Kan ik bij het opzeggen van mijn abonnement ook mijn account verwijderen?

Een lezer vroeg me:

Bij (veel) internet winkels, abonnementen, leveranciers, enz. wordt een inlog met naam/e-mail-adres en wachtwoord gevraagd. Kan ik bij het beëindigen van klant zijn / abonnee opzeggen de opgeslagen gegevens laten verwijderen?
Een account zoals hier beschreven is een verzameling van persoonsgegevens, en de verwerking daarvan valt dus onder de AVG. Deze kent een recht van verwijdering (vergetelheid, zo je wilt) en dat geldt voor accounts dus net zo goed.

Het recht van verwijdering geldt alleen als de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt (plus andere uitzonderingen die er hier niet toe doen). Een account wordt gewoonlijk opgezet om een bepaalde dienst te leveren. Dus zodra de dienst stopt, eindigt het doel van de verwerking en dus de grond om de gegevens nog te hebben.

Hoofdregel is dus: bij stoppen dienst moet het account weg.

Natuurlijk zijn daar uitzonderingen op. Bij webwinkels zie je bijvoorbeeld vaak dat men redeneert, je hebt nog een periode garantie op het gekochte, en het account is nodig om de garantieaanvraag af te handelen. Daar valt wat voor te zeggen, zij het dat je garantie ook moet kunnen claimen als je geen toegang meer hebt tot het account. Het kan enige overtuigingskracht kosten om een organisatie dit duidelijk te maken, maar je staat in je recht als je zo’n account wil laten verwijderen.

Ook is een tegenargument vaak dat je via je account bij de facturen kunt, en/of dat die facturen zeven jaar lang bewaard moeten van de Belastingdienst. Dat klopt natuurlijk, maar is geen argument om het account actief te laten: als klant kun je de facturen downloaden (en is het jouw keuze om facturen niet te bewaren). En als bedrijf moet je de facturen in je eigen administratie bewaren, wat los moet staan van een klantaccount.

11 reacties

  1. Ik kom nog regelmatig tegen dat je verplicht een account moet maken, of dat ze dat gewoon doen, ongevraagd en zonder het van te voren te melden. Anders kun je gewoon niet bestellen. (ik noem maar een recent voorbeeld: Van der Valk hotels).

    En af en toe is het nog erger, dan wil je iets bestellen en dan wordt op basis van je emailadres gemeld dat je daar al een account hebt en dat je dat moet gebruiken om te bestellen. Hoe, wat, ik had al een account?

    Ik ga ervan uit dat volgens AVG, als de bestelling geleverd is, mijn gegevens verwijderd worden. Dat is dus LANG niet altijd zo.

    Wat doe je daarmee? Het is zo’n gedoe om het elke keer te checken en dan te zeggen: verwijder het account, en dan te checken of ze dat wel gedaan hebben.

    De AP zou dit wel eens pro-actief mogen nagaan.

    1. Je gegevens hoeven van de AVG niet direct verwijderd te worden nadat je bestelling is afgerond.

      Je bent immers een actieve klant die mogelijk nog eens terugkomt en nog een bestelling wil doen, voorgaande bestellingen wil raadplegen, facturen wil downloaden, of wat je zoal via dat account kunt doen.

      Pas na een bepaalde periode van inactiviteit of niet-bestellen hoeft de winkel je niet langer als klant te beschouwen en dienen ze je (account)gegevens te verwijderen. De AVG geeft geen expliciete termijn, omdat dit van de situatie en het product afhangt; voor grotere aankopen kom je wellicht minder snel terug en wil je langer ondersteuning of service (als je ergens al een half jaar geen toiletpapier meer hebt gekocht, ben je daar misschien geen klant meer, maar als je ergens een half jaar geleden een keuken hebt gekocht, ben je dat nog wel).

      1. Ja maar dat is de omgekeerde wereld:

        Ze maken een account waarin je dingen kunt doen waar je niet om gevraagd hebt, en dan gebruiken ze de ‘fantastische’ mogelijkheden van dat account om te argumenteren dat ze je gegevens mogen bewaren.

