Internetrecht door Arnoud Engelfriet

Toegegeven, ik moest erom lachen, maar eigenlijk is het om te huilen zo schaamteloos tegen de wet is het: de “verkoop je vrienden” actie van 1dayfly. Zoals na te lezen bij een Twittervolger (dank) is de actie simpel: vul als lid van de dienst de e-mailadressen van al je vrienden in, waarna de dienst ze mailt onder jouw naam en ze aanspoort lid te worden van de koopjessite. Dit levert beide partijen credits op. Het is buitengewoon stuitend dat een Nederlands bedrijf zo’n evident strafbare actie onderneemt onder het mom van “haha kijk ons eens lekker ludiek zijn”.

Een tell-a-friendsysteem waarbij bezoekers anderen kunnen tippen over een product of dienst is op zich legaal, maar wel onder vier voorwaarden:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

De actie voldoet volgens mij aan geen van de vier eisen. Zowel afzender als ontvanger krijgen een beloning in de vorm van credits, dus aan die eerste eis is al niet voldaan. Inzage in het bericht krijg je ook niet, en de mail wordt verstuurd onder de naam van de gebruiker en niet 1DeadFly zelf. En het is afwachten of de mailadressen niet toch nog vaker dan één keer worden gebruikt.

Richard van Delft wijst er via Twitpic nog op dat je met deze actie ook kunt zien wat je vrienden kopen: je krijgt namelijk aanvullende credits daarvoor, en die zijn te relateren aan de aanschaf.

Wil iedereen die mail krijgt van deze spammers een klacht indienen bij Spamklacht? En daarna zijn/haar vrienden meppen omdat ze een spamdienst gebruiken?

Arnoud

Collega Michaël meldde het net voor het weekend: hij kreeg spam van de NS terwijl hij zich had afgemeld voor dergelijke mails. En in de mail stond nog eens dat hij zich expliciet moet gaan afmelden voor nieuwe mailings over “reisinformatie en serviceberichten”. Ook van andere mensen hoorde ik dat ze deze mail hebben gehad hoewel ze zich eerder voor alle mogelijke zaken hebben afgemeld.

Op zich heeft de NS wel degelijk het recht om haar klanten te spammen. Artikel 11.7 lid 3 Telecommunicatiewet staat toe om klanten mails te sturen voor “gerelateerde producten en diensten”, mits

bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens.

Michaël en de andere mensen die me mailden, hebben dat verzet gebruikt en mogen dus geen reclamemails meer krijgen. Daar valt m.i. ook onder nieuwe soorten “reisinformatie en serviceberichten” want opt-out is opt-out: niet meer mailen dus. Het zou wel erg makkelijk zijn om om een verzet heen te komen door je bestaande nieuwsbrief een nieuwe naam te geven.

Spamklacht indienen dus, zou je zeggen. Maar opmerkelijk genoeg kom je niet door de spamklachtwizard heen. Deze meldt namelijk als je alles eerlijk invult:

Het spamverbod is niet van toepassing op berichten waar u zichzelf voor aangemeld heeft. Ook mag een bedrijf dat uw e-mailadres van u heeft gekregen bij de verkoop van een product of een dienst u gerelateerde berichten zenden, zelfs indien u daar destijds niet expliciet toestemming voor hebt gegeven. OPTA kan uw klacht daarom niet in behandeling nemen.

Als uitgangspunt klopt het, maar je hebt het recht om te allen tijde bezwaar (’verzet’) aan te tekenen tegen zulke mailings. En vanaf dat moment mag er géén mail meer verstuurd worden.

Update (11 mei): OPTA laat weten dat ook het negeren van aangetekend verzet wel degelijk een klacht dient op te leveren. OPTA meldt: “Ook tegen dit ‘type’ spam treden wij op. Want het is uiteraard in strijd met de wet wanneer een bedrijf - ondanks eerder aangetekend verzet tegen verder gebruik van je elektronische contactgegevens - desondanks toch nog berichten verzendt. Wij zullen dit op www.spamklacht.nl dan ook snel verduidelijken. Tot die tijd verzoeken wij klagers om bij de vraag over voorafgaande toestemming aan te vinken dat hij of zij géén toestemming heeft gegeven.”

Wie heeft er nog meer deze mailing gehad, nadat hij zich had afgemeld voor commerciële mails?

Arnoud

Als je er eenmaal op gaat letten, zie je het overal: reclameteksten die de indruk proberen te wekken dat je iets hebt gewonnen of gekregen, terwijl het in feite niet meer is dan een mógelijkheid. Zo kreeg ik deze aanbieding geforward:

Wie googelt op u bent geselecteerd als winnaar komt nog veel meer van dit soort teksten tegen. Een hele mooie vond ik deze site die meldt dat ik “de miljoenste bezoeker van de website [ben] en dat is geen grap.” En dat terwijl er geen teller te ontwaren is.

De wet verbiedt misleidende reclame, bv. reclame die je op het verkeerde been zet over “de aard, samenstelling, hoeveelheid, hoedanigheid, eigenschappen of gebruiksmogelijkheden” van het geadverteerde. De discussie die je dan meteen krijgt, is of het misleidend is om te zeggen U bent winnaar van een auto (of van een kadobon van 25 euro). Ik vind van wel - er is geen enkele reden om “auto of kadobon” zo naast elkaar te presenteren behalve om iedereen bij “auto” te laten ophouden met lezen en dan te reageren “OMG EEN AUTO!!1!”. Maar jurisprudentie heb ik niet kunnen vinden.

Aanverwante ergernis: reclames die van alles beloven in de schreeuwtekst maar in de kleine lettertjes dat allemaal weer ontkennen. Het extreemste voorbeeld is de “vriendenradar” die ik ooit op tv zag: “zie waar je vrienden zijn” met disclaimer “Let op: laat niet echt zien waar je vrienden zijn”. Als dat niet tegen de wet is, moet de wet worden aangepast.

Wie kent er nog meer voorbeelden van dit soort grappen?

Arnoud

De politie doet onderzoek naar Telzone.nl, een webshop die deze maandag live ging met een stuntaanbieding: een iPad met 130 euro korting. Het gaat mogelijk om een oplichterstruc, schreef Webwereld vorige week. Het reclamebureau dat de webshop had gebouwd had aangifte gedaan omdat ze de situatie verdacht vond. Op de site stond onder meer dat men onderdeel zou zijn van Eurofiber, maar die provider wist van niets. Toen de webshop-eigenaar niet reageerde op bezorgde telefoontjes, nam het reclamebureau zelf actie:

Wij, Reclamebureau WPRG, hebben naar aanleiding hiervan contact opgenomen met de politie om hen van deze zaak te verwittigen. Na overleg met de politie is besloten om gisteravond 07 maart 2011 rond 19:00 de webshop offline te zetten. Door het offline zetten van deze webshop hebben wij geprobeerd de schade aan consumenten zo beperkt mogelijk te houden.

Naar aanleiding van deze berichten werd onder meer de bankrekening van de shop geblokkeerd door de ING bank.

Een dag later reageerde de shophouder boos bij Tweakers: het reclamebureau zou hem met ‘mooie praatjes’ hebben overgehaald om de webshop te laten bouwen. En het zou ook WPRG zijn geweest die aangedrongen had op vermelden van de Eurofiber-informatie.

Deze actie verbaast me nogal, voornamelijk omdat de website offline gehaald werd op de dag van lancering. Maandagochtend ging de reclamecampagne grootschalig live, en om 19.00 diezelfde dag was het voor het reclamebureau al duidelijk dat hier sprake was van oplichting. Maar waar leidde men dat uit af? Ik kom niet verder dan dat Eurofiber ’s middags had geklaagd over hun naamsvermelding, dat de webshopeigenaar niet meteen reageerde en dat de politie had gezegd dat dit dan wel eens oplichting had kunnen zijn.

Ik moet zeggen dat ik dat toch wat magertjes vind. Is het zó gek dat een webshopeigenaar niet meteen bereikbaar is op de dag van lancering, zeker als die gepaard gaat met grootschalige reclame in kranten en op de radio? En moet je dan echt meteen kiezen voor het zware middel van offline halen en een tekst publiceren dat “de alarmbellen [begonnen] te rinkelen”? Waarom niet even het bestelformulier uitzetten en een gefingeerde foutmelding met “komt u morgen terug alstublieft”?

Helaas krijgen de berichten geen vervolg dat ik kan vinden, dus hoe het echt zit zullen we wel nooit weten. Maar ik zou dit nooit een klant durven adviseren. Als de beschuldigingen namelijk niet kloppen, kan de webshophouder je aansprakelijk stellen voor de gederfde winst.

Arnoud
Afbeelding: iPad Nokia clone? (iFake)

Gisteren was ik bij een door De Perslijst georganiseerde discussie tussen de OPTA, journalistiek en advocatuur over het zakelijke spamverbod en wat dat betekent voor de pers. Met vertegenwoordigers van de OPTA, Logeion (de beroepsvereniging voor communicatie), de hoofdredacteur van journalistenvakblad Villamedia en telecomadvocaat Gerrit-Jan Zwenne beloofde dat wat.

Vorig jaar oktober is het spamverbod uitgebreid: ook ongevraagde commerciële, charitatieve of ideële mail naar zakelijke ontvangers was verboden. Dat gaf aardig wat paniek in de tent, maar nog steeds is er veel onduidelijkheid. Mag je bijvoorbeeld persberichten rondsturen naar iedereen die eruit ziet als een journalist? Of is dat ook spam? Hangt het er vanaf of het persbericht echt nieuws is of alleen maar een commercieel verhaal? En is “Mercedes lanceert nieuw model S300″ dan echt nieuws?

Het panel opende met de mooie constatering dat “wat mag er nu” een simpele vraag is met een heel wat moeilijker antwoord. De veelgestelde vragen op de site van de OPTA vermelden bijvoorbeeld “Het is mogelijk dat een persbericht onder het spamverbod valt.” Wat moet je daarmee als ondernemer? Betekent dit “het kan, in theorie” of “dit is 99% zeker”? De OPTA kan dan wel geruststellend zeggen dat men niet handhavend optreedt tenzij er schade en overlast van komt, maar dat is natuurlijk geen juridische zekerheid.

En dat was waar de zaal toch naar op zoek was. De consensus leek te zijn: moeten we nu werkelijk zo moeilijk doen over persberichten in de spamwet, want welke journalist gaat dit als spam zien? Journalisten hebben meningen van belanghebbenden nodig en moeten dus veel mail krijgen met persberichten. Communicatiebureaus zullen echt niet zomaar iedereen hun persbericht sturen, want iemand een persbericht opdringen werkt alleen maar contraproductief. En mocht een journalist toch eens van werkgebied veranderen, dan kan hij via de contactgegevens bij het persbericht zich afmelden. Journalisten klikken liever drie keer iets weg dan de kans te lopen nieuws te missen.

De OPTA ziet het toch anders: wat nu als een politieke partij of Goed Doel besluit elk Nederlands bedrijf een mail te sturen omdat er NU actie voor Haïti nodig is. Daarop werd gereageerd met verwijzing naar een radiospotje van Wakker Dier, dat in het spotje mensen oproept om zich op de nieuwsbrief te abonneren. Een extreme vorm van opt-in. De zaal keurt af dat dit nodig is, maar ik zie werkelijk niet waarom. Het alternatief is dat iedere ontvanger zich maar moet gaan afmelden en dat lijkt mij ook niet werkbaar.

Dan komen we op de Hyveskrabbelzaak, waarin een berichtje op een socialenetwerkpagina ook als spam gezien werd. (Er is bezwaar gemaakt tegen de boete, dus misschien krijgen we nog wel een beroep bij de rechtbank ook.) Zwenne had zich goed ingelezen en vroeg zich af waarom Google-advertenties dan niet onder het spamverbod zouden vallen. De reactie van OPTA was opmerkelijk: inderdaad, behavioral targeting verdient aandacht en daar gaan we volgend jaar samen met Consumentenautoriteit en CBP naar kijken.

Er werden nog diverse pogingen gedaan om het met definities op te lossen. Als we bijvoorbeeld kunnen vastleggen wat ‘journalistiek’ is, dan kunnen we zeggen dat je journalisten mag spammen met persberichten. Of we definiëren “persbericht” en zeggen dat die altijd mogen. Maar het nadeel van die route is dat er dan direct misbruik gemaakt gaat worden van de definitie. Want dan heten morgen alle Viagramails ineens “PERSBERICHT”.

Als uitsmijter nog een doordenkertje: als je een dienstverlener bent die als dienst het aanleveren van nieuws en commerciële berichten heeft, moet je dan per mailing toch opt-out hebben?

Arnoud

De OPTA heeft een bedrijf en een persoon onterecht een boete opgelegd voor betrokkenheid bij de DollarRevenue-spywarezaak, meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware als onvoldoende duidelijk werd aangemerkt en je niet langs deze weg legaal software mag installeren. Dat de OPTA dan ten onrechte één BV en één van de directeuren privé had beboet, lijkt me dan meer iets voor de vierde alinea.

De boete werd opgelegd in 2007 vanwege het ongevraagd installeren van software, wat namelijk in strijd is met de Telecommunicatiewet, of beter gezegd het Besluit Universele Dienstverlening en Eindgebruikersbelangen (Bude). Het bedrijf DollarRevenue bood via allerlei affiliates een downloader aan, dat nadat het was geïnstalleerd op de computer van een eindgebruiker, zonder tussenkomst van die eindgebruiker automatisch contact opnam met de DollarRevenue server om daar nog meer software te downloaden. Daardoor kreeg de eindgebruiker een stroom van reclameboodschappen in floepvensters en een extra zoekbalk in de taakbalk van Windows XP, plus nog de nodige narigheid.

Nou mag dat op zich allemaal wel, mits je maar de gebruiker vooraf vertelt wat hij gaat downloaden. Dat was hier niet gebeurd: de software werd via botnets verspreid maar ook als ActiveX control aangeboden. En vanwege dat laatste maakten de DollarRevenue-jongens bezwaar tegen de boete. Bij ActiveX wordt namelijk een EULA getoond, en daar stond het allemaal heus in. Zeker sinds SP2, waarbij Microsoft de informatievoorziening rond installeren van ActiveX controls had uitgebreid.

Daar trapte de verrassed cluevolle rechtbank niet in:

Bij XP SP2 wordt immers uitsluitend algemene informatie verstrekt over de toepassing van ActiveX en wordt er geen informatie gegeven over de doeleinden en plaatsing van de downloader, de loader.exe en de advertentiebundel. Het duidelijk verschaffen van informatie komt neer op de invulling van ‘Name’ en ‘Publisher’ in het standaard ActiveX venster. Met betrekking tot de naam is het vermelden van ‘Click here to agree to this download’, zoals bij DollarRevenue, ontoereikend. Deze ruimte dient immers gebruikt te worden om de naam van de software kenbaar te maken. In bijvoorbeeld het ActiveX venster van Adobe Flash Player staat duidelijk om welke software het gaat, namelijk de Flash Player. Dit is met de naam ‘click here to agree to this download niet het geval.

(Een rechter die Flash installeert? Het moet niet gekker worden.)

