DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.
Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).
Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Natuurlijk mag je niet om extra legitimatie vragen bij een online account

Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als je je account weer wilde verwijderen dan moest je ook je echte naam, adres en andere informatie opgeven. En dat is een schending van de AVG, die gegevens zijn niet werkelijk nodig om het verwijderverzoek te honoreren. Een uitspraak die hopelijk een precedent gaat worden, want ik kan me werkelijk dood ergeren aan al die sites die een volledige doopceel eisen (of erger nog, een kopietje paspoort) voordat ze iets weghalen dat je met heel wat minder informatie aan had gemaakt.

Het eerste dat me opvalt in de uitspraak is dat je je account niet gewoon online kon verwijderen. Je moest een formulier downloaden en invullen, wat op zich natuurlijk al een idioot overdreven manier van werken is. Dan ga je al een beetje denken dat de website-eigenaar liever geen accounts verwijdert. Het is triviaal om een “delete this account” knop in te bouwen als je accountbeheer hebt, en als je je zorgen maakt over misbruik van die knop dan stuur je de accounthouder een mail met link om te bevestigen dat hij het echt wilde.

Bij dit formulier ging het ook nog eens mis omdat je allerlei informatie moest invullen, zoals je werkelijke naam en je adres. De vraag is dan natuurlijk onmiddellijk waarom die informatie nodig is. Wat ga je ermee doen, hoe heb je die informatie nodig om te valideren dat je werkelijk met de accounthouder te maken hebt? Ik kan geen reden bedenken; immers, de accounthouder is enkel bekend onder dat pseudoniem of via dat mailadres.

Ja maar je paspoort is toch je officiële naam, dat bewijst toch iets, zou je denken? Nee, niet in deze context. Want de eigenaar van dit account had de naam ‘Petra’ gebruikt en het mailadres van zijn vrouw, dus vertoning van zijn paspoort had helemaal niet bewezen dat hij eigenaar was van het account. Maar hij was het wel. En hoe weten we dat? Nou ja, omdat hij kon inloggen op het account natuurlijk. En dat is dan dus eigenlijk het enige dat je mag eisen van de AVG.

Een goede zaak, wat mij betreft. Ik weet dat er sites zijn die dergelijke formulieren gebruiken als barrière tegen uitschrijven (want meer gebruikers is jezelf groter kunnen voordoen) maar de meesten doen het volgens mij omdat ze denken dat het moet, correct identificeren door middel van formulieren en paspoorten. Daar mogen ze dus mee ophouden.

Arnoud

Mag je jezelf nuweggen op Wikipedia?

Je eigen OP nuweggen, mag dat? Of beter: wat betekent dat? Dit Wikipedia-jargon komt neer op de vraag “mag je de pagina waarop andere gebruikers met jou overleggen over je bijdragen aan de vrije encyclopedie zomaar weghalen”. En die discussie kwam aan de orde naar aanleiding van een zelfverwijdering van een Wikipediaan.

De vraag of je je eigen bijdragen aan een site of forum kunt verwijderen, is hier al vaker aan de orde geweest. Dat is iets dat je in je gebruiksvoorwaarden zou willen regelen, maar Wikipedia heeft die nu net niet. Wel een GFDL (die gelukkig binnenkort vervangen wordt door Creative Commons) maar daar staat weinig in dat bij deze vraag helpt.

In principe kun je als gebruiker eisen dat je persoonsgegevens worden verwijderd van een site, zelfs als je in eerste instantie toestemming hebt gegeven voor de publicatie (verwerking) daarvan. De site moet daaraan meewerken, tenzij er een eigen belang is dat zwaarder weegt dan het privacybelang van de gebruiker. Vandalismebestrijding kan zo’n belang zijn; Wikipedia kan vandalisme alleen maar tegengaan door bij te houden wie dat doen en bij herhaling op te treden. Als een vandaal zomaar kan eisen dat die informatie wordt verwijderd, lukt dat niet meer.

Het is me niet duidelijk wat er precies aan de hand is, maar de betreffende gebruiker lijkt het nodige negatieve commentaar te hebben gehad en dat niet op prijs te hebben gesteld. Discussie of reacties op iemands acties zijn een lastige categorie. Aan de ene kant kan daar een privacybelang bij spelen, maar aan de andere kant heeft de site er ook belang bij dat die blijven staan. De ontwikkeling en geschiedenis van Wikipedia-pagina’s is een belangrijk onderdeel van de site, en die wordt lastig te begrijpen als niet meer na te lezen is waarom iets is teruggedraaid of weggehaald. Daarom denk ik dat er maar weinig situaties denkbaar zijn waarop de gebruiker kan eisen dat berichten over hem (ook op zijn overlegpagina) weggehaald moeten worden.

Verder meen ik dat ze bij Wikipedia maar heel weinig informatie bewaren over geregistreerde gebruikers. Zo worden er geen IP-adressen bewaard. Je kunt je dus zelfs afvragen of dat wel persoonsgegevens zijn. Is zo’n gebruikersnaam wel te herleiden tot een specifiek persoon?

