Internetrecht door Arnoud Engelfriet

Gisteren was ik bij een door De Perslijst georganiseerde discussie tussen de OPTA, journalistiek en advocatuur over het zakelijke spamverbod en wat dat betekent voor de pers. Met vertegenwoordigers van de OPTA, Logeion (de beroepsvereniging voor communicatie), de hoofdredacteur van journalistenvakblad Villamedia en telecomadvocaat Gerrit-Jan Zwenne beloofde dat wat.

Vorig jaar oktober is het spamverbod uitgebreid: ook ongevraagde commerciële, charitatieve of ideële mail naar zakelijke ontvangers was verboden. Dat gaf aardig wat paniek in de tent, maar nog steeds is er veel onduidelijkheid. Mag je bijvoorbeeld persberichten rondsturen naar iedereen die eruit ziet als een journalist? Of is dat ook spam? Hangt het er vanaf of het persbericht echt nieuws is of alleen maar een commercieel verhaal? En is “Mercedes lanceert nieuw model S300″ dan echt nieuws?

Het panel opende met de mooie constatering dat “wat mag er nu” een simpele vraag is met een heel wat moeilijker antwoord. De veelgestelde vragen op de site van de OPTA vermelden bijvoorbeeld “Het is mogelijk dat een persbericht onder het spamverbod valt.” Wat moet je daarmee als ondernemer? Betekent dit “het kan, in theorie” of “dit is 99% zeker”? De OPTA kan dan wel geruststellend zeggen dat men niet handhavend optreedt tenzij er schade en overlast van komt, maar dat is natuurlijk geen juridische zekerheid.

En dat was waar de zaal toch naar op zoek was. De consensus leek te zijn: moeten we nu werkelijk zo moeilijk doen over persberichten in de spamwet, want welke journalist gaat dit als spam zien? Journalisten hebben meningen van belanghebbenden nodig en moeten dus veel mail krijgen met persberichten. Communicatiebureaus zullen echt niet zomaar iedereen hun persbericht sturen, want iemand een persbericht opdringen werkt alleen maar contraproductief. En mocht een journalist toch eens van werkgebied veranderen, dan kan hij via de contactgegevens bij het persbericht zich afmelden. Journalisten klikken liever drie keer iets weg dan de kans te lopen nieuws te missen.

De OPTA ziet het toch anders: wat nu als een politieke partij of Goed Doel besluit elk Nederlands bedrijf een mail te sturen omdat er NU actie voor Haïti nodig is. Daarop werd gereageerd met verwijzing naar een radiospotje van Wakker Dier, dat in het spotje mensen oproept om zich op de nieuwsbrief te abonneren. Een extreme vorm van opt-in. De zaal keurt af dat dit nodig is, maar ik zie werkelijk niet waarom. Het alternatief is dat iedere ontvanger zich maar moet gaan afmelden en dat lijkt mij ook niet werkbaar.

Dan komen we op de Hyveskrabbelzaak, waarin een berichtje op een socialenetwerkpagina ook als spam gezien werd. (Er is bezwaar gemaakt tegen de boete, dus misschien krijgen we nog wel een beroep bij de rechtbank ook.) Zwenne had zich goed ingelezen en vroeg zich af waarom Google-advertenties dan niet onder het spamverbod zouden vallen. De reactie van OPTA was opmerkelijk: inderdaad, behavioral targeting verdient aandacht en daar gaan we volgend jaar samen met Consumentenautoriteit en CBP naar kijken.

Er werden nog diverse pogingen gedaan om het met definities op te lossen. Als we bijvoorbeeld kunnen vastleggen wat ‘journalistiek’ is, dan kunnen we zeggen dat je journalisten mag spammen met persberichten. Of we definiëren “persbericht” en zeggen dat die altijd mogen. Maar het nadeel van die route is dat er dan direct misbruik gemaakt gaat worden van de definitie. Want dan heten morgen alle Viagramails ineens “PERSBERICHT”.

Als uitsmijter nog een doordenkertje: als je een dienstverlener bent die als dienst het aanleveren van nieuws en commerciële berichten heeft, moet je dan per mailing toch opt-out hebben?

Arnoud

De OPTA heeft een spammer met 12.000 euro beboet voor het plaatsen van 3.213.568 ongevraagde krabbels op Hyves met reclame voor een maffiaspel. Dat meldde Webwereld vorige week. Het is de eerste keer dat OPTA een boete uitdeelt voor het versturen van spam via een sociale netwerksite. Opmerkelijk, want de Telecommunicatiewet wordt nu een aardig stukje opgerekt.

Uit het boetebesluit blijkt hoe de spammert te werk ging:

Hyves heeft, na ontvangst van 1.300 klachten over deze ongevraagde krabbels, contact opgenomen met OPTA. Wegens het vermoeden van overtreding van het spamverbod heeft OPTA vervolgens een bezoek gebracht aan het woonadres van de privépersoon. Daar is bewijsmateriaal gevorderd. Op basis hiervan en uit de verklaringen van de privépersoon, bleek dat hij via een computerprogramma anonieme gebruikersprofielen aanmaakte. Deze profielen verzonden vervolgens automatisch krabbels naar willekeurige Hyves-gebruikers.

De krabbel werd ook nog eens voorzien van de naam van een vriend van de aangeschreven (aangekrabbelde?) gebruiker, om zo deze te verlokken op de link te klikken.

Juridisch opmerkelijk hieraan is dat -als je goed leest- de Telecommunicatiewet alleen verbiedt om spam te versturen aan “abonnees”, mensen die “partij zijn bij een overeenkomst met een aanbieder van openbare elektronische communicatiediensten voor de levering van dergelijke diensten” (art. 1.1 sub p Tw). Is Hyves een openbare elektronische communicatiedienst? Ik mag toch hopen van niet. Al was het maar omdat ze dan ineens aan de Wet Bewaarplicht vastzitten. Maar wellicht is de redenering dat je als Hyver ook wel abonnee bij een internetprovider bent.

De boete was overigens niet alleen gebaseerd op overtreding van het spamverbod uit artikel 11.7 Telecommunicatiewet, maar ook op het feit dat de verplichte naams- en adresvermelding voor commerciële communicatie (art. 3:15d BW) ontbrak.

Ik ga nu eens wat klachten indienen op Spamklacht.nl voor de commentspam op mijn blog.

Arnoud

Tijdens de discussie over opt-in per algemene voorwaarden kwam nog een interessante vraag naar boven: mag een vereniging haar leden ongevraagde mails of SMS-berichten sturen?

Hoofdregel is dat je bij ongevraagde elektronische berichten (SMS, e-mail, fax, MSN, noem maar op) toestemming moet hebben voor het versturen van deze berichten. Tenminste, als die berichten “commercieel, charitatief of ideëel” zijn. Een mededeling over de sluitingstijden van het clubhuis valt daar niet onder, maar een bedelbrief voor geld om een nieuw clubhuis te bouwen wel.

Ik heb de OPTA afgelopen maandag deze vraag voorgelegd, maar helaas nog geen reactie ontvangen. Het beste advies lijkt me dus om bij het lid worden mensen te vragen of ze nieuwsbrieven, verzoeken van het bestuur en dergelijke mails willen ontvangen. Alleen: hoe formuleer je dat op zo’n manier dat mensen het wel oké vinden maar je toch je maandelijkse bedelbrieven voor een nieuw clubhuis kunt sturen?

Arnoud

Bij Rectec verscheen vorige week een interview met mij over de gevolgen van de nieuwe spamwetgeving voor werving & recruiting. Mag je per 1 oktober nog wel mensen mailen om ze een nieuwe baan aan te bieden? Dat bleek gebaseerd op een misverstand: mensen ongevraagd mailen voor commerciële aanbiedingen is allang verboden. Het nieuwe is dat je bedrijven ook niet meer mag mailen met zulke aanbiedingen.

