Op veel websites kun je contact opnemen met de website-eigenaar via een contactformulier. Handig, maar volgens experts word je regelmatig verplicht om meer gegevens in te vullen dan echt noodzakelijk is. Bij een datalek vergroot dat de schade.
Een ethisch hacker waarschuwde het openbaar vervoersbedrijf Arriva vorige week voor een datalek in het contactformulier op de Arriva-website. De hacker kon daardoor alles zien wat 195.000 mensen op het formulier hadden ingevuld.
Arriva vroeg in het formulier niet alleen naar de voornaam, achternaam en het e-mailadres. Maar ook om bijvoorbeeld het telefoonnummer en de geboortedatum.
“Doordat Arriva het telefoonnummer vroeg, heeft het ov-bedrijf mensen met bijvoorbeeld een geheim nummer in de problemen gebracht”, zegt beleidsadviseur Rejo Zenger van privacyorganisatie Bits of Freedom. “Ik snap niet dat bedrijven zoveel gegevens vragen. Dat betekent dat je ook meer gegevens moet beschermen.”
Volgens de Autoriteit Persoonsgegevens (AP) is de wet helder. “Een bedrijf mag alleen gegevens opvragen die nodig zijn voor het doel waarvoor je het formulier invult”, zegt woordvoerder Mark Schenkel. “Heb jij een vraag aan een bedrijf, en wil je dat dat bedrijf contact met je opneemt per e-mail? Dan is je naam en mailadres in de meeste gevallen voldoende.”
Bedrijven vragen al snel te veel gegevens
Het komt volgens privacyexpert Zenger vaak voor dat bedrijven meer gegevens van je vragen dan ze nodig hebben. Websites van slijterijen zijn volgens hem een goed voorbeeld.
“Waarom moet een online slijterij je geboortedatum weten? Waarschijnlijk doen ze dat om te bepalen of je achttien jaar of ouder bent, maar daarvoor is de geboortedatum niet nodig. De online drankverkoper kan ook simpelweg de vraag stellen of iemand ouder dan achttien jaar is.”
“Een bedrijf heeft jouw geboortedatum, geslacht, foto, socialemedia-accounts of wat voor andere persoonsgegevens in principe niet nodig voor het doel van een contactformulier”, zegt Schenkel van de AP. Het bedrijf mag die gegevens dan ook niet opvragen. Behalve als het een goede of logische reden heeft om die gegevens aan je te vragen.
Bel op of vul onjuiste gegevens in
Als je verplicht wordt om op een website meer gegevens in te vullen dan in jouw ogen nodig is, dan kun je daar volgens Zenger op twee manieren mee omgaan. “Je kunt kijken of je het bedrijf kunt bellen. In dat geval bepaal je zelf welke gegevens je verstrekt.”
Als bellen niet mogelijk is, dan kun je volgens de privacyexpert ook bewust foutieve informatie invullen. Zenger: “Als ik een handleiding van een product opvraag bij een bedrijf, hebben ze in mijn ogen mijn telefoonnummer of geboortedatum niet nodig. Als die wel worden gevraagd, vul ik daar iets willekeurigs in.”
Gegevens van bijna iedereen al een keer uitgelekt
Het lijkt misschien onschuldig om meer gegevens in te vullen dan het bedrijf nodig heeft. Maar zoals uit het voorbeeld over Arriva blijkt komen daardoor bij een datalek meer gegevens op straat te liggen.
De AP vermoedt dat bijna alle Nederlanders in de afgelopen vijf jaar al een keer slachtoffer zijn geworden van een datalek. Kwaadwillenden combineren volgens privacyexpert Zenger steeds vaker gegevens uit verschillende datalekken. Die informatie kan misbruikt worden voor bijvoorbeeld een phishing-aanval of zogenoemde vriend in noodfraude.
Als een organisatie je verplicht om meer gegevens te verstrekken dan jij noodzakelijk vindt, dan moet je daar volgens Schenkel bezwaar tegen maken. “Gaat het bedrijf niet in op je verzoek, dan kun je een klacht indienen bij de AP.”
