image

Ik moet mijn ID plus filmpje sturen om mijn account te verwijderen. Is dit net zo raar als het klinkt?

woensdag 4 mei 2022, 11:16 door Arnoud Engelfriet, 19 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?

Antwoord: In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo'n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo'n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo'n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij "al X miljoen mensen spelen bij ons" in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is - ook los van de AVG - geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

"Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet" komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
04-05-2022, 11:26 door Anoniem
Ticketmaster vraagt ook om een kopie van ID als je je account bij hen wilt verwijderen, en is omslachtig via een ander domein/site. Heel vreemd, "we verwijderen je gegevens door eerst nog meer gegevens te vragen".
04-05-2022, 12:24 door Anoniem
Volgens mij is er nogal wat onderlinge haat en nijd in die gaming wereld, mensen die elkaar kapot willen maken op
wat voor manier dan ook. De hele "DDoS as a service" is ook in die hoek uitgevonden lijkt het.
Het verbaast me dus niet zo dat een aanbieder heel goed wil controleren of het echt wel de accounthouder is die
wil opzeggen en niet een ander die ruzie met hem heeft.
Hoe je dat moet doen, tja dat is natuurlijk een ander probleem. Als usernaam/wachtwoord niet betrouwbaar genoeg
is omdat die mogelijk gestolen zijn, wat wil je dan voorstellen om iemand deugdelijk te autenticeren terwijl die in een
heel ander land zit?
04-05-2022, 12:55 door Anoniem
Door Anoniem: Volgens mij is er nogal wat onderlinge haat en nijd in die gaming wereld, mensen die elkaar kapot willen maken op
wat voor manier dan ook. De hele "DDoS as a service" is ook in die hoek uitgevonden lijkt het.
Het verbaast me dus niet zo dat een aanbieder heel goed wil controleren of het echt wel de accounthouder is die
wil opzeggen en niet een ander die ruzie met hem heeft.
Hoe je dat moet doen, tja dat is natuurlijk een ander probleem. Als usernaam/wachtwoord niet betrouwbaar genoeg
is omdat die mogelijk gestolen zijn, wat wil je dan voorstellen om iemand deugdelijk te autenticeren terwijl die in een
heel ander land zit?

Daar is een eenvoudige oplossing voor: MFA.
Als de hackende tienertjes dat weten te doorbreken, kunnen ze vast ook aan jouw ID komen, oftewel: dan is geen enkele methode meer veilig.
04-05-2022, 13:30 door Anoniem
Door Anoniem: Ticketmaster vraagt ook om een kopie van ID als je je account bij hen wilt verwijderen, en is omslachtig via een ander domein/site. Heel vreemd, "we verwijderen je gegevens door eerst nog meer gegevens te vragen".
Heb het hier met Holland Casino. Tijdens het registreren kon ik mijn ID niet uploaden, hun site werkt simpelweg niet. Hulp konden ze verder niet bieden. Dan houdt het op, dus een verzoek gedaan om mijn gegevens te verwijderen. Kon niet moest mijn ID naar hun mailen.
Nu tientallen e-mails verder, nog steeds niets verwijderd. Snap echt niet dat ze bij Holland Casino menen boven de wet te staan.
Met mijn klacht hierover bij de AP schiet het ook niet op, je krijgt simpelweg geen enkele reactie. Waar zou je nog meer terecht kunnen?
04-05-2022, 14:06 door Anoniem
Je kan natuurlijk al je gegeven in het account veranderen naar iets onzinnigs en je vervolgens heel hard en herhaaldelijk gaan misdragen met dat account. Dan sluiten ze 'm waarschijnlijk ook wel. ;)
04-05-2022, 14:08 door Anoniem
Door Anoniem:
Daar is een eenvoudige oplossing voor: MFA.
Als de hackende tienertjes dat weten te doorbreken, kunnen ze vast ook aan jouw ID komen, oftewel: dan is geen enkele methode meer veilig.

Daarnaast, als ik me ergens registreer voor een game of whatever. Gebruik ik daar nooit mijn echte gegevens. Zelfs bij aankopen in Steam vul ik bullshit in.

Er valt niets te verifiëren door mijn ID te laten zien, iedereen kan dus zijn of haar ID laten zien.
04-05-2022, 16:13 door Anoniem
Ooit had ik het met tweedehands.nl, ik wilde mijn account verwijderen. Dat was een langdurige discussie met de klantenservice daar.
Hun eis was een kopie van mijn ID kaart, dat heb ik steeds geweigerd omdat zij geen recht hebben om dat te vragen.
Mogelijk bestaat mijn account nog, maar ach.....
04-05-2022, 16:25 door Anoniem
Het zelfde geldt voor battle.net die ook allerlei gegevens van je eist. Maar de grap is natuurlijk dat dat niks bewijst, want hoe weet je dat die specifieke persoon hoort bij dat account? Je zou letterlijk de gegevens van je buurman kunnen opsturen.

De bedoeling is natuurlijk om gewoon op de gegevens te blijven zitten. Wat mij betreft mag dit verboden worden en dat er altijd een 'delete account' optie aanwezig moet zijn.
04-05-2022, 16:55 door Erik van Straten
Door Arnoud Engelfriet: De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is.
Het gaat er in dit geval dus niet om dat je moet bewijzen dat jij degene bent "van wie het account is" (wat je doet door in te loggen, waarbij je "radicale" wijzigingen vaak moet bevestigen door op een link in een mail te klikken die, ter bevestiging, naar jouw e-mailaccount wordt gestuurd), maar vooral dat je moet bewijzen dat het bedrijf zich in jouw geval aan de Europese GDPR moet houden - bijv. omdat je Europeaan bent of daar (tijdelijk) verblijft.

Een bewijs van inschrijving in een gemeente zegt dan ook niet zoveel omdat het bedrijf niet weet of die inschrijving daadwerkelijk van de accounthouder is. Maar ook een paspoortscan en een filmpje kunnen van iemand anders zijn. GeoIP is met een VPN te omzeilen en je kunt ook een vriendje in Europa vragen jouw account te verwijderen.

Als zo'n bedrijf, tijdens het aanmaken van accounts, niet betrouwbaar vaststelt uit welk land of werelddeel de aanvrager afkomstig is, kan dat later lastig of niet op te lossen problemen opleveren. Maar zelfs dan kan bijv. een EU-account worden verkocht of weggegeven aan (of worden gekaapt door) een niet-Europeaan.
05-05-2022, 03:03 door Anoniem
Er staat in je pas duidelijk geschreven dat deze bedoeld is om aan BEVOEGDEN enkel te TONEN. Wat niet weg neemt dat het voor iemand met een eigen domeinnaam van een tientje, wat al bijna een rechtspersoon lijkt waar je dan de CEO van bent of kent, lekker marechausseetje te spelen. En dat dat dan ook echt MOET. Spannend als je verkleden met carnaval!

- Als iemand je prive lastig telefoneert, dan moet je gewoon eens naar hun privenummer vragen. En ze vannacht om 5 uur terugbellen.
- Als iemand je telefoneert en gelijk eist dat je bevestigt dat jij het bent, zonder zichzelf te excuseren voor het storen, zichzelf eerst fatsoenlijk voor te stellen en dan kort te zeggen waarover het gaat, dan zeg je gewoon dat ze verkeerd verbonden zijn en hang je op.
- Als iemand zonder uniform naar je pas of ID vraagt, dan vraag je eerst om hùn/zijn/haar pas. Met kopie van de achterkant voor het burger service nummer.

Het fijne van deze drie tips is dat je daarna doorgaans een hele discussie kunt overslaan. Wat dan allemaal weer van je drinktijd af zou gaan!
05-05-2022, 22:01 door Anoniem
Ik ben een fan van KopieID van de overheid. Daarmee blok ik normaal gesproken BSN, foto en handtekening. Bij NL partijen werkt dat meestal wel. Zeker als je de link meestuurt (https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs) of daar anderszins naar verwijst.
En natuurlijk altijd het watermerk gebruiken, zodat duidelijk is waar de kopie voor gebruikt mag worden.
06-05-2022, 09:56 door Anoniem
Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is
Dus ze zeggen eigenlijk dat ze privacy alleen respecteren omdat het moet, niet omdat ze daar waarde aan hechten als bedrijf. Waardeloos....
06-05-2022, 14:02 door -Peter-
Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is.

Ze horen bij het aanmaken van het account al te weten uit welk land de klant komt. Anders weten ze dan dan al niet of ze aan de GDPR moeten voldoen.

Peter
06-05-2022, 15:08 door Anoniem
Door Anoniem: Ik ben een fan van KopieID van de overheid. Daarmee blok ik normaal gesproken BSN, foto en handtekening. Bij NL partijen werkt dat meestal wel. Zeker als je de link meestuurt (https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs) of daar anderszins naar verwijst.
En natuurlijk altijd het watermerk gebruiken, zodat duidelijk is waar de kopie voor gebruikt mag worden.
https://reports.exodus-privacy.eu.org/en/reports/com.milvum.kopieid/latest Nog meer data naar Google...
06-05-2022, 21:50 door Anoniem
Door -Peter-:
Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is.

Ze horen bij het aanmaken van het account al te weten uit welk land de klant komt. Anders weten ze dan dan al niet of ze aan de GDPR moeten voldoen.