        ‘een klant die mogelijk nog eens terugkomt’ is natuurlijk geen AVG-grondslag. Ieder klant komt ‘mogelijk’ nog eens terug.

        Als ik voorafgaande bestellingen wil raadplegen of facturen wil bijhouden dan moet ik die zelf maar bijhouden. Het is lief dat de verkoper dat voor mij doet, maar niet als hij dat als achterdeurtje gebruikt om mij tot een account te dwingen.

        1. Ik ben het met je eens dat het ongevraagd aanmaken van een account niet netjes is, maar dat account is niet de grondslag voor het bewaren van je gegevens en in principe leidt het ook niet tot de verwerking van extra gegevens.

          Het bewaren van (sommige van) je gegevens is verplicht op grond van financiële en consumenten-wetgeving en gebeurt dus sowieso.

          En ‘de klant komt mogelijk terug’ is geen AVG-grondslag, maar het legitieme belang van de leverancier om ondersteuning te kunnen leveren (“let op, de fabrikant heeft uw product teruggeroepen”) en om marketing naar klanten te kunnen doen (“we hebben nu een nog betere in ons assortiment”) is dat wel. En daarmee mag de leverancier je gegevens ook langer bewaren.

          Voor die laatsten zal de leverancier een redelijke bewaartermijn voor de gegevens moeten definiëren (twee jaar is vrij gangbaar, maar zoals gezegd afhankelijk van het geleverde). De gegevens moeten na die periode verwijderd worden, of eerder op het moment dat de klant bezwaar maakt tegen het verwerken van de gegevens.

          1. En ‘de klant komt mogelijk terug’ is geen AVG-grondslag, maar het legitieme belang van de leverancier om ondersteuning te kunnen leveren (“let op, de fabrikant heeft uw product teruggeroepen”)

            In sommige gevallen kan dit het geval zijn. Maar dat is eerder een uitzondering. Als de Gamma je gegevens niet opslaat als je een verfkwast of een emmer koopt, is dat voor de online winkel ook overkill.

            En ‘de klant komt mogelijk terug’ is geen AVG-grondslag, maar het legitieme belang van de leverancier …. om marketing naar klanten te kunnen doen

            Ook dat niet. Dat marketingbelang is hoogstens een toegangspoortje naar een belangenafweging (expliciet en gedocumenteerd! En expliciet kan natuurlijk alleen geval per geval, dus voor iedere persoon afzonderlijk, en voor iedere marketingemail afzonderlijk, immers iedere marketingemail is anders en heeft een ander belang voor hem en een andere negatief effect voor mij, dus de belangenafweging moet opnieuw.)

            Die belangenafweging gaat de leverancier ook nooit redden, zeker niet als hij al toestemming gevraagd heeft door een checkbox bij de bestelling en die niet gegeven is (zoals meestal het geval is).

            En zelfs als hij dat redt, dan geldt dat nog alleen voor het minimum aan gegevens dat hij nodig heeft voor dat doel. Dat is niet veel: alleen het bestelde artikel en het emailadres.

            En dan vervolgens moet hij nog de horde nemen van de telecommunicatiewet met zijn spamverbod.

            En als dat al lukt, hoort daar ook een afmeldmogelijkheid voor de klant bij. Eens die geactiveerd is, is er geen reden meer voor het bewaren van de gegevens (en dus: geen reden voor het aanhouden van het account)

            maar dat account is niet de grondslag voor het bewaren van je gegevens en in principe leidt het ook niet tot de verwerking van extra gegevens.

            Wel waar: zelfs als de leverancier mij moet contacteren voor een terugroepactie, hoeft hij slechts mijn emailadres in combinatie met het bestelde artikel te bewaren. Mijn naam, leveradres, factuuradres, telefoonnummer, geboortdatum, besteldatum, andere bestellingen, accountnaam, password, IPadres, cookie-informatie, verkoopskanaal, etc heeft hij daar niet voor nodig.

            In een account staat altijd meer info dan nodig om voor de grondslag.

