Wat betekent de nieuwe Telecommunicatiewet voor telemarketing?

| AE 12723 | Regulering | 7 reacties

Een lezer vroeg me:

Per 1 juli wijzigt de Telecommunicatiewet. Ik begrijp uit de wetsteksten dat de wet eigenlijk bedoeld is voor consumenten. Maar kan ik bijvoorbeeld straks nog wel zonder toestemming te hebben gegeven en zonder een klantrelatie te hebben als medewerker van bedrijf X (niet ZZP of eenmanszaak) voor verkoopdoeleinden worden gebeld door bedrijf Y op mijn rechtstreekse werktelefoonnummer? Of alleen via het algemene telefoonnummer van mijn bedrijf X?
In januari van dit jaar heeft de Eerste Kamer inderdaad een aantal wijzigingen aan de Telecommunicatiewet doorgevoerd. Deze wet bevat een aantal belangrijke bepalingen voor telemarketing, zowel per telefoon als via e-mail (of, juristen zijn ouderwets, per fax).

De belangrijkste wijziging is dat er nu een algemeen opt-in regime geldt voor telemarketing. Ja, dus ook voor ongevraagd bellen. Het bel-me-niet register wordt dan ook opgeheven, dat was immers een opt-out systeem dat nu overbodig wordt. Alleen (betalende) klanten mag je ongevraagd blijven bellen (of mailen), mits je maar bij het klant-worden ze expliciet hierop hebt gewezen en ze een bezwaaroptie bood. Let op: dat is dus niet “bij ieder belletje zeggen we dat je je kunt afmelden” maar op het bestelformulier een “ik wil niet gebeld worden” vinkje.

Nieuw is dat ideële organisaties je mogen bellen of mailen nadat je een schenking of donatie deed. Dat is natuurlijk geen “bestelling”, maar de wet vermeldt nu expliciet dat ook dan er een opt-out regime geldt. Ook als je vrijwilliger bent of naar een manifestatie gaat, dan mag men op deze opt-out basis je benaderen.

Naast consumenten hebben ook bedrijven veel last van ongevraagde telefonische reclame. Ook daar worden de spelregels aangetrokken, zowel voor rechtspersonen (zoals een bv) als voor natuurlijke personen die bedrijfsmatig handelen (zoals een vof of eenmanszaak). Hoofdregel is ook hier toestemming oftewel opt-in. De uitzondering is nu zeer beperkt:

de verzender gebruik maakt van elektronische contactgegevens die door de desbetreffende eindgebruiker voor het ontvangen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden zijn bestemd en bekendgemaakt en deze worden gebruikt in overeenstemming met de door de eindgebruiker aan de contactgegevens verbonden doeleinden, of [de ontvanger zit buiten de EU].
Ja, daar staat echt dat je alleen ongevraagde reclame mag sturen naar een adres dat voor ongevraagde reclame opengesteld is. Het algemene info@ adres (inclusief de hippe varianten hallo@, welkom@, zeghetmaar@ en kopjekoffiedoen@) voldoet niet aan die eis. Ik vind het moeilijk een concreet voorbeeld uit het wild te noemen, maar je komt uit bij zaken als reclame@ of aanbiedingen@ en ik kan me niet voorstellen dat iemand daarop zit te wachten.

Geheel overbodig en tot mijn ergernis staat er dan in de Memorie van Toelichting nog:

Het tonen van contactgegevens in het Handelsregister van de Kamer van Koophandel kan expliciet niet worden aangemerkt als een situatie waarin er vanuit mag worden gegaan dat er op deze manier toestemming is gegeven.
Ik hoop dat er niemand was die serieus meende van wel.

Belangrijk is wel dat voor oude contactgegevens de oude regels blijven gelden. Bedrijven hoeven hun opt-out zakelijke database dus niet te wissen en opnieuw op te bouwen (art. 20.7). Wel moet je natuurlijk bij iedere communicatie mensen wijzen op de afmeldmogelijkheid.

Arnoud

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 47 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Wat moet ik me voorstellen bij een 91% accurate lawyerbot? #legaltechtuesday

| AE 12732 | Innovatie | 6 reacties

Na de lancering van lawyerbot Lynn kreeg ik veel reacties, waarbij ik één onderwerp eruit wilde lichten: hoe zit dat met die accuratesse, wat betekent het dat Lynn 91% accuraat een document screent? Hoe meet je überhaupt “accuraat” bij een juridische screening?

Om even met het getal te beginnen: die 91% is eigenlijk de F1-score of F1-maat uit de statistiek. Deze formule zoekt een balans tussen enerzijds de precisie (het percentage werkelijk correct gelabelde clausules) en de vangst of recall (het percentage correct positief gelabelde clausules), en dat zijn dan weer twee maten die iets zeggen over de kwaliteit.

De kern is dat deze maat ongevoeliger is dan bijvoorbeeld alleen kijken naar het aantal correcte labels. Computers zijn grappig wat dat betreft: als je stuurt op “ik wil 100% correcte labels” dan krijg je één label dat correct is, dat is namelijk honderd procent. En zeg je, ik wil niets missen uit categorie X, dan wordt je hele contract als X aangemerkt want dan heb je in ieder geval niets gemist. Volgens het boekje kun je dan beter naar de F1 score kijken, dus dat doe ik dan maar.

Je kunt natuurlijk nog een stapje dieper gaan. Wat is erger, een clausule missen (overslaan, niet relevant) die buitengewoon pijnlijk was, of een clausule verkeerd labelen? Of de clausule wel herkennen maar als onschuldige variant aanmerken? En maakt het dan uit of je aansprakelijkheid miste maar het wijzigingsbeding-als-de-AVG-verandert netjes aanwees, of andersom?

Wat me daarbij opvalt is dat de zorg over fouten bij lawyerbots hoog zit bij veel mensen. En dat snap ik, want we hebben allemaal een zekere onbewuste angst voor dingen die automatisch iets doen, helemaal als dat mensachtig werk is. Wat dan precies de angst is (wat is erger) dat verschilt bij personen.

Is het een gekke gedachte dat niemand dit ooit zo verifieert bij een menselijke jurist? Die wordt ook getraind met een grote trainingset, al het werk dat hij onder begeleiding van een collega/partner uitvoert. Maar niemand die ooit vraagt, laat eens zien welke NDA’s jij de afgelopen tien jaar hebt gereviewd zodat ik weet hoe goed jij bent in het inschatten van fouten en nasty clausules. Waarom moet een AI dat dan wel kunnen laten zien? Nieuwigheid dus bewijs maar dat je beter bent?

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

| AE 12721 | Privacy, Security | 27 reacties

Een lezer vroeg me: Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash… Lees verder

Politie arresteert man op verdenking ‘pump en dump’ met zelfgemaakte cryptocoins

| AE 12717 | Innovatie, Regulering | 17 reacties

De Nederlandse politie heeft een man van 39 uit Deventer aangehouden op verdenking van grootschalige oplichting met zelfgemaakte cryptovaluta. Dat las ik bij Tweakers. In het jargon heet dit een “pump and dump scheme”: je praat de koers omhoog en daarna verkoop je snel je eigen voorraad, waarna je er met het geld vandoor gaat… Lees verder

In Amerika is je computerbevoegdheid misbruiken geen computervredebreuk meer

| AE 12714 | Regulering, Security | 18 reacties

Een verjaardagscadeautje voor rechtenprofessor Lawrence Lessig, zo tweette hij: het Amerikaanse Hooggerechtshof heeft de scope van de Computer Fraude and Abuse Act fors ingeperkt. Een agent die zijn bevoegdheid misbruikt om een politiedatabase te raadplegen (hij verkocht zeg maar RDW-gegevens aan criminelen) is vast op allerlei manieren strafbaar, maar hij pleegt geen computervredebreuk. In heel veel IT-rechtszaken… Lees verder

Gemeenten blijven nepaccounts gebruiken om burgers online te volgen

| AE 12712 | Regulering | 18 reacties

Verschillende gemeenten die nepaccounts inzetten om online informatie van burgers te verzamelen, stoppen daar niet mee. Dat las ik bij Nu.nl, dat zich baseert op onderzoek door de Volkskrant. Zo noemt de gemeente Tilburg het noodzakelijk om de privacy van ambtenaren te garanderen. Utrecht gebruikt in “uitzonderlijke gevallen” een geanonimiseerd account voor onderzoek naar illegale prostitutie…. Lees verder

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me: Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag… Lees verder

Rechtspraak wil in de toekomst drie kwart van uitspraken online publiceren

| AE 12704 | Innovatie | 18 reacties

In de komende tien jaar zal de overgrote meerderheid van de circa anderhalf miljoen vonnissen die jaarlijks door Nederlandse rechters worden uitgesproken online beschikbaar moeten komen. Dat las ik bij NRC onlangs. Al decennia wordt er geklaagd dat de slechts 5% van de vonnissen die men nu online zet, veel te weinig is. Dat gaat… Lees verder