Een lezer vroeg me:
Ik mail met een eigen domeinnaam, en gebruik bij elke website, dienst en account een uniek e-mailadres dat ik relateer aan de bedrijfsnaam. Ik krijg dus regelmatig spam e-mails waarbij ik aan het e-mailadres kan zien aan welk bedrijf ik dit e-mailadres heb gegeven. Wat zijn mijn mogelijkheden om bedrijven aan te spreken op het verkopen van mijn gegevens?Deze handige truc gebruik ik zelf ook, het maakt het bijvoorbeeld ook makkelijk om een mailadres op te heffen als een organisatie je blijft mailen ondanks afmeldverzoeken. En het geeft inderdaad sterk bewijs: als ik een mail krijg op een adres dat ik alleen aan organisatie X gegeven heb (met de naam van X er in dus) dan heeft X wat uit te leggen.
Je maakt het je bewijstechnisch dus makkelijker met deze techniek. Het vervolg is echter hetzelfde als wanneer je een rondvraag had gedaan en X zich vrijwillig had gemeld. Je kunt een klacht indienen bij de ACM over de ongevraagde commerciële mail, en als genoeg mensen dat doen dan kan X een boete krijgen.
Je kunt ook zelf een zaak beginnen, maar voor één e-mail is dat de geld en de moeite niet waard. Met name is er het probleem dat je je schade niet kunt onderbouwen, want jouw tijd als consument is per definitie nul euro waard. (Als ondernemer heb je iets meer kans, maar hoe duur is je tijd voor het weggooien van een e-mail nou helemaal.)
Een route voor de volhouder zagen we recent bij nieuws dat een Nederlandse LinkedIn-gebruiker 50.000 euro krijgt van Microsoft na herhaaldelijk plaatsen van trackingcookies.
Het betrof hier namelijk dwangsommen: de man had eerder een verbod bij de rechter gehaald tegen het plaatsen van zulke cookies, en dat verbod werd nu aantoonbaar overtreden. In tegenstelling tot schade hoeft een boete niet te worden onderbouwd, daar gaat het alleen om het afschrikwekkend effect.
Het kan, dus maar je moet er wel twéé rechtszaken voor voeren, je dossiers op orde houden én bereid zijn een flinke zak met geld (en tijd) er in te steken. Of dat de moeite waard is?
Arnoud
Ik had als optie ook wel verwacht “een klacht bij de AP indienen” verwacht. In de meeste gevallen zal je geen toestemming hebben gegeven, en gezien het type Spam is de kans groot dat het om een datalek gaat.
En als het wel een commerciële nette mail is, vraag ik me af hoe er aan doelbinding is voldaan…
In beide gevallen: melden aan de DPO van het betreffende bedrijf.
Die MOET er iets mee doen, en in het geval van een datalek zelf een melding doen bij de AP.
(Is er trouwens een sanctie voor een bedrijf dat weet heeft van een datalek maar dat niet meldt?)
Bij de bepaling van de hoogte van de boete kan die bijgesteld worden als er niet (of niet afdoende) gemeld is, meen ik. Artikel 83 lid 2 AVG.
Is dat zo? De andere partij zal beweren dat je dat emailadres breder gebruikt hebt dan alleen bij hen, en hoe bewijs je aan de rechter dat dat niet zo is?
Wie stelt bewijst.
Dan zal de andere partij toch echt aannemelijk moeten maken dat je dat e-mailadres breder hebt gebruikt.
En als je email bedrijfsnaam@mijndome.in is, dan zullen ze echt met meer dan ‘wij denken dat’ moeten komen.
Het is eigenlijk niet relevant of ik het adres breder gebruik, want dat zegt niets over toestemming aan dit bedrijf.
Dat adres gebruik je om het bedrijf aan te spreken op verkoop van jouw adres aan de spammer. Je roept de AVG in en vraagt inzage in de verstrekkingen. Het is dan irrelevant wie dat adres nog meer heeft. Aan wie heb jij het gegeven?
Pas als ze zeggen “helemaal niemand” dan wordt het lastig. Dan gaat spelen dat jij stelt, welles want dit adres gebruik ik alleen bij jullie. Ik denk dat je dan aan je stelplicht hebt voldaan en dat het bedrijf meer moet doen dan lui wijzen op algemene alternatieve mogelijkheden.
“De echte spammer zag dat je Facebook@mijnsite.local hanteert en snapt dan wel dat die dan ook MijnWebwinkel@mijnsite.local kan gebruiken om je te spammen.”
Een handige tool hiervoor is simplelogin.io (onderdeel van Proton). Dat koppel je aan een eigen emailadres en vervolgens kan je via die webinterface willekeurige emailadressen genereren met verschillende domeinnamen. Deze worden dan doorgestuurd naar jouw eigen adres. Mail initieren kan niet, reply’en kan weer wel.
