Opheffen van meerdere accounts, wanneer moet dat?

Een meelezende forumbeheerder mailde me:

Wij hebben geconstateerd dat een gebruiker meerdere gebruikersnamen in gebruik bleek te hebben (laten we zeggen: A, B en C). Dat is in strijd met ons forumreglement. Ik heb gebruiker A daarom aangeschreven. A heeft gereageerd en ontkende B en C in gebruik te hebben. Nu eist A in een e-mail verwijdering van zijn gebruikersnaam en al zijn berichten. Ook eist hij hetzelfde voor B en C.

Iemand die zijn account op een website of forum wil opheffen, kan opheffing eisen bij de beheerders. Dat blijkt uit de privacy-richtsnoeren van het College Bescherming Persoonsgegevens. Berichten van die persoon moet je dan ook verwijderen, tenzij dat de structuur en begrijpelijkheid van de discussie zou verstoren. In dat geval moet je ze zo veel mogelijk anonimiseren.

Hier is het lastige dat persoon A eerst ontkent eigenaar te zijn van accounts B en C, en vervolgens eist dat ze opgeheven worden. Als het beheer zelf overtuigd is dat B en C inderdaad door dezelfde persoon gebruikt worden (bijvoorbeeld omdat ze op hetzelfde moment vanaf hetzelfde IP-adres gebruikt zijn), dan zou het verzoek geen probleem moeten zijn.

Wel moet je natuurlijk controleren dat het echt A is die de mail met het verzoek stuurt. Ik zou zeggen dat zo’n verzoek vanaf het gebruikersaccount moet komen dat moet worden opgeheven (via een privébericht naar beheer bijvoorbeeld). Niet vanaf een Hotmail- of Gmail-account. de beheerder mag er vanuit gaan dat iemand die het wachtwoord heeft van een account, de eigenaar ervan is.

Dat lost meteen het probleem op met B en C: als meneer A daar ook de eigenaar van is, kan hij probleemloos drie pb’s sturen vanaf elk van de accounts en dan is het beheer keurig ingedekt.

Arnoud

17 reacties

  1. Aan deze op zich practische oplossing, opheffen per PB kleven wel wat nadelen. Wat als van B en C de inloggegevens niet meer bekend zijn bij A (soms is dat zelfs precies de aanleiding om met meerdere accounts te gaan werken). Of als iemand per ongeluk een sessie open laat staan op een publieke PC en een passerende onverlaat per PB roept “ja hef maar op!”. Misschien is een combinatie van een PB en een mail vanaf het bij het account behorende mail-adres een oplossing, of eerst een bevestigingsmail sturen. Of anders, zoals bij een groot Nederlands forum vereist is om inzage te krijgen in de verzamelde persoonsgegevens (een mogelijkheid die verplicht wordt door het CPB), gewoon ouderwets schriftelijk aanvragen.

  2. Ik heb ervaring met forumbeheer en een van de lastige punten is het vaststellen of een persoon X de gebruiker van account A is. Het forum verifieert bij aanmelding het opgegeven e-mail adres; maat wanneer iemand van baan versndert (zijn originele adres verliest) en ook zijn wachtwoord vergeet, kan het heel lastig worden om achteraf vast te stellen dat account A door persoon X gecreeerd is.

    Onze forum software heeft een “??n account per e-mail adres” policy, en wij staan toe dat gebruikers een nieuw account aanmaken als ze de inloggegevens voor hun oude account kwijt zijn. We kunnen accounts opheffen en dat doen we nadat we een bevestiginh ontvangen via het bij ons geregistreerde email adres. A kan vragen om verwijdering van B en C, maar B en C moeten daarvoor apart toestemming verlenen.

  3. Ja, een bevestiging vragen voordat je zoiets drastisch doet, is altijd verstandig. Slim ook om zowel het account als het e-mailadres te gebruiken bij de bevestiging.

    Ik zou zo snel niet weten wat je moet doen bij een account waarvan de eigenaar(?) zegt dat hij het wachtwoord is vergeten en waarvan het e-mailadres geen respons geeft. Misschien op nonactief zetten met een instructie erbij dat je de beheerders moet mailen, en na een maand stilte het opheffen?

