Welke persoonsgegevens moet ik aan mijn forumbezoeker geven?

naam-adres-persoonsgegeven-klant-relatie.pngEen lezer vroeg me:

Op mijn internetforum heb ik een gebruiker die mij vraagt om zijn persoonsgegevens toe te sturen op basis van de Wet bescherming persoonsgegevens. Prima, maar hoe ver gaat dat? Hij vraagt bijvoorbeeld om alle logs met zijn IP-adres, alle privéberichten van en naar hem, maar ook om forumberichten en privéberichten van anderen waar het over hem gaat, want dat zouden óók persoonsgegevens zijn!

Als iemand persoonsgegevens verwerkt, heeft de betrokken persoon een recht van inzage (art. 35 Wbp):

een volledig overzicht [van de gegevens] in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Zaken als logs over iemand zijn persoonsgegevens, en hij heeft dus recht op een kopie van die logregels met zijn IP-adres of zijn gebruikersnaam. (Mits ze er nog zijn, er is géén logplicht of bewaarplicht voor forums.)

Het klopt theoretisch echter wel dat oók berichten met zijn naam erin persoonsgegevens zijn – het enkele feit dat zijn naam erin staat, maakt het bericht een persoonsgegeven. Ik zou echter zeggen dat privéberichten niet hoeven te worden overlegd aangezien niet jij maar de afzender die ‘verwerkt’, jij hebt immers geen zeggenschap op wat men in een pb schrijft.

Iemands profiel op een forum telt ook als een verzameling van persoonsgegevens, daar zal dus ook een kopie van meoten worden afgegeven. En datzelfde zou je kunnen beredeneren voor de berichten die iemand zelf heeft geplaatst. Dat is natuurlijk veel werk, maar dát is geen argument om een verzoek om inzage te weigeren. Dat blijkt uit het Dexia-arrest van de Hoge Raad, waarin men bepaalde dat deel van dit recht is het verkrijgen van kopieën en afschriften van persoonsgegevens (inclusief transcripties van opgenomen telefoongesprekken), tenzij sprake is van bijzondere omstandigheden.

Het feit dat Dexia kosten moet maken om aan [verweerder] kopieën en transcripties te kunnen verstrekken, en het feit dat er enige tijd gemoeid is met het traceren van de telefoongesprekken met [verweerder], leveren geen bijzondere omstandigheden op als hier bedoeld, …

Ook met grote ‘administratiekosten’ mag je mensen niet proberen te ontmoedigen: een inzageverzoek mag wettelijk gezien maximaal € 5 kosten.

Privéberichten en berichten van anderen waarin iemand genoemd wordt zijn ook persoonsgegevens over die genoemde persoon. Echter, die moeten afgeven zie ik zo snel niet gebeuren. Allereerst kun je je afvragen of de forumbeheerder wel de ‘verantwoordelijke’ is in de zin van de wet – hij koos er niet voor dat die gegevens in die berichten terecht kwamen, immers. Dat was de afzender van het bericht. Dus díe is volgens mij de persoon die je om inzage moet verzoeken.

Daar komt bij dat de wet stelt dat wanneer “een derde naar verwachting bedenkingen zal hebben”, je eerst die derde moet vragen om zijn ‘zienswijze’ over het inzageverzoek. Gezien het feit dat het om privéberichten gaat lijkt het me logisch dat die zienswijze is “eh, nee, privébericht”. Hoewel het briefgeheim formeel niet geldt voor e-mail of privéberichten, zit er wel een zwaarwegend privacybelang op zulke berichten. En dat blokkeert dan het recht van inzage.

