Feedback op het Forum - deel 4

[Moneyman]

Dank voor de toelichting, verhelderend. Goed om te weten wat jullie er op de achtergrond aan doen.

[Consumenneke]

Als de data van Odido (als voorbeeld) dan in een hack op het darkweb openbaar gemaakt wordt, kan iedereen met toegang daar dus een email-adres en bijbehorend wachtwoord zien. Vervolgens gaan ze geautomatiseerd kijken waar ze allemaal kunnen inloggen met die gegevens en vroeg of laat ontdekken ze dan ook dat het forum erbij zit. Omdat er toch nog steeds mensen zijn die "1 wachtwoord voor alles" gebruiken kunnen die hackers dus met het emailadres EN het wachtwoord van bv. Odido inloggen op het Radar forum. En dat is er hier aan de hand.

Dat zou te zien moeten zijn aan de tekst bij het bericht. De pornospam zat in de signatuur, maar waren de berichten ook generiek of toegespitst op het topic?

Ook zou je in dit scenario verwachten dat meer fora last hebben van pornospam.

[Teunbosseman]

https://www.telegraaf.nl/lifestyle/tech ... 9FAC1ADCD7

[Moneyman]

En voor degenen zonder abonnement:
https://archive.is/20260408070405/https ... 65569.html

[witte angora]

Het staat er allemaal een beetje halfbakken, maar eigenlijk staat er niets dat we nog niet wisten. Naja dat er dus 230.000 accounts gedeactiveerd zijn. Dat het er zoveel waren was me ook niet duidelijk.

Dat brengt me bij een andere vraag. De afgelopen weken heb ik tot twee keer toe een mail van een bedrijf gehad (1e was Lidl, tweede was ook zoiets) waar ik een account heb/had. Aangezien ik al twee jaar niet ingelogd had, moesten ze vanwege de AVG mijn gegevens verwijderen.

Hoelang mag AvroTros eigenlijk, gezien de AVG, persoons/accountgegevens bewaren, als er geen gebruik meer wordt gemaakt van dat account? Als dat 2 jaar is, dan is zelfs die drie jaar zoals het nu is niet toereikend.

[rwolters]

Hoelang mag AvroTros eigenlijk, gezien de AVG, persoons/accountgegevens bewaren, als er geen gebruik meer wordt gemaakt van dat account? Als dat 2 jaar is, dan is zelfs die drie jaar zoals het nu is niet toereikend.

Dat is niet vastgelegd in de AVG/GDPR maar in het algemeen geld dat zaken verwijderd moeten worden als het geen nut meer dient. Meestal wordt 12...24 maanden aangehouden. Je zou verwachten dat een consumentenforum als radar hier kritisch naar kijkt. Er zit immers vaak best wel privacy-gevoelige informatie in berichten, zeker als er na een hack een koppeling met een email adres en telefoonnummer gemaakt kan worden. Als zoiets bij een andere organisatie zou gebeuren zou de gespeelde verontwaardiging in het TV programma heel groot zijn.

[Consumenneke]

Het is duidelijk dat de Telegraaf inmiddels meekijkt in dit forum. Die is kritisch op de publieke omroep in het algemeen en Radar in het bijzonder. Mooie wisselwerking krijg je dan, een kritische kijk op een kritisch consumentenplatform.

De vraag over het nodeloos bewaren van persoonsgegevens is terecht, ook al denk ik dat er weinig deelnemers zijn die hun (oude) reacties werkelijk privacy-gevoelig vinden.

xHoelang mag AvroTros eigenlijk, gezien de AVG, persoons/accountgegevens bewaren, als er geen gebruik meer wordt gemaakt van dat account? Als dat 2 jaar is, dan is zelfs die drie jaar zoals het nu is niet toereikend.

Dat was al eens eerder gevraagd, maar als je categorisch weigert om verstandige reacties te lezen, sla je vroeger of later de plank een keertje mis.

Volgens de AVG mag je persoonsgegevens niet langer bewaren dan nodig is voor het oorspronkelijke doel. De data van iemand die bv twee jaar niet meer terugkomt, kunnen (na een waarschuwing) gewoon verwijderd worden.

Ik meen dat een andere vaste deelnemer in 2024 een geding is begonnen tegen Radar omdat hij/zij op grond van de AVG inzage wenste in zijn persoonsgegevens met betrekking tot overtredingen van de huisregels door hem als gebruiker van het forum, maar Radar deed met succes een beroep op journalistieke uitzondering. Ook in hoger beroep [ECLI:NL:GHARL4238].

Lees vooral de toelichting op moderatie nog eens goed!

[witte angora]

Meestal wordt 12...24 maanden aangehouden. Je zou verwachten dat een consumentenforum als radar hier kritisch naar kijkt. Er zit immers vaak best wel privacy-gevoelige informatie in berichten, zeker als er na een hack een koppeling met een email adres en telefoonnummer gemaakt kan worden.

Dan denk ik toch dat de omroep nog een keer moet gaan kijken hoe een en ander verder vorm gegeven kan en/of moet worden.

Er zou volgens mij niks mis mee zijn als duidelijk gecommuniceerd wordt dat een account na een bepaalde tijd verwijderd wordt, maar dat de poster/plaatser eventueel prima een nieuw account aan kan maken.

Maar ook kan je je afvragen, die vraag is al eerder gesteld, hoe lang je topics aan zou moeten houden. Een soort van online archief is leuk, maar als het inderdaad privacygevoelige gegevens heeft die bij een hack naar natuurlijke personen is te herleiden moet je je toch nog eens afvragen of je dat wel wil.

[Moneyman]

Volgens de AVG mag je persoonsgegevens niet langer bewaren dan nodig is voor het oorspronkelijke doel. De data van iemand die bv twee jaar niet meer terugkomt, kunnen (na een waarschuwing) gewoon verwijderd worden.

Ik meen dat een andere vaste deelnemer in 2024 een geding is begonnen tegen Radar omdat hij/zij op grond van de AVG inzage wenste in zijn persoonsgegevens met betrekking tot overtredingen van de huisregels door hem als gebruiker van het forum, maar Radar deed met succes een beroep op journalistieke uitzondering. Ook in hoger beroep [ECLI:NL:GHARL4238].

Lees vooral de toelichting op moderatie nog eens goed!

Iedereen moet maar puzzelen wat je hiermee bedoelt te zeggen. Daarom vraag ik het maar gewoon: wat is je punt, wat is de relevantie van deze uitspraak ten aanzien van de AVG-bewaartermijnen?

[Consumenneke]

Op grond van journalistieke exceptie kan AVG niet toegepast worden. Dat is destijds door het Hof geaccepteerd. Dezelfde redenering kan gebruikt worden om de bewaartermijn op te rekken.

[StevieNL81]

Het anonimiseren van usernames van inactieve gebruikers zou een prima oplossing zijn. Dan kan je die oude accounts gewoon kunnen deactiveren (en nw wachtwoord erop) en klaar.

[Nijogeth]

Alles wat iemand hier gepost heeft valt sowieso al niet onder de AVG. Als ik op social media mijn id-kaart post, dan is dat medium ook niet verantwoordelijk daarvoor. Elke post is door een gebruiker zelf gepost, als deze dit niet wil, kan deze altijd opteren het te laten verwijderen.

[Moneyman]

Op grond van journalistieke exceptie kan AVG niet toegepast worden. Dat is destijds door het Hof geaccepteerd. Dezelfde redenering kan gebruikt worden om de bewaartermijn op te rekken.

Dan heb je de uitspraak niet goed gelezen of begrepen. De uitspraak betekent niet dat de AVG niet op het forum en de verwerking van de persoonsgegevens van toepassing is, maar slechts dat het inzagerecht niet van toepassing is. Dat betekent uiteraard niet wat jij er nu bij suggereert, namelijk dat bewaartermijnen ineens niet van toepassing zouden zijn.

Alles wat iemand hier gepost heeft valt sowieso al niet onder de AVG.

Onjuist natuurlijk. Er worden gewoon persoonsgegevens verwerkt, waardoor de AVG wel degelijk van toepassing is.

[Consumenneke]

Er worden gewoon persoonsgegevens verwerkt, waardoor de AVG wel degelijk van toepassing is.

Dat is dan aan de achterkant. Voor de beheerder zijn persoonsgegevens als naam, geboortedatum, telefoonnummer en mail bekend en gekoppeld aan de forumnaam. Bij deelnemers die om een reden verwijderd worden kan er een bewaargrond zijn, maar bij de rest moeten de werkelijke persoonsgegevens verwijderd worden na bv twee jaar inactiviteit. Zouden wellicht moeten...

De forumnaam kan gewoon gehandhaafd blijven, net als de reacties en andere bijdragen op het forum. Op grond van het journalistieke belang.

Ik herinner me een jurist die meende dat zijn forumnaam hier een persoonsgegeven is. Dat zou ik weleens getoetst willen zien in een geding en vervolgens hoger beroep. Hopelijk blijven de proceskosten dan beperkt tot het griffierecht dat Avrotros heeft betaald. Heb je voor een slordige duizend euro duidelijkheid.

De rechtbank vervangt herkenbare persoonsgegevens door [de verzoeker] en [de betrokkene]. Is dat voldoende bescherming?

Het voordeel van zo'n incidentele uitspraak is dat het bevestigt dat mensen op zo'n forum uiteenlopende meningen stellig kunnen delen, maar de rechter soms heel anders oordeelt. Verstandige mensen zijn daarom niet al te stellig.

[Moneyman]

Ik herinner me een jurist die meende dat zijn forumnaam hier een persoonsgegeven is. Dat zou ik weleens getoetst willen zien in een geding en vervolgens hoger beroep. Hopelijk blijven de proceskosten dan beperkt tot het griffierecht dat Avrotros heeft betaald. Heb je voor een slordige duizend euro duidelijkheid.

Nou, die nieuwsgierigheid kan ik direct bevredigen. Want de vraag of een dergelijk gegeven als een forumnaam een persoonsgegeven is, is op basis van de totale lijn van jurisprudentie alleen maar met “ja” beantwoord worden. En de vraag is specifiek en concreet voor dit forum ook beantwoord door de rechter.

Is het pseudoniem ‘ [profielnaam] ’ een persoonsgegeven?
4.2.
Allereerst bestaat tussen partijen discussie of het pseudoniem ‘ [profielnaam] ’ een persoonsgegeven is. [verweerster] betwist dit omdat de identificeerbaarheid ontbreekt. In het contact is altijd het pseudoniem ‘ [profielnaam] ’ gebruikt en nimmer de naam ‘ [verzoeker] ’. Zij betwist dat [verzoeker] schuilgaat achter het pseudoniem. Volgens [verzoeker] is het pseudoniem wel een persoonsgegeven, omdat dit aan hem te koppelen is via het IP-adres dat [verweerster] verwerkt. Door een beroep op het Lycos/Pessers-arrest (in geval van inbreuk op auteursrechten) of door de gegevens aan het openbaar ministerie te geven (indien hij een misdrijf pleegt) kan [verweerster] het pseudoniem via het IP-adres aan hem koppelen. Daar heeft [verweerster] tegen aangevoerd dat er geen enkele reden is om te veronderstellen dat het openbaar ministerie of de internetprovider positief zou reageren op een verzoek van haar om identificatie aan de hand van de gebruikte dynamische IP-nummers.

4.3.
De rechtbank overweegt als volgt. Onder ‘persoonsgegeven’ wordt verstaan alle informatie over een geïdentificeerde of identificeerbare persoon.1 Ook gepseudonimiseerde gegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd.2 Op de mondelinge behandeling heeft [verzoeker] aangetoond dat hij schuilgaat achter het profiel ‘ [profielnaam] ’ door ten overstaan van de rechter te laten zien dat hij op het forum kan inloggen op dit profiel. Daar volgt uit dat het pseudoniem aan [verzoeker] kan worden gekoppeld. [verweerster] heeft daarop haar primaire verweer laten varen. De beantwoording van de vraag of [verweerster] het profiel via het IP-adres aan [verzoeker] kan koppelen, kan daarom achterwege blijven.

[witte angora]

4.3.
De rechtbank overweegt als volgt. Onder ‘persoonsgegeven’ wordt verstaan alle informatie over een geïdentificeerde of identificeerbare persoon.1 Ook gepseudonimiseerde gegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd.

Kortom: een hacker kan zich dus in de huidige opzet in sommige gevallen heel eenvoudig toegang verschaffen tot interessante informatie over de betreffende poster. De hacker weet wie het is, leest alle berichten, en krijgt een aardig goed beeld.

Het bevestigt mijn stelling dat de beveiliging toch wel een tandje hoger zou moeten, en dat ook topics beter niet tot in den eeuwigheid bewaard moeten worden. Is een topic eenmaal niet zinvol meer, dan is het voor de betreffende posters veiliger om het te verwijderen, om het risico op misbruik van de gegeven informatie zo klein mogelijk te maken.

En ja, dat niemand dan ooit nog aan de 30.000 berichten zal komen, who cares?

Ik ruik een heel nieuwe opzet van het forum, maar ook van andere onderdelen van dit programma waarvoor je een account nodig hebt. Een frisse nieuwe start, zeg maar. Actief, en levend.

[alfatrion]

Ik herinner me een jurist die meende dat zijn forumnaam hier een persoonsgegeven is. Dat zou ik weleens getoetst willen zien in een geding en vervolgens hoger beroep. Hopelijk blijven de proceskosten dan beperkt tot het griffierecht dat Avrotros heeft betaald. Heb je voor een slordige duizend euro duidelijkheid.

