Het cc-veld bij e-mail als privacyschending

carbon-kopie-copy-cc-bcc.pngEen lezer vroeg me:

Bij onze vereniging heeft laatst het bestuur iedereen een mail gestuurd met ieders e-mailadres zichtbaar in het cc-veld. Nu weet ieder lid mijn e-mailadres! Is dat strafbaar? Wat kan ik hieraan doen?

E-mailadressen in het kopieveld (cc) in plaats van het blindekopieveld (bcc) zetten, het kan iedereen gebeuren. Netjes is het niet, en het leidt ook vaak tot een storm van reacties (en daar weer reacties op dat iedereen moet ophouden met reply-to-all en dan daar weer reacties op, afijn..). Er is eigenlijk geen enkele reden waarom je grote hoeveelheden ontvangers zo zou moeten mailen, en het zou goed zijn als mailprogramma’s weigeren mails te versturen met meer dan zeg tien ontvangers in To of Cc velden.

Maar goed, dit is geen feedbackforum voor Thunderbird of Gmail maar een juridische blog: kun je nu juridisch gezien iets doen tegen een actie als deze?

De enige optie die ik kan verzinnen, is het over de boeg van de verwerking van persoonsgegevens te gooien. Het idee is dat je je dan beroept op artikel 13 Wet Bescherming Persoonsgegevens: je moet “passende technische en organisatorische maatregelen” nemen om persoonsgegevens (zoals e-mailadressen) te beschermen tegen “verlies of tegen enige vorm van onrechtmatige verwerking”.

De constructie wordt dan: je hebt mijn e-mailadres niet afdoende beschermd tegen onrechtmatige verwerking, want die ontvangers kunnen er zomaar mee aan de haal gaan. Het doet me wat gezocht aan, en ik twijfel of het de giecheltoets zal overleven. Maar uitsluiten dat het werkt, kan ik niet.

Arnoud

18 reacties

  1. @1 Joost. Precies dezelfde link als die van Arnoud ^^

    Zal de rechter niet de ernst van de zaak meewegen? Ik ken de precieze situatie ook niet, maar ik heb niet het idee dat leden van je vereniging veel vervelends kunnen/zullen met je emailadres. (En als ze specifiek jou willen hebben was dat vast ook op een andere manier achterhaald.)

    Het zal wettelijk wel allemaal correct zijn, maar heb het idee dat de rechter zegt “ach, nu moeten we niet overdrijven he”. Tenzij je kan aantonen dat je er daadwerkelijk last van ondervindt.

  2. Het feit dat de e-mail adressen in de to of de cc maakt dat er reeds spraken is van onrechtmatige verwerking. Onder verwerking van persoonsgegeven valt immers ook het verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling aan derden. De belanghebbende heeft dan recht op een schadevergoeding en kan herstel van de gevolgen van dat gedrag vorderen. Een gang naar de rechter zal in dit geval leiden tot het afkopen van de onrechtmatige verwerking.

  3. Mogelijk kan het de giecheltoets overleven als je vervolgens kunt aantonen dat je nu opeens (meer) spam binnenkrijgt. In het verleden heb ik gebruik gemaakt van een onbeperkt aantal email adressen binnen mijn eigen domein. Mijn comein had een catch-all functie voor alle email adressen die ermee mogelijk waren dus gebruikte ik voor ieder bedrijf waar ik contact mee had een email adres met daarin een code verwerkt die aan hun bedrijf was gerelateerd. En dat bleek best effectief te zijn toen ik merkte dat ik opeens op enkele van die adressen ongewenste emailtjes binnenkreeg. 🙂 Maar in ieder geval, als je schade kunt aantonen door dit emailtje dan kan het volgens mij wel de giecheltest doorstaan. Maar eenvoudig te bewijzen is het zeker niet.

  4. Blijkbaar staat het e-mailadres van leden niet op de ledenlijst van die vereniging. In veel verenigingen is het gebruikelijk om (binnen de vereniging) een ledenlijst te verspreiden. Het CBP zegt hierover:

    Bij verenigingen gebeurt het vaak dat de ledenlijst aan alle leden wordt verstrekt. Bijvoorbeeld bij een sportvereniging zodat de leden met elkaar kunnen afspreken om te gaan sporten. Dit mag alleen als dit gebruikelijk is binnen de vereniging en hiertoe in de ledenvergadering is besloten.
    Het is dus niet zondermeer in strijd met de WBP, als ik het CBP mag geloven. Mijn vereniging heeft een mailinglist waar je op komt als lid (als je daar akkoord mee gaat). Dan omzeil je dit probleem gelijk.

