Natuurlijk mag je niet om extra legitimatie vragen bij een online account

Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als je je account weer wilde verwijderen dan moest je ook je echte naam, adres en andere informatie opgeven. En dat is een schending van de AVG, die gegevens zijn niet werkelijk nodig om het verwijderverzoek te honoreren. Een uitspraak die hopelijk een precedent gaat worden, want ik kan me werkelijk dood ergeren aan al die sites die een volledige doopceel eisen (of erger nog, een kopietje paspoort) voordat ze iets weghalen dat je met heel wat minder informatie aan had gemaakt.

Het eerste dat me opvalt in de uitspraak is dat je je account niet gewoon online kon verwijderen. Je moest een formulier downloaden en invullen, wat op zich natuurlijk al een idioot overdreven manier van werken is. Dan ga je al een beetje denken dat de website-eigenaar liever geen accounts verwijdert. Het is triviaal om een “delete this account” knop in te bouwen als je accountbeheer hebt, en als je je zorgen maakt over misbruik van die knop dan stuur je de accounthouder een mail met link om te bevestigen dat hij het echt wilde.

Bij dit formulier ging het ook nog eens mis omdat je allerlei informatie moest invullen, zoals je werkelijke naam en je adres. De vraag is dan natuurlijk onmiddellijk waarom die informatie nodig is. Wat ga je ermee doen, hoe heb je die informatie nodig om te valideren dat je werkelijk met de accounthouder te maken hebt? Ik kan geen reden bedenken; immers, de accounthouder is enkel bekend onder dat pseudoniem of via dat mailadres.

Ja maar je paspoort is toch je officiële naam, dat bewijst toch iets, zou je denken? Nee, niet in deze context. Want de eigenaar van dit account had de naam ‘Petra’ gebruikt en het mailadres van zijn vrouw, dus vertoning van zijn paspoort had helemaal niet bewezen dat hij eigenaar was van het account. Maar hij was het wel. En hoe weten we dat? Nou ja, omdat hij kon inloggen op het account natuurlijk. En dat is dan dus eigenlijk het enige dat je mag eisen van de AVG.

Een goede zaak, wat mij betreft. Ik weet dat er sites zijn die dergelijke formulieren gebruiken als barrière tegen uitschrijven (want meer gebruikers is jezelf groter kunnen voordoen) maar de meesten doen het volgens mij omdat ze denken dat het moet, correct identificeren door middel van formulieren en paspoorten. Daar mogen ze dus mee ophouden.

Arnoud

21 reacties

  1. Iets andere casus: Een bedrijf die online diensten verkoopt (verleent?), en de mogelijkheid biedt met 2FA. In theorie kan je ieder mogelijke naam opgeven bij registratie. Echter, verlies je je 2FA inloggegevens, dan dien je een kopie van je paspoort of ander vergelijkbaar ID op te sturen om weer toegang te krijgen tot je account. Heb je een willekeurig pseudoniem gebruikt bij het aanmelden, tough luck…

    Dat is natuurlijk iets anders dan een account opzeggen, en je moet als dienstverlener iets. Tegelijkertijd geeft het toch ook een dubbel gevoel omdat in de rest van de relatie met die dienstverlener het helemaal niet nodig is je ‘echte’ naam te gebruiken.

    1. Paswoord reset, account verwijderen, in essentie natuurlijk vergelijkbare zaken want beide kunnen alleen worden gedaan op verzoek van de ‘eigenaar’ van het account.

      Dat je als dienstverlener ’toch iets moet’ is niet helemaal correct. Je ‘wilt’ wellicht iets als dienstverlener, maar ‘moeten’ gaat me iets te ver. Als je echt iets moet als dienstverlener, dan moet je om te beginnen er voor zorgen dat er een goed en betrouwbaar (= veilig) mechanisme is om te allen tijde een wachtwoord te kunnen resetten. Om te beginnen maar eens wat controlevragen, misschien een alternatief email adres, (fake) geboortedatum? In ieder geval zaken die los zouden moeten staan van het 2FA mechanisme. (want het wachtwoord bestaat immers uit 2 factoren die je allebei tegelijkertijd zou willen kunnen resetten)

      Een ‘anoniem’ account zal zelden of nooit overeenkomsten vertonen met identificatiegegevens van een paspoort of ID, daarmee zal dus niet kunnen worden vastgesteld dat iemand de rechthebbende eigenaar is van een account. Om die reden zijn die gegevens dus ook niet nodig, en daaruit concludeer ik dan dat ze daar dus ook niet voor mogen worden gevraagd/verstrekt. Pas als bij aanmaak van het account deze gegevens zijn vastgelegd (en er zijn maar weinig dienstverleners die dat uberhaupt mogen) heeft het zin om ze ter verificatie op te vragen.