Natuurlijk, je voelt op je klompen aan dat deze bezoeker een beetje zit te stangen. Hij zal gok ik boos zijn omdat hij geband is, of hij heeft ruzie met andere forummers en wil ammunitie uit die privéberichten. Maar daar kun je niet zo veel mee als beheer. Je hoeft geen reden te hebben om inzage te krijgen, het feit dat je persoonsgegevens worden verwerkt is die reden. Pas als je onevenredig vaak om gegevens gaat vragen of andere bijzondere omstandigheden, zou er heel misschien sprake kunnen zijn van misbruik van recht. Je zult dus aan de slag moeten en die gegevens moeten verzamelen.

Als je echt zou willen terugpesten dan lever je alle informatie op papier aan, dat moet immers formeel nog steeds van de wet. Tevens eis je dan vooraf betaling van de € 5, dat mag, en verlang je kopie identiteitsbewijs want je bent verplicht de identiteit van de verzoeker te controleren. En daarna verlang je bewijs dat hij de eigenaar is van het account; ik ben héél benieuwd hoe je dat gaat bewijzen als forummer.

Arnoud

22 reacties

  1. Houd bij het bepalen van de hoogte van je vergoeding wel rekening met het Besluit kostenvergoeding rechten betrokkene Wbp:

    De vergoeding voor de kosten van de mededeling, bedoeld in artikel 35 van de wet, bedraagt € 0,23 per pagina tot een maximumbedrag van € 5,– voor elke afzonderlijke mededeling. De verantwoordelijke mag voor de kosten van de mededeling die op een andere gegevensdrager dan papier wordt verstrekt een redelijke vergoeding in rekening brengen, met dien verstande dat deze ten hoogste € 5,– bedraagt.
  2. Dat bewijzen kan toch door af te spreken dat hij per PM, op het forum, een link naar een online-versie van de ID-kaart stuurt? Dan ben je er 😉

    In welk formaat moet de data op papier worden aangeleverd? Mag dit een SQL-dump zijn waarbij de tabellen nog allemaal in de zesde vorm (if exists) genormaliseerd zijn?

    1. “Dat bewijzen kan toch door af te spreken dat hij per PM, op het forum, een link naar een online-versie van de ID-kaart stuurt? Dan ben je er ;)” Nou ja, daar zitten ook de nodige haken en ogen aan. Het is prima mogelijk dat een derde dat via dat account doet. Dat kun je bijna niet controleren. Wat je wel zou kunnen doen is het lid in kwestie naar je kantoor laten komen en daar ter plekke in te laten loggen. Het valt immers te verwachten dat alleen de accounteigenaar het wachtwoord kent. Temeer de meeste fora in hun algemene voorwaarden en/of forumbeleid waar je akkoord op moet geven bij aanmelding opnemen dat je je account niet mag delen en je wachtwoord geheim moet houden.

      Het is natuurlijk een leuke vraag, al vraag ik me af waarom je dit soort gegevens zou willen inzien. Als het goed is weet je dat zelf ook wel, m.u.v. de privéberichten die anderen hebben verzonden, maar daar heb je niks mee te maken verder. Anders wordt het wanneer je inzage eist in de gegevens die zijn opgeslagen in een afgesloten administratief hulpmiddel voor het beheer. Waarin bijv. wordt bijgehouden hoe vaak je verbannen bent geweest e.d. In hoeverre valt inzage daarin af te dwingen?

    2. Deze reactie was bedoeld op jouw vraag over de vijfde normaalvorm, maar had ik verkeerd geplaatst.

      Het moet voor de ontvanger wel begrijpelijk zijn:

      Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm

  3. Privéberichten en berichten van anderen waarin iemand genoemd wordt zijn ook persoonsgegevens over die genoemde persoon. Echter, die moeten afgeven zie ik zo snel niet gebeuren. Allereerst kun je je afvragen of de forumbeheerder wel de ‘verantwoordelijke’ is in de zin van de wet – hij koos er niet voor dat die gegevens in die berichten terecht kwamen, immers. Dat was de afzender van het bericht. Dus díe is volgens mij de persoon die je om inzage moet verzoeken.
    Kun je de beheerder van het forum dan wel dwingen je de namen te geven van alle mensen die jouw persoonsgegevens/naam noemen in hun priveberichten?

