Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

| AE 13302 | Ondernemingsvrijheid, Privacy | 18 reacties

jackmac34 / Pixabay

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?
In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Als Microsoft je account blokkeert, moeten ze wel bewijs aandragen waarom

| AE 13246 | Ondernemingsvrijheid, Regulering | 6 reacties

Microsoft heeft het e-mail- en OneDrive-account van eisende partij geblokkeerd, las ik bij ITenRecht.nl. Een verhaal dat we vaker hebben gehoord: MS scant uploads tegen een lijst van bekende kinderpornografie, en blokkeert je account wanneer men een match tegenkomt. Ook als het toevallig of onbedoeld was. Een nieuwe uitspraak voegt daar nu een nuance aan toe: MS moet je wel vertellen om welke afbeelding het gaat.

Het vonnis (rechtbank Rotterdam vorige week) leest als een kopie van de vele gevallen waarover in eerdere zaken en de pers is gerapporteerd. De kern is dat MS een dienst genaamd PhotoDNA gebruikt, die foto’s analyseert om op een slimme manier te matchen met een bestand met bekende (door politiediensten als zodanig aangemerkte) kinderporno. Wanneer een upload wordt gematcht, dan gaat je account meteen op slot. En dat kan dus een definitief slot zijn, zo wisten we van die zaak uit 2020.

In deze nieuwe zaak had de houdster van het account haar oude Samsung-telefoon gesynchroniseerd met Onedrive, zo te lezen om de data snel te redden voordat de telefoon het begaf – wat die daarna ook deed. Ergens in die upload zat een bestand dat matchte, en daarop ging het account dus dicht. Maar welk bestand, hoezo dan, zo vroeg zij? Dat mocht MS niet zeggen:

Waarschijnlijk is PhotoDNA getriggerd toen [naam eiseres] haar foto’s die opgeslagen stonden in de Samsung Cloud synchroniseerde met OneDrive. De afbeelding heeft dezelfde hash als een afbeelding in de database, zodat Microsoft er zeker van is dat de afbeelding die is gedetecteerd in het account van [naam eiseres] dezelfde is als de eerder geïdentificeerde afbeelding. Volgens Microsoft is het op grond van de wetgeving van de Verenigde Staten van Amerika (hierna: VS) niet toegestaan om de afbeelding te verstrekken of in het geding te brengen. Het is Microsoft alleen toegestaan om het file path van de afbeelding aan [naam eiseres] te verstrekken, wat zij ook gedaan heeft.
Microsoft wilde niet meer doen dan enkel de bestandsnaam en de daarboven liggende mapstructuur (“file path”) geven, zodat mevrouw het zelf kon opzoeken in haar Samsung Cloud dan wel lokaal. Maar dat ging in dit geval niet:
[eiseres] heeft ter zitting echter toegelicht, wat door Microsoft niet althans onvoldoende is weersproken, dat zij de afbeelding met de door Microsoft verstrekte informatie niet heeft kunnen vinden op haar computer en dat haar oude Samsung S8 telefoon dusdanig kapot is dat die niet meer op te starten is. Gelet hierop is het voor [naam eiseres] naar eigen zeggen nog steeds onduidelijk om welke afbeelding het gaat.
Wie moet er nu gaan zoeken? Microsoft, aldus de rechter, want die stelt dat er iets aan de hand is met een foto. De regels over bewijslevering impliceren dan dat Microsoft moet laten zien welke foto en wat er mis mee is. En dat MS dat niet zou kunnen vanwege (mij ook onbekende) Amerikaanse wetgeving, is dan haar probleem. Omdat MS dit niet kan of wil, is er dus geen geldige grond voor het afsluiten van het account.

Opvallend nog: het is niet heel gebruikelijk dat grote bedrijven een dwangsom tegen zich krijgen als een consument gelijk krijgt. Grote professionele bedrijven houden zich, zo menen rechters, immers keurig aan vonnissen. Maar deze rechter is wat argwanender:

Gelet op de principiële en onbuigzame opstelling van Microsoft en het door haar op zichzelf terecht benadrukte belang van bestrijding van seksuele uitbuiting van minderjarigen ziet de rechtbank onvoldoende reden om hier in de specifieke context van deze zaak zonder meer van uit te gaan en heeft [naam eiseres] een redelijk belang bij het opleggen van een dwangsom als prikkel om dit vonnis na te leven.
De dwangsom wordt gezet op 5000 euro per dag met een maximum van een ton. Ik wil niet meteen Apples opstelling richting dwangsommen erbij slepen maar ik behoud zelf toch enige skepsis of het account nu vrijgegeven wordt. Zeker als ik dan ook lees dat MS op dat moment dan ook begint over dat “zij niet kan uitsluiten dat het account van [naam eiseres] meer schadelijke afbeeldingen bevat”. Daar had je toch PhotoDNA voor?

