DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

| AE 13190 | Privacy | 5 reacties

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.
Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).
Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Natuurlijk mag je niet om extra legitimatie vragen bij een online account

| AE 11697 | Privacy | 21 reacties

Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als je je account weer wilde verwijderen dan moest je ook je echte naam, adres en andere informatie opgeven. En dat is een schending van de AVG, die gegevens zijn niet werkelijk nodig om het verwijderverzoek te honoreren. Een uitspraak die hopelijk een precedent gaat worden, want ik kan me werkelijk dood ergeren aan al die sites die een volledige doopceel eisen (of erger nog, een kopietje paspoort) voordat ze iets weghalen dat je met heel wat minder informatie aan had gemaakt.

Het eerste dat me opvalt in de uitspraak is dat je je account niet gewoon online kon verwijderen. Je moest een formulier downloaden en invullen, wat op zich natuurlijk al een idioot overdreven manier van werken is. Dan ga je al een beetje denken dat de website-eigenaar liever geen accounts verwijdert. Het is triviaal om een “delete this account” knop in te bouwen als je accountbeheer hebt, en als je je zorgen maakt over misbruik van die knop dan stuur je de accounthouder een mail met link om te bevestigen dat hij het echt wilde.

Bij dit formulier ging het ook nog eens mis omdat je allerlei informatie moest invullen, zoals je werkelijke naam en je adres. De vraag is dan natuurlijk onmiddellijk waarom die informatie nodig is. Wat ga je ermee doen, hoe heb je die informatie nodig om te valideren dat je werkelijk met de accounthouder te maken hebt? Ik kan geen reden bedenken; immers, de accounthouder is enkel bekend onder dat pseudoniem of via dat mailadres.

Ja maar je paspoort is toch je officiële naam, dat bewijst toch iets, zou je denken? Nee, niet in deze context. Want de eigenaar van dit account had de naam ‘Petra’ gebruikt en het mailadres van zijn vrouw, dus vertoning van zijn paspoort had helemaal niet bewezen dat hij eigenaar was van het account. Maar hij was het wel. En hoe weten we dat? Nou ja, omdat hij kon inloggen op het account natuurlijk. En dat is dan dus eigenlijk het enige dat je mag eisen van de AVG.

Een goede zaak, wat mij betreft. Ik weet dat er sites zijn die dergelijke formulieren gebruiken als barrière tegen uitschrijven (want meer gebruikers is jezelf groter kunnen voordoen) maar de meesten doen het volgens mij omdat ze denken dat het moet, correct identificeren door middel van formulieren en paspoorten. Daar mogen ze dus mee ophouden.

Arnoud

Mag je jezelf nuweggen op Wikipedia?

| AE 1455 | Privacy | 9 reacties

Je eigen OP nuweggen, mag dat? Of beter: wat betekent dat? Dit Wikipedia-jargon komt neer op de vraag “mag je de pagina waarop andere gebruikers met jou overleggen over je bijdragen aan de vrije encyclopedie zomaar weghalen”. En die discussie kwam aan de orde naar aanleiding van een zelfverwijdering van een Wikipediaan.

De vraag of je je eigen bijdragen aan een site of forum kunt verwijderen, is hier al vaker aan de orde geweest. Dat is iets dat je in je gebruiksvoorwaarden zou willen regelen, maar Wikipedia heeft die nu net niet. Wel een GFDL (die gelukkig binnenkort vervangen wordt door Creative Commons) maar daar staat weinig in dat bij deze vraag helpt.

In principe kun je als gebruiker eisen dat je persoonsgegevens worden verwijderd van een site, zelfs als je in eerste instantie toestemming hebt gegeven voor de publicatie (verwerking) daarvan. De site moet daaraan meewerken, tenzij er een eigen belang is dat zwaarder weegt dan het privacybelang van de gebruiker. Vandalismebestrijding kan zo’n belang zijn; Wikipedia kan vandalisme alleen maar tegengaan door bij te houden wie dat doen en bij herhaling op te treden. Als een vandaal zomaar kan eisen dat die informatie wordt verwijderd, lukt dat niet meer.

Het is me niet duidelijk wat er precies aan de hand is, maar de betreffende gebruiker lijkt het nodige negatieve commentaar te hebben gehad en dat niet op prijs te hebben gesteld. Discussie of reacties op iemands acties zijn een lastige categorie. Aan de ene kant kan daar een privacybelang bij spelen, maar aan de andere kant heeft de site er ook belang bij dat die blijven staan. De ontwikkeling en geschiedenis van Wikipedia-pagina’s is een belangrijk onderdeel van de site, en die wordt lastig te begrijpen als niet meer na te lezen is waarom iets is teruggedraaid of weggehaald. Daarom denk ik dat er maar weinig situaties denkbaar zijn waarop de gebruiker kan eisen dat berichten over hem (ook op zijn overlegpagina) weggehaald moeten worden.

Verder meen ik dat ze bij Wikipedia maar heel weinig informatie bewaren over geregistreerde gebruikers. Zo worden er geen IP-adressen bewaard. Je kunt je dus zelfs afvragen of dat wel persoonsgegevens zijn. Is zo’n gebruikersnaam wel te herleiden tot een specifiek persoon?

Arnoud

Bob Sijthoff blijft in Wikipedia, althans voorlopig

| AE 1367 | Ondernemingsvrijheid, Uitingsvrijheid | 6 reacties

Wat een leuk verjaardagskadootje! Bob Sijthoff mag in Wikipedia blijven staan, vonniste de rechtbank Utrecht gisteren. Eind november spande de zakenman een rechtszaak aan tegen de Nederlandse Wikimedia vereniging en stichting met als eis dat zijn vermeend onrechtmatige lemma uit de vrije encyclopedie verwijderd zou worden. Sijthoff legde de verantwoordelijkheid voor het onderhoud van Wikipedia… Lees verder

Bob Sijthoff wil niet in Wikipedia, begint rechtszaak

| AE 1348 | Ondernemingsvrijheid | 9 reacties

Bob Sijthoff wil niet in Wikipedia, meldde DAG gisteren. Zijn lemma vermeldt onder andere dat hij in het nieuws verscheen over mishandeling, afpersing en andere strafbare feiten die hij begaan zou hebben. Sijthoff neemt geen genoegen met het standaardverhaal “dan pas je dat toch aan” maar stapt naar de rechter, die op 10 december uitspraak… Lees verder