Internetrecht door Arnoud Engelfriet

Toegegeven, ik moest erom lachen, maar eigenlijk is het om te huilen zo schaamteloos tegen de wet is het: de “verkoop je vrienden” actie van 1dayfly. Zoals na te lezen bij een Twittervolger (dank) is de actie simpel: vul als lid van de dienst de e-mailadressen van al je vrienden in, waarna de dienst ze mailt onder jouw naam en ze aanspoort lid te worden van de koopjessite. Dit levert beide partijen credits op. Het is buitengewoon stuitend dat een Nederlands bedrijf zo’n evident strafbare actie onderneemt onder het mom van “haha kijk ons eens lekker ludiek zijn”.

Een tell-a-friendsysteem waarbij bezoekers anderen kunnen tippen over een product of dienst is op zich legaal, maar wel onder vier voorwaarden:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

De actie voldoet volgens mij aan geen van de vier eisen. Zowel afzender als ontvanger krijgen een beloning in de vorm van credits, dus aan die eerste eis is al niet voldaan. Inzage in het bericht krijg je ook niet, en de mail wordt verstuurd onder de naam van de gebruiker en niet 1DeadFly zelf. En het is afwachten of de mailadressen niet toch nog vaker dan één keer worden gebruikt.

Richard van Delft wijst er via Twitpic nog op dat je met deze actie ook kunt zien wat je vrienden kopen: je krijgt namelijk aanvullende credits daarvoor, en die zijn te relateren aan de aanschaf.

Wil iedereen die mail krijgt van deze spammers een klacht indienen bij Spamklacht? En daarna zijn/haar vrienden meppen omdat ze een spamdienst gebruiken?

Arnoud

Een lezer wees me op SMELL-WELL.net, “waar u op een subtiele wijze uw vrienden, kennissen, collega’s of partner kunt attenderen op hun ‘Geur-probleem’.” Het idee is dat je iemand niet zomaar in z’n gezicht zegt dat hij slechte adem of stinkvoeten heeft. Deze anonieme dienst biedt dan een manier om dat toch te kunnen melden zonder dat jij er persoonlijk op aangekeken wordt.

Even afgezien van de ethische vraag: is het legaal om zo’n dienst aan te bieden? Het riekt (haha) naar een reclamedienst gebaseerd op het tell-a-friendprincipe. Nu zijn tell-a-friendsystemen onder voorwaarden legaal, dus laten we eens kijken of aan de voorwaarden is voldaan.

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
Ik kan op de site nergens vinden dat jij of de ontvanger een beloning krijgt. Dit lijkt me dus prima.

Wel staat er een hyperlink naar deze site, waar je kunt kijken “welke oplossingen er voor je probleem beschikbaar zijn.” Dat is natuurlijk ook de insteek van deze site: reclame maken voor de producten van dit bedrijf.

2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
In de mails die je ontvangt via deze dienst, staat

Met Vriendelijke Groet, )|( Smell-Well.net

3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
Die krijg ik niet: na het invullen van het veld krijg ik alleen te horen dat de mail is verzonden. Wel krijg ik achteraf een kopie van de mail zoals verzonden, maar da’s natuurlijk een beetje laat.

4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.
Ik twijfel of hieraan wordt voldaan, want nadat de mail is verstuurd krijgt de afzender nog een mail, met daarin

Mocht het door jou gemelde Geurprobleem zijn opgelost, dan verzoeken we je vriendelijk om op onderstaande link te klikken. Gooi deze e-mail niet weg, want met deze link wordt een automatisch bericht gestuurd naar de voormalige Stinker waarbij hij/zij wordt bedankt voor het aanpakken van het geurprobleem.

Ik kan uit de URL niet halen of daar het e-mailadres van de ontvanger in zit (”reporterid=3560&token=0e000c1328b0a0870ee0ba02e0b3a58a”), maar ik zit er zélf wel in gezien die reporterid. En dat mag niet van de tell-a-friendregels: het is mailen en weggooien die informatie.

Er is wel een beveiliging in de vorm van een captcha, dus het is niet eenvoudig om mensen grootschalig te spammen met mails. Ook moet de afzender eerst zijn e-mailadres bevestigen via een link.