Het voordeel hiervan is dat je met een simpel knopje dat adres aan- en weer uit kan zetten. Een tweede voordeel is dat ze dus niet kunnen gokken dat “koudblauw@foo.local” ook wel zal bestaan omdat “dierenspeciaalzaakdevries@foo.local” ook bestaat. Om nog te zwijgen van adressen als info@ en zo, met name relevant als je een eenmanszaak bent en dat domein ook voor je zakelijke mail gebruikt.
Ik voeg dan ook wat random toe, dus facebook-1234@ en mijnwebwinkel-5678@
Als dan mijnwebwinkel-1234@ opduikt weet ik nog steeds hoe laat het is.
Tjonge,
Wat voor administratie moet je dan wel niet bijhouden om te weten welke adresvariant je wel of niet gebruikt hebt, en bij welke tegenpartij.
(je kunt je immers ook vergissen en per ongeluk wel een nieuw emailadres gebruiken bij een partij waar je eerder een emailadres aan gegeven hebt. En wat doe je met emails aan verschillende afdelingen/personen van dezefde organisatie? Wanneer neem je daar dezelfde voor en wanneer een andere? En bij entiteiten die deel uitmaken van dezelfde groep (bijv: KLM en Airfrance) neem je daar hetzelfde emailadres?)
Eh geen. Stel ik wil iets bestellen bij webshop Bert’s TV’s. Dan klik ik op “new alias”, in het veldje voer ik in “bertstvs”, en in het pull-down menu selecteer ik dan een achtervoegsel en een domeinnaam, bijvoorbeeld “cornbread494@aleeas.com”. Daarna klik ik “create” en dan heb ik “bertstvs.cornbread494@aleaas.com” gemaakt, en alle mail die daar naar toe gaat komt in mijn eigen mailbox bij Proton aan (waar ik dan t.b.v eenvoudige filtering een speciaal adres heb gemaakt voor al deze aliases).
Als ik spam krijg, kan ik in het To: veld zien dat het naar “bertstvs” ging, en dan weet ik dus waar ik het moet zoeken, maar meestal komt het niet zo ver omdat als ik de orderbevestiging binnen heb ik het email-alias uit zet met een knopje. Mocht ik het later toch nodig hebben dan zet ik het weer aan, en als de hele bestelling is afgerond dan klik ik op “delete”. En als je het nog duidelijker wil hebben, dan is er een comment-veld waar je iets kan invullen. Dus bij bijvoorbeeld AirFrance kan je daar dan in zetten “vakantie Spanje” of zo. Je kan natuurlijk ook een enkel “vakantie” adres aanmaken, wat je dan kan gebruiken voor zovel de vlucht als het hotel en de huurauto en alles, en dat heeft als voordeel dat je al die mail dan met een filter in een aparte box kan laten komen. Als je weer thuis bent zet je het hele adres uit en wordt je niet lastig gevallen met welkom thuis berichten, drie vragen om reviews, drie reminders dat je nog geen review hebt gegeven, drie nieuwsbrieven, drie uitnodigingen voor klantonderzoek, drie reminders dat je nog niet hebt meegedaan aan het klantonderzoek, drie reclamemails voor nieuwe deals, drie interessante aanbiedingen van speciaal geselecteerde derde partijen met voor jou relevante aanbiedingen, en natuurlijk het bericht dat je koffer is teruggevonden in Chicago en dat ‘ie volgende week terugkomt, tenzij ‘ie in de tussentijd ergens anders kwijt raakt.
Ik verwacht dat ze dat meestal zullen zeggen, omdat ze dat zelf echt geloven.
En als ze dat zelf niet echt geloven, en dus weten ze dat ze fout bezig zijn, dan zullen ze dat willen verbergen, dus dan zullen ze dat nog steeds zeggen.
Ik verwacht, eerlijk, 80-90% kans op dit antwoord.
Als zij echt eerlijk menen, desnoods na onderzoek, dat zij niet gehackt zijn en dat zij het emailadres aan niemand verstrekt hebben, wat kunnen zij dan doen behalve ontkennen en andere mogelijkheden suggereren? Ik vind het niet correct om een dergelijk reactie af te doen als ‘lui’ en ‘algemene alternatieve mogelijkheden’.
De stelling ‘ik heb dat adres alleen bij jullie gebruikt’ komt dan tegenover de stelling ‘wij hebben niets gelekt’ te staan, en beide lijken me a priori even onbewijsbaar.
Maar het slachtoffer is begonnen door te stellen dat hij de mail alleen bij dit bedrijf heeft gebruikt. Dan geldt de ‘Wie stelt bewijst’ toch ook voor hem/haar?
