Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

blog-ip-adres.pngEen lezer vroeg me:

Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de privacywet?

Ik had er nog nooit van gehoord, maar Lead Forensics is een dure naam voor het opzoeken van contactgegevens op basis van bezoekersgegevens. Men kan bv. aan een IP-adres zien dat de bezoeker van een bepaald bedrijf afkomstig is, als het bedrijf surft vanaf een IP-range waar de bedrijfsnaam aan gekoppeld is. Vervolgens is het een kwestie van bedrijfsgegevens opvragen bij bijvoorbeeld de Kamer van Koophandel of gewoon de WHOIS en dat tonen.

Uiteraard is een voorwaarde dat de klant afkomstig is van zo’n bedrijfs-IP-adres (Ruud, help, hoe schrijf je dat?). Bij mijn bedrijf is dat niet zo, wij hebben gewoon een generiek UPC IP-adres (upcipadres? argh!) maar bij grote clubs (bv. Philips of Shell) is dat wel zo. Dus daar kan deze technologie nuttige informatie opleveren.

Afijn, dan heb je zo’n IP-adres en dan zoek je de bedrijfsnaam erbij. Daarna gaat men spitten in de KVK of andere openbare bronnen om tot contactgegevens te komen, en dan kun je gaan bellen of mailen om een concreet geïnteresseerde te benaderen met een interessant voorstel. “Dag, ik zag u rondkijken op onze site, met name onze FAQ las u met interesse, en nu heb ik een whitepaper dat alles in één keer beantwoordt, mag ik dat toesturen”. Of zoiets. Ik zou er redelijk van opkijken als ik dat hoorde.

Of dit mag, betwijfel ik. Het combineren is één ding, mensen gaan bellen iets anders. Je mag in Nederland niet ongevraagd mensen commercieel bellen, in ieder geval niet zonder het Bel-me-niet register te raadplegen. Maar dat geldt alleen voor natuurlijke personen, niet voor bedrijven. (Hoewel ik me wel afvraag hoe ver je komt als je een philips.com IP-adres ziet en dan 0900-2021177 gaat bellen om de lead binnen te halen.)

Bedrijven máilen is een groter probleem. Zo’n leadmailtje heeft een duidelijk commercieel oogmerk, en dat stuur je ongevraagd naar een persoon of bedrijf. Dat mag niet van de spamwet (art. 11.7 Telecommunicatiewet) aangezien je geen specifieke toestemming hebt gekregen om dat te doen. Het bezoeken van je website* is niet genoeg om als specifieke toestemming voor reclamemailings te tellen.

(*Off-topic: reclamemailtoestemming is juridisch hetzelfde als cookietoestemming. Iedereen die dus pleit voor “mijn site bezoeken is toestemming voor cookies” pleit dus ook voor “iemands site bezoeken is toestemming voor reclame mailen als men dat in datgrijze balkje erbij zet”.)

Maar oké, als je het enkel gebruikt om te zien welke bedrijven langssurfen en je gaat niemand contacteren, dan is het denk ik legaal. Maar waarom zou je?

Arnoud

25 reacties

  1. Een bekende van mij vertelde me laatst dat ze op een site naar kerstpakketten had gezocht. 5 minuten later werd ze ’terug’ gebeld met de vraag dat ze had rondgekeken op de site, en of er nog iets was wat deze kerstpakkettenclub voor haar kon doen. En ja, als je in die niche zit, een bezoeker ziet vanaf bedrijf x, dan is het simpel om even op de site te kijken wie de betreffende HR-chef is en die te bellen via de receptie: ‘mag ik even mevrouw Jansen spreken, ze keek net op onze site en had nog wat vragen…’

    Wel onbeschoft, maar als het geld oplevert…

  2. Overigens worden die gegevens bij lange na niet bij elkaar gezocht op basis van kvk en dergelijke maar door dat de klanten (de webwinkels) van zo’n ‘lead forensic’ buro javascript op de website moeten includen. Deze javascript doet de gebruikelijke tracking, maar kan ook formulieren op de website in de gaten haden. Zodra jij iets invult (je hoeft het niet eens te submitten) word het naar die partij gestuurd. Stel dus dat jij op website A een leuk kerstpakket ziet en je vult wat gegevens in om te zien wat de verzendkosten gaan zijn, dan kan elke website die bij dat lead forensice netwerk aangesloten is die gegevens inzien.

    Verder zou je kunnen argumenteren dat de bezoeker een klant is op het moment dat hij de website bezoekt en je hem dus mag benaderen want hij is een klant van je en mag je hem bellen (mailen is lastiger denk ik met de spamwetgeving). Net zoals je een klant die een fysieke winkel binnenloopt mag benaderen om te vragen of je ergens mee kan helpen of attenderen op een leuke aanbiedingen.