Peter

Klopt niet helemaal, Peter. Net zo goed als de Amerikaanse privacy wet in onze EU niks betekent, of de DMCA of de YMCA, geldt dat net zo goed andersom. En dat is op zich ook wel netjes. Een website op de achterdewindse eilanden heeft ook niks met onze wetten en rechten te maken. Pas als ze zakelijk een kantoor hebben binnen de EU, dan pas wel. Dat laatste hebben ze dan ook meestal als geld halen in de EU het motief is.

Maar in een braaf land als bijvoorbeeld, ik noem maar wat, Venezuela of zo iets, heeft Aleida Wolfsen niet enkel niks te zeggen. Ze hoeven niet eens te weten wie dat is. Het zou wat Russisch gedacht zijn, mocht je denken van wel.
07-05-2022, 00:01 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben een fan van KopieID van de overheid. Daarmee blok ik normaal gesproken BSN, foto en handtekening. Bij NL partijen werkt dat meestal wel. Zeker als je de link meestuurt (https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs) of daar anderszins naar verwijst.
En natuurlijk altijd het watermerk gebruiken, zodat duidelijk is waar de kopie voor gebruikt mag worden.
https://reports.exodus-privacy.eu.org/en/reports/com.milvum.kopieid/latest Nog meer data naar Google...
Die applicatie is blijkbaar gemaakt door milvum.com. Hun website deelt jouw data op verschillende wijzen onder andere met facebook en google.
Zoveelste bedrijf dat privacy totaal ondergeschikt vindt. Daar doet onze overheid zaken mee, beschamend.
07-05-2022, 14:28 door [Account Verwijderd]
Door Anoniem: Ooit had ik het met tweedehands.nl, ik wilde mijn account verwijderen. Dat was een langdurige discussie met de klantenservice daar.
Hun eis was een kopie van mijn ID kaart, dat heb ik steeds geweigerd omdat zij geen recht hebben om dat te vragen.
Mogelijk bestaat mijn account nog, maar ach.....

Daar zit gewoon een "verwijder mijn account" knop.
07-05-2022, 16:59 door Anoniem
Door Anoniem: Ooit had ik het met tweedehands.nl, ik wilde mijn account verwijderen. Dat was een langdurige discussie met de klantenservice daar.
Hun eis was een kopie van mijn ID kaart, dat heb ik steeds geweigerd omdat zij geen recht hebben om dat te vragen.
Mogelijk bestaat mijn account nog, maar ach.....
Het hangt er een beetje vanaf hoe pricipieel je bent en hoeveel energie je erin wil stoppen. De Algemene Verordening Gegevensbescherming is er heel duidelijk in:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen#hoe-kan-ik-iemands-identiteit-vaststellen-bij-een-verzoek-privacyrechten-7212

Als ze jouw gegevens niet willen verwijderen terwijl er geen noodzaak meer is om die gegevens te hebben dan wel een wettelijke verplichting is om die gegevens te bewaren, voldoet men niet aan het 'recht op vergetelheid'. Als je dat voor de rechter brengt, ga je 100% zeker de rechtszaak winnen.
09-05-2022, 00:33 door Anoniem
Door Anoniem:
Door -Peter-:
Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is.

Ze horen bij het aanmaken van het account al te weten uit welk land de klant komt. Anders weten ze dan dan al niet of ze aan de GDPR moeten voldoen.

Peter

Klopt niet helemaal, Peter. Net zo goed als de Amerikaanse privacy wet in onze EU niks betekent, of de DMCA of de YMCA, geldt dat net zo goed andersom. En dat is op zich ook wel netjes. Een website op de achterdewindse eilanden heeft ook niks met onze wetten en rechten te maken. Pas als ze zakelijk een kantoor hebben binnen de EU, dan pas wel. Dat laatste hebben ze dan ook meestal als geld halen in de EU het motief is.

Maar in een braaf land als bijvoorbeeld, ik noem maar wat, Venezuela of zo iets, heeft Aleida Wolfsen niet enkel niks te zeggen. Ze hoeven niet eens te weten wie dat is. Het zou wat Russisch gedacht zijn, mocht je denken van wel.

Niet correct. Of je wel of niet een kantoor in de EU hebt is niet relevant, van belang is of je wel of niet gegevens van EU-ingezetenen verwerkt.
Dat is ook de reden dat er web sites zijn die, als je met een IP adres uit de EU binnenkomt, ze aangeven dat die website niet toegangkelijk is voor je. Daarmee hoeven ze niet aan de GDPR te voldoen: sommige bedrijven vinden het risico op een boete erger dan een aantal klanten missen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.