Een lezer vroeg me:
Ik heb een account bij een webwinkel, omdat dat moest toen ik wat wilde bestellen. Nu houd ik niet van rondslingerende oude accounts, dus heb ik gevraagd of ze deze weg willen halen. Als reactie kreeg ik dat ik dan een brief moet sturen met kopie paspoort naar een of andere postbus in Zevenaar. Dat zou conform het privacystatement en de Wet bescherming persoonsgegevens zijn. Klopt dat, mogen ze dat zo eisen?
Een account bij een website valt in principe onder de Wet bescherming persoonsgegevens (de privacywet). Het account is immers een bundel met gegevens die aan éen persoon – de accounthouder – te koppelen zijn. Volgens die wet heb je als betrokkene/eigenaar het recht van inzage, correctie en verwijdering. Je mag bij de dienstverlener opvragen wat ze van je weten, corrigeren wat daarin niet klopt en laten verwijderen wat achterhaald is.
Een eis bij zo’n inzageverzoek is dat de dienstverlener moet nagaan of de vrager echt de eigenaar is van het account. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen. Daarom, maar ook omdat een inzageverzoek gedoe is waar veel bedrijven eigenlijk geen zin in hebben, is het gebruikelijk om te eisen dat men een brief stuurt.
Echter, er is bij zulke accounts een nóg simpeler manier: wie kan inloggen op het account, is daar de eigenaar van. Het toevoegen van een “Opheffen account”-knop is dan ook genoeg om aan de wet te voldoen. Wilt u uw account opheffen, druk op de knop. Is het wachtwoord vergeten en het e-mailadres onbereikbaar voor resetmails, dan kan er alsnog gewerkt worden met de noodgreep van brief met identiteitsbewijs.
Persoonlijk zou ik echter zeggen, wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd. Bij het maken van het account vroeg je niet om identificatie, dus waarom zou dat nu bij opheffen ineens wél moeten? In mijn cynische buien denk ik dan wel eens, het opheffen van accounts wil men eigenlijk niet want veel accounts hebben staat goed in je persberichten. Maar dat terzijde.
Specifiek bij forums speelt hierbij een aanverwant probleem: verwijderen van een account kan ook leiden tot verwijderen van de geplaatste berichten. Of dat laatste ook moet, is een lastige.
Arnoud
Je zegt “wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd”. Ik denk dat het belangrijk is een onnderscheid te maken tussen e-mail sturen en ontvangen. Als je aantoont dat je een e-mail verzonden naar dat adres ontvangen hebt, bijvoorbeeld door een willekeurige code terug te sturen, dan ben ik het met je eens. Maar een bericht versturen vanaf een bepaald adres is geen enkel bewijs. De afzender in een e-mail bericht is simpelweg een tekstveld dat normaal gesproken nergens gecontroleerd wordt en als je wilt kan je zo onder andermans adres e-mail versturen.
Terecht punt. Er moet worden geverifieerd dat de eigenaar van het account de mail stuurde. Een controlevraag terugsturen of alleen maar “Doen we graag, bevestig even ja/nee” terugsturen zou al genoeg moeten zijn. Het feit dát je inhoudelijk antwoord krijgt, bewijst dat er toegang is tot de mailbox.
Is het afgeven van een kopie-paspoort wel zo verstandig resp. toegestaan? De rijksoverheid vindt van niet, zie http://www.rijksoverheid.nl/onderwerpen/paspoort-en-identificatie/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf.html
Inderdaad. Zie ook http://blog.iusmentis.com/2012/07/19/kopieren-van-paspoorten-is-verboden-tenzij/
Geldt er ‘analoog’ niet het punt dat je niet meer moeite moet hoeven te doen om je af te melden dan toen je je aan hebt gemeld? Of zit ik dat nu zelf te verzinnen?
Is dit juridisch anders wanneer je vrijwillig een account hebt aangemaakt en het aanmaken geen eis was om bijvoorbeeld iets te bestellen bij een webshop?
Het verwijderen van een webshop account lijkt mij sowieso niet handig, immers zal de klant bij een garantieprocedure in de problemen komen. Account is weg, garantieaanvraag kan niet meer ingevuld worden etc.
Dat valt wel mee. Als je online iets bestelt heb je vast nog wel een bevestiging ervan in je mailbox. En de factuur heb je vast ook nog wel. Ook zonder account heb je dus nog gewoon recht op garantie. Accounts zijn daarvoor helemaal niet van belang.
De verklaring is simpel (zeg ik als ontwikkelaar), bij het bouwen is nooit nagedacht op het beëindigen van account. In de praktijk betekent dit dus dat iemand handmatig moeite moet doen om je account te verwijderen, en dat wordt dus zoveel mogelijk tegengewerkt, want dat is het. Het verwijderen van een account is vaak ook lastiger dan het maken van een account, juist omdat je na moet denken over welke data niet verwijderd mag worden (order geschiedenis, betalingen, e.d.). Vaak is verwijderen dan ook een vinkje “Actief” wat wordt uitgezet en blijft je wachtwoord en alle persoonsgegevens (inclusief wachtwoord!) gewoon staan.
