Wat betekent de nieuwe Telecommunicatiewet voor telemarketing?

| AE 12723 | Regulering | 9 reacties

Een lezer vroeg me:

Per 1 juli wijzigt de Telecommunicatiewet. Ik begrijp uit de wetsteksten dat de wet eigenlijk bedoeld is voor consumenten. Maar kan ik bijvoorbeeld straks nog wel zonder toestemming te hebben gegeven en zonder een klantrelatie te hebben als medewerker van bedrijf X (niet ZZP of eenmanszaak) voor verkoopdoeleinden worden gebeld door bedrijf Y op mijn rechtstreekse werktelefoonnummer? Of alleen via het algemene telefoonnummer van mijn bedrijf X?
In januari van dit jaar heeft de Eerste Kamer inderdaad een aantal wijzigingen aan de Telecommunicatiewet doorgevoerd. Deze wet bevat een aantal belangrijke bepalingen voor telemarketing, zowel per telefoon als via e-mail (of, juristen zijn ouderwets, per fax).

De belangrijkste wijziging is dat er nu een algemeen opt-in regime geldt voor telemarketing. Ja, dus ook voor ongevraagd bellen. Het bel-me-niet register wordt dan ook opgeheven, dat was immers een opt-out systeem dat nu overbodig wordt. Alleen (betalende) klanten mag je ongevraagd blijven bellen (of mailen), mits je maar bij het klant-worden ze expliciet hierop hebt gewezen en ze een bezwaaroptie bood. Let op: dat is dus niet “bij ieder belletje zeggen we dat je je kunt afmelden” maar op het bestelformulier een “ik wil niet gebeld worden” vinkje.

Nieuw is dat ideële organisaties je mogen bellen of mailen nadat je een schenking of donatie deed. Dat is natuurlijk geen “bestelling”, maar de wet vermeldt nu expliciet dat ook dan er een opt-out regime geldt. Ook als je vrijwilliger bent of naar een manifestatie gaat, dan mag men op deze opt-out basis je benaderen.

Naast consumenten hebben ook bedrijven veel last van ongevraagde telefonische reclame. Ook daar worden de spelregels aangetrokken, zowel voor rechtspersonen (zoals een bv) als voor natuurlijke personen die bedrijfsmatig handelen (zoals een vof of eenmanszaak). Hoofdregel is ook hier toestemming oftewel opt-in. De uitzondering is nu zeer beperkt:

de verzender gebruik maakt van elektronische contactgegevens die door de desbetreffende eindgebruiker voor het ontvangen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden zijn bestemd en bekendgemaakt en deze worden gebruikt in overeenstemming met de door de eindgebruiker aan de contactgegevens verbonden doeleinden, of [de ontvanger zit buiten de EU].
Ja, daar staat echt dat je alleen ongevraagde reclame mag sturen naar een adres dat voor ongevraagde reclame opengesteld is. Het algemene info@ adres (inclusief de hippe varianten hallo@, welkom@, zeghetmaar@ en kopjekoffiedoen@) voldoet niet aan die eis. Ik vind het moeilijk een concreet voorbeeld uit het wild te noemen, maar je komt uit bij zaken als reclame@ of aanbiedingen@ en ik kan me niet voorstellen dat iemand daarop zit te wachten.

Geheel overbodig en tot mijn ergernis staat er dan in de Memorie van Toelichting nog:

Het tonen van contactgegevens in het Handelsregister van de Kamer van Koophandel kan expliciet niet worden aangemerkt als een situatie waarin er vanuit mag worden gegaan dat er op deze manier toestemming is gegeven.
Ik hoop dat er niemand was die serieus meende van wel.

Belangrijk is wel dat voor oude contactgegevens de oude regels blijven gelden. Bedrijven hoeven hun opt-out zakelijke database dus niet te wissen en opnieuw op te bouwen (art. 20.7). Wel moet je natuurlijk bij iedere communicatie mensen wijzen op de afmeldmogelijkheid.

Arnoud

Politie arresteert man op verdenking ‘pump en dump’ met zelfgemaakte cryptocoins

| AE 12717 | Innovatie, Regulering | 17 reacties

De Nederlandse politie heeft een man van 39 uit Deventer aangehouden op verdenking van grootschalige oplichting met zelfgemaakte cryptovaluta. Dat las ik bij Tweakers. In het jargon heet dit een “pump and dump scheme”: je praat de koers omhoog en daarna verkoop je snel je eigen voorraad, waarna je er met het geld vandoor gaat en iedereen ineens door een koersdaling gedupeerd is. Dat is niet hetzelfde als speculeren, omdat de koers hier kunstmatig opgedreven werd. En dat kan dus ook bij cryptomunten, hoewel die niet onder de Wet financieel toezicht vallen.