  5. @Arend: hm sneaky antwoord “gebruikelijk EN is besloten”. Er moet dus een besluit van de ALV liggen, en daar heb je je dan als lid aan te houden. En dat besluit kan dus zijn “u dient toestemming te geven voor toezending”. Maar zonder besluit lijkt het me niet legaal.

    Maar het punt is hier niet zozeer “mag een vereniging haar leden mailen” maar “mag een vereniging aan haar leden de e-mailadressen verstrekken van al haar leden”.

  6. Stel nu dat je de vereniging aansprakelijk kunt stellen.

    Maar, na het bewuste mailtje zijn er een aantal grappenmakers… “(en daar weer reacties op dat iedereen moet ophouden met reply-to-all en dan daar weer reacties op, afijn..)” en die hebben zich dan ook schuldig gemaakt aan het verspreiden van al die emailadressen.

    Kun je die dan ook aansprakelijk stellen, of enkel diegene die het allemaal heeft veroorzaakt (de vereniging)?

  7. Ik ben lid geweest bij een vereniging waar dit zo vaak voor kwam, dat afgesproken werd dat mensen die dit deden voortaan taart moesten trakteren. Met als onvermijdelijk gevolg natuurlijk dat elke ‘broadcast’ e-mail werd gevolgd door een stortvloed aan reply-to-alls met als enige inhoud “taart!!!”. En lekker veel taart eten natuurlijk.

    Bij ons was er geen echte privacy-schade, doordat alle leden toch al van elkaars email-adres op de hoogte waren. Aan de andere kant kan ik me voorstellen dat er situaties zijn waar de CC wel tot behoorlijke schade kan leiden. Het lijkt me redelijk als de hoogte van de straf afhankelijk is van de geleden schade. Het probleem bij privacy is alleen dat die schade vaak moeilijk te bepalen is, omdat eenmaal openbaar gemaakte gegevens niet meer geheim te maken zijn, en de openbaarmaking dus levenslang gevolgen kan blijven hebben voor het slachtoffer.

    Voor preventie van dit soort situaties is het handig om voor de meer gevoelige zaken een apart anoniem email-adres te hebben, zodat je identiteit niet zomaar op straat komt te liggen. Ik zie het dan ook als een basisrecht van internetgebruikers om meerdere virtuele identiteiten aan te kunnen nemen.

  8. Taart!!! 🙂

    De CC broadcast heeft ook een ander nadeel, natuurlijk. De meeste mensen doen vaak een “reply to all” in plaats van een normale “Reply” en dan gaan berichten dus massaal de ronde doen. Op mijn werk heb ik recentelijk al eens geklaagd wegens een email die aan alle medewerkers was gericht, waarbij alle medewerkers (als mailgroep gelukkig) in de CC was opgenomen. Helaas gingen er daarna ook veel “reply to all” rond tot ergernis van sommigen die vervolgens ook boos een “Reply to all” deden om eens te stoppen met die onzin.

    En het begon al met een onzinnig emailtje waarin gevraagd werd wie een pak melk open had laten staan. Met een tiental reacties naar iedereen die zeggen: “Ik niet!” En ja, de eerste drie keer is dat leuk. Maar als 1/5e van het bedrijf een reply geeft ben je het al snel zat.

    Een goed beleid is om altijd gewoon de BCC te gebruiken, tenzij je bepaalde personen direct wilt betrekken bij de aankomende discussie. Het TO veld gebruik je om aan te geven van wie je antwoord verwacht, de CC om aan te geven wie er op de hoogte gesteld moeten worden van de CC en de BCC gewoon om in het algemeen informatie door te geven. Het voordeel is dan ook dat de “Reply to all” dan ook alleen naar die personen gaat die ook daadwerkelijk bij het onderwerp betrokken horen.

  9. Als je de due care en due diligence van beide partijen in beschouwing neemt zijn ze allebei laakbaar:

    De vereniging door blijkbaar zonder toestemming emailadressen rond te mailen en de mogelijke risico’s van zo’n actie niet goed onderzocht te hebben of af te vangen.

    Het verenigingslid door blijkbaar kostbare informatie aan een vereniging te verstrekken waarvan moeilijk verwacht kan worden dat zij de waarde van dit adres goed kunnen inschatten/beschermen en door het risico van het verstrekken zelf niet goed te managen.

    Als laatste kun je een cc-adres wellicht als een out-of-band publicatie beschouwen: het is geen onderdeel van het onderwerp of de mail zelf, maar van de (indirecte) metadata. Aldus kun je twisten of de mailprogramma-makers niet de schuldigen zijn door de cc-informatie zo prominent weer te geven, het bcc-veld niet als standaard te verheffen of het bcc-veld slecht toegankelijk te maken.

    Ik denk dus dat je niet in je recht staat door hier de verantwoordelijkheid bij de vereniging te leggen.