      Daarnaast zijn er vaak ook wel andere manieren om vast te stellen dat jij de rechthebbende eigenaar van een account bent. Account historie, moment van aanmaken, IP adressen, betalingsgegevens, etc. Deze zijn natuurlijk een stuk lastiger voor een dienstverlener om te verwerken, maar als de dienstverlener ze nodig heeft voor een paswoord reset dan maakt dat natuurlijk niet direct een ongeldige rechtvaardiging.

      En als die mogelijkheden er allemaal niet zijn, dan is het inderdaad een kwestie van pech. Het is ‘jouw’ account, jij bent verantwoordelijk voor de toegang, de dienstverlener is uiteindelijk alleen maar verantwoordelijk voor de beveiliging. En als die beveiliging inhoudt dat als jij niet kunt bewijzen dat je de eigenaar bent, je geen toegang krijgt (goedzo, dan krijg IK [of iemand anders dan jij of ik] ook geen toegang dus, en dat zouden we met z’n allen eigenlijk ook moeten willen)

      Oh, nog even over 2FA, prachtige uitvinding, is natuurlijk bedoeld om iedereen die niet aan beide factoren voldoet, de toegang te ontzeggen. Dat is precies wat je wilt, en dan moet men dus ook niet gaan piepen als een van de twee factoren het niet meer doet. Geen 2 factoren? Geen toegang. Simpel, doeltreffend en veilig. Als je dat op een of andere manier kan omzeilen dan is de implementatie een farce en kan je net zo goed weer teruggaan naar 1FA

    2. Als je slim bent met 2FA dan laat je bij aanmelding meer dan 2 factoren registreren. Bv wachtwoord, mail adres, authenticator app, 06 nummer voor SMS codes, backup mail adres, backup eenmalig bruikbare wachtwoorden, … Dan kan je vrijelijk zeggen dat je jezelf met 2 factoren moet identificeren, en zelf kan je kiezen welke mocht je er een verliezen.

      Achteraf ook 1 factor accepteren is natuurlijk geen 2FA, hoe vriendelijk je als dienstverlener ook wil zijn.

  2. Het is niet triviaal om accounts te verwijderen omdat de gegevens van accounts vaak verplicht gekoppeld zitten aan allerlei andere gegevens in bijvoorbeeld een database. Het verwijderen van accountgegevens kan bepaalde datacorruptie opleveren en levert daarom vaak complexere IT vraagstukken op. Toevoegen van accounts is daarintegen vaak juist wel heel simpel.

    Het is juridisch misschien heel simpel maar in IT zijn toevoegen of verwijderen van gegevens echt zaken van totaal verschillende orde.

    1. Bij een nieuw systeem is dit heel makkelijk op te lossen. Maak een uniek accountidentifier (dit kan gewoon een autoincrement id in de database zijn). Deze identifier gebruik je overal. Bij deletion verwijder/wijzig je alle persoonlijke informatie. (naam wordt “verwijderde gebruiker 451” of zelfs zonder nummer). Overigens gaat het bij het verwijderen onder AVG niet over archiefmateriaal (je hoeft niet je backups of boekhouding “op te schonen”). Een van de grootste problemen met de AVG is echter dat het vraagt om een andere benadering van systeemsontwerp. Een benadering die niet in lijn is met de huidige praktijk (en zeker niet met bestaande systemen). In die zin verwacht ik wel enige coulance van de toezichthouders, maar voor nieuwe systemen moet je ze gewoon zo ontwerpen dat ze werken vanuit AVG perspectief.

      1. Je kunt data alleen anonimiseren als je die nergens meer nodig hebt. Echter er zijn tal van legitieme redenen (ook gezien de AVG) waarom je de gegevens van een accounts nog wel nodig kunt hebben ook als de user zijn of haar account wenst op te heffen. Wettelijke zowel als commerciele maar ook nog technische redenen.

        1. Dat is sterk afhankelijk van de aard van het account. En dan is de vraag of je die gegevens op een via het Internet toegankelijk systeem moet opslaan. Wanneer je de klantgegevens in je boekhouding (facturen en verzendbonnen) hebt staan kun je ze uit je webwinkel verwijderen.

            1. Als je klant een verhuizing doorgeeft kan je niet zomaar op alle historische facturen een nieuw adres plaatsen, dus gelukkig stonden die al los van elkaar 🙂

              Verder is er een periode van 2 jaar geweest voordat de AVG actief werd, juist zodat bedrijven hun procsessen en systemen hierop konden herzien. Dat de meeste bedrijven die eerste 22 maanden niet gebruikt hebben doet niets af aan ’t feit dat er zeker wel geruime tijd geweest is om maatregelen te treffen.