  4. Dat komt hopelijk niet vaak voor, en dan zijn er nog andere gegevens waar je naar kunt vragen. Als je registratie met hotmail en dergelijke verbiedt en je dus (hopelijk) wat beter te controleren mailadressen hebt, kan het bijvoorbeeld zijn dat hij p.heijn@bedrijfA.nl niet meer heeft, maar wel piet.heijn@universiteitB.nl, of dat hij van een niet-publiek mailadres bij een account kan vertellen welk mailadres er bij geregistreerd is. In het algemeen zul je er dan als beheerder samen met de aanvrager wel uitkomen, en hoe dringender zijn aanvraag omdat er bijvoorbeeld allerlei prive-gegevens gepost zijn met zijn account, hoe makkelijker bijvoorbeeld de identiteit van de aanvrager te koppelen is aan het account.

  5. Iemand die zijn account op een website of forum wil opheffen, kan opheffing eisen bij de beheerders. Dat blijkt uit de privacy-richtsnoeren van het College Bescherming Persoonsgegevens. Berichten van die persoon moet je dan ook verwijderen, tenzij dat de structuur en begrijpelijkheid van de discussie zou verstoren. In dat geval moet je ze zo veel mogelijk anonimiseren.

    Ik zie niet in hoe een account of bericht te herleiden zijn tot een persoon. Ik kan me wat voor stellen bij de alias van het account, maar dat is op te lossen door het te hernoemen. En bij berichten worden vaak IP gegeven geregistreerd, maar die worden niet gepubliceerd.

  6. @MathFox: De adressen van e-mails zijn te faken, dus een verzoek dat van een ander adres afkomstig is heeft de zelfde waarde. Je zou wel een code kunnen sturen naar dat email adres en die code dan vereisen om het account op te heffen.

  7. Nou ja, ‘account’ was hier een informele aanduiding van een gebruikersnaam. Die naam hangt aan een e-mailadres. De berichten die onder die naam geplaatst zijn, zijn aan die naam gekoppeld, en via IP-adres en tijdstip van plaatsen (na een rechtszaak) te herleiden tot een natuurlijk persoon.

    En het gaat niet alleen om publiceren: ook het verwerken in de niet-zichtbare delen van het forum telt als verwerking van persoonsgegevens.

  8. Alex, ik weet dat email makkelijk vervalst kan worden. Daarom stuur je een emailtje naar het in het forum geregistreerde adres, met de vraag om bevestiging van het verzoek. Dat vereist dat een email vervalser toegang heeft tot betreffende mailbox.

  9. Mijn vraag sluit denk ik aan op bovenstaand: En wat als ik als forumbeheerder er genoeg van heb, ruzies, scheldpartijen enz., besluit om het forum te sluiten. Dus voorgoed de deuren dicht te doen. Ben ik verplicht om leden hun pb waar enkele dingen in staan die, naar eigen zeggen, voor hun belangrijk zijn, te geven door het forum weer actief te maken? Zelf kan ik er niet in, de persoonlijke berichten, en heb niet voornemens hiervoor het forum weer actief te maken. Door het forum inactief te laten, wordt dit op korte termijn automatisch van het www verwijderd.

  10. Als je de sluiting tijdig aankondigt, en mensen een redelijke tijd geeft om pb’tjes eruit te halen, dan ben je niet verplicht om het forum later weer open te zetten. Maar gewoon op een zondagochtend het forum onaangekondigd dichtdoen zou ik niet doen. Je moet mensen wel gelegenheid geven om hun priveberichtjes nog 1 keer in te zien, zodat ze die eventueel kunnen kopieren naar hun eigen PC.

  11. Die vraag heb ik maar van 1 persoon gekregen, over priv? berichten inzien. De andere leden waren het ermee eens dat het forum de deuren gesloten heeft.. Moet ik dan gehoor geven aan die ene persoon? Als dit zo moet zijn, dan telt het weer van voren af aan eer het forum door messageboard verwijderd gaat worden. En ik wil dit zo snel mogelijk achter mij laten. Zelf kan ik niet in priv? berichten komen van de leden, wil ik ook niets mee van doen hebben.