    Bron

    1. Je bent onder de wet pas ‘klant’ als je een overeenkomst hebt gesloten waarbij een betaling in geld afgesproken wordt. Iemand die een winkel binnen loopt, is geen klant maar een bezoeker. Je kunt die persoon aan je huisregels houden maar bellen mag je niet als ie weer naar buiten loopt zonder iets te kopen.

  3. Ik zou graag willen dat internetproviders zich er actief voor inzetten dat dit soort gegevens niet uitlekken, in ieder geval bij particulieren.

    Verder: https://onzetaal.nl/taaladvies/advies/samenstelling-met-afkorting https://onzetaal.nl/taaladvies/advies/website-e-mailadres-web-site-e-mail-adres Dus, volgens de eerste link: bedrijfs-IP-adres en UPC-IP-adres. De tweede link suggereert iets anders, maar ik denk dat het belangrijker is dat IP een afko is, zodat het woord zonder streepjes onleesbaar zou worden.

  4. “bedrijfs-IP-adres” Jakkes! Vies! “Bedrijf-IP-Adres”? Echt, Corné? Het streepje tussen “IP” en “adres” wordt vaak weggelaten omdat het in de Engelse spelling ook niet wordt gebruikt. In Nederland is het, zoals Corné al aangeeft, eigenlijk wel normaal omdat het een afkorting in hoofdletters betreft.

    Heb je het over het IP-adres van een bedrijf, dan noem je dat ook het “IP-adres van het bedrijf”. Of, als je het korter wilt, het “bedrijfs IP-adres”. Bedrijf is hierbij in de tweede naamval dus komt er een ‘s’ achter, zonder apostrof ertussen. Je gebruikt deze naamval om aan te geven dat het om het IP adres van het bedrijf gaat. Je combineert het niet, zoals je Arnouds website niet “Arnoud-website” gaat noemen. Het is de website van Arnoud, net zoals het een IP-adres van een bedrijf is. Tweede naamsval, dus.

    Leuk onderwerp voor een volgende post: spellen met ICT’ers… 🙂

    1. Of, als je het korter wilt, het “bedrijfs IP-adres”. Bedrijf is hierbij in de tweede naamval dus komt er een ‘s’ achter, zonder apostrof ertussen.

      eh, nee, zo werkt dat niet. Als het gaat om de fysieke locatie van een bedrijf, dan hebben we het over het bedrijfsadres. De gelijkaardige samenstelling van bedrijf + IP + adres moet je dan ook aan elkaar schrijven. De oorsprong vanuit de twee naamval is hierbij niet relevant, het is een eenvoudigweg een samenstelling: bedrijfs-IP-adres.

      Dat je een samenstelling ook kunt zeggen met een frase met ‘van’, hoeft niet te betekenen dat de -s-vorm los geschreven moet worden. Meningsverschil is ook een verschil van mening, maar toch echt een samenstelling.

  5. Los van de mogelijke juridische haken en ogen (hoe komt men aan de gegevens) moet je jezelf als commercieel persoon oprecht afvragen of je er gebruik van wens te maken. Als dat via een ongewenste manier is (zeer waarschijnlijk) dan kan de slechte naam die het je oplevert meer kosten dan de opbrengsten.

    Dan het juridische (voor zover ik daar verstand van heb). Als gegevens uit een openbare bron komen, zoals RIPE, dan is het nog tot daar aan toe. Als ze van elders komen, bijvoorbeeld omdat ergens op een website de contactgegevens een keer in zijn gevoerd met een ander doel dan door iedere hijgerige verkoper gebeld te worden, dan is het m.i. discutabel.

    Schemerig: iemand vult op de eigen website gegevens in, drukt op submit en de verkoper krijgt die gegevens…. Zonder dat het een informatieaanvraag of bestelling betreft.. Dus bijvoorbeeld om na te gaan wat het totale bedrag zou worden…

    Minder schemerig, het betreft wel een bestelling en deze is niet afgerond.. Dan zou je als verkoper een keer contact kunnen maken om te vragen of er problemen waren.. Met de juiste insteek kan dat zelfs als positief worden ervaren…

  6. > Het streepje tussen “IP” en “adres” wordt vaak weggelaten omdat > het in de Engelse spelling ook niet wordt gebruikt.

    Er is wel een regel (of stijlgidsaanbeveling) dat echt buitenlandse kreten (die dus niet ingeburgerd zijn) in de originele spelling blijven staan. Maar dan is het wel de bedoeling dat je dat aangeeft door bijvoorbeeld cursivering.

