Juridische vraag: mag je valse gegevens op een site invullen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Is het verboden om valse gegevens te verstrekken als een website of bedrijf deze wil hebben maar eigenlijk niet nodig heeft? Denk aan een telefoonnummer of geboortedatum bij gewoon een online bestelling.
Antwoord: Er is geen algemeen verbod in de wet om valse gegevens op te geven. Natuurlijk is er het strafbare feit 'valsheid in geschrifte', art. 225 Strafrecht. Het moet dan echter gaan om geschriften die opgemaakt worden om als bewijs ergens van te dienen. Dat houdt in dat de informatie van wezenlijk belang moet zijn. Bij overbodige informatie is daar per definitie geen sprake van.
Een winkel kan wel in haar voorwaarden eisen dat alle informatie naar waarheid moet worden verstrekt, en dan op die grond een overeenkomst annuleren. Je zou wel gek zijn als winkel om te annuleren bij een onjuiste geboortedatum, maar dat terzijde.
Echter, op grond van de privacywetgeving mag een bedrijf niet meer gegevens eisen dan nodig voor de overeenkomst. Je huisadres moet je dus geven (want daar moet de bestelling heen) en je naam ook (in verband met betaling) maar je geboortedatum of geslacht is niet echt relevant. Daar mogen ze dus niet naar vragen, en doen ze dat toch dan is het toegestaan hier valse gegevens in te vullen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Gr,
Martijn,
Overigens ben ik altijd een interessant onderdeel van de statistieken. Bij somige webshops ben ik nog niet geboren en bij sommige webshops ben ik al meer dan 300 jaar oud :).
De vraag is of dit voldoende reden is om de geboortedatum te vragen en of zo'n BKR-check onder de 'uitvoering van de overeenkomst' valt.
Vreemd want bv. connexxion zet het geld terug gewoon klaar als product en dan kun je het ophalen.
Volgens de dame aan de telefoon was het voor controle, maar waartegen ze dan mijn geboortedatum ging controleren, dat kon ze ook niet zeggen. Het was allemaal wel nodig want als je het geld gewoon terug zou storten op de chipcard dan was het geld weg als iemand hem zou jatten. Ja, hoor eens, dat is sowieso het risico bij een OV chipcard.
Enfin, dat mens doet ook maar gewoon haar werk en mijn geboortedatum hoefde dan niet, maar ik vind het maar een rare manier van doen bij de NS. Moet er niet eens een wet komen tegen het onnodig opslaan en verwerken van persoonsgegevens? En een instantie die daarop controleert? Oh, wacht...
Dat doet me denken aan een discussie die ik had met iemand die aan de deur kwam voor een goed doel. Ik kon daar een machtiging voor tekenen, en één van de dingen die je moest invullen was mijn geboortedatum. Ik wilde best doneren, maar niet mijn geboortedatum geven en heb ook gevraagd waar dat voor nodig is.
Die persoon heeft nog ter plaatse naar hun hoofdkantoor gebeld, en die gaven aan dat het was om te controleren of je wel ouder dan18 bent. Het verdere commentaar was dat ik ook wel eventueel een andere geboortedatum in kon vullen (het werd toch niet gecontroleerd) maar dat is natuurlijk de omgekeerde wereld: dan kan iemand die jonger dan 18 is dat ook...
Ik heb aangegeven dat ik best een vakje aan wil vinken dat ik ouder dan 18 ben, maar dat zat niet op het formulier. Dus uiteindelijk geen donatie
Ofwel: het bedrijf loopt een risico dat iets niet inbaar is als je onder de 18 bent, dus willen ze je leeftijd controleren. De makkelijkste manier is naar je geboortedatum vragen dus doen ze dat zonder over consequenties na te denken. Het wordt tijd dat bedrijven al een boete krijgen voor het vragen van gegevens die ze niet strikt nodig hebben, pas dan gaat privacy een aandachtspunt worden.
Q
De vraag is of dit voldoende reden is om de geboortedatum te vragen en of zo'n BKR-check onder de 'uitvoering van de overeenkomst' valt.