  4. De vraag is wat je moet doen als je de gegevens niet krijgt, of slechts een klein deel van de gegevens krijgt. Je moet dan langs de civiele rechter (art. 46 Wpb), niet de kantonrechter, dus voor veel mensen loopt dat aardig in de papieren. Krijg je maar een deel van de gegevens, hoe kun je dan ooit aantonen dat er méér is?

  5. Sommige fora hebben ook een besloten deel waar over users wordt overlegd. Dat overleg vindt plaats door moderators. Kun je dan wel zeggen dat de forumbeheerder de verantwoordelijke is?

    Het valt me nu op dat de klok op de server meer dan een minuut verkeerd loopt.

  6. Is het niet al voldoende om bijvoorbeeld bij de log files aan te geven wat er wordt gelogd. Voor alle gegeven mbt het profiel kun je sowieso meestal al verwijzen naar een profielpagina die in de meeste sites wel aanwezig is en voor de post/reactie naar de zoekfunctie van je forum.

    De gebruiker weet dan toch genoeg. De gebruiker weet zelf wel waar en wanneer hij of zij is ingelogd in het verleden (of had dat kunnen weten) dus waarom zou je de logging nog expliciet regel voor regel op een lijstje moeten zetten.

  7. Hij vraagt bijvoorbeeld om alle logs met zijn IP-adres,

    met als doel een inlog log te verkrijgen neem ik aan, dat kunnen dus meerdere ip adressen zijn, ik doe het soms wel eens als ik misbruik vermoed. lang niet iedereen werkt daar aan mee, en komen dan aanzetten dat ik alleen recht op inzage heb omtrend mijn eigen ip, maar dat is niet waar. alles wat met mijn inlog account gebeurd heb ik recht van inzage op.

    1. Volgens whois behoort het door U genoemde adres toe aan een ISP en niet aan U. In verband met privacy kunnen wij natuurlijk niet het risico lopen U informatie van derden te geven. U zal per logregel moeten bewijzen dat het IP op dat moment aan U was toegekend, uw ISP kan U hier wellicht mee helpen.

      Deze wet lijkt wel gemaakt om voor dit soort zaken misbruikt te worden. Ik vraag me af of dat de bedoeling was van de makers van de wet of dat ze incompetent waren.

      1. Incompetent niet. Er is nooit voorzien dat zulke dingen als internetforums zouden ontstaan. De wet is geschreven voor kaartenbakken van bedrijven, en inzage van je dossier bij een instantie of bedrijf. Willen weten wat je verzekeraar over je bijhoudt of hoe lang de garage onthoudt dat je klant bent, is een legitiem belang.

        1. Zelfs met dat soort ouderwetse systemen is het potentieel voor misbruik enorm, misschien zelfs groter. Met een database kan je al die gegevens opvragen met een query. Kaartenbakken moeten handmatig worden doorzocht. 1 standaard brief/mail verspreiden en je kan met een groepje een kleinere organisaties helemaal lamleggen.

          Jij komt maandag op kantoor en er liggen 1000 emails met een dergelijk verzoek. Alleen al het verwerken ervan kost je een paar dagen. En iedere week/maand kan het verzoek opnieuw gedaan worden.

    2. alles wat met mijn inlog account gebeurd heb ik recht van inzage op.
      Ook als dat de persoonsgegevens van iemand anders zijn?

      Het lijkt me niet dat je obv de WBP recht kan hebben op die gegevens.

  8. Als je echt zou willen terugpesten dan […] verlang je kopie identiteitsbewijs want je bent verplicht de identiteit van de verzoeker te controleren.

    Huh? Je mag wel om identificatie vragen, maar ik dacht dat je nu juist geen copieën daarvan mag maken, vragen, hebben. (Een klein aantal expliciet aangewezen speciale partijen uitgezonderd.) Of betreft dat enkel paspoorten, en mag men wel alles met andersoortige identiteitsbewijzen?