    Soms zijn er twijfelgevallen. Maar in elk geval gaat het handhaven van de buitenlandse spelling alleen op als de hele uitdrukking in de oorspronkelijke taal is, niet alleen een deel. Dus IP number of IP-nummer.

    (Is IP address wel goed Engels? Dat weet ik niet, maar de vraag kan goed als illustratie dienen van de spellings- of stijlregel. ‘IP-adres’ is correct, ‘IP adres’ niet maar IP address eventueel wel.)

    1. IP staat voor Internet Protocol en dat zijn gewoon Nederlandse woorden. (En toevallig ook Engels.) Dit betekent simpelweg dat het geen buitenlandse kreet meer is, ook al denken veel mensen van wel. Als afkorting worden echter hoofdletters gebruikt en de letters worden apart uitgesproken. Dan wordt een streepje dus wel gebruikt. Verder betreft het hier gewoon de tweede naamval want het gaat om het IP-adres van een bedrijf. Je post is ook geen “Ruud-post” maar gewoon “Ruuds post”. Dus “bedrijfs IP-adres” lijkt mij de juiste spelling, maar je mag het er mee oneens zijn. 😉

      1. Verder betreft het hier gewoon de tweede naamval want het gaat om het IP-adres van een bedrijf. Je post is ook geen “Ruud-post” maar gewoon “Ruuds post”.

        Nee, het is een samenstelling. Je vergelijking gaat uit van een persoon en daarom gaat-ie scheef.

        De opbouw van het woord “bedrijfs-IP-adres” is hetzelfde als “bedrijfsadres” (als in bezoekersadres) en ik denk dat je het met me eens bent dat dat een samenstelling is en niet een genitief+bezit-constructie is.

        1. Een bedrijfsauto is een soort auto. Een bedrijfs auto is een auto die eigendom is van bedrijf. Als het gaat om een IP-adres dat alleen voor bedrijven bedoeld is dan lijkt Bedrijfs-IP-adres wel goed. Maar als je het IP-adres van een bedrijf bedoelt is het een bedrijfs IP-adres. De vraag is of je IP-adressen wel zo kunt onderverdelen in soorten. Er zitten immers geen speciale kenmerken aan waardoor het als dusdanig herkenbaar is. En technisch gezien is er altijd wel een bedrijf (provider) die een IP-adres beheert dus zijn ze allen van het type bedrijf.

  7. Of, als je het korter wilt, het “bedrijfs IP-adres”. Bedrijf is hierbij in de tweede naamval dus komt er een ‘s’ achter, zonder apostrof ertussen.

    Toch vormt dat in modern Nederlands een samenstelling. Het is ook maar de vraag of dit een echte genitief is, want ook (of juist) vrouwelijke woorden krijgen vaak die verbindings-s. (Ook in het Duits, waar ze veel strikter in zulke dingen zijn: Sicherheitsregel of Sicherheits-Regel, met een s achter een vrouwelijk woord dat in de genitief normaal NOOIT een s krijgt.)

    Dus “bedrijfs IP-adres” is niet goed, ‘bedrijfs-IP-adres’ wel.

    Maar we dwalen af, het ging over privacy.

  8. Als afkorting worden echter hoofdletters gebruikt en de letters worden apart uitgesproken.

    En als ie-pee, door mij althans, niet als aai-pie. Dus inderdaad is IP (ook/nu) Nederlands, daar heeft Wim ten Brink wel gelijk in, want ‘internetprototol’ is inderdaad ook goed Nederlands.

  9. Wim ten Brink schreef:

    Dus “bedrijfs IP-adres” lijkt mij de juiste spelling, maar je mag het er mee oneens zijn.
    Ik verkies inderdaad gebruik te maken van die mij zo welwillend geboden gelegenheid. Vergelijk woorden als waarheidsgehalte, niet *waarheids gehalte, omdat het niet het gehalte des waarheids is (wel het gehalte der waarheid of aan waarheid).

    1. Volgens die logica is het dus ook Arnoudsite en ruudantwoord in plaats van Arnouds site en Ruuds antwoord. Maar dat klinkt niet goed naar mijn mening. Ik ben even bij Onze taal gaan kijken bij dergelijke samenstellingen en dan valt mij op dat ze zeggen: “premie-A-woning” met als extra opmerking dat het Groene boekje “premie A-woning” gebruikt. Zonder streepje dus. En dat passen ze bij diverse andere samenstellingen toe waar de afkorting in hoofdletters is en tussen twee andere woorden staat. (Maar weer niet helemaal consequent.) Ik denk dan dat je eerder “bedrijfs-ip-adres” moet gebruiken, of “bedrijfs IP-adres”.

