[AVG] Ondubbelzinnig toestemming verwerken persoonsgegevens

Van enkele Nederlandse webwinkels heb ik afgelopen weekend spontaan welkomsberichten ontvangen dat ze blij waren met mijn aanmelding. Alleen heb ik dat nooit gedaan. Om erachter te komen waarop ze denken mij in hun bestand te mogen opnemen, heb ik een AVG verzoek bij deze winkels ingediend. Vandaag heb ik van de eerste winkel informatie ontvangen, waarop ze aangaven dat ze mijn gegevens via een door hun gesponsorde site hadden verkregen. Laat ik nou nooit mij inlaten met dat soort sites.

Daarop is een hele discussie op gang gekomen tussen dat bedrijf en mijzelf over of er ondubbelzinnig toestemming is gegeven om mijn persoonsgegevens te verwerken. Zij beweren (natuurlijk) dat dit verkregen is en hebben het proces laten zien hoe die toestemming verloopt. _{Ik heb dit vanuit een VM slechts deels zelf uitgeprobeerd omdat de genoemde website door Firefox geblokkeerd is vanwege een onbetrouwbaar certificaat, Norton geeft aan dat de link onbetrouwbaar is en Scumware heeft geconstateerd dat die website een trojan bevat, daarna ben ik maar gestopt verder zoeken naar wat er allemaal mis is met die site.}

Eerst moet je gegevens invullen zoals voornaam, achternaam, geslacht, e-mailadres en geboortedatum:



Als je dan dit bevestigt krijg je in het volgende scherm de kleine lettertjes waaronder weer een grote knop met bevestigen:



Klik je op bevestigen, wordt dat door de webwinkel gezien als ondubbelzinnig toestemming geven om deze gegevens te gebruiken. En dat betekent dat deze gegevens aan jan en alleman doorgegeven mag worden omdat ik, volgens de webwinkel, daar toestemming voor heb gegeven. Mijn argument is echter dat er nooit controle heeft plaatsgevonden op die toestemming en dus deze hele verwerking van gegevens onrechtmatig heeft plaatsgevonden. De Autoriteit Persoonsgegevens zegt het zo:

Ondubbelzinnig
Er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Is het twee keer op een bevestigknop klikken nu inderdaad voldoende voor de AVG om een bedrijf ondubbelzinnig toestemming te geven persoonsgegevens te verwerken?


Het bedrijf stelt verder dat als ik erachter wil komen vanaf waar deze gegevens zijn ingevoerd (zoals IP adres), dat ik dan contact moet opnemen met die partner van ze. Lekker, dat bedrijf zit in Anguilla (maar de website is in Nederland gehost) en hun privacy afdeling (waar ik zo van vermoed dat als er 1 iemand voor is dat het al veel is) is alleen via een Gmail adres te bereiken. Dat voelt dus ook niet echt heel betrouwbaar. Normaal zou ik dus ook helemaal daar niets mee willen doen, maar de persoonsgegevens kloppen wel deels (voornaam klopt, achternaam maar deels, geboortedatum totaal niet). Het is nog de vraag waar dit vandaan komt, maar weinig mensen hebben dit e-mailadres maar helaas heeft deze wel in het Ticketcounter lek gezeten. Wat vinden jullie, zou het nog nut hebben om contact op te nemen met die partner (dus die trojans op de website heeft)?

Brahiewahiewa schreef op dinsdag 25 mei 2021 @ 21:13:
[...]

Nee, tuurlijk niet. Zoveel mogelijk negeren en blokkeren

Dat is ook mijn eerste reactie. Ik heb er weinig vertrouwen in dat de persoon aan de andere kant wel betrouwbaar is.