De DollarRevenue jongens hadden nog wat achter de hand: in de EULA stond deze toch niets aan duidelijkheid overlatende zin:

Carefully read the following license agreement and the partner software application eulas found at the above online sites, because by downloading or installing, registering for, or using the software and/or partner application software, you are consenting to be bound by and are becoming a party to these agreements applicable to your software.

Maar het noemen van een EULA plus verwijzing naar die van anderen is toch bezwaarlijk uit te leggen als voldoende duidelijke uitleg over wat deze software nu gaat doen. Verwijzen naar EULAs van advertentiebedrijven helpt daarbij niet.

Bij andere verspreidingsvormen, zoals via dat botnet of via de silent install optie (bedoeld om de eindgebruiker “een overdaad aan informatieschermen te besparen”, hoe krijg je het verzonnen) en via exploits, werd zelfs helemaal niets in beeld gebracht. Dus hoe dan ook werd artikel 4.1 Bude overtreden.

Na een kort intermezzo over de bevoegdheid (veel gebruikers van deze software woonden buiten Nederland, maar dat bleek niet relevant) maakt de rechtbank vervolgens korte metten met het argument dat het allemaal de schuld van de affiliates was. DollarRevenue verspreidde de software ook zelf, en had bovendien niets gedaan om te controleren dat de affiliates zich netjes zouden gedragen.

Arnoud

De OPTA heeft een spammer met 12.000 euro beboet voor het plaatsen van 3.213.568 ongevraagde krabbels op Hyves met reclame voor een maffiaspel. Dat meldde Webwereld vorige week. Het is de eerste keer dat OPTA een boete uitdeelt voor het versturen van spam via een sociale netwerksite. Opmerkelijk, want de Telecommunicatiewet wordt nu een aardig stukje opgerekt.

Uit het boetebesluit blijkt hoe de spammert te werk ging:

Hyves heeft, na ontvangst van 1.300 klachten over deze ongevraagde krabbels, contact opgenomen met OPTA. Wegens het vermoeden van overtreding van het spamverbod heeft OPTA vervolgens een bezoek gebracht aan het woonadres van de privépersoon. Daar is bewijsmateriaal gevorderd. Op basis hiervan en uit de verklaringen van de privépersoon, bleek dat hij via een computerprogramma anonieme gebruikersprofielen aanmaakte. Deze profielen verzonden vervolgens automatisch krabbels naar willekeurige Hyves-gebruikers.

De krabbel werd ook nog eens voorzien van de naam van een vriend van de aangeschreven (aangekrabbelde?) gebruiker, om zo deze te verlokken op de link te klikken.

Juridisch opmerkelijk hieraan is dat -als je goed leest- de Telecommunicatiewet alleen verbiedt om spam te versturen aan “abonnees”, mensen die “partij zijn bij een overeenkomst met een aanbieder van openbare elektronische communicatiediensten voor de levering van dergelijke diensten” (art. 1.1 sub p Tw). Is Hyves een openbare elektronische communicatiedienst? Ik mag toch hopen van niet. Al was het maar omdat ze dan ineens aan de Wet Bewaarplicht vastzitten. Maar wellicht is de redenering dat je als Hyver ook wel abonnee bij een internetprovider bent.

De boete was overigens niet alleen gebaseerd op overtreding van het spamverbod uit artikel 11.7 Telecommunicatiewet, maar ook op het feit dat de verplichte naams- en adresvermelding voor commerciële communicatie (art. 3:15d BW) ontbrak.

Ik ga nu eens wat klachten indienen op Spamklacht.nl voor de commentspam op mijn blog.

Arnoud

Tijdens de discussie over opt-in per algemene voorwaarden kwam nog een interessante vraag naar boven: mag een vereniging haar leden ongevraagde mails of SMS-berichten sturen?

Hoofdregel is dat je bij ongevraagde elektronische berichten (SMS, e-mail, fax, MSN, noem maar op) toestemming moet hebben voor het versturen van deze berichten. Tenminste, als die berichten “commercieel, charitatief of ideëel” zijn. Een mededeling over de sluitingstijden van het clubhuis valt daar niet onder, maar een bedelbrief voor geld om een nieuw clubhuis te bouwen wel.

