Opheffen Archives - Ius Mentis

Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

Geplaatst op 4 mei 202229 april 2022 in Ondernemingsvrijheid, Privacy, 18 reacties

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?

In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Mag een website admin mijn username afpakken?

Geplaatst op 28 juni 202120 juni 2021 in Ondernemingsvrijheid, 12 reacties

Bij Tweakers las ik:

Al acht jaar zit ik op een grote commerciële website waar je ook kan reageren, hier ben ik actief en heb ik heel veel berichten gepost en mensen geholpen. Ook heel veel waarde toegevoegd. Nu willen de administrators mijn gebruikersnaam hebben en dreigen met dat als ik dit niet verander, zij dit binnenkort doen. Ik baal hier van, ik vermoed dat de site admin mijn naam wil hebben. Kan dit zomaar?

Praktisch natuurlijk wel: wie gaat er in hemelsnaam procederen over zoiets raars waar ook nog eens geen echt financieel belang bij te bedenken is? Dus het praktische antwoord is: ja, dat kan zomaar.

Maar laten we eens doen alsof je voor financiële bagatels wel naar de internetvrederechter zou kunnen stappen. Want dan wordt het interessant, het is namelijk net iets te makkelijk om te zeggen, hun forum hun regels of “als het in de voorwaarden staat dan mag het”.

De kern is natuurlijk mijn mantra dat online dingen dienstverlening zijn en geen producten. Je account is dus niets, zelfs niet een papieren bioscoopkaartje waarvan je nog kunt zeggen dat het zowel bewijs van toegang tot de dienst (voorstelling) is als een stukje papier dat je eigendom is geworden. Je account is een serie tekens dat wordt gebruikt om toegang aan te vragen en gegevens over jouw gebruik van de dienst bijeen te houden.

De enige zijdelings relevante wet is de AVG: een accountnaam is een persoonsgegeven, omdat deze gekoppeld is aan gegevens over de accounthouder. Of sterker nog: omdat dit een náám is van die betrokkene, en dus een direct identificerend gegeven is. (Het is een misverstand dat de AVG pas geldt als je gegevens kunt herleiden tot een paspoortnaam.) Alleen staat er in de AVG niets over het niet mogen wissen van persoonsgegevens omdat de betrokkene eraan gehecht is. Wissen moet als de gegevens verouderd zijn, wissen mag niet als je belangen nodeloos schaadt, maar geen van die situaties gaat hier op.

Blijven dan alleen de huisregels over? Nee. De wet bevat namelijk een algemene regeling over hoe een contract of overeenkomst. Art. 6:248 BW, lid 1:

Een overeenkomst heeft niet alleen de door partijen overeengekomen rechtsgevolgen, maar ook die welke, naar de aard van de overeenkomst, uit de wet, de gewoonte of de eisen van redelijkheid en billijkheid voortvloeien.

Dingen die je niet afgesproken hebt maar die wel normaal zijn in jouw branche (“gewoonte”) zijn dus gewoon ook afspraak bij jou, bijvoorbeeld. Idem voor wat gewoon redelijk is, dat geldt dan ook voor jou. Daar kun je in principe omheen met een expliciete afspraak, maar daar zit ook weer een grens aan, lid 2:

Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.

Met ‘onaanvaardbaar’ wil de wetgever aangeven dat het niet alleen maar “raar” of “ongebruikelijk” of zelfs “sterk nadelig voor één partij” is. Het moet echt onacceptabel zijn, echt niet kunnen.

Speciaal bij websitevoorwaarden waarbij gewone mensen (“consumenten”) de klant zijn, geldt nog een extra regel (art. 6:233 sub a BW):

Een beding in algemene voorwaarden is vernietigbaar … a.indien het, gelet op de aard en de overige inhoud van de overeenkomst, de wijze waarop de voorwaarden zijn tot stand gekomen, de wederzijds kenbare belangen van partijen en de overige omstandigheden van het geval, onredelijk bezwarend is voor de wederpartij

(Websitevoorwaarden zijn algemene voorwaarden in de ogen van de wet, of ze nou bij de KVK liggen of niet en ongeacht hoe je ze noemt.) Dit criterium is iets lichter dan het “onaanvaardbaar” uit 6:248 BW, het is goed mogelijk dat een algemene voorwaarde onredelijk bezwarend is terwijl die niet óók naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is. Ook geldt dat een AV meer abstract getoetst wordt, omdat bij art. 6:233 niet staat “in de gegeven omstandigheden”.

Het Europese Hof van Justitie heeft in 2013 een arrest gewezen (Aziz) waar een heel mooi criterium in staat of een beding “onredelijk bezwarend” is (in EU-termen “een oneerlijk beding”):

de nationale rechter [dient] na te gaan of de verkoper redelijkerwijs ervan kon uitgaan dat de consument een dergelijk beding zou aanvaarden indien daarover op eerlijke en billijke wijze afzonderlijk was onderhandeld.

Dan wordt de vraag in dit geval dus: als je als beginnend poster had gesproken over “wat als het beheer het account wil”, was je dan in alle eerlijkheid en goede trouw uitgekomen met “prima, mag je hebben, ook als ik acht jaar postgeschiedenis en goodwill heb opgebouwd”? Dat lijkt me niet heel sterk. Daarmee zou een dergelijke eis dus onredelijk bezwarend zijn, en als lid mag je dat dan naast je neerleggen.

Complicatie is natuurlijk dat een beheerder wel vrij snel in zijn recht staat als deze je account wist inclusief alle bijdragen. Zeker bij een bedrijfsovername is dat geen onlogische stap. Dus dan wordt je account niet overgenomen maar wel weggegooid, een tikje zuur.

Blijft natuurlijk de vraag, waaróm wil het beheer dat? Uit de draad wordt het mij niet duidelijk. De suggestie komt langs dat de naam erg lijkt op die van het forum: “Ik heb Smurf en zij hebben Smurf!, daar komt het op neer.” Ik kan me iets voorstellen bij een beheerder die denkt, waarom heeft deze meneer een naam die 83,3% gelijk is met onze merknaam. Maar als je dat acht jaar laat gaan, dan vind ik dat niet heel sterk meer (en als je het juridisch speelt dan is je merkenclaim ondertussen wel verjaard, art. 3:310 lid 1 BW).

Een andere mogelijkheid kan zijn dat het met de fusie te maken heeft: men wil forums samenvoegen en ontdekt dan meerdere gebruikers met dezelfde naam. Daar smurf, pardon moet je iets mee, maar dan is “Smurf_Oudforum” ook een prima optie lijkt me.

Mogelijk bedoelt het beheer iets anders: men wil niet zozeer de usernaam als wel alle posts die aan die naam hangen. Bij een verkoop is het hebben van alle rechten op alle berichten immers van groot belang. Maar dan had ik verwacht dat dit met een algemeen bericht was medegedeeld, en niet gericht op één specifieke poster. Dus voor mij blijft het een raadsel.

Arnoud

Zijn webwinkels verplicht een klantaccount te verwijderen?

Geplaatst op 19 september 201418 september 2014 in Ondernemingsvrijheid, 11 reacties

Een lezer vroeg me:

Zijn webshops verplicht mijn account (inclusief orderhistorie) te verwijderen indien ik daar als klant om vraag?

Een account bij een site of dienst is een verzameling persoonsgegevens. Ze bevatten immers gegevens die over de eigenaar gaan: contactinformatie, maar ook gegevens over bestellingen en mogelijk ook betaalinformatie.

De Wet bescherming persoonsgegevens bepaalt (art. 36) dat de beheerder (verantwoordelijke) van iemands persoonsgegevens deze moet wissen op verzoek van de betrokken iemand. Tenminste, als die gegevens

feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

Bij accountgegevens zou het primair gaan om “niet ter zake dienend”, oftewel achterhaald en niet meer relevant vandaag de dag. Wanneer daarvan sprake is, hangt af van het soort account en de reden dat het nog bestaat.

Bij een webshop lijkt het me relevant om oude orders te bewaren zolang ze nog niet geleverd zijn, en maximaal één à twee jaar daarna. Dat is immers hoe lang producten normaliter meegaan, en vanwege het claimen van (wettelijke of vrijwillige) garantie moet je na kunnen gaan wanneer iets gekocht is.

Voor facturen geldt hetzelfde. Daar komt bij dat je die zeven jaar moet bewaren van de Belastingdienst, inclusief de bijkomstige administratie om te bewijzen dat de factuur echt is en te koppelen is aan een specifieke verkoop of dienst.

Je kunt je natuurlijk afvragen waarom je dat in een account zou bewaren dat met wachtwoord vanaf internet toegankelijk is. En dat is een goede vraag, die best kan impliceren dat je dit eigenlijk maar naar een afgeschermde administratie moet verhuizen. Dat je de administratie moet bewaren, impliceert immers niet dat het klantaccount actief moet zijn.

Arnoud

Hyves stopt als sociaal netwerk, maar mogen ze dat wel?

Geplaatst op 5 november 201310 november 2013 in Informatiemaatschappij, 33 reacties

hyves-blijven-opheffen Hyves houdt op te bestaan als sociaal netwerk en gaat zich volledig richten op online gaming, las ik bij Nu.nl. Na het hoogtepunt in 2010 daalde de populariteit van het netwerk snel, en eigenaar TMG vond het kennelijk nu tijd de stekker eruit te trekken en ieders profielen op te heffen. Maar daarmee worden wel alle resterende gebruikers hun Hyvesmogelijkheden ontzegd. Kan dat zomaar?