De cryptowereld kent ondertussen een heleboel shady figuren, die op allerlei manieren proberen mensen geld afhandig te maken door ze te pushen “nu in te stappen”. De NOS had er een mooi achtergrondartikel over. Nou is dat op zich natuurlijk legaal – handig naïeve mensen bespelen is moreel niet echt netjes maar dat is wat anders. Maar dit soort trucs evolueren snel tot “koop zelf goedkoop, laat anderen instappen en verkoop zodra de koers omhoog gegaan is door hun aankopen”. En dát is wel een juridisch probleem.

In eerste instantie dacht ik, waarom is het de politie en niet de AFM die ingrijpt. Maar bij nader inzien logisch natuurlijk: cryptomunten vallen buiten de Wft omdat ze geen financiële instrumenten in de zin van die wet zijn. En dan valt dus handhaving op grond van art. 5:58 Wft af.

In het persbericht spreekt de politie van oplichting, wat me een tikje verrast omdat er gewoon een specifiek artikel in het Wetboek van Strafrecht is dat hierover gaat, namelijk art. 334:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door het verspreiden van een leugenachtig bericht de prijs van koopwaren, fondsen of geldswaardig papier doet stijgen of dalen, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vijfde categorie.
Mogelijk dat men twijfelt of een cryptomunt een “koopwaar of fonds” is? In ieder geval is er jurisprudentie dat het verspreiden van half-ware berichten ook “leugenachtig” oplevert – zeggen dat de koers aan het stijgen is door een groot aantal aankopen, waarbij je niet zegt dat jij de persoon bent die die aankopen doet.

Wanneer je het oplichting noemt, kom je volgens art. 326 Strafrecht aan de vraag of je handelt

door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels.
Ik zou het dan op dat laatste gooien, daarmee wordt namelijk grofweg bedoeld zo veel mooie verzonnen praatjes dat mensen je gaan geloven en doen wat je zegt. De vaste jurisprudentie is dat je laat meewegen:
de vertrouwenwekkende aard, het aantal en de indringendheid van de (geheel of gedeeltelijk) onware mededelingen in hun onderlinge samenhang, de mate waarin de in het algemeen in het maatschappelijk verkeer vereiste omzichtigheid degene tot wie de mededelingen zijn gericht aanleiding had moeten geven de onwaarheid te onderkennen of zich daardoor niet te laten bedriegen en de persoonlijkheid van het slachtoffer.
Omdat bitcoins en andere cryptovaluta ‘goederen’ zijn in de zin van het strafrecht (de Runescape-zaak), voldoe je ook aan de eis dat men iemand beweegt tot afgifte van “enig goed”.

De tegenwerping is natuurlijk dat iedereen die met crypto bezig gaat, moet weten dat het gaat om speculatie op zeer snel op en neer bewegende koersen. Het kan bij iedere munt gebeuren dat je net instapt voor een crash, pardon dipje, al dan niet veroorzaakt doordat Elon Musk een emoji twittert. Dat is dan gewoon pech, en dat je adviseur wél net goed in- en uitstapte dat is dan wrang, meer niet.

Het gaat uiteindelijk echter om het oogmerk van de adviseur en om het kunstmatig karakter van de koersstijging. Dat is wat het oneerlijk maakt. De koers van die cryptomunt stijgt niet omdat de markt deze meer waard vindt, maar omdat iemand allemaal mensen voor het lapje houdt waardoor die gaan kopen. Zo’n self fulfilling prophecy is geen marktwerking maar oplichting. En als dat ook nog eens de bedóeling was van de adviseur, dan overtreedt zhij de strafwet.

Dit bewijs zal natuurlijk lastig zijn, als deze verdachte slim is en de mond houdt over motieven. Je houdt dan over dat er afgezien van deze persoon geen kopers waren tot het moment dat de reclame begon, en toen eigenlijk alleen de door deze persoon benaderde mensen aan het kopen sloegen, waarna de verdachte als eerste én grootschalig de cryptomunt verkocht. Ik kan dat niet anders zien dan lekker de winst pakken die je zelf gecreëerd hebt met je mooie praatjes, en dat is dus een vorm van oplichting.

Arnoud

In Amerika is je computerbevoegdheid misbruiken geen computervredebreuk meer

| AE 12714 | Regulering, Security | 18 reacties

Een verjaardagscadeautje voor rechtenprofessor Lawrence Lessig, zo tweette hij: het Amerikaanse Hooggerechtshof heeft de scope van de Computer Fraude and Abuse Act fors ingeperkt. Een agent die zijn bevoegdheid misbruikt om een politiedatabase te raadplegen (hij verkocht zeg maar RDW-gegevens aan criminelen) is vast op allerlei manieren strafbaar, maar hij pleegt geen computervredebreuk. In heel veel IT-rechtszaken was een brede lezing van de CFAA altijd een mooie hamer om verdachten tot schikken te dwingen, dus dit is inderdaad nogal een opsteker.