  12. Het is een lastige situatie zo. Is het mogelijk om het forum weer open te doen, die persoon zijn berichten te laten inzien en dan alle onderwerpen te blokkeren? Dan staat het forum misschien nog wel open maar kan niemand meer iets zeggen.

    Afhankelijk van de inhoud kun je ook besluiten het hierbij te laten. Het enige is dat die persoon dan misschien boos wordt op jou. Maar daar weet ik zo gauw geen oplossing voor.

  13. ik heb mij enige tijd terug ingeschreven bij een website; echter ik kan nu niet mijn account + forumberichten verwijderen. Mailtjes aan de moderator blijven onbeantwoord. ook ontbreekt een privacyreglment, en kvk gegevens (en natuurlijk overige contactgegevens). Wat kan ik doen om ervoor te zorgen dat mijn account en mijn forum-berichten verwijderd worden?

    m.vr.gr. Jolanda

  14. Tsja, als de beheerder niet bereikbaar is, dan wordt het lastig. Want hij moet het of zelf verwijderen, of jou de gelegenheid geven de berichten te verwijderen. In theorie zou je hierover een rechtszaak kunnen beginnen, maar ook dan moet je weten waar hij gevestigd is zodat je hem de dagvaarding kunt sturen.

    Misschien kun je via de provider de website-eigenaar benaderen?

  15. Arnoud Engelfriet schreef: En het gaat niet alleen om publiceren: ook het verwerken in de niet-zichtbare delen van het forum telt als verwerking van persoonsgegevens.

    Ja, maar het College schrijf in haar richtsnoer dat die verwerking niet ongedaan hoeft worden gemaakt omdat deze plaats heeft gevonden voor dat de toestemming was ingetrokken.

    4.1.1 Toestemming intrekken Een eenmaal gegeven toestemming tot het verwerken van gegevens kan te allen tijde worden in? getrokken. 36) De memorie van toelichting bij de Wbp voegt daar volledigheidshalve aan toe dat Mb>een dergelijke intrekking geen consequenties heeft voor gegevensverwerkingen die v??r het moment van de intrekking hebben plaatsgevonden. 37) Deze inperking heeft echter geen betrekking op het voort?duren van de publicatie van persoonsgegevens op internet. Als de toestemming wordt ingetrokken, is de publicatie vanaf dat moment onrechtmatig, tenzij de verantwoordelijke de verwerking kan recht?vaardigen onder een andere rechtvaardigingsgrond. Dat betekent dat verantwoordelijken voor publi?caties op internet, voorzover die gebaseerd zijn op toestemming, technische voorzieningen moeten tref?fen om persoonsgegevens ook daadwerkelijk te kunnen verwijderen als een betrokkene zijn of haar toestemming intrekt.
  16. Arnoud Engelfriet schreef: En het gaat niet alleen om publiceren: ook het verwerken in de niet-zichtbare delen van het forum telt als verwerking van persoonsgegevens.

    Ja, maar het College schrijf in haar richtsnoer dat die verwerking niet ongedaan hoeft worden gemaakt omdat deze plaats heeft gevonden voor dat de toestemming was ingetrokken.

    4.1.1 Toestemming intrekken Een eenmaal gegeven toestemming tot het verwerken van gegevens kan te allen tijde worden in? getrokken. 36) De memorie van toelichting bij de Wbp voegt daar volledigheidshalve aan toe dat een dergelijke intrekking geen consequenties heeft voor gegevensverwerkingen die v??r het moment van de intrekking hebben plaatsgevonden. 37) Deze inperking heeft echter geen betrekking op het voort?duren van de publicatie van persoonsgegevens op internet. Als de toestemming wordt ingetrokken, is de publicatie vanaf dat moment onrechtmatig, tenzij de verantwoordelijke de verwerking kan recht?vaardigen onder een andere rechtvaardigingsgrond. Dat betekent dat verantwoordelijken voor publi?caties op internet, voorzover die gebaseerd zijn op toestemming, technische voorzieningen moeten tref?fen om persoonsgegevens ook daadwerkelijk te kunnen verwijderen als een betrokkene zijn of haar toestemming intrekt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.