Alles bij elkaar vind ik ‘m twijfelachtig. Jullie?

Arnoud

Een lezer wees me op de recente Twitteractie van de Bijenkorf: een leuk idee of verboden spam?

Is dit spam, of beter gezegd ongevraagde commerciële communicatie? Je zou zeggen van niet, want je kiest er zelf voor de Bijenkorf te volgen. Maar het gaat om de retweet-actie: als jij dergelijke tweets retweet, geef jij de reclame van de Bijenkorf door aan je eigen volgers. En hebben die toestemming gegeven voor dergelijke reclame van jou?

Dit lijkt sterk op de tell-a-friend systemen op veel websites, waarover OPTA en CBP eind 2008 een regeling maakten. Sites mogen diensten opzetten om je vrienden lastig te vallen met reclame, mits:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

Lees voor “website” nu dus @debijenkorf, en volgens mij is het dan snel duidelijk dat men hier niet onder valt. Er wordt een beloning uitgeloofd voor het tell-a-friendmechanisme, en dat is tegen de regels.

De OPTA heeft al eerder aangegeven dat ze ongevraagde commerciele Hyveskrabbels onder het spamverbod vindt vallen. Er lijkt maar weinig verschil tussen een Hyveskrabbel en een Twitterbericht. Maar in de discussie destijds werd gewezen op de definitie van “communicatie” uit de Telecommunicatiewet:

informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst

Een twitterbericht is in principe voor iedereen leesbaar (tenzij iemand zijn tweets afgeschermd heeft). Daarmee zou dan geen sprake zijn van “communicatie”, en dus ook niet van spam. Maar veel Hyveskrabbels zijn ook openbaar, en daarvan zei de OPTA:

De ontvanger kan de krabbel pas lezen door in te loggen op zijn profiel. De informatie die middels de krabbel wordt uitgewisseld is alleen te lezen door abonnees die zich op Hyves hebben geregistreerd. Dus door een eindig aantal partijen. Derhalve kan er worden gesproken van communicatie in de zin van artikel 11.7 Tw tussen [X] en de abonnees.

Juridisch gezien zie ik dus geen belemmering om reclameretweets als spam aan te merken. Maar ik vind die conclusie net zo absurd als dat Hyveskrabbels onder het spamverbod vallen.

Arnoud

De laatste tijd krijg ik erg veel uitnodigingen om lid te worden van Legal 360, een “networking-site voor juridische professionals”. Bij deze: nee, dank u.

Legal 360 hanteert een bekende maar zeer irritante truc:

Contacten kunnen met een handige tool snel worden geïmporteerd vanuit o.a. Outlook, Yahoo, Gmail of Hotmail.

En bij dat “o.a.” hoort ook LinkedIn, waar veel van de mensen op zitten die mij uitnodigen. Oftewel: upload uw adresboek en wij mailen al uw vrienden.

Edit: bent u lid van Legal 360? Zo ja, zou u dan hieronder willen uitleggen hoe deze feature precies werkt? Moet je zelf de adressen kiezen naar wie de mail gaat, of is het altijd je complete adresboek?

Gelukkig bleek het bedrijf responsief. Na mijn boze mail dat ik geen zin had in die uitnodigingen, reageerde men dezelfde dag nog dat er een blacklist ingebouwd zou worden waar iedereen zijn of haar e-mailadres kon achterlaten om vervolgens gevrijwaard te worden van uitnodigingen. Best wel netjes, en een aardige aanvulling op de recente regels van OPTA/CBP over tell-a-friend systemen. Zo kan het dus ook!

Arnoud

Marc Drees mocht naar New York. Dacht hij. Want op de site hadden ze niet alleen irritante muziek, maar ook algemene voorwaarden, en toen bleek het toch allemaal iets anders te liggen. Het ging om een wedstrijd waarbij je je naam en persoonsgegevens moest opgeven, plus nog wat anders:

Maar dan moet ik ineens ook persoonsgegevens van mijn vrienden invullen. Wacht even? Ik heb toch alleen toestemming gegeven tot het verzamelen en beschikbaar stellen van mijn eigen persoonsgegevens?

En ik zit nu de persoonsgegevens van anderen in te vullen die daar helemaal geen toestemming voor hebben gegeven. Maar dat is nu mijn probleem geworden? Netjes van Monsterboard.

Een perfect voorbeeld van hoe een tell-a-friend systeem niet moet. Zulke systemen zijn alleen onder voorwaarden legaal. Er zijn vier eisen:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

Een reisje naar New York lijkt me toch wel een (kans op) beloning voor de afzender of ontvanger.

Het doel van Monsterboard bij het verzamelen van de adressen is om deze mensen vacatures te kunnen sturen. Je mag namelijk geen vrienden opgeven als er geen voor die vrienden passende vacatures bij Monsterboard bekend zijn! Je kunt dus maar beter een puntlasser in je vriendenkring hebben dan een lerares Frans geloof ik.

Hoe zouden jullie het vinden als je zo aan Monsterboard gegeven werd door een vriend?

Arnoud

Ja ja, dat vond u allemaal heel ironisch: mij via tell-a-friend linkjes het nieuws melden dat tell-a-friend systemen onder voorwaarden legaal verklaard zijn. Maar die voorwaarden zijn dan wel weer heel streng, zodat driekwart van u mijn persoonsgegevens in strijd met de wet verwerkt heeft. En dat vind ik dan weer ironisch. Afijn, waar hebben we het over. Oh ja, spam.

Tell-a-friend systemen op websites laten mensen naam en e-mailadres van vrienden invullen, die vervolgens een webpagina, een digitale ansichtkaart, een interessante aanbieding of een uitnodiging voor een spelletje in de mail ontvangen. De juridische vraag is of dat mag: de Telecomwet verbiedt het versturen van commerciële mails zonder toestemming, en de privacywetgeving verbiedt het verwerken (opslaan of gebruiken) van e-mailadressen zonder toestemming. Toestemming van de ontvanger wel te verstaan, en dat is precies waar deze systemen tegenaan lopen: je kunt je vrienden niet opt-innen voor dat soort berichten.

In een gezamenlijk oordeel formuleren de telecom- en privacywaakhonden vier regels waar een tell-a-friend systeem op een website aan zou moeten voldoen. Zowel Agent van Geel als het ministerie van Defensie handelen toch echt in strijd met de wet.

Uitgangspunt van zowel College Bescherming Persoonsgegevens als OPTA is dat de wet inderdaad geschonden wordt door tell-a-friend systemen. Onder bijzondere omstandigheden zijn zij bereid om toch hun toestemming te geven.

De OPTA formuleert drie eisen:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.

De Agent van Geel-actie voldoet aan de eerste eis, want een beloning krijg je niet. Maar het was bepaald niet duidelijk wie de afzender was. Je werd gebeld door agent Van Geel zelf, en zien wie je opgegeven had, kon niet. Ook had je als afzender geen inzage in het bericht. Voor de recente Defensie-actie (”Geeft acht!”) geldt hetzelfde.

Het CBP voegt daar nog aan toe:

4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

Na het versturen van de tell-a-friend mail moet het e-mailadres van de ontvanger dus worden weggegooid. Zelfs een herinnering sturen mag niet, meldt het CBP.

Het lijkt me een aardig compromis. Wat jullie?

Arnoud

Gisteren schreef ik bij Marketingfacts over een Spaans verbod op tell-a-friend systemen. Dat is namelijk spam:

Klik hier om dit bericht door te sturen naar een vriend. Die tell a friend systemen zijn niet alleen irritant, maar in Spanje overtreedt je er ook nog de privacywetgeving mee. Spaanse listbrokers liggen onder vuur, meldde de DDMA vorige week. E-mailadressen zijn ook persoonsgegevens, net als naam en adres. En verwerking daarvan mag alleen met toestemming van de eigenaar. De Spaanse wetgeving komt uit dezelfde Europese richtlijn als onze Wet Bescherming Persoonsgegevens, dus het ligt in de lijn der verwachting dat onze rechter net zo zal oordelen. Is het dan nu eindelijk afgelopen met die knopjes?

Lees verder in Hou op met spammen, beste vriend! bij Marketingfacts!.

Arnoud