            1. Dat marketingbelang is hoogstens een toegangspoortje naar een belangenafweging (expliciet en gedocumenteerd! En expliciet kan natuurlijk alleen geval per geval, dus voor iedere persoon afzonderlijk, en voor iedere marketingemail afzonderlijk, immers iedere marketingemail is anders en heeft een ander belang voor hem en een andere negatief effect voor mij, dus de belangenafweging moet opnieuw.)

              Dit is onjuist. Er hoeft geen expliciete* of individuele afweging gemaakt te worden. De exacte afwegingen die je moet maken liggen een beetje aan de manier waarop je klanten wilt benaderen, maar volgens de Autoriteit Persoonsgegevens:

              • Digitale marketing: “U hoeft geen toestemming te vragen als u uw bestaande klanten benadert met aanbiedingen voor uw eigen, soortgelijke producten.”
              • Marketing per post: “Wilt u als organisatie uw bestaande klanten reclamepost sturen? […] Volgens de Algemene verordening gegevensbescherming (AVG) moet u dan beoordelen of het gebruik van die gegevens verenigbaar is met het oorspronkelijke doel. Zo ja, dan mag u reclamepost sturen zonder hiervoor eerst om toestemming te vragen.”
              • Telefonische marketing: “U mag bestaande klanten ongevraagd bellen met een reclameaanbod voor gelijksoortige diensten of producten.”

              Ja, je moet je afweging maken en het proces documenteren, maar zeker naar bestaande klanten heb je een veel grotere vrijheid om aan marketing te doen dan naar derden. En natuurlijk moet je ophouden op het moment dat de klant bezwaar maakt, en de mogelijkheid bieden om een account te verwijderen.

              * “Expliciet” komt bij mijn weten in de AVG enkel voor met betrekking tot toestemming en stelt aanvullende eisen bovenop een simpel “ja, prima” wanneer er gevoelige gegevens verwerkt worden of er gegevens naar een niet-AVG-compatibel land overgedragen moeten worden.

              Wel waar: zelfs als de leverancier mij moet contacteren voor een terugroepactie, hoeft hij slechts mijn emailadres in combinatie met het bestelde artikel te bewaren. Mijn naam, leveradres, factuuradres, telefoonnummer, geboortdatum, besteldatum, andere bestellingen, accountnaam, password, IPadres, cookie-informatie, verkoopskanaal, etc heeft hij daar niet voor nodig.

              Vrijwel al deze gegevens zijn of worden door de leverancier sowieso al verwerkt, ongeacht of je een account hebt of niet. Het gaat dan bovendien grotendeels om gegevens die de winkel sowieso zal blijven verwerken vanwege de grondslag “verplicht door wetgeving”.

              Eventuele aanvullende gegevens die overbodig zijn voor het verwerken van de bestelling zoals geboortedatum of telefoonnummer horen sowieso al niet verwerkt te worden, ongeacht of er een account aanwezig is of niet.

              1. Expliciet voor de belangenafweging staat inderdaad niet in de wet. Maar je kunt geen serieuze belangenAFWEGING doen als je die niet expliciet doet. Een snelle uitspraak ‘Mijn belang is voor deze groep van klanten groter dan het belang van de klant’ is geen afweging. Een afweging kun je alleen doen als je eerst de effecten voor beide partijen inventariseert.

                Digitale marketing: “U hoeft geen toestemming te vragen als u uw bestaande klanten benadert met aanbiedingen voor uw eigen, soortgelijke producten.”

                Ik lees de info van de AP toch iets anders dan jij.

                Je hoeft geen toestemming te vragen om de klanten te benaderen in die bepaalde gevallen als je ’toestemming’ zou gebruiken als AVG grondslag. Maar jij had het over ‘legitiem belang’ als grondslag.

                Je kunt die vermeende toestemming ook alleen gebruiken als je de klant bij VERKRIJGING van de gegevens expliciet op de mogelijkheid tot verzet hebt gewezen en een simpele manier daarvoor gegeven hebt (en daar ontbreekt het nog wel eens aan).

                En je moet ook nog steeds eerlijk zijn met het element ‘soortgelijke producten’. De eerlijke afweging: is het wel soortgelijk moet nog steeds wel gemaakt worden.