Hyves biedt tot eind dit jaar de optie om je profieldata te kunnen downloaden. Op Dutch Cowboys las ik over een alternatief dat meteen een digitaal fotoboek erbij componeert. Dat is erg netjes van Hyves, want formeel hoeven ze zoiets niet mogelijk te maken. Einde dienst is einde data; juridisch gezien is data niets dus valt er ook niets op te eisen. Tweakers schreef nog een mooie eulogie trouwens.

Hier en daar hoor ik ook al geluiden over “Hyves mag niet stoppen” of “ik eis dat mijn profiel in de lucht blijft”. Dat kun je vergeten. Hyves is en blijft een privaat initiatief en je kunt van een bedrijf juridisch niet eisen dat ze hun dienstverlening door blijven zetten. Zeker niet als die gratis is.

In 2011 hadden we een vergelijkbare discussie bij de sluiting van het Volkskrantblog. Mensen hadden daar een blog met reputatie, inhoud en lezers opgebouwd en de Volkskrant trok daar zomaar de stekker uit. Ook dat mag, hoe frustrerend het ook is.

Ik zie eerlijk gezegd niet hoe dit anders geregeld zou kunnen worden. Van een bedrijf verlangen dat ze doorgaan met iets verliesgevends is niet redelijk. Ja, misschien als de dienst zó groot is dat mensen echt niet zonder kunnen en er bovendien geen alternatief is. Met die argumenten worden nog wel eens verlieslijdende bus- of treindiensten in de lucht gehouden (een trein in de lucht?), en ook KPN is hier en daar verplicht een verliesgevende vastetelefonieverbinding aan te leggen met een dergelijk argument.

Maar bij een internetdienst zie ik die analogie niet. Er is eigenlijk altijd wel een alternatief, een ander kanaal waar ongeveer hetzelfde kan. Het grootste probleem is het netwerkeffect dat je kwijt bent – mensen die je lazen op Hyves, gaan niet mee naar Facebook en die verliezen je dan uit het oog. Maar dat voelt wat magertjes. En bovendien, als een internetdienst zó essentieel is dat niemand zonder kan, waarom is die dienst dan verliesgevend?

Zouden jullie een internetdienst weten die écht niet uit de lucht mag gaan?

Arnoud

Het opnieuw uitgegeven e-mailadres

Geplaatst op 22 januari 20098 september 2012 in Informatiemaatschappij, 17 reacties

Een lezer vroeg zich af:

Ik was een hele tijd lid van @Home, maar ben onlangs overgestapt naar een andere provider. Een tijdje geleden kreeg ik echter mail vanaf mijn oude emailadres. Dit adres was weer opnieuw in gebruik en de mevrouw die nu gebruikt maakt van dit adres gaf aan email voor mij te ontvangen. Het bleek te gaan om enkele sites waar ik me in het verleden had aangemeld. Navraag bij @Home leerde mij dat ze mijn adres al na 2 weken weer opnieuw hadden uitgegeven. Kan dat zomaar?

Intrigerend. Nou weet ik dat er bedrijfjes zijn die zich specialiseren in het ‘inpikken’ van verlopen domeinnamen om daar hun eigen (advertentie-)site op te zetten, maar bij e-mailadressen kende ik dit nog niet.

Het is wel lastig, want er is erg weinig aan te doen vrees ik. E-mailadressen zijn van de provider, en als de klant zijn contract opzegt, heeft hij er geen aanspraak meer op. Er is (nog?) niets geregeld over verplichtingen rondom e-mailadressen bij verhuizingen van klanten.

In theorie zijn er wel mogelijkheden. De Telecommunicatiewet bevat regels over het verhuizen en overzetten van ‘nummers’, en e-mailadressen vallen onder die definitie. Dan biedt artikel 4.8 van de wet de mogelijkheid om een regeling in te stellen over het verhuizen van e-mailadressen, net zoals je nu al jaren je 06-nummer mee kunt nemen als je verhuist van telefonie-aanbieder. Maar zo’n regeling is er niet.

Je kunt je wel afvragen of twee weken niet erg kort is om het adres weer opnieuw uit te geven. Zo is de kans erg groot dat mensen er niet achter komen dat het adres niet meer werkt, zeker als de nieuwe eigenaar van de mailbox de mailtjes simpelweg weggooit zonder te melden dat het adres nu bij iemand anders hoort.

Voor mij was dit probleem al lang geleden reden om een eigen domeinnaam aan te vragen, maar ik realiseer me dat dit niet voor iedereen een oplossing is. Maar wat dan wel? Een verplichting om e-mailadressen bv. zes maanden inactief te laten? E-mailportabiliteit?

Arnoud