  9. en verlang je kopie identiteitsbewijs want je bent verplicht de identiteit van de verzoeker te controleren.
    Ja, die quote is een link… 🙂

    Ik denk overigens dat die identiteit makkelijker aan te tonen is dan je denkt, omdat forumbezoekers een email adres achterlaten. Een verzoek van een forumbezoeker vanaf dat email adres zou dus al duidelijk van de betreffende persoon afkomstig moeten zijn. Een identiteitsbewijs is namelijk geen bewijs omdat een identiteitsbewijs iemands ware naam bevat terwijl de meeste bezoekers een alias op een forum gebruiken. Door een email terug te sturen naar het email adres om een bevestiging te vragen kan de bezoeker dus het verzoek bevestigen en is bepaald dat de account met adres wimtenbrink@example.com toebehoort aan bezoeker “Wim ten Brink” die in werkelijkheid heel anders kan heten.

    (Okay, niet in mijn geval, maar toch…)

    Vervelender wordt het als iemand vraagt om de logs met zijn IP adres, terwijl dat adres in de afgelopen weken spontaan is veranderd. Veel mensen beseffen het niet maar de meeste thuis-internetters hebben een dynamisch IP adres. Iets waar ik een maand geleden weer eens aan herinnerd werd toen mijn website opeens onbereikbaar was omdat UPC na 3 jaar weer eens besloot dat ik een ander IP adres moest hebben.

  10. Wanneer bepaalde zaken reeds opvraagbaar zijn, voor een voor de verzoeker toegankelijke vorm, dient het dan alsnog via de WBP op papier te worden overlegd? Immers een lijst met alle pb’s en forumberichten zijn prima voor de forumgebruiker zelf op te vragen, door in te loggen en op het linkje “prive berichten” te klikken of te zoeken op zijn eigen “username”. Volstaat het linken naar de locatie dan niet, net zoals bij de WOB (waar zaken die reeds openbaar zijn, helemaal niet opnieuw opgevraagd kunnen worden onder de WOB (is immers een verzoek tot feitelijke handeling))

    Ik zie namelijk nergens in de Wet staan dat het perse op papier dient te worden verstrekt.

    1. Eigenlijk wel. Artikel 35 is vrij duidelijk: “De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee …”, lid 1 over dát je persoonsgegevens verwerkt en lid 2 wélke en hoe. Volgens artikel 37 mag het ook anders dan schriftelijk (bv. elektronisch) als “een gewichtig belang van de verzoeker dit eist”. Ik zou denken dat als iemand vráágt om elektronische inzage hij die ook moet krijgen.

      In de literatuur zie ik dat dit een Nederlandse vondst is, de Richtlijn zegt hier niets over. Alleen al daarmee zou je dus kunnen zeggen dat je best elektronisch inzage mag geven, want ‘schriftelijk’ is dan in strijd met de richtlijn. Zie ook dit boek. Het boek “50 vragen over Privacy” zegt dat het gewoon mag en doet niet moeilijk over eventuele belangenafwegingen.

      Een link lijkt me in eerste instantie prima, maar lukt het downloaden niet dan zul je als verantwoordelijke er toch even in moeten duiken.

  11. De Wet heeft het over ‘schriftelijk’, niet over ‘op papier’ en die twee begrippen zijn geen synoniemen. Of blijkt elders uit wet of jurisprudentie dat ‘schriftelijk’ niet ‘digitaal op schrift’ kan omvatten?

    Op de problemen rond kopietje-paspoort heeft Wim ten Brink al, via een eerder blogartikel van Arnoud, gewezen. Identiteitscontroleplicht is inderdaad geen indentiteitsregistratierecht. Volledigheidshalve: https://www.cbpweb.nl/pages/pb20120712gebruik-kopie-identiteitsbewijs.aspx

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.