Mag een bedrijf mijn mail tracken vanwege een wettelijke plicht?

Een lezer vroeg me:

Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust?

Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van de AVG. De AVG is als ‘algemene’ wet namelijk in principe altijd ondergeschikt aan andere wetten.

Het punt is alleen, er is bij mijn weten geen enkele wet die eist dat een bedrijf nagaat of een werknemer (of een klant) een mail geopend heeft. Ik kan de opmerking van “wettelijke verplichting” dus niet plaatsen.

Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen. Denk aan een aanzegging voor een niet-verlengd arbeidscontract, een bevestiging van een online aankoop of een formele waarschuwing. Het tracken van de e-mail en loggen dat een daarin opgenomen link is aangeklikt, geeft daarvoor voldoende bewijs.

Echter, dat iets effectief is onder wet A betekent nu net nog niet dat het onder de AVG ineens mag. De AVG is dus ondergeschikt, maar een gekozen maatregel om een andere wet na te leven moet wel noodzakelijk zijn om die wet na te leven. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk?

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is “ik moet bewijzen dat je dit bericht hebt gehad” op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Arnoud

22 reacties

  1. Met message tracking is toch te achterhalen of de ontvangende partij de e-mail heeft geaccepteerd? Daarmee voldoe je in principe al. Als verzender ben je tenslotte niet verantwoordelijk voor het gedrag van de ontvangende mailserver, deze kun je ook niet beinvloeden. Zodra de ontvangende partij een ACCEPT op je mailbericht heeft teruggestuurd na het verzenden van de data, kun jij als verzender niets meer doen.

    Waarom dan dit soort draconische methoden om te achterhalen of een bericht is gelezen? Nog erger is om een tracking pixel mee te sturen in je bericht en het bericht dusdanig op te maken dat het onleesbaar is zonder dat de plaatjes gedownload worden. Met een tracking pixel (waarvan de URL (een hash) van het e-mail adres van de ontvanger bevat, is vervolgens keihard in de logs te zien of iemand de mail heeft gelezen.

    Zolang jij als verzender kunt aantonen dat jouw mailserver de mail heeft afgeleverd bij de ontvangende partij, heb jij aan je plicht voldaan. Dat de ontvangende partij de mail in een spamfilter tegen houdt, kun jij als ontvanger niets aan doen, als de ontvanger zelf een regel heeft ingesteld om alle mail afkomstig van jouw domein direct te verwijderen, ligt niet binnen jouw invloedssfeer. Bewijs dat de ontvangende partij je mail heeft geaccepteerd zou meer dan voldoende moeten zijn

    Helaas snappen/weten veel mensen niet dat deze logs voor een beheerder vrij eenvoudig in te zien zijn en ook de gegevens vrij eenvoudig geleverd kunnen worden, mits er niet te lang gewacht wordt met het opvragen van die gegevens. Logs blijven immers ook maar eenbeperkte tijd bewaard

    1. Wat mij betreft heb je gelijk als het gaat over een bedrijf met een eigen mail server. Als het om een consument gaat met bijv. een ziggo-adres dan volstaat het m.i. niet om er op te wijzen dat Ziggo het ontvangen heeft en dus de consument het ontvangen heeft.

      1. Als het om een consument gaat met bijv. een ziggo-adres dan volstaat het m.i. niet om er op te wijzen dat Ziggo het ontvangen heeft en dus de consument het ontvangen heeft.

        Is er geen jurisprudentie op dit gebied? Dit is namelijk de hamvraag!

        Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen.
        Er zijn m.i. drie mogelijkheden.

        Bewijs van versturen is voldoende om te kunnen stellen dat een bericht is aangekomen. Tracking is toegestaan omdat het noodzakelijk is om het bewijs van ontvangen te leveren. E-mail is niet geschikt en de mededeling moet per aangetekende post.

      2. Je bent als klant van een leverancier zelf verantwoordelijk voor het doorgeven van de juiste informatie. Als je dus een ziggo adres opgeeft aan je leverancier en je leest de emails gericht aan dat email adres niet, ben je zelf dus nalatig geweest.

        Als je je ziggo abonnement stop zet, zal het e-mail adres uitgeschakeld of zelfs verwijderd worden, waarbij de verzender dus een Non-Deliverable melding terug krijgt (“mailbox is disabled” of “mailbox does not exist”), waarmee de leverancier dus duidelijk de melding terug krijgt dat de e-mail niet is afgeleverd.

        1. Wat nu als Ziggo een crash heeft voordat de klant het heeft binnen gehaald? Of het spam filter van Ziggo (waar de consument geen invloed op heeft) gooit het bericht weg. Is het dan nog steeds bewezen afgeleverd?

          Er is een reden dat een aangetekende brief door een persoon aangenomen moet worden. In jouw geval zou het ook volstaan als de postbode een krabbel zet dat hij/zij het in de brievenbus heeft gedaan.

          1. Als ziggo een crash heeft voordat de klant de mail heeft ontvangen, is dat prima bruikbaar als argument van de ontvanger.

            Leverancier meldt: “Wij hebben op datum en tijd een e-mail gestuurd naar uw adres @ziggo.nl, onze message tracking logs tonen aan dat de ziggo mailserver uw bericht op datum en tijd heeft geaccepteerd.

            Klant meld terug: Ik heb op die dag mijn e-mails niet binnen gehaald, vanwege de volgende redenen. Ik heb mijn e-mail pas opgehaald op die datum. Maar zoals u kunt lezen op tweakers.net, heeft Ziggo in de tussenliggende periode een storing met hun mailserver gehad, waarbij e-mails verloren zijn gegaan. Het is dus aannemelijk dat uw e-mail hierbij ook verloren is gegaan, waardoor ik deze persoonlijk nooit heb ontvangen

            De rechter of bemiddellaar zal in een dergelijk geval toch in het voordeel van de klant beslissen lijkt mij, juist omdat de o-zo-belangrijke informatie, niet via een o-zo-controleerbaar medium (e-mail ipv aangetekende post) is verstuurd.

            1. Maar ook met aangetekende post kan er e.e.a. misgaan.

              1 Wat als de verzender een verkeerd adres heeft opgegeven en de ontvanger op dat adres alsnog tekent? 2 Wat als er iemand anders op jouw adres opendoet en tekent en vervolgens het poststuk nooit doorgeeft aan jou? 3 Wat als de postbode een handtekening zet en het in je brievenbus stopt? Dit laatste lijkt me niet ondenkbaar: ik kreeg afgelopen vrijdag ook een nog pakket dat voor mijn voordeur was gezet en door de pakketbezorgster was getekend als “het is afgeleverd op jouw adres” (volgens track&trace). Dus met post kan dat net zo goed gebeuren.

  2. Als ik google op onder ogen heeft gehad kom ik heel wat rechtbankuitspraken tegen waarin een partij aanvoert dat ze een bepaalde mededeling niet onder ogen heeft gehad. Blijkbaar kan dat een juridisch steekhoudend argument zijn.

    Als zo’n mededeling per e-mail gedaan is, wil je dus bewijs dat de ontvanger hem onder ogen heeft gehad. Een ontvangstbevestiging van de mailserver is alleen een aanwijzing. Een bevestiging dat het mailtje is geopend komt veel dichter in de buurt.

      1. Goed punt! En als ik nu achter een VPN zou zitten, zou het dan nog steeds een verwerking van persoonsgegevens zijn? Immers, het IP-adres is dan niet mijn eigen adres maar dat van de door mij gebruikte VPN-dienst.

        1. Het IP adres kan, met de gegevens die de VPN provider bijhoud nog steeds naar jou als persoon worden herleid. Dat maakt het een persoonsgegeven. Een IP adres zelf kan ook niet door iedereen worden omgezet naar een fysiek adres maar (al dan niet via een rechtzaak) kan een provider dat wel.

  3. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk? Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is “ik moet bewijzen dat je dit bericht hebt gehad” op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen.

    Nee: dit kan prima als het de meest privacyvriendelijke manier is.

    Waarom zou tracking minder privacyvriendelijk zijn dan een aangetekende brief, of een whatsappje? Noem eens een manier die in het algemeen privacyvriendelijker is?

  4. Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is “ik moet bewijzen dat je dit bericht hebt gehad” op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

    Wat zijn de vele, vele, vele andere manieren waarmee je kunt aantonen dat een e-mail is ontvangen en die niet met de AVG botsen?

    1. Vragen om een ontvangstbevestiging. Nabellen. Aangetekende post. Fax of deurwaarder (oké, niet geheel reëel in de praktijk). Aangetekend mailen. Een portaal bouwen en in de AV eisen dat men daarin kijkt.

      Het hangt een beetje van de toepassing af hoe je verder gaat. Bij werknemers kun je het ook nog op hun bureau of in het postvakje leggen, bijvoorbeeld.

      1. Het probleem waar je tegenaan loopt is dat er mensen zijn die deze zaken actief vermijden.

        Paar jaar terug nog bij familie gezien. Bellen en brieven losten het probleem niet op en er werd zelfs met incasso bureaus en kosten geschermd. Uiteraard werd de ontvangst van telefoon en brieven steevast ontkent. Een fax nummer was er niet en de aangetekende post werd geweigerd! Dat was een bedrijf, maar omgekeerd kan een persoon dat natuurlijk net zo goed zo spelen.

        En dan is zo’n tracking pixel opeens dus de enige overgebleven mogelijkheid om te bewijzen dat je bericht wel is aangekomen en ook geopend.

      2. Vragen om een ontvangstbevestiging: dat gaat alleen als de ontvanger wil meewerken.

        Nabellen: Zeer weinig bewijskracht. Aangetekende post: AVG onvriendelijk, want er is ineens een extra organisatie (de post) die privacygevoelige info in handen krijgt en registreert (wat is AVG onvriendelijker, iemand zijn IP adres te weten komen als je al een hoop andere info hebt, of zijn naam en adres aan een nieuwe externe organisatie geven?).

        Aangetekend mailen: ken ik niet.

        Een portaal bouwen: klantonvriendelijk en vereist medewerking van de ontvanger. En alle data gerelateerd aan inlogsessies, is die niet AVG-onvriendelijker dan een emailtracking?

        Ik denk toch echt dat een emailtracking (die een wat negatief imago heeft vanwege het verborgen karakter ervan) er nog nog niet zo slecht uitspringt qua AVG, vergeleken met de alternatieven.

  5. Los van de AVG: de kern van het aangetekend verzenden of het voor ontvangst laten tekenen van een brief is dat daarmee het risico van het niet kennisnemen van de inhoud overgaat van de verzender naar de ontvanger. Ik meen dat de rechter een e-mail sneller als bewijs accepteert als er wordt gevraagd om een ontvangstbevestiging en zo’n antwoord ook echt wordt gegeven. Zo’n pixeltje zegt eigenlijk helemaal niks, als de mailclient zo is ingesteld dat de notificatie dat de e-mail is geopend alleen wordt gegeven als deze daadwerkelijk geopend is. En niet als hij gelijk in de spammap verdwijnt of opent in een voorvertoning.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.