Daarnaast is het civiel recht dus gaat het om de aannemelijkheid. De eiser stelt dat voor elke partij een eigen e-mail adres wordt gebruikt. En maakt dat aannemelijk door te laten zien voor deze partij en eventueel andere op maat gemaakte e-mail adressen te hebben. Daarmee maakt eiser het aannemelijk. Als de andere partij stelt dat het e-mail adres breder gebruikt is door eiser, dan zal die dat aannemelijk moeten maken door iets te lever wat die stelling onderbouwt.
Daarnaast is het onredelijk om van eiser te verlangen dat die een negatief bewijst, dat is i.h.a. en in dit geval ook onmogelijk.
Natuurlijk is het onredelijk om van eiser te verlangen dat die een negatief bewijst.
Maar het is net zo hard onredelijk om van de andere partij te verwachten dat die een negatief bewijst (‘wij hebben niet gelekt en wij zijn niet gehackt’). En dan ben je weer terug bij af.
Jij kunt wellicht laten zien dat je op maat gemaakte emailadressen hebt voor vele organisaties. Maar jij kunt niet laten zien dat altijd consistent geweest bent in het exclusief gebruiken van het betreffende emailadres voor de betreffende organisatie.
Het gaat niet over alle andere emailadressen die je gebruikt(e), maar over dit ene adres. Heb je dit nooit per ongeluk voor een andere organisatie gebruikt? Is je eigen mailserver/mailbox nooit gehackt geweest? Heb je niemand anders toegang daartoe gegeven? Heb je dit emailadres nooit in cc gezet in een email naar iemand anders?
Uiteindelijk is het civiel recht en aan de rechter om het af te wegen. De ene kant laat zien moeite te hebben gedaan om die e-mail adressen aan te maken en kan laten zien dat die gebruikt is voor de registatie. En de andere kant zegt ‘nietes’. Ik weet wel wat ik geloofwaardiger vind…
Ik heb letterlijk meegemaakt met een forum dat ik registreerde en binnen een week gebombardeerd werd met spam!
Terzijde: een tweede voordeel van site-specifieke mailadressen is dat het (iets) minder makkelijk is om accounts tussen sites te matchen. Het gedrag van Facebook@mijnsite.local en Linkedin@mijnsite.local zijn dan niet via die weg aan elkaar te relateren door de data brokers.
Maar wat nou als je een bedrijf vindt die jouw persoonsgegevens gewoon online verkoopt? Het bedrijf RocketReach doet dat namelijk gewoon. (Je moet inloggen met een account, maar een account maken is gratis omdat ze dan meer over jou weten!) Dit bedrijf schraapt het Internet af en dan vooral LinkedIn, Twitter, Facebook en zo en plaatst de gegevens die ze vinden online, zonder een waarschuwing te geven…
Gelukkig is mijn naam niet erg uniek, maar de naam van enkele test-accounts die ik ooit op LinkedIn heb aangemaakt staan er netjes in. Met alle nutteloze details waar ik ze mee had gevuld. Maar het lijkt erop dat dit systeem gebruikt kan worden door bezoekers om deze informatie verder aan te vullen.
Ik ontdekte dit doordat ik vanochtend werd gebeld door iemand uit het buitenland die op zoek was naar een van die test-accounts. Tja, ik had realistische namen gebruikt en dan krijg je dat. Kennelijk was die persoon online aan het zoeken gegaan en kwam hij die naam tegen met mijn telefoonnummer. (Mijn test-account had dat namelijk geregistreerd.) Maar goed, ik heb gewoon gedaan alsof hij een verkeerd nummer had en toen hield het op. Maar toch, spammers lijken dus mensen te kunnen vinden via dit soort services en dit lijkt mij hardstikke illegaal conform Europese wetgeving. Maar wat kan ertegen gedaan worden?
Ik gebruik ook unieke email adressen voor verschillende bedrijven, en krijg dan ook regelmatig spam op dergelijke adressen. Ik krijg de indruk dat daar verschillende oorzaken voor zijn: – Het bedrijf verkoopt mijn adres – Het bedrijf is zelf gehacked waarbij mijn adres is buitgemaakt – Het bedrijf neemt een dienst af waarbij mijn adres wordt doorgegeven, en die dienst verkoopt mijn adres door, of is gehacked. Denk bijv aan diensten voor versturen van bulk mail (mailinglist), pakketbezorgers, maaltijdbezorgers, concerttickets, … – Een intermediate mail server van een derde partij, waar de mail toevallig langs komt lekt of verkoopt mijn adres. (niet heel waarschijnlijk denk ik) Met name het lekken door een dienstverlenende derde partij komt vermoed ik regelmatig voor, en maakt de discussie met het bedrijf waar ik de relatie mee heb lastig. Ze hebben vaak geen inzicht in hoe die dienstverlener met de data om gaat, of dat deze mogelijk gehacked is.