Moet je van de AVG een wachtwoordresetoptie bieden?

| AE 13540 | Security | 20 reacties

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?
De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

  • Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Een Instagram account kun je niet verbeurd verklaren

| AE 13361 | Regulering | 6 reacties

Hollanddesign / Pixabay

Is een Instagram-account een voorwerp dat vatbaar is voor verbeurdverklaring? Met die retorische vraag opent een persbericht van de Hoge Raad, en naar goed journalistiek gebruik is het antwoord evident: nee. In een strafzaak tegen verkopers van namaakmerkkleding werden onder meer twee Instagram-accounts in beslag genomen, omdat met die accounts mensen werden verlokt om de nepkleding te kopen. Dat kan, maar kun je ze ook daadwerkelijk afpakken oftewel verbeurd verklaren als de eigenaren veroordeeld worden? Als je Runescape-objecten kunt stelen in virtuele werelden, dan moet inbeslagname of verbeurdverklaring ook kunnen, zou je zeggen. Dat liep even anders.

De status in het recht van een account bij een dienstverlener is de laatste tijd wat vaker onderwerp van discussie. Daarbij maakt het nogal uit of je kijkt vanuit het strafrecht of het civiel recht. In dat laatste deel van het recht is een account in principe een stukje dienstverlening, waardoor je bijvoorbeeld toegang tot het account kunt eisen als nabestaande. Maar onderwerp van eigendom is het niet, het is geen ‘zaak’ zoals het wetboek dat definieert.

In het strafrecht kijken ze iets anders tegen die term aan. Naast dat ze het ‘goederen’ noemen (voor programmeurs: strafrecht is Pascal, civielrecht is C#) is het begrip wat breder in te vullen. Al in 1921 werd bijvoorbeeld elektriciteit een goed verklaard, iets dat je kunt stelen om precies te zijn. En in dat roemruchte Runescape arrest uit 2012 werd hetzelfde bepaald voor virtuele goederen. De kerngedachte daar was dat deze dingen geld vertegenwoordigen en uniek zijn, waardoor ze dezelfde bescherming verdienen tegen diefstal en dergelijke als fysieke goederen. Maar dat betekent dus niet automatisch dat ze zaken zijn in de zin van het civiel recht, oftewel dat je er eigendom op kunt claimen.

Als je dingen kunt stelen, kun je ze ook in beslag nemen (art. 94 Rv) als politie in het kader van een strafrechtelijk onderzoek. Dat is ook al vele malen gebeurd met bijvoorbeeld bitcoins, wat ook virtuele goederen zijn natuurlijk. Je kunt dan die goederen gebruiken in een onderzoek, en voorkomen dat de verdachte ze kwijtmaakt of weggeeft. Nog een stap verder is verbeurd verklaren: dat is een straf (art. 33 Strafrecht) die aan de dader van een overtreding of misdrijf kan worden opgelegd, naast eventuele boetes of gevangenisstraf. Kort gezegd, het afpakken van dingen die verkregen zijn door het strafbaar feit of waarmee ze zijn gepleegd (de lijst staat in artikel 33a).

In deze strafzaak werd opgetreden tegen twee houders van Instagram-accounts die daar nepmerkartikelen aanboden, iets dat natuurlijk strafbaar is. Daarom werden ook de accounts offline gehaald, in juridische taal in beslag genomen, en vervolgens dus de eis tot verbeurdverklaring. Maar daar wilde de strafrechter niet in mee:

