Op veel websites kun je contact opnemen met de website-eigenaar via een contactformulier. Dat las ik bij Nu.nl. Wat tot schade kan leiden: bij datalekken komt zo’n heel formulier dan op straat, inclusief allerlei niet-noodzakelijke informatie die het formulier toch vroeg. Diverse lezers wezen me op de analyse: waarom doen bedrijven dat en wat mag je als consument doen?
De directe aanleiding is een recent datalek bij vervoerder Arriva, waarbij van 195.000 mensen het gehele ingevulde formulier zichtbaar was. Inclusief voor contact niet direct relevante zaken zoals het telefoonnummer en de geboortedatum. Het formulier is vooralsnog online tot de beveiliging op orde is.
Een bedrijf mag alleen gegevens opvragen die nodig zijn voor het doel waarvoor je het formulier invult”, zegt woordvoerder Mark Schenkel van de Autoriteit Persoonsgegevens tegen Nu.nl. Da’s altijd een leuke, want menig bedrijf wil behoorlijk wat meer weten dan mijn e-mailadres als ik ze een vraag wil sturen via het formulier.
En nou ja, dat mogen ze dus niet vragen. Maar wie heeft opgelet tijdens mijn college “ICT en recht” die weet dat nu de term “code as law” gaat vallen: de software vraagt het toch, én staat erop dat je antwoord geeft. Geen geboortedatum ingevuld? Dan geen antwoord. En als je een nepdatum invult, dan is er een kans dat hij je inzending afkeurt wegens minderjarigheid (ik noem geen namen maar gebeurde me dit weekend) of dat het achteraf tot onnodig gedoe leidt “ik zie hier een andere datum dan bij uw abonnement, we gaan nu de procedure anti-phishing in”.
Wie dus nepgegevens wil invullen, moet nodeloos extra nadenken. En dat is vervelend, want het zou juist het bedrijf moeten zijn dat moet nadenken over wat ze nou écht nodig hebben. Maar daar is geen interne prikkel voor. Dit is dus waar de AP met boetes zou moeten smijten: uw formulier vraagt verplicht om geslacht, geboortedatum of meer dan één contactgegeven, dat is dan 2.500 euro graag binnen zes weken betalen. Dat zou zelfs ik nog wel met een script kunnen maken.
Arnoud
