
Een lezer vroeg me:
Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.
De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)
Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.
Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.
“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.
Arnoud
AVG is van toepassing op iemand die in Nederland woont met Braziliaans paspoort?
Klopt. Dus ook daarom is dit onzinnig.
Er zou een wet moeten zijn die bij dit soort zaken no-cure-no-pay toestaat en de advocaat kosten bij de dienstverlener/webshop legt als ze een zaak met zulke duidelijke schendingen verliezen. Dit zou dan niet alleen bij dit soort AVG zaken moeten gelden, maar ook bijvoorbeeld bij zaken met webshops zoals het niet terugbetalen van verzendkosten bij het ontbinden van een koop op afstand (heen verzendkosten, niet terug).
Als dit er zou zijn, dan hoop ik dat er genoeg advocaten zijn die dit soort zaken oppakken om deze bedrijven dit soort gedoe af te leren. Hiermee zouden de AP en ACM ontlast worden. Zonder zo’n nieuwe wet zouden dit soort “kleine” schendingen niet worden opgepakt door de autoriteiten en zouden de slachtoffers ook geen rechtszaak starten.
Verzoekschriften voor de AVG hoeven niet door een advocaat ingediend te worden, art. 35 lid 4 UAVG. Dat betekent dat er geen probleem is om als jurist (niet advocaat) op basis van no-cure-no-pay te werken. Beetje vergelijkbaar met het scala aan bedrijven die dat doet voor verkeersboetes of Woz bezwaren. Iets wat ik trouwens al langer wil doen, ik moet alleen m’n studie nog afronden. 🙂
Ik heb ook wel eens zoiets meegemaakt: aanmelden was fluitje van een cent, maar om account te verwijderen moest ik paspoort mailen.
In navolging van bovenstaande reactie: Bedrijf bevindt zich in de VS. Wat kan ik anders doen dan voldoen aan hun eisen? De AP hier zal of kan er niks aan doen. Stap naar de rechter? Of de AP van de VS inschakelen?
Waarom zou de AP (of Europese collega) hier niets aan kunnen doen? Het bedrijf biedt toch diensten aan in Nederland?
Omdat de AP door schrijnend personeelstekort en subisdie niks voor je wil doen. Heb dat zelf aan den lijve ondervonden.
Ware het niet dat accounts continu overgenomen worden door hackers (of gewoon door een bekende die een geintje wil uithalen) dankzij matige beveiliging (meestal aan de kant van de gebruiker).
En gezien een AVG-verwijderverzoek leidt tot het definitief verwijderen van de gegevens en niet slechts tot een bevriezing van het account of een “deleted” flag in de database, kunnen de gevolgen vrij fors zijn. Ik vind het daarom niet onredelijk dat er meer verificatie wordt gevraagd dan enkel “kun je inloggen?” voordat er op een AVG-verwijderverzoek ingegaan wordt.
Dat vind ik raar, want als je zulke zwakke beveiliging hebt dan kunnen er dus ook datalekken optreden. Waarom doe je daar niets tegen dan?
Los daarvan: hoe lost een kopie van een ID iets op bij de vraag “komt het verwijderverzoek van de accounthouder”?
Probleem is dat je er met een ID dan meestal niet bent, omdat je dan ook bij registreren een ID zou moeten vragen. Als ik me ergens registreer waarvan het niet belangrijk is dat ze bijvoorbeeld mijn naam of geboortedatum hebben, wordt de naam twee streepjes en de geboortedatum 1-1-heellanggeleden. Ik ben lang niet de enige die dat zo doet. Als je niet ooit om een ID of iets dergelijks hebt gevraagd bij registratie, heb je niets om de gegevens op het ID die je vraagt bij verwijdering mee te vergelijken.
Weliswaar moet het account echt verwijderd worden en niet bevroren, zou een bedrijf niet een account eerst een maand bevriezen en dan pas echt verwijderen. Dat is voldoende tijd voor iemand om te klagen dat zijn account gehackt is. Om met reden “we moeten controleren dat uw account niet gehackt is” een opheffingsverzoek niet aan te nemen blijft een smoesje.
Ik denk dat een systeem waar niet meer informatie verstrekt moet worden dan bij aanmelden voldoende moet zijn; iets anders is gewoon pesten. (Sterker nog; ik wil dat ze alle informatie van mij verwijderen, waarom moet ik ze dan dingen vertellen die ze nog niet weten?)
Dat eerst tijdelijk bevriezen komt wel wat voor en is op zich geen slechte praktijk. In de praktijk zullen de gegevens ook nog enige tijd in backupsystemen voorkomen.
Bij Amazon was het (nu 11 jaar geleden) ook onmogelijk om je account te verwijderen. Ik heb toen zo’n beetje alle gegevens waar mogelijk verandered in totaal onzinnige dingen, en tenslotte het email adres omgezet naar zo’n random adres dat alle binnenkomende mails op een publieke web-pagina toont (zodat ik de aanpassing kon bevestigen); heb er daarna nooit meer naar omgekeken, want ik wil niets meer met dat bedrijf te maken hebben.
Nu zou ik gewoon een mailtje sturen met een verzoek het te verwijderen, en dat anders een klacht volgt bij de AP. Ze kunnen zelf zien met welk email adres het geregistreerd is, en de boetes zijn niet mals. (En dat de AP wel wat doet heb ik zelf kunnen vaststellen: na een klacht over het niet gratis kunnen opvragen van gegevens bij de BKR ben ik een paar keer teruggebeld, en kort voordat de boete van 7 ton in het nieuws kwam kreeg ik zelfs nog een belletje dat dat ging gebeuren.)
Nu VPN’s voor iedereen betaalbaar en bereikbaar zijn is denk ik dat je niet meer kan vertrouwen op iets als GeoIP als het niet om triviale zaken gaat.
De autoriteit persoonsgegevens heeft daadwerkelijk in een vergelijkbare zaak een boete uitgedeeld: AP: Boete DPG Media voor onnodig opvragen identiteitsbewijs.
Het is in ieder geval iets. Ik heb een account op een forum waar ik vanaf wil, maar ze schrijven me niet terug, terwijl het een actief beheerd forum is. Ook beroepen op de AVG leverde 0,0 respons op. Ik ben geen voorstander van het uploaden van mijn paspoort om het voor elkaar te krijgen, maar beter dat dan helemaal niet reageren op mijn meerdere verzoeken.
Iets soortgelijks vorige maand bij Zettle (prima pinbetalingsapparaatje en kassadienst voor weinig van Paypal). Hier wilde ik mijn naam veranderen – bij aanmelding volledige naam ingevuld, wilde dit aan laten passen naar enkel mijn voornaam en achternaam. Aanmelding ging heel eenvoudig en snel: wat persoonsgegevens en KvK-gegevens volstaan. Voor een wijziging moet ik een gewaarmerkt KvK-uittreksel en een foto van mijn legitimatiebewijs (voor- en achterkant) aanleveren. De customer-support van Zettle suggereerde wel een work-around: pas gewoon je kassabon-informatie aan. In mijn account staat nog altijd mijn volledige naam – dat mag ik niet wijzigen. Maar de klanten krijgen de kassabon-informatie te zien, ook op hun afschriften.