“Verwijderen van uw account kan alleen per brief”

| AE 6550 | Contracten, Privacy | 19 reacties

account-suspended.pngEen lezer vroeg me:

Ik heb een account bij een webwinkel, omdat dat moest toen ik wat wilde bestellen. Nu houd ik niet van rondslingerende oude accounts, dus heb ik gevraagd of ze deze weg willen halen. Als reactie kreeg ik dat ik dan een brief moet sturen met kopie paspoort naar een of andere postbus in Zevenaar. Dat zou conform het privacystatement en de Wet bescherming persoonsgegevens zijn. Klopt dat, mogen ze dat zo eisen?

Een account bij een website valt in principe onder de Wet bescherming persoonsgegevens (de privacywet). Het account is immers een bundel met gegevens die aan éen persoon – de accounthouder – te koppelen zijn. Volgens die wet heb je als betrokkene/eigenaar het recht van inzage, correctie en verwijdering. Je mag bij de dienstverlener opvragen wat ze van je weten, corrigeren wat daarin niet klopt en laten verwijderen wat achterhaald is.

Een eis bij zo’n inzageverzoek is dat de dienstverlener moet nagaan of de vrager echt de eigenaar is van het account. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen. Daarom, maar ook omdat een inzageverzoek gedoe is waar veel bedrijven eigenlijk geen zin in hebben, is het gebruikelijk om te eisen dat men een brief stuurt.

Echter, er is bij zulke accounts een nóg simpeler manier: wie kan inloggen op het account, is daar de eigenaar van. Het toevoegen van een “Opheffen account”-knop is dan ook genoeg om aan de wet te voldoen. Wilt u uw account opheffen, druk op de knop. Is het wachtwoord vergeten en het e-mailadres onbereikbaar voor resetmails, dan kan er alsnog gewerkt worden met de noodgreep van brief met identiteitsbewijs.

Persoonlijk zou ik echter zeggen, wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd. Bij het maken van het account vroeg je niet om identificatie, dus waarom zou dat nu bij opheffen ineens wél moeten? In mijn cynische buien denk ik dan wel eens, het opheffen van accounts wil men eigenlijk niet want veel accounts hebben staat goed in je persberichten. Maar dat terzijde.

Specifiek bij forums speelt hierbij een aanverwant probleem: verwijderen van een account kan ook leiden tot verwijderen van de geplaatste berichten. Of dat laatste ook moet, is een lastige.

Arnoud

Deel dit artikel

  1. Je zegt “wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd”. Ik denk dat het belangrijk is een onnderscheid te maken tussen e-mail sturen en ontvangen. Als je aantoont dat je een e-mail verzonden naar dat adres ontvangen hebt, bijvoorbeeld door een willekeurige code terug te sturen, dan ben ik het met je eens. Maar een bericht versturen vanaf een bepaald adres is geen enkel bewijs. De afzender in een e-mail bericht is simpelweg een tekstveld dat normaal gesproken nergens gecontroleerd wordt en als je wilt kan je zo onder andermans adres e-mail versturen.

  2. Is dit juridisch anders wanneer je vrijwillig een account hebt aangemaakt en het aanmaken geen eis was om bijvoorbeeld iets te bestellen bij een webshop?

    Het verwijderen van een webshop account lijkt mij sowieso niet handig, immers zal de klant bij een garantieprocedure in de problemen komen. Account is weg, garantieaanvraag kan niet meer ingevuld worden etc.

  3. De verklaring is simpel (zeg ik als ontwikkelaar), bij het bouwen is nooit nagedacht op het beëindigen van account. In de praktijk betekent dit dus dat iemand handmatig moeite moet doen om je account te verwijderen, en dat wordt dus zoveel mogelijk tegengewerkt, want dat is het. Het verwijderen van een account is vaak ook lastiger dan het maken van een account, juist omdat je na moet denken over welke data niet verwijderd mag worden (order geschiedenis, betalingen, e.d.). Vaak is verwijderen dan ook een vinkje “Actief” wat wordt uitgezet en blijft je wachtwoord en alle persoonsgegevens (inclusief wachtwoord!) gewoon staan.

    Maarja er is ook een analogie met de een huwelijk. Trouwen is zeer eenvoudig (net als een BV oprichten met compagnons), het ontbinden ervan kost veel meer tijd en geld.