                En de afweging ‘bestaande klant’ moet ook nog steeds gemaakt worden. Hoe lang blijf je ‘bestaande klant’, ipv ‘historische klant’. Een eenmalige bestelling van een banaal artikel maakt je niet jarenlang, zelfs niet maandenlang, tot ‘bestaande klant’

                En je moet niet alleen voor het BENADEREN van de klant voldoen aan de AVG, je moet ook een stap eerder: voor het BEWAREN van de gegevens voor andere doelen dan waarvoor je echt een grondslag hebt, een grondslag hebben.

                Als je mijn gegevens bewaart met als grondslag ‘wettelijk verplicht’, mag je niet drie maanden later die gegevens eruit filteren voor een DM campagne.

                Vrijwel al deze gegevens zijn of worden door de leverancier sowieso al verwerkt, ongeacht of je een account hebt of niet. Het gaat dan bovendien grotendeels om gegevens die de winkel sowieso zal blijven verwerken vanwege de grondslag “verplicht door wetgeving”.

                Welke dan? Moet de onlinewinkelier wettelijk gegevens over mij bijhouden die de stenen winkel niet hoeft bij te houden (eerlijke vraag!)?

                En verwerken op die grondslag is natuurlijk prima, maar dat geeft GEEN ENKEL aanvullend argument om te verwerken op een manier die verder gaat dan het stricte minimum voor die grondslag.

                Eventuele aanvullende gegevens die overbodig zijn voor het verwerken van de bestelling zoals geboortedatum of telefoonnummer horen sowieso al niet verwerkt te worden, ongeacht of er een account aanwezig is of niet.

                Ja, hoort niet. Maar met de verplichting om een account te maken kan en zal de webshop later argumenteren: maar die persoon heeft toestemming gegeven om te bewaren en verder te verwerken want die gegevens stonden in het account en dat is niet gecancelled terwijl hij dat wel had kunnen doen.

                1. We dwalen inmiddels een beetje af van het oorspronkelijke onderwerp over het creëren van een account, en er is nog heel wat discussie mogelijk 😉

                  Kort gezegd is het niet zo dat een webwinkel van de AVG verplicht is om na het afhandelen van een bestelling de gegevens te verwijderen. Ook staat de AVG het wel degelijk toe om gegevens (mits niet verzameld op de gronden ’toestemming’ of ‘wettelijke verplichting’) voor aanvullende doelen te verwerken, mits verenigbaar met het oorspronkelijke doel.

                  Ja, er moet nog steeds aan de AVG-eisten voldaan worden, en ja, die verwerkingen moeten op verzoek gestaakt worden (zoals een account verwijderen). Maar nee, er geldt geen compleet verbod.

                  Om nog even op een paar laatste losse punten te reageren:

                  Een afweging kun je alleen doen als je eerst de effecten voor beide partijen inventariseert.

                  Dat klopt inderdaad – maar dat hoeft dus niet per individuele klant of per email apart.

                  Je hoeft geen toestemming te vragen om de klanten te benaderen in die bepaalde gevallen als je ’toestemming’ zou gebruiken als AVG grondslag.
                  Die snap ik even niet – als je als grondslag ’toestemming’ wilt gebruiken, zou je geen toestemming hoeven te vragen?

                  Wat de AP hier zegt is dat je je voor een dergelijke actie niet op de grond ’toestemming’ hoeft te baseren, en ook volgens de Telecommunicatiewet geen toestemming hoeft te vragen.

                  En de afweging ‘bestaande klant’ moet ook nog steeds gemaakt worden. Hoe lang blijf je ‘bestaande klant’, ipv ‘historische klant’. Een eenmalige bestelling van een banaal artikel maakt je niet jarenlang, zelfs niet maandenlang, tot ‘bestaande klant’

                  Dat klopt. Dat zei ik hiervoor ook al: dat is een afweging die gemaakt moet worden en afhankelijk is van de aanschaf en redelijke termijnen voor onderhoud, garantie, en eventuele her-aankoop. Die zullen nogal verschillen voor een bedrukt T-shirt of een volledig uitgeruste keuken.

                  Welke dan? Moet de onlinewinkelier wettelijk gegevens over mij bijhouden die de stenen winkel niet hoeft bij te houden (eerlijke vraag!)?