Dan nog zijn die gegevens alleen relevant bij een betaling achteraf. Veel webwinkels willen via iDeal betaald worden, dat is vooraf. Een BKR-toetsing is dan onnodig, dus niet toegestaan, en daarmee is ook de geboortedatum overbodig. Enig steekhoudende argument voor de geboortedatum dat ik hier gelezen heb, is de leeftijd. Bij aankopen is het zo, dat tot een bepaalde leeftijd er een probleem is, is de persoon op basis van de leeftijd handelingsbevoegd? Maar wanneer hij met iDeal kan betalen, zou dat een zekerheid moeten zijn. De bank heeft die gegevens en wanneer iemand niet handelingsbevoegd is, moeten ze de mogelijkheid om zo te betalen maar blokkeren. Blijft de beperking voor "boven de 18" produkten. Maar ja, dan moeten ze eigenlijk een kopie van de legitimatie vragen, want je kunt elke leeftijd intypen, die je wilt.
Nee, want de site kan gewoon vragen of de persoon ouder is dan die grens-leeftijd, Ben je 14 jaar of ouder ja/nee. Daar hoe je geen geboortedatum voor te weten,
een profilering van de klant. Deze gegevens gebruiken ze als ze je later gerichte reclame gaan sturen, en ze verhogen
de waarde van je gegevens als ze die gaan verkopen aan derden die dat voor hen (en anderen) gaan doen.
Daarom willen ze dit weten. En omdat je dankzij de websamenleving niet op dat punt kunt zeggen "dat vertel ik u niet"
(zoals je wel in de winkel kunt doen als ze bij afrekenen je postcode vragen, was ook een tijdje populair) zit er weinig
anders op dan onzin in te vullen. Immers als je niks invult komt er een rood lijntje om het vakje en kun je niet verder.
Wat dat betreft is er een eenzijdinge situatie: de leverancier bepaalt alle voorwaarden en de klant moet maar slikken,
in plaats van dat je, zoals normaal bij een overeenkomst, kunt discussieren over de voorwaarden van de aankoop.
Johnie Cash heeft er een mooi liedje over: "A Boy Named Sue"
feitelijk leven we nog in een digitale stenentijdperk, sure, het OM kan een provider of elk ander bedrijf vragen om data, maar een logje is zo getikt, ip adres zo gespoofd enz. dus wat is vals en wat niet blijft altijd een kwestie van vertrouwen.
een mooi voorbeeld zijn al die cookiemuren die sommige sites braaf toepassen. Maarja wie geeft nu eigenlijk toestemming; de computer en niet een mens. ik kan een leeftijd invullen en toestemming geven om gevolgd te willen worden op een drank of sekssite en even later bezoekt mijn zoontje die site ook met mijn browser.
wie heeft er dan valse of verkeerde informatie gegeven of wie is er dan nalatig of aansprakelijk?, zijn websites binnenkort bij een nieuw bezoek verplicht nogmaals consent te vragen, mogen we straks geen computers meer delen zonder aparte accounts?
Zelfs mijn ov-chipkaart bevat een fictieve naam en geboortedatum.
Wat als de overeenkomst een prijsvraag of wedstrijd is? "Oh, U heeft valse gegevens ingevuld? Dan krijgt U die gratis auto niet."
Nee, want de site kan gewoon vragen of de persoon ouder is dan die grens-leeftijd, Ben je 14 jaar of ouder ja/nee. Daar hoe je geen geboortedatum voor te weten,
Nu geldt voor bijna alle online aankopen (nee, niet op pizza's) dat je sowieso 14 dagen bedenktijd hebt. Zie ook https://www.consuwijzer.nl/elektronica/kopen-op-afstand/bedenktijd-koop-op-afstand
Gr,
Martijn,
Dan heb je genoeg aan: bent u 14 jaar of ouder? [ja/nee]
De exacte datum heb je niet nodig
[knip]
maar dat ze een kopie van mijn paspoort eisten ging mij te ver. Ik kon hoog en laag springen maar zonder paspoort geen geld terug, een kopie was vereist voor de een of andere vage controle.
[knip]
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