              1. De AVG is ook niet uit de lucht komen vallen. Naast de bestaande wetgeving van de jaren negentig, zijn er ook ontwerpen van de AVG (of onderdelen ervan) ruim vroeger bekend gemaakt. Een beetje bedrijf weet het dus al “even” langer.

                Heel veel van de AVG is oude wetgeving.

        2. Technische en commerciële redenen zouden er wat mij betreft niet meer moeten zijn.

          De techiek zou inmiddels toch wel op orde moeten zijn, daar is voldoende tijd voor geweest.

          Commercieel gezien is het ook niet nodig om adresgegevens van een klant te bewaren als de klant geen klant meer wil zijn. Email adressen, paswoorden, en dergelijke kunnen bijna altijd worden verwijderd, die zijn niet meer nodig, de klant wil immers niet meer inloggen en ook niet bereikt kunnen worden.

          Je grootboekadministratie moet wel op orde zijn maar ook daar zou het moeten volstaan om de aard van een transactie + de waarde van die transactie vast te leggen. Je bent weliswaar verplicht om te registreren bij wie je wat inkoopt, maar verkoop mag doorgaans volledig geanonimiseerd plaatsvinden (kasboek)

          En het excuus dat je de klant moet kunnen benaderen voor issues, opvolging, terugroepacties e.d. gaat ook niet op – behoudens je zorgplicht (als die er al is) maar die kun je ook op andere manieren uitvoeren. Ook het argument dat je webwinkel stukgaat als je informatie verwijdert houdt geen stand. Dan pas je dat maar aan, want blijkbaar ben je dan nog niet AVG “compliant”.

          Er zijn volgens mij maar weinig wettelijke redenen om informatie te behouden als de betreffende klant dat niet wil, dan kom je ook al gauw op het soort transacties waar legitimatie waarschijnlijk sowieso al een vereiste is (banken, zorginstellingen, etc)

          @Arnoud Als ik mijn reactie bewerk zie ik dat niet direkt terug, ook niet als ik de pagina ververs. Als ik daarna nog een tweede bewerking wil doen krijg ik in de editor de originele post te zien en niet de bewerkte post. Als ik vervolgens niets doe dan staat de bewerkte post na 15 minuten gewoon online maar kan ik ‘m niet meer bewerken. Lijkt me iets met caching te zijn, wellicht dat je dit toch eens moet bekijken? [edit] als ik dezelfde post in een nieuw venster open is mijn bewerking zichtbaar en als ik binnen de 15 minuten ben mag ik alsnog bewerken. Sessie gerelateerd issue wellicht?
    2. Het gebruik van luie of onbekwame ICT’ers is geen excuus. Net zoals het niet lezen van de snelheidsborden langs de weg geen excuus is om geen snelheidsboetes te betalen.

      De meeste privacywetgeving dateert van de jaren negentig. Ik verwacht dat de meeste ICT systemen ondertussen wel grondig gewijzigd zijn, zodat dat voorzien kon worden.

      Oh ja, het is niet moeilijk om te voorzien dat er verwijderd kan worden, zeker niet als een project start. Maar ja, dat is niet “sexy” en je moet wel een basiskennis ICT hebben.

  3. Je controleert iets en je controleert dat iets ergens aan. Veel bedrijven, die om kopietjes van paspoorten verzoeken snappen dat laatste niet. Er is in dit geval niets te controleren aan, want je hebt de echte naam niet ergens anders dan op dat paspoort.

  4. In hoeverre zou beheerder dan na moeten gaan of degene die een anoniem account wil opheffen (en bijbehorende data wil laten verwijderen) daar ook gerechtigd toe is? Mag beheerder er dan altijd vanuit gaan dat degene die toegang heeft tot het e-mail adres waarmee het acount is aangemaakt (en dan typisch ook bij oudere accounts de beveiliging kan resetten), dat diegene dat dan ook mag? (Misschien eerst een jaar ontoegankelijk maken en pas daarna verwijderen?)

      1. Is het verschil niet dat opheffen onherroepelijker is? Als je account wordt gehackt (bijv. slecht paswoord) lijkt me de schade in het algemeen kleiner als iemand inbreekt en dingen vernield dan wanneer het hele account weg is. Natuurlijk, je kan een hele hoop weggooien als inbreker maar het gaat langzamer, het wordt mogelijk eerder ontdekt en misschien zijn er backups. Als je account weg is, is er geen backup. Of mag je als websitebeheerder een backup (tijdelijk) behouden nadat iemand gevraagd heeft al zijn data te verwijderen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.