[...]
Laat me raden: dat wat zij interpreteren als je geboorte datum blijkt je telefoonnummer te zijn

Nee, dat nou net niet, volgens hen ben ik geboren op 06-06-1976. Misschien krijg ik dan over twee weken wel een cadeautje van ze, nog meer spam

Frogmen schreef op woensdag 26 mei 2021 @ 08:54:
De webwinkels zou ik verder aansprakelijk stellen zij hebben kennelijk een bestand gekocht of via een dubieuze site of affiliate program data ontvangen (hoe dan ook ze hebben geld betaald voor de data). Laat ze maar bewijzen dat het legitiem is. En wijs ze op de obscure site. Zou het zeker melden bij de autoriteit.
Zo zijn er click bait sites waar je met spelletjes geld kan verdienen, maar waar in werkelijkheid op de achtergrond adverteerders opgelicht worden door advertentie kliks.

Daar zit ik ook wel aan te denken om ze aansprakelijk te stellen, al weet ik nog niet goed wat daar dan verder nog mee te bereiken is. Ze hebben al op meerdere malen proberen aan te geven dat wat ze hebben gedaan legitiem is, dat laatste dus door dat registratieproces te laten zien wat naar mijn idee gewoon rammelt. Het lijkt mij zo ontzettend sterk dat wie dan ook daar op die manier mijn gegevens heeft lopen inkloppen, ik vermoed dat die obscure site de data heeft gekocht (of het is misschien inmiddels al publiekelijk) vanuit dat Ticketcounter lek. En op die manier dus doorverkocht aan deze winkel. En anderen helaas, want inmiddels stromen al meer vage nieuwsbrieven en dergelijke binnen.

Ik ga ook zeker een klacht indienen bij de AP, ik had al even gekeken naar de procedure maar wat echt wel ontmoedigend is, is dat ze zelf al aangeven dat het zeker 6 maanden kan duren voordat ze het kunnen oppakken. Tja, en dan... Die obscure site is niet eens EU, tenminste, op papier want ze hosten in Nederland.

Heeft iemand nog zin om die obscure website verder uit te pluizen? Dat is dus niet de winkel die mail heeft gestuurd maar volgens hen is het wel de bron waar ze de gegevens vandaan hebben. Ik ben al zelf een beetje bezig geweest via een virtual machine, maar omdat er malware op lijkt te staan en het beveiligingscertificaat op eerste gezicht niet op orde is, durf ik nu niet zelf verder te gaan.

Het gaat om (met een fikse waarschuwing dus, deze website zou malware kunnen bevatten):


Wat ik al wel heb gezien:
Norton geeft aan: This is a known dangerous web page. It is highly recommended that you do NOT visit this page. Helaas staan er verder geen details bij.
Sucuri.net checkt een aantal dingen, zo geven ze aan dat de website bij McAfee op de blacklist staat maar ook de melding Missing intermediate TLS certificate.
SSLTrust geeft aan dat er verschillende certificaatissues zijn maar ook veiligheidsissues rondom de server. Do not trust this website en You should not share any important information with this website zijn dan wel tekenend.

Ik vraag mij trouwens af hoe zo'n winkel denkt dat zo'n website wel een goede partner kan zijn. Via Google krijg ik eigenlijk maar 2 hits, dus hoe die site uberhaupt bezoekers moet trekken is dan nog wel de vraag....

Inmiddels een paar dagen en mailtjes met die winkel verder en het is nu toch wel een heel warrig verhaal aan het worden.

Om te beginnen bleven ze maar aandringen om contact op te nemen met de privacy afdeling van dat bedrijf uit Anguilla die mijn gegevens aan hen had verstrekt. Ik heb uiteindelijk gevraagd of de winkel de aansprakelijkheid op zich wilt nemen als ik dus contact zou opnemen en dat bedrijf dus niets zou doen of zelfs nog meer gegevens zou proberen te verzamelen. Uiteindelijk vind die winkel dat dat bedrijf betrouwbaar is, dus dan zou aansprakelijkheid alleen maar van symbolische waarde zijn. Eén maal raden: ja, precies, aansprakelijkheid wijzen ze af.

Ze gaven wel aan dat als dat bedrijf zich niet aan de GDPR/AVG zou houden, dat dat bedrijf dan de wet overtreden. Terwijl ze weten dat het bedrijf in Anguilla zit en dus niet onder die wetgeving valt. Is daar eigenlijk nog iets mee te doen, een Nederlands bedrijf dat dus Nederlandse/EU persoonsgegevens koopt van buiten de EU? Is dat een lek in die wetgeving of is daarin voorzien?

