Natuurlijk mag je niet om extra legitimatie vragen bij een online account

| AE 11697 | Privacy | 21 reacties

Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als je je account weer wilde verwijderen dan moest je ook je echte naam, adres en andere informatie opgeven. En dat is een schending van de AVG, die gegevens zijn niet werkelijk nodig om het verwijderverzoek te honoreren. Een uitspraak die hopelijk een precedent gaat worden, want ik kan me werkelijk dood ergeren aan al die sites die een volledige doopceel eisen (of erger nog, een kopietje paspoort) voordat ze iets weghalen dat je met heel wat minder informatie aan had gemaakt.

Het eerste dat me opvalt in de uitspraak is dat je je account niet gewoon online kon verwijderen. Je moest een formulier downloaden en invullen, wat op zich natuurlijk al een idioot overdreven manier van werken is. Dan ga je al een beetje denken dat de website-eigenaar liever geen accounts verwijdert. Het is triviaal om een “delete this account” knop in te bouwen als je accountbeheer hebt, en als je je zorgen maakt over misbruik van die knop dan stuur je de accounthouder een mail met link om te bevestigen dat hij het echt wilde.

Bij dit formulier ging het ook nog eens mis omdat je allerlei informatie moest invullen, zoals je werkelijke naam en je adres. De vraag is dan natuurlijk onmiddellijk waarom die informatie nodig is. Wat ga je ermee doen, hoe heb je die informatie nodig om te valideren dat je werkelijk met de accounthouder te maken hebt? Ik kan geen reden bedenken; immers, de accounthouder is enkel bekend onder dat pseudoniem of via dat mailadres.

Ja maar je paspoort is toch je officiële naam, dat bewijst toch iets, zou je denken? Nee, niet in deze context. Want de eigenaar van dit account had de naam ‘Petra’ gebruikt en het mailadres van zijn vrouw, dus vertoning van zijn paspoort had helemaal niet bewezen dat hij eigenaar was van het account. Maar hij was het wel. En hoe weten we dat? Nou ja, omdat hij kon inloggen op het account natuurlijk. En dat is dan dus eigenlijk het enige dat je mag eisen van de AVG.

Een goede zaak, wat mij betreft. Ik weet dat er sites zijn die dergelijke formulieren gebruiken als barrière tegen uitschrijven (want meer gebruikers is jezelf groter kunnen voordoen) maar de meesten doen het volgens mij omdat ze denken dat het moet, correct identificeren door middel van formulieren en paspoorten. Daar mogen ze dus mee ophouden.

Arnoud

Mag je jezelf nuweggen op Wikipedia?

| AE 1455 | Privacy | 9 reacties

Je eigen OP nuweggen, mag dat? Of beter: wat betekent dat? Dit Wikipedia-jargon komt neer op de vraag “mag je de pagina waarop andere gebruikers met jou overleggen over je bijdragen aan de vrije encyclopedie zomaar weghalen”. En die discussie kwam aan de orde naar aanleiding van een zelfverwijdering van een Wikipediaan.

De vraag of je je eigen bijdragen aan een site of forum kunt verwijderen, is hier al vaker aan de orde geweest. Dat is iets dat je in je gebruiksvoorwaarden zou willen regelen, maar Wikipedia heeft die nu net niet. Wel een GFDL (die gelukkig binnenkort vervangen wordt door Creative Commons) maar daar staat weinig in dat bij deze vraag helpt.

In principe kun je als gebruiker eisen dat je persoonsgegevens worden verwijderd van een site, zelfs als je in eerste instantie toestemming hebt gegeven voor de publicatie (verwerking) daarvan. De site moet daaraan meewerken, tenzij er een eigen belang is dat zwaarder weegt dan het privacybelang van de gebruiker. Vandalismebestrijding kan zo’n belang zijn; Wikipedia kan vandalisme alleen maar tegengaan door bij te houden wie dat doen en bij herhaling op te treden. Als een vandaal zomaar kan eisen dat die informatie wordt verwijderd, lukt dat niet meer.

