Ik doe alles zoveel mogelijk zonder account.
Waar immers geen account aanwezig is, daar is ook geen datalek van je gegevens.

Je begrijpt niet veel van IDIN zo te zien. Het is een inlog methode waarbij er verder niets wordt gedeeld behalve dat je bent wie je zegt te zijn.

De noodzakelijke gegevens hebben ze al. Het lijkt onderdeel te zijn van een Know Your Customer programma waarbij klanten zich moeten heridentificeren voor een gratis lot.

dacht je werkelijk dat dat lot 'gratis' was?

Pas op de website van mijn bank zag ik een lijst van gegevens die zij willen hebben. Dat verwacht je niet van een staatsbedrijf. Het vertrouwen is nu weg. Ze overvallen de klant, op de website stond dit niet.

Net gedaan, maar mijn bank gaf aan dat het e-mailadres alleen optioneel meegezonden kon worden indien gewenst. Gewoon aangeklikt dat ze die niet mee hoefden te sturen (tja, ze hadden hem toch al: het is m'n inlog).

Ze geven aan dat het is voor leeftijdsverificatie (duidelijke doelbinding voor AVG). Kan mij goed voorstellen dat ze willen voorkomen dat iemand 2x een gratis lot krijgt en dat die dan ook nog onder de 18 blijkt te zijn.

Maar je hoeft niet mee te doen toch? Maak ik meer kans: dus graag niet zelfs!

De bank weet nu dat je hebt ingelogged

Gratis bij een commerciele partij betekend meestal "Je betaald met data". Wat mij betreft zou dat ook geen gratis moeten mogen heten maar "Dit product kost 0 euro en al je persoongegevens" ofzo", marketeers kunnen daar vast iets meer catchy voor verzinnen ;-).

Om je eigen begrip bij te spijkeren:
https://www.idin.nl/consumenten/veelgestelde-vragen/

IDIN is juist de beste manier om je te verifieren zonder je data te delen.

Het enige wat de Staatloterij krijgt is een OK of NIET OK van de bank.

Bijna helemaal eens. Dit concept is inderdaad de beste manier; Ik heb alleen moeite met het feit dat de banken naast politieagent (Wwft) nu ook al identity provider/broker worden.

De beste manier zou zijn als DigiD (in NL handen, maar dat terzijde) de rol van Identiy Provider op zich zou nemen.

'staat' zegt het al in 'staatloterij'.

Stik er maar in. Zonder mij.

De 18+ Ja/Nee check is slechts een van de zaken die via iDIN opgevraagd kan worden. Maar ook voorletter(s), achternaam, woonadres, geboortedatum, geslacht, e-mail of telefoonnummer. Dat is geen ja/nee controle, maar gewoon het delen van die gegevens.

Dat zie je dan toch bij het goedkeuren van het iDIN verzoek bij je bank?

Of je gegevens in een datalek kunnen zitten ligt niet aan het wel of niet hebben van een account, het ligt eraan of ze gegevens over je hebben of niet. Een account geeft ze wel een excuus om gegevens veel langer te bewaren dan strikt noodzakelijk, dus accounts vermijden heeft zeker zin, maar gegevens kunnen er ook zonder account zijn.

Een webwinkel die zonder dat je een account hebt aangemaakt een bestelling verwerkt, die verwerkt nog steeds je naam, het bezorgadres, je e-mailadres, je betaling en dus je bankrekeningnummer, en heeft vanuit belastingwetgeving ook nog een verplichting om het nodige jaren te bewaren (al hoeft dat niet online, maar reken jezelf niet rijk op dat punt). Ook zonder account worden er gegevens verwerkt.

Gegevens kunnen lekken als ze in een systeem aanwezig zijn, met of zonder account. Je maakt een inschattingsfout als je denkt dat dat aan het aanmaken van een account ligt. Zonder account geef je ze alleen geen excuus om je gegevens langer dan strikt noodzakelijk te bewaren, maar die bewaarplicht voor de belasting duurt maar liefst 7 jaar, je gegevens zijn echt niet direct weer allemaal weg.