20 reacties

  1. Je zegt “wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd”. Ik denk dat het belangrijk is een onnderscheid te maken tussen e-mail sturen en ontvangen. Als je aantoont dat je een e-mail verzonden naar dat adres ontvangen hebt, bijvoorbeeld door een willekeurige code terug te sturen, dan ben ik het met je eens. Maar een bericht versturen vanaf een bepaald adres is geen enkel bewijs. De afzender in een e-mail bericht is simpelweg een tekstveld dat normaal gesproken nergens gecontroleerd wordt en als je wilt kan je zo onder andermans adres e-mail versturen.

    1. Terecht punt. Er moet worden geverifieerd dat de eigenaar van het account de mail stuurde. Een controlevraag terugsturen of alleen maar “Doen we graag, bevestig even ja/nee” terugsturen zou al genoeg moeten zijn. Het feit dát je inhoudelijk antwoord krijgt, bewijst dat er toegang is tot de mailbox.

  2. Is dit juridisch anders wanneer je vrijwillig een account hebt aangemaakt en het aanmaken geen eis was om bijvoorbeeld iets te bestellen bij een webshop?

    Het verwijderen van een webshop account lijkt mij sowieso niet handig, immers zal de klant bij een garantieprocedure in de problemen komen. Account is weg, garantieaanvraag kan niet meer ingevuld worden etc.

  3. De verklaring is simpel (zeg ik als ontwikkelaar), bij het bouwen is nooit nagedacht op het beëindigen van account. In de praktijk betekent dit dus dat iemand handmatig moeite moet doen om je account te verwijderen, en dat wordt dus zoveel mogelijk tegengewerkt, want dat is het. Het verwijderen van een account is vaak ook lastiger dan het maken van een account, juist omdat je na moet denken over welke data niet verwijderd mag worden (order geschiedenis, betalingen, e.d.). Vaak is verwijderen dan ook een vinkje “Actief” wat wordt uitgezet en blijft je wachtwoord en alle persoonsgegevens (inclusief wachtwoord!) gewoon staan.

    Maarja er is ook een analogie met de een huwelijk. Trouwen is zeer eenvoudig (net als een BV oprichten met compagnons), het ontbinden ervan kost veel meer tijd en geld.

  4. Als je dit soort dingen belangrijk vind, is het dan niet makkelijker om: – een eigen domein te hebben met een verschillend email adres voor alles (makkelijk te zien wie jou adres doorverkoopt aan spammer en makkelijk specifieke webshops te blokeren) – uniek wachtwoord voor alles. Het enige dat dan in jouw profiel staat waar ze wat aan kunnen hebben is jouw naam/adres combinatie.

    1. Leuke suggesties inderdaad 🙂 Ook maar eens kijken of daar wat mee te doen is.

      Daarmee is het nog steeds niet okee om het verwijderen van een account zo moeilijk te maken. Het is namelijk niet ‘het enige… waar ze wat aan kunnen hebben is jouw naam/adres…’, maar juist ‘ze hebben nog steeds je naam/adres combinatie!’

      Dat is soms al gevaarlijk zat.

      1. Bij de meeste accounts kan je toch wel zelf je adres aanpassen (en vaak ook je naam). Bij het beëindigen zet je je naam/adres op een niet bestaand iets (of op de gegevens van de webshop zelf) en je veranderd je email adres in iets niet bestaand. Als er een bevestiging moet zijn van dat email adres gebruik je daarvoor een tijdelijk email adres die na gebruik ongedaan gemaakt wordt.

    2. Grappig. Dat doe ik al enige tijd en zo kwam ik al snel erachter dat zowel LinkedIn als Adobe (en andere bedrijven!) hun gegevens hadden laten uitlekken aan anderen. Ik kreeg immers spam binnen op de betreffende aliassen. Filter eroverheen om alle emails dat op die aliassen binnenkomt weg te gooien en even klagen bij het betreffende bedrijf over hoe dom ze zijn geweest met het uitlekken van mijn gegevens. (En als ik ze dan nog aardig vind, een nieuwe alias voor hen aanmaken.)

      Een unieke alias voor iedere registratie zorgt ervoor dat je hetzelfde wachtwoord voor meerdere websites kunt gebruiken. Immers, de “gebruikersnaam” is per site verschillend dus inloggen op een andere website met dezelfde gegevens werkt niet. Als je daarbij een vast wachtwoord gebruikt met b.v. 3 letters van de betreffende domeinnaam erachter om deze toch weer uniek te maken, dan heb je een redelijk goede beveiliging tegen hackers. Iedere site dus een uniek email adres en uniek wachtwoord, wat desondanks toch goed te onthouden is.

      1. Volgens mij had ik het eerder ergens op dit blog gelezen. Iemand gebruikte dit alias systeem en kreeg spam binnen op een van zijn adressen, dus blokkeerde hij het adres. Maar dat adres was van zijn energiemaatschappij waar hij de rekeningen binnen kreeg die hij moest betalen. Volgens mij was het resultaat dat de maatschappij ging klagen over onbetaalde rekeningen maar toen hij hun beschuldigde van lekken, dat ze terugkrabbelden.

        1. Dat zal mij niet al te snel gebeuren omdat mijn filter ze niet direct weggooit maar in een prullenbak plaatst. Met enige regelmaat kijk ik dan in de prullenbak om zeker te zijn dat alles weg kan. Daarnaast geef ik ze altijd een waarschuwing over het lek en als ik zeker ben dat ze hun systeem hebben aangepast dan pas ik ook mijn email adres voor hen aan zodat ze vanaf dat moment weer in de normale mailbox komen.

    1. Ik denk dat als iemand op dat niveau van kraken is gekomen, dat je je sowieso meer zorgen moet maken dan alleen over de accounts die je bij verscheidene webwinkels, fora e.d. hebt.

      Plus, qua misbruik is het makkelijker om iemand aan te melden op dubieuze sites en ze mail te laten ontvangen die ze niet willen, of zelfs aankopen te laten doen die ze niet willen. Dan heb ik liever een snelle manier van uitschrijven dan dat ik een brief per post moet versturen.

  5. Maar een bericht versturen vanaf een bepaald adres is geen enkel bewijs. De afzender in een e-mail bericht is simpelweg een tekstveld dat normaal gesproken nergens gecontroleerd wordt en als je wilt kan je zo onder andermans adres e-mail versturen.
    Is waar. Maar met SPF en/of DKIM erbij ligt dat al weer een beetje anders.

  6. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen.

    Een paspoort heeft alleen zin als de houder in de nabijheid is. Ik begrijp niet, wat bedrijven daarmee moeten. Bovendien: een ondertekende brief moet genoeg zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.