Zijn webwinkels verplicht een klantaccount te verwijderen?

| AE 6983 | Ondernemingsvrijheid | 11 reacties

Een lezer vroeg me:

Zijn webshops verplicht mijn account (inclusief orderhistorie) te verwijderen indien ik daar als klant om vraag?

Een account bij een site of dienst is een verzameling persoonsgegevens. Ze bevatten immers gegevens die over de eigenaar gaan: contactinformatie, maar ook gegevens over bestellingen en mogelijk ook betaalinformatie.

De Wet bescherming persoonsgegevens bepaalt (art. 36) dat de beheerder (verantwoordelijke) van iemands persoonsgegevens deze moet wissen op verzoek van de betrokken iemand. Tenminste, als die gegevens

feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

Bij accountgegevens zou het primair gaan om “niet ter zake dienend”, oftewel achterhaald en niet meer relevant vandaag de dag. Wanneer daarvan sprake is, hangt af van het soort account en de reden dat het nog bestaat.

Bij een webshop lijkt het me relevant om oude orders te bewaren zolang ze nog niet geleverd zijn, en maximaal één à twee jaar daarna. Dat is immers hoe lang producten normaliter meegaan, en vanwege het claimen van (wettelijke of vrijwillige) garantie moet je na kunnen gaan wanneer iets gekocht is.

Voor facturen geldt hetzelfde. Daar komt bij dat je die zeven jaar moet bewaren van de Belastingdienst, inclusief de bijkomstige administratie om te bewijzen dat de factuur echt is en te koppelen is aan een specifieke verkoop of dienst.

Je kunt je natuurlijk afvragen waarom je dat in een account zou bewaren dat met wachtwoord vanaf internet toegankelijk is. En dat is een goede vraag, die best kan impliceren dat je dit eigenlijk maar naar een afgeschermde administratie moet verhuizen. Dat je de administratie moet bewaren, impliceert immers niet dat het klantaccount actief moet zijn.

Arnoud

“Verwijderen van uw account kan alleen per brief”

| AE 6550 | Privacy | 19 reacties

account-suspended.pngEen lezer vroeg me:

Ik heb een account bij een webwinkel, omdat dat moest toen ik wat wilde bestellen. Nu houd ik niet van rondslingerende oude accounts, dus heb ik gevraagd of ze deze weg willen halen. Als reactie kreeg ik dat ik dan een brief moet sturen met kopie paspoort naar een of andere postbus in Zevenaar. Dat zou conform het privacystatement en de Wet bescherming persoonsgegevens zijn. Klopt dat, mogen ze dat zo eisen?

Een account bij een website valt in principe onder de Wet bescherming persoonsgegevens (de privacywet). Het account is immers een bundel met gegevens die aan éen persoon – de accounthouder – te koppelen zijn. Volgens die wet heb je als betrokkene/eigenaar het recht van inzage, correctie en verwijdering. Je mag bij de dienstverlener opvragen wat ze van je weten, corrigeren wat daarin niet klopt en laten verwijderen wat achterhaald is.

Een eis bij zo’n inzageverzoek is dat de dienstverlener moet nagaan of de vrager echt de eigenaar is van het account. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen. Daarom, maar ook omdat een inzageverzoek gedoe is waar veel bedrijven eigenlijk geen zin in hebben, is het gebruikelijk om te eisen dat men een brief stuurt.

Echter, er is bij zulke accounts een nóg simpeler manier: wie kan inloggen op het account, is daar de eigenaar van. Het toevoegen van een “Opheffen account”-knop is dan ook genoeg om aan de wet te voldoen. Wilt u uw account opheffen, druk op de knop. Is het wachtwoord vergeten en het e-mailadres onbereikbaar voor resetmails, dan kan er alsnog gewerkt worden met de noodgreep van brief met identiteitsbewijs.

Persoonlijk zou ik echter zeggen, wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd. Bij het maken van het account vroeg je niet om identificatie, dus waarom zou dat nu bij opheffen ineens wél moeten? In mijn cynische buien denk ik dan wel eens, het opheffen van accounts wil men eigenlijk niet want veel accounts hebben staat goed in je persberichten. Maar dat terzijde.

Specifiek bij forums speelt hierbij een aanverwant probleem: verwijderen van een account kan ook leiden tot verwijderen van de geplaatste berichten. Of dat laatste ook moet, is een lastige.

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Rechter verbiedt smaadpleger socialemediaprofielen te hebben

| AE 5028 | Ondernemingsvrijheid, Uitingsvrijheid | 38 reacties

Een man uit Noord Holland heeft vorige maand van de kortgedingrechter een socialemediaverbod van één jaar gekregen, meldde NRC gisteren. De man had een uitgebreide smaadcampagne op zijn Hyves- en Facebookprofielen begaan, en na een eerdere veroordeling weigerde hij te stoppen. Hij mag een jaar geen profielen aanmaken, op straffe van een dwangsom en lijfsdwang… Lees verder

Bob Sijthoff wil niet in Wikipedia, begint rechtszaak

| AE 1348 | Ondernemingsvrijheid | 9 reacties

Bob Sijthoff wil niet in Wikipedia, meldde DAG gisteren. Zijn lemma vermeldt onder andere dat hij in het nieuws verscheen over mishandeling, afpersing en andere strafbare feiten die hij begaan zou hebben. Sijthoff neemt geen genoegen met het standaardverhaal “dan pas je dat toch aan” maar stapt naar de rechter, die op 10 december uitspraak… Lees verder

Blogruzies en weghalen van blogberichten

Een collegablogger vroeg me: Onlangs is er bij een weblog waar ik ook voor schrijf een van de medebloggers weggegaan. Hij heeft echter bij zijn vertrek zonder overleg al zijn (meer dan 100) posts verwijderd van de weblog. Ik heb ze teruggezet omdat ik het zonde vond, en nu mailt hij dat ik zijn auteursrecht… Lees verder