Het is me niet duidelijk wat er precies aan de hand is, maar de betreffende gebruiker lijkt het nodige negatieve commentaar te hebben gehad en dat niet op prijs te hebben gesteld. Discussie of reacties op iemands acties zijn een lastige categorie. Aan de ene kant kan daar een privacybelang bij spelen, maar aan de andere kant heeft de site er ook belang bij dat die blijven staan. De ontwikkeling en geschiedenis van Wikipedia-pagina’s is een belangrijk onderdeel van de site, en die wordt lastig te begrijpen als niet meer na te lezen is waarom iets is teruggedraaid of weggehaald. Daarom denk ik dat er maar weinig situaties denkbaar zijn waarop de gebruiker kan eisen dat berichten over hem (ook op zijn overlegpagina) weggehaald moeten worden.

Verder meen ik dat ze bij Wikipedia maar heel weinig informatie bewaren over geregistreerde gebruikers. Zo worden er geen IP-adressen bewaard. Je kunt je dus zelfs afvragen of dat wel persoonsgegevens zijn. Is zo’n gebruikersnaam wel te herleiden tot een specifiek persoon?

Arnoud

Bob Sijthoff blijft in Wikipedia, althans voorlopig

| AE 1367 | Ondernemingsvrijheid, Uitingsvrijheid | 6 reacties

wikipedia-bob-sijthoff.pngWat een leuk verjaardagskadootje! Bob Sijthoff mag in Wikipedia blijven staan, vonniste de rechtbank Utrecht gisteren. Eind november spande de zakenman een rechtszaak aan tegen de Nederlandse Wikimedia vereniging en stichting met als eis dat zijn vermeend onrechtmatige lemma uit de vrije encyclopedie verwijderd zou worden.

Sijthoff legde de verantwoordelijkheid voor het onderhoud van Wikipedia bij Wikimedia Nederland, omdat “zij immers een platform biedt” en de moderatoren zou benoemen. De auteur, ene Jacob H., zou bekend zijn bij Wikimedia omdat kort na zijn klacht bij de vereniging Jacob het lemma aanpaste. Maar de vereniging en stichting wijzen er terecht op dat alle juridische verantwoordelijkheid bij de Wikimedia Foundation in de VS liggen. Sijthoff krijgt dan ook nul op het rekest:

Uit vorenomschrevene volgt dat niet voldoende aannemelijk is geworden dat Wikimedia Nederland c.s. zelfstandig tot verwijdering van het artikel in staat is danwel invloed kan uitoefenen op verwijdering van het artikel door Wikimedia Foundation of een ander verantwoordelijke zodat dit gedeelte van de vordering zal worden afgewezen.

Ook de eis tot afgifte van de persoonsgegevens van Jacob H. wordt afgewezen, omdat Wikimedia Nederland die simpelweg niet heeft. Sijthoff wordt vervolgens in de proceskosten veroordeeld. Wat me brengt op het punt dat de advocaten van Wikimedia, Struik en Briët van CMS Derks Star Busmann deze zaak pro bono hebben gedaan, wat wel een complimentje waard is.

Wel jammer is dat de rechter nu niet aan de inhoudelijke vraag toekomt of het lemma nu wel of niet door de beugel kon. Ik ben benieuwd of Sijthoff nog door gaat pakken richting de club die hij eigenlijk vanaf dag 1 had moeten hebben, maar ik vermoed van niet. Zijn actie tegen de Nederlandse clubs heeft al genoeg stof doen opwaaien binnen de Nederlandstalige pers en blogosfeer. Een actie tegen de Amerikaanse stichting voegt daar alleen maar een hoop Engelstalige publicaties aan toe, en het is de vraag of Sijthoff daarop zit te wachten.

Arnoud

Bob Sijthoff wil niet in Wikipedia, begint rechtszaak

| AE 1348 | Ondernemingsvrijheid | 9 reacties

Bob Sijthoff wil niet in Wikipedia, meldde DAG gisteren. Zijn lemma vermeldt onder andere dat hij in het nieuws verscheen over mishandeling, afpersing en andere strafbare feiten die hij begaan zou hebben. Sijthoff neemt geen genoegen met het standaardverhaal “dan pas je dat toch aan” maar stapt naar de rechter, die op 10 december uitspraak… Lees verder