  4. Als je dit soort dingen belangrijk vind, is het dan niet makkelijker om: – een eigen domein te hebben met een verschillend email adres voor alles (makkelijk te zien wie jou adres doorverkoopt aan spammer en makkelijk specifieke webshops te blokeren) – uniek wachtwoord voor alles. Het enige dat dan in jouw profiel staat waar ze wat aan kunnen hebben is jouw naam/adres combinatie.

    • Leuke suggesties inderdaad 🙂 Ook maar eens kijken of daar wat mee te doen is.

      Daarmee is het nog steeds niet okee om het verwijderen van een account zo moeilijk te maken. Het is namelijk niet ‘het enige… waar ze wat aan kunnen hebben is jouw naam/adres…’, maar juist ‘ze hebben nog steeds je naam/adres combinatie!’

      Dat is soms al gevaarlijk zat.

      • Bij de meeste accounts kan je toch wel zelf je adres aanpassen (en vaak ook je naam). Bij het beëindigen zet je je naam/adres op een niet bestaand iets (of op de gegevens van de webshop zelf) en je veranderd je email adres in iets niet bestaand. Als er een bevestiging moet zijn van dat email adres gebruik je daarvoor een tijdelijk email adres die na gebruik ongedaan gemaakt wordt.

    • Grappig. Dat doe ik al enige tijd en zo kwam ik al snel erachter dat zowel LinkedIn als Adobe (en andere bedrijven!) hun gegevens hadden laten uitlekken aan anderen. Ik kreeg immers spam binnen op de betreffende aliassen. Filter eroverheen om alle emails dat op die aliassen binnenkomt weg te gooien en even klagen bij het betreffende bedrijf over hoe dom ze zijn geweest met het uitlekken van mijn gegevens. (En als ik ze dan nog aardig vind, een nieuwe alias voor hen aanmaken.)

      Een unieke alias voor iedere registratie zorgt ervoor dat je hetzelfde wachtwoord voor meerdere websites kunt gebruiken. Immers, de “gebruikersnaam” is per site verschillend dus inloggen op een andere website met dezelfde gegevens werkt niet. Als je daarbij een vast wachtwoord gebruikt met b.v. 3 letters van de betreffende domeinnaam erachter om deze toch weer uniek te maken, dan heb je een redelijk goede beveiliging tegen hackers. Iedere site dus een uniek email adres en uniek wachtwoord, wat desondanks toch goed te onthouden is.

      • Volgens mij had ik het eerder ergens op dit blog gelezen. Iemand gebruikte dit alias systeem en kreeg spam binnen op een van zijn adressen, dus blokkeerde hij het adres. Maar dat adres was van zijn energiemaatschappij waar hij de rekeningen binnen kreeg die hij moest betalen. Volgens mij was het resultaat dat de maatschappij ging klagen over onbetaalde rekeningen maar toen hij hun beschuldigde van lekken, dat ze terugkrabbelden.

        • Dat zal mij niet al te snel gebeuren omdat mijn filter ze niet direct weggooit maar in een prullenbak plaatst. Met enige regelmaat kijk ik dan in de prullenbak om zeker te zijn dat alles weg kan. Daarnaast geef ik ze altijd een waarschuwing over het lek en als ik zeker ben dat ze hun systeem hebben aangepast dan pas ik ook mijn email adres voor hen aan zodat ze vanaf dat moment weer in de normale mailbox komen.

    • Ik denk dat als iemand op dat niveau van kraken is gekomen, dat je je sowieso meer zorgen moet maken dan alleen over de accounts die je bij verscheidene webwinkels, fora e.d. hebt.

      Plus, qua misbruik is het makkelijker om iemand aan te melden op dubieuze sites en ze mail te laten ontvangen die ze niet willen, of zelfs aankopen te laten doen die ze niet willen. Dan heb ik liever een snelle manier van uitschrijven dan dat ik een brief per post moet versturen.

  5. Maar een bericht versturen vanaf een bepaald adres is geen enkel bewijs. De afzender in een e-mail bericht is simpelweg een tekstveld dat normaal gesproken nergens gecontroleerd wordt en als je wilt kan je zo onder andermans adres e-mail versturen.
    Is waar. Maar met SPF en/of DKIM erbij ligt dat al weer een beetje anders.

  6. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen.

    Een paspoort heeft alleen zin als de houder in de nabijheid is. Ik begrijp niet, wat bedrijven daarmee moeten. Bovendien: een ondertekende brief moet genoeg zijn.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS