giegeltoets Archives

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?

In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Arnoud Engelfriet: “Dat lijkt me geen gek idee, al maak ik uit de berichtgeving op dat men het eigenlijk al weet. Onderzoeken naar onderliggende motieven voelt als iets m...” in reactie op Is het per abuis wissen van videobeelden een datalek onder de AVG?
WilleM: “Je bent India vergeten. ” in reactie op AWS brengt nieuw bedrijfsonderdeel volledig in EU onder, helpt dat tegen de almachtige CLOUD Act?
Thijs: “Ik denk toch dat dit echt wezenlijk anders is dan wat in de APV verboden is, niet per alleen omdat het online is, maar ook omdat het "gedrag" niet dir...” in reactie op Burgemeester Utrecht mocht geen dwangsom opleggen voor digitale oproep tot ordeverstoring
Alain: “En vooral pijnlijk als ineens een heleboel klanten dat doen... ” in reactie op Mogen bedrijven van de AI Act en AVG een AI-chatbot in hun shop integreren?
Wim ten Brink: “Laat ik dit eens doorspelen naar Google Gemini. :D Analyse van juridische dreiging na delen van WhatsApp-gesprek met ChatGPT Een recente Reddit-pos...” in reactie op Mijn ex dreigt met gerechtelijke stappen omdat ik ons WhatsApp-gesprek deelde met ChatGPT

Tag: giegeltoets

Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen