehands Dierenpark, Safaripark Beekse Bergen en WILDLANDS kunnen bezoekers ook hun telefoonnummer achterlaten, maar dat is optioneel.

Walibi Holland legt in het bestelproces en in zijn privacyverklaring niet uit waarom het delen van een telefoonnummer daar verplicht is, wat het ook voor de coronacrisis al was. De reden is om mensen in het geval van calamiteiten te kunnen bereiken, licht woordvoerder Mandy van der Tak toe. "We hebben het gelukkig nog nooit hoeven gebruiken."

"Met de kennis van nu moet dit inderdaad geen verplicht veld zijn, maar optioneel", aldus Van der Tak. Ze verwacht dat het bestelproces voor de opening van het nieuwe seizoen is aangepast.

Verbetering: De Autoriteit Persoonsgegevens heeft het onderzoek tussen het gesprek met NU.nl en publicatie van het artikel gesloten. Dit was bij publicatie niet bekend. De tekst is later aangepast.