  10. Aldus kun je twisten of de mailprogramma-makers niet de schuldigen zijn door de cc-informatie zo prominent weer te geven, het bcc-veld niet als standaard te verheffen of het bcc-veld slecht toegankelijk te maken.

    Dat vind ik als programmeur wel eng klinken. De software-ontwikkelaar moet ook rechtszekerheid hebben. Op wat voor manier kan de maker zien of zijn software hem in de problemen kan brengen? Kan je een objectieve richtlijn formuleren waar gebruikersinterfaces aan moeten voldoen?

    De gebruiker is in eerste instantie verantwoordelijk voor de keuze van een bepaald softwarepakket, en voor het correcte gebruik ervan. Pas als de software iets anders doet dan wat de gebruiker had mogen verwachten op basis van de handleiding, gebruikersinterface en algemeen bekende conventies, kan de software-ontwikkelaar in beeld komen.

    Daar is hier (voor zover ik weet althans) helemaal geen sprake van: Het is een algemeen gebruik bij e-mail om de blinde kopie?n ‘BCC’ te noemen, en de zichtbare kopie?n ‘CC’. Als de gebruiker niet vertrouwd genoeg is met e-mail om deze termen te kennen, dan had hij/zij in ieder geval NIET zomaar mogen aannemen dat adressen in ‘To’ of ‘CC’ vertrouwelijk zouden blijven. In geval van twijfel had de gebruiker dit op moeten zoeken.

    In de email-systemen waar ik mee werk is de ‘BCC’ trouwens net zo zichtbaar aanwezig als de ‘To’ en de ‘CC’.

  11. In het verlengde hiervan: Ik krijg mailtjes van kennissen waarin zij allerlei hoaxes en goedbedoelde petities doorsturen uiteraard met iedereen in “to” of “cc” en nog een hele stoot mailadressen in de body, omdat er sprake is van een (ketting)van forwards. Omdat ik iedereen die dat een keer doet een tamelijk boze mail terugstuur is dit wel afgenomen. Toch had ik wel eens zin om zo’n onbenul kennis echt voor de rechter te slepen.

  12. @Corn? Ik vind de interface aanpassing in de Brein-FTD zaak wel een voorbeeld van “jullie interface nodigt uit tot crimineel gedrag”, al moet je voor de betere jurisprudentie wellicht Arnoud hebben.

    Als duidelijke richtlijn mag een (onderdeel van een) interface van mij illegaal zijn als die alleen maar illegale toepassingen kent.

    Ik ben het met je eens dat de gebruiker verantwoordelijk is voor het correcte (correct als in ethisch en legaal) gebruik van de software. De software leverancier is zoals je zegt verantwoordelijk voor het correcte gedrag van de software. Als het gedrag van de software echter uitnodigt tot illegaal gebruik, bijvoorbeeld via de interface, dan bemoeilijkt dat correct gebruik. Hier heeft denk ik de leverancier een verantwoordelijkheid.

    Stel dat bewezen wordt dat het gebruik van cc een algemeen aansprakelijkheidsrisico is dan mag je verwachten dat de software leverancier hier beter van op de hoogte is dan de gemiddelde gebruiker. De leverancier mag de gebruiker dan best een beetje beschermen ipv naar de handleiding te verwijzen. Met name wanneer een leverancier talloze signalen krijgt van oneigenlijk misbruik kun je denk ik stellen dat de interface ondeugdelijk is en de leverancier laakbaar als zij die niet aanpast. Zulk laakbaar gedrag mag wat mij betreft tot een veroordeling leiden.

  13. Een zeer veel voorkomend probleem. Wat ik in deze discussie nog niet voorbij heb zien komen, is of de aard van de vereniging hier een rol kan spelen. Het lijkt me dat dit anders behandeld dient te worden als het de plaatselijke voetbalclub betreft, dan als het gaat over een belangengroep voor homo’s (of noem maar iets wat iemand liever niet bekend zou hebben).

    Verder kan ik mij helemaal inleven in de reactie over kettingbrieven. Er zijn veel dingen waar men ongemerkt (en vaak onbedoeld) andermans e-mailadres aanmeldt voor een spamdienst. Ik kreeg een paar jaar terug een elektronische verjaardagskaart via Hallmark.com. In hun voorwaarden staat dat ze de verzamelde e-mailadressen voor vanalles en nog wat mogen gebruiken. Terwijl IK mijn e-mailadres niet had opgegeven. Verschrikkelijk! Dat kostte me een paar boze mails om duidelijk te maken dat ik daar niet van gediend ben. Zo stuur ik spam via de gewone post ook altijd retour afzender… Geopend uiteraard. Ze leren het helaas nooit.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.