Nou, die nieuwsgierigheid kan ik direct bevredigen. Want de vraag of een dergelijk gegeven als een forumnaam een persoonsgegeven is, is op basis van de totale lijn van jurisprudentie alleen maar met “ja” beantwoord worden. En de vraag is specifiek en concreet voor dit forum ook beantwoord door de rechter.

Is het pseudoniem ‘ [profielnaam] ’ een persoonsgegeven?
(...)

Dat is natuurlijk een manier om het gras onder voeten van AVROTROS weg te maaien. Meer principeel gaat het hierom:

artikel 6 onder 1 AVG
"persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Wat is identificeren? En wat is identificeerbaar? Dan zijn er hier mensen die zeggen dat je ID moet laten of dat je NAW bekend moet zijn of iets vergelijkbaars, maar wat maakt dat je dan identificeert? Deze mensen kunnen de centrale vraag met een definitie beantwoorden. Wat is identificeren? Ehhh....

Als we naar het artikel uit de AVG kijken dan zien we geen definitie van dit woord. De AVG geeft wel een lijst van voorbeelden, zo kan dit aan de hand van "een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon."

De AVG handleiding van de Rijksoverheid geeft meer richting.

Om de identiteit van een persoon vast te stellen wordt doorgaans gebruik gemaakt van gegevens die een unieke, persoonlijke relatie tot die persoon hebben, hierbij kan worden gedacht aan gegevens zoals een naam, adres en geboortedatum. Dit noemt men ‘identificatoren’. Deze gegevens zijn in combinatie met elkaar dusdanig uniek voor een bepaalde persoon, dat een persoon op basis ervan met zekerheid of grote waarschijnlijkheid geïdentificeerd kan worden. Deze gegevens worden in het maatschappelijk verkeer normaliter ook gebruikt om personen van elkaar te onderscheiden. We spreken daarom van direct identificerende gegevens.

Wat gebruiken we om personen op het forum van elkaar te onderscheiden? Wie het weet mag het roepen.

Personen kunnen ook geïdentificeerd worden op basis van andere, minder directe identificatoren. Denk hierbij aan uiterlijke kenmerken (lengte, postuur en haarkleur), sociale en economische kenmerken (beroep, inkomen of opleiding) en online identificatoren zoals IP-adressen. Hoewel deze gegevens op zichzelf ons meestal nog niet in staat stellen om een persoon te identificeren, kunnen zij door hun onderlinge samenhang of door koppeling aan andere gegevens alsnog leiden tot identificatie. We spreken daarom van indirect identificerende gegevens.

De combinatie van dergelijke gegevens kunnen gebruikt worden om personen van elkaar te onderscheiden. Wifi Tracking is een tijdje hot geweest. Niemand weet je NAW of je paspoortgegevens, maar met WIFI en bluetooth trekking worden volgens de Autoriteit Persoonsgegevens toch echt persoonsgegevens verwerkt.[1]

[witte angora]

Maar om een discussie met lange lappen tekst samen te vatten - wat is jullie advies aan de redactie om het forum dusdanig in te richten dat aan de huidige wetgeving wordt voldaan? Tweetrapsverificatie? Hoe lang moeten topics blijven staan? Hoelang hou je inactieve accounts aan, en vanaf wanneer is een account inactief? Andere suggesties of zinvolle informatie?

[Consumenneke]

Ik ruik een heel nieuwe opzet van het forum, maar ook van andere onderdelen van dit programma waarvoor je een account nodig hebt. Een frisse nieuwe start, zeg maar. Actief, en levend.

Ik ruik een spoedig einde.

Het staat er allemaal een beetje halfbakken, maar eigenlijk staat er niets dat we nog niet wisten.

Er staat niets dat de stamtafel van 25 deelnemers niet wist, maar voor de 1,15 miljoen lezers van de Telegraaf is het wel nieuws dat Radar geplaagd wordt door een pornospammer. Gezeur over de AVG is dan de laatste druppel.

[Consumenneke]

Want de vraag of een dergelijk gegeven als een forumnaam een persoonsgegeven is, is op basis van de totale lijn van jurisprudentie alleen maar met “ja” beantwoord worden. En de vraag is specifiek en concreet voor dit forum ook beantwoord door de rechter.

Prima.

Dan zijn [de verzoeker] en [de betrokkene] die de rechtbank hanteert ook persoonsgegevens. Hoe lang mogen de bewaard worden?