Mag een webshop mij informatie weigeren over mijn vrouws bestelling?

| AE 9723 | Webwinkels | 28 reacties

Een lezer vroeg me:

Mijn vrouw had recent wat geretourneerd bij een webshop, en na twee weken wilde ik eens bellen over de voortgang. Maar dat mocht niet “vanwege de Wet op de privacy”. Mijn vrouw moest toen aan de telefoon mij machtigen en toen kreeg ik wel alle informatie. Doet mij een tikje gek aan, zeker omdat ik iedere vrouwenstem dit had kunnen laten doen. Maar klopt het dat de privacywetgeving verbiedt dat je als echtgenoot mag informeren over elkaars bestellingen?

Op zich is het vanuit de Wet bescherming persoonsgegevens natuurlijk verboden om bestelgegevens van iemand te verstrekken aan een ander. Als ik bel over jouw bestelling, dan mag ik hopen dat ze me dat niet geven.

Binnen een huwelijk ligt dat anders, daar hebben de partners in principe recht op toegang tot elkaars persoonsgegevens. In ieder geval bij bestellingen, omdat ze beiden juridisch aansprakelijk zijn voor de bestelling. Er is dan een recht onder de goede uitvoering overeenkomst (artikel 8 sub b Wbp). Denk ik, ik kan er geen jurisprudentie over vinden.

Wie heel formeel insteekt, zal concluderen dat er een machtiging nodig is van de vrouw naar de man. Dat mag telefonisch, dus op zich doet de winkel het juridisch goed. Alleen pakken ze het wel heel slordig aan met de authenticatie. Beter was geweest als ze hadden gezegd, dit kan alleen per mail, of als ze je dingen ter verificatie hadden gevraagd (naam, adres, bestelnummer, zoiets).

Tegelijk snap ik ook wel dat dat best vervelend is. Zeker omdat je als consument wettelijk het récht hebt om te bellen over je bestelling, dus ze moeten in staat zijn een telefonisch verzoek te authenticeren.

Hebben jullie suggesties hoe je dat het beste kunt doen als winkel?

Arnoud

Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

| AE 9357 | Beveiliging | 9 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Waarom mag een incasso via internet eigenlijk niet?

| AE 1897 | Internetrecht | 21 reacties

automatische-incasso-formulier-betalen.jpgEen lezer vroeg me:

Steeds meer bedrijven bieden je de mogelijkheid om via internet met een automatische incasso te betalen. Je moet dan je naam en bankrekeningnummer invullen en een vinkje aankruisen, maar een handtekening is niet nodig. Is dat wel rechtsgeldig?

Nee, dat is formeel niet genoeg. Een machtiging tot automatische incasso moet schriftelijk worden afgegeven. Als er langs andere kanalen (bv. telefoon of internet) wordt afgesproken dat er met incasso wordt betaald, dan moet er nog steeds een schriftelijke bevestiging daarvan worden verzonden.

Maar wat is nu de wettelijke grondslag daarvoor? Ik dacht eerst dat dit te maken had met het feit dat aktes (een stuk met handtekening dat bestemd is om tot bewijs te dienen) schriftelijk moeten zijn (art. 156 Rechtsvordering) maar dat blijkt geen rol te spelen. Automatische incasso is namelijk geen wettelijke betalingsvorm maar een product van de banken, in de markt gezet door Currence.

Wil je als bedrijf werken met automatische incasso, dan moet je akkoord gaan met de helaas niet online beschikbare Rules & Regulations Incasso van Currence. En die bepalen expliciet doch enigszins kortaf “Machtigingswijze: Schriftelijk en telefonisch” bij de producten “Doorlopende machtiging Algemeen” en “Eenmalige machtiging”. Kortom, geen wettelijk eis maar een regel van het bedrijf achter deze betalingsmogelijkheid.

Waarom Currence deze regel heeft ingevoerd, kan ik niet ontdekken. Ik vermoed omdat het fraudebestendiger zou zijn maar daarover is in de toelichting (pdf) of andere stukken niets te vinden.

Arnoud