Ik heb de OPTA afgelopen maandag deze vraag voorgelegd, maar helaas nog geen reactie ontvangen. Het beste advies lijkt me dus om bij het lid worden mensen te vragen of ze nieuwsbrieven, verzoeken van het bestuur en dergelijke mails willen ontvangen. Alleen: hoe formuleer je dat op zo’n manier dat mensen het wel oké vinden maar je toch je maandelijkse bedelbrieven voor een nieuw clubhuis kunt sturen?

Arnoud

Bij Rectec verscheen vorige week een interview met mij over de gevolgen van de nieuwe spamwetgeving voor werving & recruiting. Mag je per 1 oktober nog wel mensen mailen om ze een nieuwe baan aan te bieden? Dat bleek gebaseerd op een misverstand: mensen ongevraagd mailen voor commerciële aanbiedingen is allang verboden. Het nieuwe is dat je bedrijven ook niet meer mag mailen met zulke aanbiedingen.

Oftewel: het zinnetje “Acquisitie n.a.v. deze advertentie is verboden” krijgt nu juridische tandjes. Ik vond dat vroeger ook altijd een raadselachtig zinnetje, maar het betekent dus dat men niet wil dat werving&selectiebureaus gaan bellen of mailen omdat zij een alternatief weten voor de openstaande vacacture. Bijvoorbeeld: ach, u wilt geen administrateur, besteed uw administratie gewoon uit bij ons. En dat is een ongevraagde commerciële aanbieding, die dus per 1 oktober niet meer mag.

In de comments werd verwezen naar een toelichting van de OPTA op het ongevraagd bellen van bedrijven na 1 oktober. Daarin stond nog een interessante observatie, die een bom legt onder de opt-inpraktijk van veel bedrijven:

Ook bij het gebruik van belbestanden, die zijn verkregen via enquêtes of een website waarbij consumenten door het accepteren van de algemene voorwaarden of een privacy statement toestemming geven voor het gebruik van hun contactgegevens. In dat geval is er nog steeds sprake van ongevraagde communicatie. En moeten de belbestanden dus worden opgeschoond met het register.

Volgens de wet moet “uitdrukkelijk” toestemming worden gevraagd, en een zinnetje over toestemming in de algemene voorwaarden is inderdaad niet “uitdrukkelijk”. Dat belooft dus nog wat voor 90% van de Nederlandse websites die het wel zo doet.

Arnoud

Per 1 oktober worden zakelijke mailings aan banden gelegd. Commerciële, ideële en charitatieve mails aan zakelijke e-mailadressen mogen dan alleen nog met voorafgaande en ondubbelzinnige toestemming. Jaja, zult u denken, dat wisten we allemaal al (waarom het 1 oktober moest worden in plaats van de toegezegde 1 juli weet ik nog steeds niet).

Dat het adressenbestand van allerlei mailinglijsten nu opgeschoond moet worden, begint ondertussen bij veel bedrijven ook door te dringen. Maar lang niet iedereen lijkt door te hebben dat je expliciet toestemming moet vragen. Stilzwijgen is geen toestemming. Lijkt mij logisch, maar toch zie ik (via diverse lezers, waarvoor dank) regelmatig mails als de volgende:

Ja, ik wil in de toekomst op de hoogte gehouden worden: klik hier.

Nee, ik wil in de toekomst niet op de hoogte gehouden worden: klik hier.

Na het maken van uw keuze ontvangt u per omgaande een bevestiging per e-mail. Mochten wij voor 15 september geen reactie van u hebben ontvangen, dan gaan wij ervan uit dat u onze berichten op prijs stelt.

Mooi is dat. Ik ga er vanuit dat deze lezer een spamklacht indient bij de OPTA na 1 oktober en dat dat zal leiden tot een leuke boete.

En het is “er vanuit“.

Arnoud