Maarja er is ook een analogie met de een huwelijk. Trouwen is zeer eenvoudig (net als een BV oprichten met compagnons), het ontbinden ervan kost veel meer tijd en geld.
Als je dit soort dingen belangrijk vind, is het dan niet makkelijker om: – een eigen domein te hebben met een verschillend email adres voor alles (makkelijk te zien wie jou adres doorverkoopt aan spammer en makkelijk specifieke webshops te blokeren) – uniek wachtwoord voor alles. Het enige dat dan in jouw profiel staat waar ze wat aan kunnen hebben is jouw naam/adres combinatie.
Leuke suggesties inderdaad 🙂 Ook maar eens kijken of daar wat mee te doen is.
Daarmee is het nog steeds niet okee om het verwijderen van een account zo moeilijk te maken. Het is namelijk niet ‘het enige… waar ze wat aan kunnen hebben is jouw naam/adres…’, maar juist ‘ze hebben nog steeds je naam/adres combinatie!’
Dat is soms al gevaarlijk zat.
Bij de meeste accounts kan je toch wel zelf je adres aanpassen (en vaak ook je naam). Bij het beëindigen zet je je naam/adres op een niet bestaand iets (of op de gegevens van de webshop zelf) en je veranderd je email adres in iets niet bestaand. Als er een bevestiging moet zijn van dat email adres gebruik je daarvoor een tijdelijk email adres die na gebruik ongedaan gemaakt wordt.
Grappig. Dat doe ik al enige tijd en zo kwam ik al snel erachter dat zowel LinkedIn als Adobe (en andere bedrijven!) hun gegevens hadden laten uitlekken aan anderen. Ik kreeg immers spam binnen op de betreffende aliassen. Filter eroverheen om alle emails dat op die aliassen binnenkomt weg te gooien en even klagen bij het betreffende bedrijf over hoe dom ze zijn geweest met het uitlekken van mijn gegevens. (En als ik ze dan nog aardig vind, een nieuwe alias voor hen aanmaken.)
Een unieke alias voor iedere registratie zorgt ervoor dat je hetzelfde wachtwoord voor meerdere websites kunt gebruiken. Immers, de “gebruikersnaam” is per site verschillend dus inloggen op een andere website met dezelfde gegevens werkt niet. Als je daarbij een vast wachtwoord gebruikt met b.v. 3 letters van de betreffende domeinnaam erachter om deze toch weer uniek te maken, dan heb je een redelijk goede beveiliging tegen hackers. Iedere site dus een uniek email adres en uniek wachtwoord, wat desondanks toch goed te onthouden is.
Volgens mij had ik het eerder ergens op dit blog gelezen. Iemand gebruikte dit alias systeem en kreeg spam binnen op een van zijn adressen, dus blokkeerde hij het adres. Maar dat adres was van zijn energiemaatschappij waar hij de rekeningen binnen kreeg die hij moest betalen. Volgens mij was het resultaat dat de maatschappij ging klagen over onbetaalde rekeningen maar toen hij hun beschuldigde van lekken, dat ze terugkrabbelden.
Dat zal mij niet al te snel gebeuren omdat mijn filter ze niet direct weggooit maar in een prullenbak plaatst. Met enige regelmaat kijk ik dan in de prullenbak om zeker te zijn dat alles weg kan. Daarnaast geef ik ze altijd een waarschuwing over het lek en als ik zeker ben dat ze hun systeem hebben aangepast dan pas ik ook mijn email adres voor hen aan zodat ze vanaf dat moment weer in de normale mailbox komen.
Maar stel dat iemand je mailaccounts gekraakt heeft en met het opheffen van andere accounts je te grazen wil nemen? Moet je het hen zo makkelijk maken?
Ik denk dat als iemand op dat niveau van kraken is gekomen, dat je je sowieso meer zorgen moet maken dan alleen over de accounts die je bij verscheidene webwinkels, fora e.d. hebt.
Plus, qua misbruik is het makkelijker om iemand aan te melden op dubieuze sites en ze mail te laten ontvangen die ze niet willen, of zelfs aankopen te laten doen die ze niet willen. Dan heb ik liever een snelle manier van uitschrijven dan dat ik een brief per post moet versturen.
Nee hoor, die authentificeren de organisatie, alles achter het @. Dus dat is dan echt maar een beetje anders.
Een paspoort heeft alleen zin als de houder in de nabijheid is. Ik begrijp niet, wat bedrijven daarmee moeten. Bovendien: een ondertekende brief moet genoeg zijn.
De site is wettelijk verplicht je gegevens te verwijderen als je hierom vraagt. Anders kan je deze tool gebruiken voor het versturen van eens standaard brief: verwijderpersoonsgegevens.nl