Oftewel: het zinnetje “Acquisitie n.a.v. deze advertentie is verboden” krijgt nu juridische tandjes. Ik vond dat vroeger ook altijd een raadselachtig zinnetje, maar het betekent dus dat men niet wil dat werving&selectiebureaus gaan bellen of mailen omdat zij een alternatief weten voor de openstaande vacacture. Bijvoorbeeld: ach, u wilt geen administrateur, besteed uw administratie gewoon uit bij ons. En dat is een ongevraagde commerciële aanbieding, die dus per 1 oktober niet meer mag.

In de comments werd verwezen naar een toelichting van de OPTA op het ongevraagd bellen van bedrijven na 1 oktober. Daarin stond nog een interessante observatie, die een bom legt onder de opt-inpraktijk van veel bedrijven:

Ook bij het gebruik van belbestanden, die zijn verkregen via enquêtes of een website waarbij consumenten door het accepteren van de algemene voorwaarden of een privacy statement toestemming geven voor het gebruik van hun contactgegevens. In dat geval is er nog steeds sprake van ongevraagde communicatie. En moeten de belbestanden dus worden opgeschoond met het register.

Volgens de wet moet “uitdrukkelijk” toestemming worden gevraagd, en een zinnetje over toestemming in de algemene voorwaarden is inderdaad niet “uitdrukkelijk”. Dat belooft dus nog wat voor 90% van de Nederlandse websites die het wel zo doet.

Arnoud

Per 1 oktober worden zakelijke mailings aan banden gelegd. Commerciële, ideële en charitatieve mails aan zakelijke e-mailadressen mogen dan alleen nog met voorafgaande en ondubbelzinnige toestemming. Jaja, zult u denken, dat wisten we allemaal al (waarom het 1 oktober moest worden in plaats van de toegezegde 1 juli weet ik nog steeds niet).

Dat het adressenbestand van allerlei mailinglijsten nu opgeschoond moet worden, begint ondertussen bij veel bedrijven ook door te dringen. Maar lang niet iedereen lijkt door te hebben dat je expliciet toestemming moet vragen. Stilzwijgen is geen toestemming. Lijkt mij logisch, maar toch zie ik (via diverse lezers, waarvoor dank) regelmatig mails als de volgende:

Ja, ik wil in de toekomst op de hoogte gehouden worden: klik hier.

Nee, ik wil in de toekomst niet op de hoogte gehouden worden: klik hier.

Na het maken van uw keuze ontvangt u per omgaande een bevestiging per e-mail. Mochten wij voor 15 september geen reactie van u hebben ontvangen, dan gaan wij ervan uit dat u onze berichten op prijs stelt.

Mooi is dat. Ik ga er vanuit dat deze lezer een spamklacht indient bij de OPTA na 1 oktober en dat dat zal leiden tot een leuke boete.

En het is “er vanuit“.

Arnoud

Ongevraagde e-mailreclame naar bedrijven wordt pas per 1 oktober verboden. Dat maakte het ministerie van EZ in een enkele zin in een persbericht met als titel “Telecomcontracten vanaf 1 juli makkelijker op te zeggen” afgelopen zondag bekend. Erg fijn, want heel Nederland had net geleerd dat het spamverbod ook op 1 juli uitgebreid zou worden.