Arnoud

Microsoft moet van rechter toegang tot Hotmail overledene verschaffen aan erven

| AE 13065 | Informatiemaatschappij | 27 reacties

Pexels / Pixabay

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar de rechter zegt nu dat dat gewoon wel moet, en wel op straffe van een stevige dwangsom.

Uit het vonnis blijkt dat het gaat om de ouders en zussen van een man die in juli 2021 overleed. Zij wilden toegang tot zijn Hotmailaccount en zijn OneDrive-account. Kan dat? Een nog niet eerder bij de rechtbank behandelde vraag, maar eentje die deze eisers in keurig juridisch Nederlands inkleden als:

de stelling, daartoe onder verwijzing naar artikel 4:182 BW (saisine), samengevat, dat zij als erfgenamen rechtsopvolgers onder algemene titel van de accounts van hun zoon en broer en de inhoud ervan zijn en dus ook de nieuwe wederpartij van Microsoft met betrekking tot de desbetreffende overeenkomsten.
Saisine is een begrip uit het erfrecht: “de regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)

Microsoft reageert geheel zoals ik zou verwachten, namelijk naar Amerikaans recht met de dooddoener (sorry) dat men maar met een gerechtelijk bevel moet komen. In de VS laat je namelijk de rechter verzinnen wat logisch is, ongeacht de juridische kwestie. In Nederland doen we dat anders. Daar vinden we het logisch dat mensen zélf nazoeken hoe de wet zit en dat dan in alle redelijkheid gaan toepassen. In gewone taal: doe normaal, dat account is nu van deze mensen, reset het wachtwoord.

Oké, MS had ook wel juridische argumenten. Allereerst dat saisine niet zou gelden, waar de rechter niet in meegaat – alleen voor “hoogstpersoonlijke” overeenkomsten zoals huur of arbeid is het voortzetten door erfgenamen uitgesloten. En ten tweede zorgen over rechten van derden, namelijk de correspondenten van deze meneer wiens persoonsgegevens dus in de mailbox zitten. Ook dat gaat niet op: alle plichten uit de EULA gelden natuurlijk net zo goed voor de erfgenamen, inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.

(Dan was er nog een verhaal dat Microsoft succesvolle inlogpogingen had gedetecteerd en daaruit concludeerde dat er iets raars aan de hand was. Snap ik niet helemaal, maar de rechter schuift het meteen terzijde.)

De conclusie van de rechter is dan ook rechttoe rechtaan: Microsoft moet toegang verlenen en wel zo snel mogelijk. Niet moeilijk doen, deze mensen zijn juridisch gezien gewoon de eigenaren na het overlijden van de eigenlijke eigenaar. MS krijgt twintig dagen en verbeurt daarna dwangsommen van tienduizend euro per dag. Dat is een fors bedrag, wat voor mij dus de indicatie is dat de rechtbank het handelen van MS als onnodig moeilijk doen zag.)

In de comments zie ik diverse mensen opmerken dat hiermee je ouders dus bijvoorbeeld de liefdesbrieven naar je partner (of je minnaar m/v/x) zouden kunnen zien, of discussie met je therapeut of wat maar zeer privé is en je niet wil dat je erfgenamen zien. Die snap ik, maar is dat anders dan die doos op zolder met je pikante ondergoed en zweepjes of de VHS band met privéopnames? Juridisch gezien niet volgens mij.

Het vonnis is een mooie bevestiging dat het erfrecht gewoon werkt in de digitale omgeving. Wie niet wil dat bepaalde erfgenamen toegang krijgen tot accounts, kan dat regelen bij testament. Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan en dingen kan wissen of opheffen, als dat is wat je wil.

Arnoud

 

LinkedIn moet account van Tweede Kamerlid Van Haga terugplaatsen

| AE 12952 | Ondernemingsvrijheid, Uitingsvrijheid | 13 reacties

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse… Lees verder

Mag Facebook optreden tegen gemeenten met nepprofielen?

| AE 12787 | Regulering | 21 reacties

Een lezer vroeg me: In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is… Lees verder

Kan Twitter straffeloos Trump van haar dienst weren?

| AE 12438 | Ondernemingsvrijheid, Uitingsvrijheid | 44 reacties

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven.  Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of… Lees verder

“Als u uw account opheft, wordt alle informatie publiek zichtbaar’

| AE 12314 | Ondernemingsvrijheid | 5 reacties

Vreemde mededeling bij hippepresentatiemaakdienst Prezi: Wie komt er nou op het idee om te zeggen, als je je betaalde abonnement wilt opzeggen dan worden alle presentaties die je hebt gemaakt automatisch openbaar? Dat riekt naar, eh hoe zeg je dat netjes, een verwarrende UX beleving. Prezi is een aantal jaar geleden groot geworden als online… Lees verder

Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

| AE 12267 | Ondernemingsvrijheid | 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu –… Lees verder