Maar ze hebben zichzelf inmiddels ook tegengesproken. Ze gaven eerst aan dat dat bedrijf van wie ze de gegevens hadden gekregen door hen werd gesponsord. En nu geven ze aan dat ze helemaal geen direct contact hebben met dat bedrijf. Ik heb nogmaals gevraagd hoe ze dan aan die gegevens komen. Is dat nog iets waar ik (afhankelijk van hun antwoord, waar ik waarschijnlijk weer met een kluitje in het riet word gestuurd) verder nog wat mee kan doen?

Ik kreeg trouwens laatst weer een welkomstmail van een andere Nederlandse winkel. Gelijk ook het verzoek ingediend om te achterhalen waar ze de gegevens vandaan hadden, blijkt die winkel onderdeel te zijn van dezelfde als waar ik dus al mee in discussie ben. Saillant detail: het was op dat moment al duidelijk dat ik nooit toestemming had gegeven om mijn persoonsgegevens te gebruiken.

@F_J_K @Jazzy Ik heb tot nu toe de naam van de winkel bewust niet genoemd, maar is het noemen van die winkel(s) wel toegestaan?

99ruud99 schreef op dinsdag 1 juni 2021 @ 19:26:
Beroep je op het recht van vergetelheid. 2aarbij je aangeeft dat het aan het bedrijf is on ervoor zorg te dragen dat alles netjes verwijderd wordt.

Ik heb daar inmiddels om verzocht, al blijft het probleem daarbij bestaan omdat steeds meer spam op naam komt, deels van Nederlandse (redelijk bekende) bedrijven maar ook van die hele vage waar je normaal gesproken dus nooit iets zou willen bevestigen dat jouw adres wel bij jou hoort (en die zitten, volgens zeggen, allemaal buiten de EU). Ik ben dan ook bang dat dit dweilen met de kraan open gaat worden.

Jazzy schreef op dinsdag 1 juni 2021 @ 19:48:
[...]
De gewoonte op Tweakers.net is om de naam van een bedrijf alleen te noemen als dat echt relevant is. Bij een simpele AVG-vraag voegt het vaak weinig toe om welk bedrijf het gaat, maar als je denkt dat het voor de discussie echt relevant is om welk bedrijf het gaat dan kan dat gewoon vermeld worden. Wat we in ieder geval willen voorkomen zijn naming and shaming of verhalen waarbij we maar één kant hoort en het bedrijf zich niet kan verweren.

Dat was ook mijn insteek, vandaar dat ik de naam ook niet eerder heb genoemd. Ik kom alleen tot nu toe nog niet verder met achterhalen hoe mijn gegevens daar terecht zijn gekomen, het noemen van namen zou wellicht bij anderen een lichtje kunnen laten branden omdat ze ook daar spontaan "welkomstmailtjes" binnenkrijgen en is misschien op die manier te bevestigen, of af te wijzen, dat het vanuit een bepaald lek is gekomen of juist dat er in een andere richting gezocht moet worden.

Ik vermoed nog steeds dat er gebruik is gemaakt van het Ticketcounter lek, wellicht dan ook dat anderen deze winkels/bedrijven dan herkennen als zijnde waar ze sinds kort ook berichten van ontvangen of zelfs via een AVG verzoek op dezelfde bron uitkomen. Als ik winkels zou noemen, dan zijn het ook alleen de winkels waarvan volledig duidelijk is dat zij het ook daadwerkelijk hebben verstuurd (en dus ook n.a.v. een AVG verzoek hebben aangegeven dat ze mijn gegevens dus verwerken).

Vandaag trouwens weer een nieuw Nederlands bedrijf dat mij verwelkomt. In hun mail geven ze al aan dat ik aan een winactie zou hebben meegedaan. Dus gelijk maar opnieuw een AVG verzoek ingediend om te achterhalen wat voor gegevens ze van mij hebben en wat de bron is waarvan ze het hebben verkregen.

