Mogen Facebook, LinkedIn en consorten mij uitnodigen via mijn vrienden?

facebook-invite.pngVolgens het mailtje dat ik vanochtend kreeg, zitten er 93 mensen met smart te wachten op mijn terugkeer op LinkedIn. Hoe veel er op Plaxo zitten weet ik niet, maar ik word er regelmatig aan herinnerd dat dat nog bestaat. En op Facebook is het ook heel gezellig maar zou het toch leuker zijn met mij erop. Zo ongeveer de enige waar ik géén regelmatige mailtjes van krijg is Google+. Maar mag dat allemaal zomaar, al dat commerciële gemail om mij op die netwerken te krijgen?

In principe mag dat natuurlijk niet. Ongevraagde commerciële mail heet spam, en is voor Facebook of LinkedIn net zo hard verboden als voor de Aziatische v1agraspammers. Ook in de VS, waar die bedrijven gevestigd zijn. Maar de truc die ze daar hanteren, is dat degene die zijn adresboek openzet zodat de sociale netwerken iedereen daarin kunnen oogsten en mailen, in de voorwaarden moet garanderen dat hij van iedereen uit dat adresboek toestemming heeft om dit te mogen doen. En dan kan Facebook dus met een oprecht gezicht melden dat de mail opt-in is. Ehm, tsja.

In Nederland zie ik dat argument de giecheltoets niet doorstaan. Maar bij ons is er een andere escape, namelijk de tell a friend systemen waarvoor in 2008 een soort-van uitzondering is gemaakt door spamtoezichthouder OPTA en privacywaakhond Cbp.

Een tell-a-friendsysteem is een mailsysteem op een website waarbij je als bezoeker je eigen gegevens en die van een ontvanger (een vriend) kunt invullen, waarna de website daar een mail heen stuur. Het originele idee was dat je zo snel even een tipje of signalering kon versturen, maar zoals met zo ongeveer alle technologieën op internet wordt dat binnen de kortste keren tot op het bot uitgemolken om advertenties en andere meuk mee te versturen.

Een tell-a-friendsysteem is uitgezonderd van het spamverbod als aan vier eisen is voldaan:

  1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
  2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
  3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
  4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

Een uitnodiging om lid te worden van bijvoorbeeld Facebook kan voldoen aan deze eisen. In de praktijk gaat het meestal fout bij eisen 3 en 4. Zo krijg je vaak herinneringen, dus dan worden de gegevens bewaard voor meer dan een eenmalig verzenden. En ook krijg je lang niet altijd een preview van het bericht zoals dat verzonden gaat worden.

Wél fijn is dat sommige van die netwerken de optie bieden “stuur mij nooit meer uitnodigingen”. Die zwarte lijst is niet verplicht maar ik vind dat dat eigenlijk wel zou moeten.

Arnoud

8 reacties

  1. Mail van deze organisaties wordt bij mij standaard al als spam behandeld. Ik heb bij geen behalve Plaxo een account (reminder to self, die moet ik een keer cancellen)en al hun mail is dus per mijn definitie spam.

    Gelukkig bepaal ik op mijn eigen spam filter ook zelf wat spam is en niet de OPTA. Overigens zijn deze e-mails ook heel makkelijk te filteren, aangezien deze organisaties hiervoor eigen e-mail adressen gebruiken en niet afzender adressen van bekenden in de headers zetten.

  2. Als het gaat om privacy dan merk ik dat LinkedIn dit vrij slecht heeft geregeld. Want niet alleen liggen alle password-hashes van enkele miljoenen gebruikers nu op straat en is daar al een deel van ontcijferd, ik heb ook gemerkt dat mijn email-adres dat ik uniek heb aangemaakt voor Linked nu al enige tijd flink gespamd wordt door Eurodice en andere goksites. Kennelijk hebben hackers enorm veel vrij spel gehad bij LinkedIn…

    Maar goed, LinkedIn is duidelijk onzorgvuldig omgegaan met al onze persoonsgegevens maar dan vraag ik mij af wat hier vervolgens tegen te doen is. Een klacht hierover neerleggen bij de Opta lijkt weinig zinvol want die spammers worden er niet door gestopt en het zal op LinkedIn weinig indruk maken. Negatieve publiciteit krijgen ze nu al en ze worden keihard afgebrand omdat ze geen salt hebben gebruikt. Maar zijn er genoeg maatregelen genomen om toekomstig misbruik nu te voorkomen? En wat valt er nu te doen aan het feit dat kennelijk ook email adressen die bij LinkedIn gejat zijn nu massaal misbruikt worden door spammers?

    Sowieso, zijn de straffen voor overtreders van dit verbod wel zwaar genoeg (en indrukwekkend genoeg) om dergelijk misbruik te voorkomen?

  3. ik heb ook gemerkt dat mijn email-adres dat ik uniek heb aangemaakt voor Linked nu al enige tijd flink gespamd wordt door Eurodice en andere goksites. Kennelijk hebben hackers enorm veel vrij spel gehad bij LinkedIn???

    Mogelijk zijn de mailgegevens van linked-in geript mbv apps op je smartphone/tablet.

  4. @hAl, zou kunnen alleen gebruik ik LinkedIn niet op mijn tablet. Sowieso gebruik ik mijn gehele tablet eigenlijk vrij weinig. Mijn Windows Mobile telefoon heeft ook geen LinkedIn toegang. En om wat nauwkeuriger te zijn, ik gebruik eigenlijk geheel LinkedIn bijna niet. Ik krijg af en toe updates in mijn mailbox en mijn Google Reader houdt mijn LinkedIn account in de gaten voor nieuwe updates, maar ik kom vrijwel nooit op de LinkedIn website. Bovendien, indien mijn tablet/computer/telefoon/rekenmachine/Chromebook/Camera wordt gehacked dan zou ik verwachten dat mijn honderden andere adressen die ik heb ook voor spam misbruikt worden. Zou het opvallend vinden als dergelijke malware op mijn systeem alleen zoekt naar mijn LinkedIn account en niet naar mijn Facebook/Twitter/Wordpress/Yahoo/GPlus/Gravatar/Hyves/NuJij/Pinterest/Security.nl/StackExchange/Reddit/Twitpic accounts. (Die ieder dus met een apart email adres zijn geregistreerd…) Doordat maar 1 adres spam ontvangt weet ik 99.99% zeker dat het lek bij LinkedIn vandaan komt. Zelfs het adres wat ik hier gebruik wordt niet gespand.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.