Arnoud

Bob Sijthoff blijft in Wikipedia, althans voorlopig

wikipedia-bob-sijthoff.pngWat een leuk verjaardagskadootje! Bob Sijthoff mag in Wikipedia blijven staan, vonniste de rechtbank Utrecht gisteren. Eind november spande de zakenman een rechtszaak aan tegen de Nederlandse Wikimedia vereniging en stichting met als eis dat zijn vermeend onrechtmatige lemma uit de vrije encyclopedie verwijderd zou worden.

Sijthoff legde de verantwoordelijkheid voor het onderhoud van Wikipedia bij Wikimedia Nederland, omdat “zij immers een platform biedt” en de moderatoren zou benoemen. De auteur, ene Jacob H., zou bekend zijn bij Wikimedia omdat kort na zijn klacht bij de vereniging Jacob het lemma aanpaste. Maar de vereniging en stichting wijzen er terecht op dat alle juridische verantwoordelijkheid bij de Wikimedia Foundation in de VS liggen. Sijthoff krijgt dan ook nul op het rekest:

Uit vorenomschrevene volgt dat niet voldoende aannemelijk is geworden dat Wikimedia Nederland c.s. zelfstandig tot verwijdering van het artikel in staat is danwel invloed kan uitoefenen op verwijdering van het artikel door Wikimedia Foundation of een ander verantwoordelijke zodat dit gedeelte van de vordering zal worden afgewezen.

Ook de eis tot afgifte van de persoonsgegevens van Jacob H. wordt afgewezen, omdat Wikimedia Nederland die simpelweg niet heeft. Sijthoff wordt vervolgens in de proceskosten veroordeeld. Wat me brengt op het punt dat de advocaten van Wikimedia, Struik en Briët van CMS Derks Star Busmann deze zaak pro bono hebben gedaan, wat wel een complimentje waard is.

Wel jammer is dat de rechter nu niet aan de inhoudelijke vraag toekomt of het lemma nu wel of niet door de beugel kon. Ik ben benieuwd of Sijthoff nog door gaat pakken richting de club die hij eigenlijk vanaf dag 1 had moeten hebben, maar ik vermoed van niet. Zijn actie tegen de Nederlandse clubs heeft al genoeg stof doen opwaaien binnen de Nederlandstalige pers en blogosfeer. Een actie tegen de Amerikaanse stichting voegt daar alleen maar een hoop Engelstalige publicaties aan toe, en het is de vraag of Sijthoff daarop zit te wachten.

Arnoud

Bob Sijthoff wil niet in Wikipedia, begint rechtszaak

wikipedia-bob-sijthoff.pngBob Sijthoff wil niet in Wikipedia, meldde DAG gisteren. Zijn lemma vermeldt onder andere dat hij in het nieuws verscheen over mishandeling, afpersing en andere strafbare feiten die hij begaan zou hebben. Sijthoff neemt geen genoegen met het standaardverhaal “dan pas je dat toch aan” maar stapt naar de rechter, die op 10 december uitspraak zal doen. Kan ik er op mijn verjaardag mooi over bloggen, dus dat is wel weer aardig van hem.

Volgens de discussie in de Wikpedia-Kroeg zijn de Nederlandse poten van de vrije encyclopedie, namelijk Vereniging Wikimedia Nederland en Stichting Wikimedia Nederland, aangeklaagd. Dat is juridisch interessant, omdat de hosting van Wikipedia vanuit de VS gebeurt en onder controle van de Amerikaanse Wikimedia Foundation staat. De Nederlandse vereniging en stichting hebben formeel niets te zeggen over wat er op Wikipedia gebeurt. In de praktijk natuurlijk wel, want iedereen kan de encyclopedie wijzigen. Maar de bedoeling is natuurlijk om de pagina te wijzigen en gewijzigd te houden zodat de vermeend smadelijke teksten niet meer online staan.

Gaat dit Sijthoff lukken? Het zou een novum zijn, want er is nog niet eerder een gerechtelijke uitspraak geweest over dit geval. We hadden natuurlijk Patricia Remak die eerder met dezelfde eis kwam, maar zij zette niet door. En in september werd bekend dat de site Kleintje Muurkrant een artikel moest verwijderen, waarbij de rechter behoorlijk ver ging in de beoordeling of sprake was van journalistiek.

Nu is een encyclopedie niet hetzelfde als een krant, dus je kunt je afvragen of de rechter dezelfde criteria zou moeten aanleggen. Een nieuwsfeit moet je in de context van de periode zien. Een bericht kan journalistiek gerechtvaardigd zijn afgaande op de feiten van de dag van publicatie. Maar een lemma in een encyclopedie moet op elk moment correct zijn. Een nieuwsfeit kan achterhaald zijn of zelfs onjuist blijken, en dan hoort het niet in een encyclopedie thuis. Het nieuwsfeit moet, in Wikipedia-termen, relevantie voor een encyclopedie hebben. Maar hoe beslis je dat? Zijn daar criteria over? Zelfs Wikipedia zelf is het daar lang niet altijd over eens.

Als het goed is, komt de rechter trouwens niet toe aan deze discussie omdat de Vereniging noch de Stichting bevoegd is om de gevraagde wijzigingen/blokkades door te voeren. Wat dat betreft is het wel slordig van de advocaat van Sijthoff om niet het Amerikaanse Wikimedia te dagen. Zou hij niet opgelet hebben? Of is dit een kwestie van “laat ze het maar onderling uitzoeken nadat ik mijn vonnis heb”?

Arnoud