Waar ik gewoon echt van baal is dat ik al langer nadenk om anders met mijn e-mailadressen om te gaan, juist om makkelijker te herkennen mochten die gegevens gelekt worden. Alleen is het er nog niet van gekomen.

DJMaze schreef op woensdag 2 juni 2021 @ 13:11:
Als ik je e-mailadres heb, kan ik het op elke website invullen voor wat dan ook.
Het is niet dat die websites om verificatie vragen (e-mailtje: klik hier voor bevestigen).

De vraag is of de AVG/GDPR hiermee akkoord gaat, anders mogen ze wel 100.000 man in dienst nemen om elke partij een boete op te leggen.

Dat is mij inderdaad ook wel opgevallen nu, er is geen enkele controle of het adres wel bij jou hoort. Bij de weinige keren dat ik een nieuwsbrief wil (en dat is dan überhaupt op een heel ander adres) is gewoon een e-mailadres achterlaten vaak voldoende. Slechts een enkele keer komt er een mail met verzoek of je kunt bevestigen of jij zelf wel die nieuwsbrief hebt aangevraagd, zonder bevestiging wordt de inschrijving dan ook weer verwijderd. Die procedure zou eigenlijk dan ook de norm moeten zijn.

Normaal zou ik mij er ook niet al te druk om maken, maar nu ook mijn achternaam wordt gebruikt (en in mijn e-mailadres zit alleen mijn voornaam) zou ik er toch wel achter willen komen waar het vandaan komt en op die basis dan kijken wat ik aan vervolgstappen moet gaan ondernemen.

Intussen heeft Dekbed-Discounter na sommatie mijn gegevens verwijderd. De eerste keer dat ik het eiste, vonden ze het blijkbaar niet duidelijk genoeg En dat terwijl ze al lang wisten dat ik nooit toestemming had gegeven om die gegevens te gebruiken...

Inmiddels is ook van een tweede bedrijf gegevens aangeleverd en nog iets meer zelfs. Opnieuw is er de verwijzing naar Portalclubnederland, maar dit bedrijf weet wel het IP adres waarvandaan er is aangemeld. Dat zou een glasvezelaansluiting van T-Mobile moeten zijn. Het IP adres zou van Almelo zijn, maar ik betwijfel of dat zo is. Niet dat het verder zou helpen als dat zo zou zijn, behalve dat ik niemand in die regio ken. Behalve Herman Finkers dan, maar die kent mij weer niet

Kan ik nog wat met dat IP adres? Ik heb even gekeken bij T-Mobile maar terwijl je in het verleden nog wel overlast moet hebben kunnen melden, lijkt dat nu niet meer mogelijk. Weet iemand of abuse (at) t-mobile.nl nog in gebruik is of dat er een andere ingang is waar ik een melding kan maken?


Diverse andere AVG verzoeken zijn nog onbeantwoord, maar ze hebben nog de tijd. Een van de bedrijven heeft wel ineens "mijn" adres in hun wervingsmail gezet, dat ik op "mijn" adres in Leiden (helemaal met straatnaam en huisnummer) goedkopere energie kan krijgen. En dat terwijl ik niet eens in Leiden woon. Ik vraag me dan af of het een slachtoffer is wiens adres wordt misbruikt...

kodak schreef op woensdag 16 juni 2021 @ 22:23:
Als iemand ongewenst of mogelijk crimineel bezig is geweest vanuit een netwerk in Europa dan hoor je hier de juiste contactgegevens voor klachten en mogelijke hulpvragen aan dat netwerk te kunnen vinden.
En je kan er hoe dan ook aangifte van doen als iemand zich voor doet als jou en bedrijven daar graag gebruik van maken en jou met problemen laten zitten.

Dank je wel! Ik heb een melding gemaakt bij T-Mobile hierover, onder andere aangegeven dat er vanaf die aansluiting iets met mijn persoonsgegevens is gedaan en de vraag of ze me op enige wijze kunnen helpen. Al verwacht ik eigenlijk dat er doorverwezen zal worden naar de politie. Maar aangifte ga ik zeker ook doen!