Anders dan de officier van justitie, en met de raadsman van klager, is de rechtbank van oordeel dat een Instagram account geen voorwerp is in de zin van artikel 94 Sv. Voorts kan een Instagram account niet als een goed worden beschouwd en is tevens geen sprake van een vermogensrecht. De vergelijking die de officier van justitie in dit verband maakt met, zoals zij aangeeft, andere virtuele goederen zoals bitcoins, gaat naar het oordeel van de rechtbank niet op. Bitcoins vertegenwoordigen, net als bijvoorbeeld een bankrekening(nummer), immers een vermogensrecht waar wel beslaglegging als bedoeld in artikel 94 Sv op mogelijk is. Dat geldt naar het oordeel van de rechtbank uitdrukkelijk niet voor een Instagram account. Dat een dergelijk account waarde kan vertegenwoordigen, zoals betoogd is door de officier van justitie, maakt dit niet anders, nu voor een dergelijk account in dat verband geldt dat die waarde afhankelijk is van de gebruiker van dat account, bijvoorbeeld omdat iemand een bepaalde nationale of internationale bekendheid geniet.
De term ‘vermogensrecht’ moet je hier lezen als “iets dat op zichzelf waarde vertegenwoordigt en geschikt is om over te dragen”. Een bitcoin of andere cryptovaluta voldoet aan die omschrijving, een Runescape-zwaard ook, een WoW-account met dikke level 100 Elden Mage Mage waarschijnlijk ook wel. Daar wordt althans geld voor betaald in iets dat lijkt op een vrije markt. Maar bij Instagram accounts is dat niet echt aan de orde. Een dergelijk account is vooral jouw stukje bekendheid op internet, je Insta dat ben jij.

De Hoge Raad bevestigt dat oordeel:

Voor het aannemen van de mogelijkheid van verbeurdverklaring – die ertoe leidt dat de Staat rechthebbende wordt op het betreffende voorwerp – is dus vereist dat het object van inbeslagneming is aan te merken als een zaak of als een vermogensrecht. Zaken zijn volgens artikel 2 van Boek 3 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de – niet uitputtende – omschrijving van artikel 6 van Boek 3 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken de rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR 6 december 2019, ECLI:NL:HR:2019:1909).
Daarmee is het dus niet mogelijk zo’n account verbeurd te verklaren. Begrijpelijk, maar in zoverre een tikje onbevredigend dat de daders na het uitzitten van hun straf weer terug kunnen en met hun nog steeds bestaande populariteit (=achterban, volgers) weer verder kunnen. De enige optie daartegen zou zijn dat de politie Instagram tipt over het vonnis, waarna het bedrijf het account sluit wegens overtreding van de gebruiksvoorwaarden (“trademark infringement, counterfeit, or pirated goods”).

Arnoud

 

Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

| AE 13302 | Ondernemingsvrijheid, Privacy | 18 reacties

jackmac34 / Pixabay

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?
In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Als Microsoft je account blokkeert, moeten ze wel bewijs aandragen waarom

| AE 13246 | Ondernemingsvrijheid, Regulering | 6 reacties

Microsoft heeft het e-mail- en OneDrive-account van eisende partij geblokkeerd, las ik bij ITenRecht.nl. Een verhaal dat we vaker hebben gehoord: MS scant uploads tegen een lijst van bekende kinderpornografie, en blokkeert je account wanneer men een match tegenkomt. Ook als het toevallig of onbedoeld was. Een nieuwe uitspraak voegt daar nu een nuance aan toe: MS… Lees verder

Microsoft moet van rechter toegang tot Hotmail overledene verschaffen aan erven

| AE 13065 | Informatiemaatschappij | 27 reacties

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar… Lees verder

LinkedIn moet account van Tweede Kamerlid Van Haga terugplaatsen

| AE 12952 | Ondernemingsvrijheid, Uitingsvrijheid | 13 reacties

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse… Lees verder

Mag Facebook optreden tegen gemeenten met nepprofielen?

| AE 12787 | Regulering | 21 reacties

Een lezer vroeg me: In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is… Lees verder

Kan Twitter straffeloos Trump van haar dienst weren?

| AE 12438 | Ondernemingsvrijheid, Uitingsvrijheid | 44 reacties

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven.  Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of… Lees verder

“Als u uw account opheft, wordt alle informatie publiek zichtbaar’

| AE 12314 | Ondernemingsvrijheid | 5 reacties

Vreemde mededeling bij hippepresentatiemaakdienst Prezi: Wie komt er nou op het idee om te zeggen, als je je betaalde abonnement wilt opzeggen dan worden alle presentaties die je hebt gemaakt automatisch openbaar? Dat riekt naar, eh hoe zeg je dat netjes, een verwarrende UX beleving. Prezi is een aantal jaar geleden groot geworden als online… Lees verder