                  Voor een online aankoop is de verwerking van persoonsgegevens nodig om de overeenkomst uit te voeren, voor een stenen winkel hoeft dat niet het geval te zijn.

                  Een online winkel zal zeven jaar de administratie moeten bijhouden, en dat omvat waarschijnlijk facturen waar jouw factuur- en/of leveradres op vermeld staat. Ook online toestemmingen die jij hebt verleend, of juist verzoeken om te staken met het verwerken van gegevens, zullen voor een redelijke termijn bewaard moeten worden.

                  Een stenen winkel waar jij twintig euro op de toonbank legt en vertrekt, hoeft die gegevens überhaupt niet te verwerken en heeft dus ook niets te bewaren.

                  1. Kort gezegd is het niet zo dat een webwinkel van de AVG verplicht is om na het afhandelen van een bestelling de gegevens te verwijderen. Ook staat de AVG het wel degelijk toe om gegevens (mits niet verzameld op de gronden ’toestemming’ of ‘wettelijke verplichting’) voor aanvullende doelen te verwerken, mits verenigbaar met het oorspronkelijke doel.

                    Als de gegevens niet bewaard worden op de gronden toestemming of wettelijke verplichting, op welke grond dan wel?

                    Het enige wat ik me kan voorstellen is: uitvoering overeenkomst.

                    Maar daarvoor is het natuurlijk zo dat als de overeenkomst eenmaal is uitgevoerd is (+ wat reserve voor terugsturen en zo) dat de grond niet langer van toepassing is en de gegevens dus automatisch vernietigd moeten worden.

                    En dus blijven dan (na uitvoering) sowieso alleen toestemming en wettelijke verplichting over.

                    Voor een online aankoop is de verwerking van persoonsgegevens nodig om de overeenkomst uit te voeren, voor een stenen winkel hoeft dat niet het geval te zijn.

                    OK, snap ik.

                    Een online winkel zal zeven jaar de administratie moeten bijhouden, en dat omvat waarschijnlijk facturen waar jouw factuur- en/of leveradres op vermeld staat.

                    Een stenen winkel moet dat ook zeven jaar bijhouden. Dat op die facturen mijn adres staat is een keuze die ze gemaakt hebben. Volgens mij (maar ik geef eerlijk toe dat ik het mis kan hebben) kunnen ze het qua verplichte administratie op dezelfde manier doen als de stenen winkel, en mijn verzendgegevens na een paar weken weggooien.

  2. Om misbruik te voorkomen kan het ook nodig zijn om account-/adresgegevens langer te bewaren. Bij de meeste uitgevers is het niet toegestaan om binnen een jaar na opzegging opnieuw een (proef)abonnement op een krant of tijdschrift te nemen. M.i. kan het dan niet zo zijn dat je bij een verzoek tot verwijdering direct tot verwijdering moet overgaan. Je hebt dan namelijk een gerechtvaardigd belang om de gegevens dat hierboven genoemde jaar te bewaren. Als de gegevens namelijk wel verwijderd worden, kan iemand direct na verwijdering weer opnieuw een (soms gratis) proefabonnement nemen. En ik weet uit de praktijk dat er mensen zijn die dit proberen.

    1. Ik zie zeker een noodzaak om de gegevens dan te bewaren, maar waarom moet het account dan blijven bestaan? Dit kun je ook administreren in je eigen systemen, zonder dat er een plek met login van buitenaf bij nodig is.

      Ik denk dat mensen die hun profiel verwijderd willen, daar meestal twee redenen voor hebben: 1. Het account kan gehackt worden, waarna de hacker dingen aanvraagt/bestelt op jouw naam (al is het maar om jou overlast te geven, for the lulz). 2. De gegevens uit het account worden gebruikt om spammail te sturen. Hoe vaak een webshop niet ineens bedenkt “laat ik een nieuwsbrief sturen” en dan alle oude klantgegevens gebruikt. En dan meld je je af en dan hebben ze een jaar later een nieuw nieuwsbriefsysteem met andere opt-out en dan zit je er weer op.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.