Hoe je dit zou kunnen weten? Nou, niet dus, tenzij je toevallig alle persberichten van EZ leest. Want in de parlementaire stukken rond dit wetsvoorstel (30661) vind je er niets over. De laatste bronnen die ik kan vinden over wetsvoorstel 30.661 noemen namelijk 1 oktober alleen als datum voor inwerkingtreding van het Bel-me-niet register. Zo verklaarde de staatssecretaris in november vorig jaar:

Bedrijven willen niet gedurende het gehele jaar met veranderingen worden geconfronteerd. Wij hebben afgesproken om of op 1 januari of op 1 juli veran­deringen aan te brengen. … Daarom zullen wij voor de onderdelen die direct ingrijpen op de bedrijfsvoering de datum van 1 juli 2009 hanteren. Daarbij denk ik aan de contractduur en de opzegtermijnen, het bel-me-niet-register en de uitbreiding van het spamverbod, zodat dat ook zal gelden voor rechtspersonen en bedrijven. Voor deze onderdelen zal de datum van 1 juli 2009 gelden. Er wordt dus een reële overgangs­termijn in acht genomen.

Kennelijk was de lobby van de e-mailmarketingbelangengroepen dus toch in staat om nog even wat te regelen. Een andere verklaring voor deze vertraging kan ik niet bedenken.

Nou ja, heeft u nog iets langer om uw bestand met langs inmiddels onbekende weg vergaarde e-mailadressen op te schonen.

Arnoud

Gisteren blogde ik op onze ICTRecht weblog over het uitgebreide spamverbod dat per 1 juli in werking zal treden. De grote uitdaging voor veel bedrijven wordt namelijk: welke adressen hadden we ook alweer via opt-in verkregen en welke dachten we tot in de eeuwigheid te mogen spammen?

U mag er daarbij niet vanuit gaan dat mensen die nooit hebben geklaagd over uw mailings, daarmee toestemming hebben gegeven. Opt-in wil zeggen expliciete toestemming. Stilzwijgen is niet genoeg - wie weet gooit men die mails wel ongelezen weg.

Ik ben echt heel benieuwd hoe bedrijven dit gaan aanpakken. Iemand enig idee? Of ben ik te pessimistisch over het opt-ingehalte (optingehalte? opt-in-gehalte?) van de gemiddelde Nederlandse bedrijfse-maildatabase (bedrijfsemaildatabase? bedrijfse-mail-database?) En wat zijn de spellingregels over samengestelde woorden met koppelstreepjes?

(Oh ja, beste Loek: het is ICTRecht zonder spatie.)

Arnoud

Spam is verboden, maar over één spammail moet u niet zeuren. Of nou ja, dat mag wel, maar telecomtoezichthouder en antispamhandhaver OPTA hoeft geen maatregelen te nemen tegen bedrijven of instellingen op basis van één klacht over een spamrun. Dat blijkt uit een helaas nog ongepubliceerd vonnis (via Solv).

Het ging in deze zaak om ideële reclame voor een politieke partij (iemand enig idee welke?). De ontvanger, een privépersoon, diende een klacht in maar de OPTA weigerde hierop actie te ondernemen. OPTA heeft maar beperkte capaciteit en laat daarom het aantal klachten meewegen bij de beslissing om tegen spams in actie te komen.

Formeel is zo’n weigering een besluit in de zin van de Algemene Wet Bestuursrecht, en daartegen kun je in bezwaar en vervolgens in beroep bij de rechtbank. Dat deed deze persoon dan ook, maar de rechter gaf de OPTA gelijk. Handhaving van het spamverbod is een bevoegdheid, een recht dus, maar geen plicht. De OPTA mag dus kiezen bepaalde spams te laten gaan, mits ze daarvoor redelijke gronden heeft. En het feit dat er slechts één klacht binnenkwam, is een redelijke grond. De politieke aard van de mail maakte daarbij niet uit.

Op zich een prima vonnis, hoewel het natuurlijk jammer is dat de OPTA zo weinig capaciteit heeft dat ze dit soort keuzes moet maken. En ik denk dat het wel een mooi signaal was geweest als een Nederlandse politieke partij op haar kop had gekregen voor het versturen van ideële spam, ook al was er maar één klacht over gekomen.

