Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als je je account weer wilde verwijderen dan moest je ook je echte naam, adres en andere informatie opgeven. En dat is een schending van de AVG, die gegevens zijn niet werkelijk nodig om het verwijderverzoek te honoreren. Een uitspraak die hopelijk een precedent gaat worden, want ik kan me werkelijk dood ergeren aan al die sites die een volledige doopceel eisen (of erger nog, een kopietje paspoort) voordat ze iets weghalen dat je met heel wat minder informatie aan had gemaakt.
Het eerste dat me opvalt in de uitspraak is dat je je account niet gewoon online kon verwijderen. Je moest een formulier downloaden en invullen, wat op zich natuurlijk al een idioot overdreven manier van werken is. Dan ga je al een beetje denken dat de website-eigenaar liever geen accounts verwijdert. Het is triviaal om een “delete this account” knop in te bouwen als je accountbeheer hebt, en als je je zorgen maakt over misbruik van die knop dan stuur je de accounthouder een mail met link om te bevestigen dat hij het echt wilde.
Bij dit formulier ging het ook nog eens mis omdat je allerlei informatie moest invullen, zoals je werkelijke naam en je adres. De vraag is dan natuurlijk onmiddellijk waarom die informatie nodig is. Wat ga je ermee doen, hoe heb je die informatie nodig om te valideren dat je werkelijk met de accounthouder te maken hebt? Ik kan geen reden bedenken; immers, de accounthouder is enkel bekend onder dat pseudoniem of via dat mailadres.
Ja maar je paspoort is toch je officiële naam, dat bewijst toch iets, zou je denken? Nee, niet in deze context. Want de eigenaar van dit account had de naam ‘Petra’ gebruikt en het mailadres van zijn vrouw, dus vertoning van zijn paspoort had helemaal niet bewezen dat hij eigenaar was van het account. Maar hij was het wel. En hoe weten we dat? Nou ja, omdat hij kon inloggen op het account natuurlijk. En dat is dan dus eigenlijk het enige dat je mag eisen van de AVG.
Een goede zaak, wat mij betreft. Ik weet dat er sites zijn die dergelijke formulieren gebruiken als barrière tegen uitschrijven (want meer gebruikers is jezelf groter kunnen voordoen) maar de meesten doen het volgens mij omdat ze denken dat het moet, correct identificeren door middel van formulieren en paspoorten. Daar mogen ze dus mee ophouden.
Arnoud