      Maar OnzeTaal zegt: Als er zowel een woord voor als na de afkorting of losse letter staat, staan er twee koppeltekens in de samenstelling: kleuren-tv-scherm, post-hbo-opleiding, voetbal-T-shirt. Het is dan interessant om te zien dat het Groene Boekje hier dus duidelijk van afwijkt als de afkorting in hoofdletters wordt geschreven.

      Maar is het wel een samenstelling? Bij “Bedrijfs-IP-adres” heb je het over een soort IP-adres van het type bedrijf. Maar “Bedrijfs IP-adres” betekent gewoon het IP-adres van het bedrijf. Dat laatste lijkt mij de meer logische betekenis die we hier zoeken omdat we de enige soorten IP-adressen die we kennen alleen IPv4 en IPv6 zijn. Zo kan ik deze post “Wims post” noemen omdat het mijn post is. Of ik noem het “Wimspost” omdat het typisch een post is die mijn kenmerken heeft, namelijk langdradig en eigenwijs. 🙂 (Heb ik nu een nieuw Nederlands woord bedacht?) 🙂

  10. Hier nog een argumentatie waarom ook de -s achter wel los geschreven woorden en namen ook geen genitief is in het Nederlands (en in het Engels ook niet). Citaat om het juiste stukje te vinden in het artikel (dat eigenlijk over iets anders gaat):

    De bezits-s die bij eigennamen gebruikt kan worden (Peters fiets), wordt vaak genitief-s genoemd, maar dat is onterecht. Het is een partikel.

    1. Je bedoelt “Bedrijfs IP-adres”? 🙂 Okay, back to topic. Het probleem is dat bedrijven minder privacy hebben dan echte personen. Dat maakt het vervelend voor ZZP’ers die dus feitelijk een bedrijf zijn maar toch de behoefte aan privacy hebben. En hoewel de meeste personen een dynamisch IP adres hebben heb ik gemerkt dat mijn eigen prive-adres al jaren hetzelfde is.

      Daarnaast is het niet al te moeilijk om een bedrijf aan een IP-adres te koppelen. Daar kun je b.v. RobTex voor gebruiken. Als voorbeeld gebruik ik maar iusmentis.com-IP-adres 😉 om te kijken welk bedrijf eraan hangt. (IusMentis en ICTRecht dus.) Dit IP-adres is 94.124.124.19 en gebruik je dat in de browser dan kom je bij een Apache webserver uit, want de site beweert dat. En RobTex vertelt ons dat alleen IusMentis op dit adres zit. Dus als Arnoud ooit vanaf zijn web server gaat web browsen dan weet Lead Forensic dus dat dit van IusMentis komt. Kortom, het achterhalen van een bedrijf achter een IP-adres is niet al te lastig. Koppel het vervolgens aan de gegevens van de KvK en vergelijkbare organisaties in het buitenland plus de informatie die deze bedrijven op hun eigen websites weergeven en je kunt al een aardig plaatje maken van alle online bedrijven.

      Maar interessanter aan deze gehele discussie is dat Lead forensics in de US en de UK opereren. Ik vraag mij af of er iets gedaan kan worden aan bedrijven die in het buitenland opereren en daar allerlei prive-informatie verzamelen over Nederlanders en Nederlandse bedrijven. Het wordt pas een probleem als ze af en toe een Nederlandse klant hebben die bij hen informatie opvraagt omdat dat mogelijk illegaal is. In hoeverre is de Nederlandse wet hier dan op van toepassing?

  11. “mijn site bezoeken is toestemming voor cookies” pleit dus ook voor “iemands site bezoeken is toestemming voor reclame mailen als men dat in datgrijze balkje erbij zet”

    Wacht even… is het niet zo dat men op een knop moet drukken voor toestemming? Ik heb nergens gelezen dat een “uithangbord (bij het bekijken van deze site kunt u eventueel een telefoontje verwachten)” voldoende is…

    1. Naar mijn juridische mening is een knop of vergelijkbare handeling verplicht inderdaad. Maar diverse juristen verdedigen het standpunt dat een balk “Hoi wij zetten cookies, door deze site te gebruiken geeft u daar toestemming voor” genoeg is mits maar prominent genoeg in beeld gebracht. Kijk om je heen hoe veel sites een dergelijke frase gebruiken en geen akkoordknop afwachten alvorens cookies te zetten.

      De wet definieert toestemming onder de cookiewet als exact dezelfde voor andere soorten gebruik van persoonsgegevens. Dus ook het uitlezen van een telefoonnummer en dat gaan bellen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.