Afijn, dit betekent dus dat we met zijn allen vaker moeten klagen over Nederlandstalige spam bij de OPTA. Hoewel je dan wel elke keer dat formulier moet invullen. Kan iemand daar niet eens een Firefox-plugin voor maken die dat automatisch doet? Of eigenlijk een Thunderbird-plugin die de mail omvormt tot een ingevuld spamklachtformulier?

Arnoud

De laatste tijd krijg ik erg veel uitnodigingen om lid te worden van Legal 360, een “networking-site voor juridische professionals”. Bij deze: nee, dank u.

Legal 360 hanteert een bekende maar zeer irritante truc:

Contacten kunnen met een handige tool snel worden geïmporteerd vanuit o.a. Outlook, Yahoo, Gmail of Hotmail.

En bij dat “o.a.” hoort ook LinkedIn, waar veel van de mensen op zitten die mij uitnodigen. Oftewel: upload uw adresboek en wij mailen al uw vrienden.

Edit: bent u lid van Legal 360? Zo ja, zou u dan hieronder willen uitleggen hoe deze feature precies werkt? Moet je zelf de adressen kiezen naar wie de mail gaat, of is het altijd je complete adresboek?

Gelukkig bleek het bedrijf responsief. Na mijn boze mail dat ik geen zin had in die uitnodigingen, reageerde men dezelfde dag nog dat er een blacklist ingebouwd zou worden waar iedereen zijn of haar e-mailadres kon achterlaten om vervolgens gevrijwaard te worden van uitnodigingen. Best wel netjes, en een aardige aanvulling op de recente regels van OPTA/CBP over tell-a-friend systemen. Zo kan het dus ook!

Arnoud

Ja ja, dat vond u allemaal heel ironisch: mij via tell-a-friend linkjes het nieuws melden dat tell-a-friend systemen onder voorwaarden legaal verklaard zijn. Maar die voorwaarden zijn dan wel weer heel streng, zodat driekwart van u mijn persoonsgegevens in strijd met de wet verwerkt heeft. En dat vind ik dan weer ironisch. Afijn, waar hebben we het over. Oh ja, spam.

Tell-a-friend systemen op websites laten mensen naam en e-mailadres van vrienden invullen, die vervolgens een webpagina, een digitale ansichtkaart, een interessante aanbieding of een uitnodiging voor een spelletje in de mail ontvangen. De juridische vraag is of dat mag: de Telecomwet verbiedt het versturen van commerciële mails zonder toestemming, en de privacywetgeving verbiedt het verwerken (opslaan of gebruiken) van e-mailadressen zonder toestemming. Toestemming van de ontvanger wel te verstaan, en dat is precies waar deze systemen tegenaan lopen: je kunt je vrienden niet opt-innen voor dat soort berichten.

In een gezamenlijk oordeel formuleren de telecom- en privacywaakhonden vier regels waar een tell-a-friend systeem op een website aan zou moeten voldoen. Zowel Agent van Geel als het ministerie van Defensie handelen toch echt in strijd met de wet.

Uitgangspunt van zowel College Bescherming Persoonsgegevens als OPTA is dat de wet inderdaad geschonden wordt door tell-a-friend systemen. Onder bijzondere omstandigheden zijn zij bereid om toch hun toestemming te geven.

De OPTA formuleert drie eisen:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.

De Agent van Geel-actie voldoet aan de eerste eis, want een beloning krijg je niet. Maar het was bepaald niet duidelijk wie de afzender was. Je werd gebeld door agent Van Geel zelf, en zien wie je opgegeven had, kon niet. Ook had je als afzender geen inzage in het bericht. Voor de recente Defensie-actie (”Geeft acht!”) geldt hetzelfde.

Het CBP voegt daar nog aan toe:

4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

Na het versturen van de tell-a-friend mail moet het e-mailadres van de ontvanger dus worden weggegooid. Zelfs een herinnering sturen mag niet, meldt het CBP.

Het lijkt me een aardig compromis. Wat jullie?

Arnoud