De agent in deze zaak had op zich rechtmatig toegang tot de database met politiegegevens, maar gebruikte deze om tegen betaling aan derden NAW-gegevens die horen bij een kenteken te verschaffen. Dat is natuurlijk misbruik van je bevoegdheid als politieagent, het schendt je geheimhoudingsplicht en zo nog wel een aantal dienstplichten. Maar zijn werkgever gooide het op computervredebreuk, computer fraud. Daar staan namelijk vele jaren cel op.

Het criterium voor computerfraude in de VS is erg breed: je pleegt het misdrijf als je “intentionally accesses a computer without authorization or exceeds authorized access.” In de praktijk wordt dat laatste vaak breed uitgelegd: iedere vorm van niet-bedoeld of niet-beoogd gebruik heet dan “exceeding authorized access”, of het nou gaat om een ingewikkelde technische bug gebruiken om meer te kunnen dan je mag, of om het niet opvolgen van een instructie op een geel briefje bij de receptie. Want als daarop staat “alleen gebruiken voor politiedoeleinden” dan ga je dat te buiten door de informatie op verzoek te verkopen, en dat is dan computervredebreuk.

Dat zat velen niet lekker, want zo kun je alles wel computervredebreuk noemen (en dat gebeurt dan ook). Vandaar dat deze uitspraak een positieve opsteker moet zijn:

The term “exceeds authorized access” is defined to mean “to access a computer with authorization and to use such access to obtain or alter information in the computer that the accesser is not entitled so to obtain or alter.” … An individual “exceeds authorized access” when he accesses a computer with authorization but then obtains information located in particular areas of the computer—such as files, folders, or databases—that are off-limits to him.
In normale taal staat hier dat je pas van “exceeding” spreekt als je iets voor elkaar krijgt dat je niet zou moeten kunnen. Je doorbreekt een beveiliging of je misbruikt een technische voorziening, zouden wij in Nederlandse termen (art. 138ab Strafrecht) zeggen. Enkel tegen het beleid ingaan is geen “exceeding”, want je wás geautoriseerd om daar te zijn, je account had er toegang of privileges voor. Dat het beleid was om daar alleen soms te zijn of alleen voor bepaalde doelen, is niet relevant voor de bepaling of je onder deze strafwet toegang hebt.

In Nederland geldt deze regel al langer. Zo is het versturen van een vervalste betalingsinstructie naar een bank géén computervredebreuk: als jij bevoegd bent om betalingsinstructies te sturen, dan is ook deze bevoegd gestuurd. Dat de instructie zelf vals is (het geld gaat naar de verkeerde rekening) maakt het insturen zelf niet onbevoegd. Andermans wachtwoord gebruiken is wél computervredebreuk, want dat wachtwoord geeft niet jou maar die ander de bevoegdheid.

Een grijs gebied ligt in gebieden zoals URL-manipulatie: de informatie is op zich beschikbaar zonder formele autorisatie, maar er is ook weer geen openbare bekendmaking van die informatie geweest. Zoals wanneer je “20191225-3998” verandert in “20211225-4006” en dan de kersttoespraak uit 2021 krijgt. Die 4006 moest je raden maar dat is vrij triviaal, en men had net zo makkelijk een wachtwoord erop kunnen zetten. Volgens deze Amerikaanse uitspraak is dit géén computervredebreuk, want je mocht bij alle informatie op deze publiek webserver en er is geen formeel onderscheid tussen een URL aanklikken en willekeurige tekens achter elkaar zetten in een bevraging bij de website.

Arnoud

 

Gemeenten blijven nepaccounts gebruiken om burgers online te volgen

| AE 12712 | Regulering | 18 reacties

Verschillende gemeenten die nepaccounts inzetten om online informatie van burgers te verzamelen, stoppen daar niet mee. Dat las ik bij Nu.nl, dat zich baseert op onderzoek door de Volkskrant. Zo noemt de gemeente Tilburg het noodzakelijk om de privacy van ambtenaren te garanderen. Utrecht gebruikt in “uitzonderlijke gevallen” een geanonimiseerd account voor onderzoek naar illegale prostitutie…. Lees verder

Telecomprovider Voys hoeft geen boete te betalen wegens weigering datadelen CIOT

| AE 12696 | Privacy, Regulering | 7 reacties

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die… Lees verder

Gemeenten zouden op grote schaal burgers bespieden op sociale media

| AE 12672 | Regulering | 10 reacties

Nederlandse gemeenten zouden op grote schaal meekijken met burgers op sociale media, zo las ik bij Nu.nl (op gezag van dit rapport). Controversieel is dat de gemeente onder meer nepaccounts gebruikt, terwijl dit niet zou zijn toegestaan. “Een methode die alleen politie en inlichtingendiensten onder strikte voorwaarden mogen inzetten”, aldus de nieuwssite. En dat terwijl… Lees verder

Met ‘online straatverbod’ hoopt burgemeester Halsema online shamers harder aan te pakken

| AE 12666 | Regulering | 2 reacties

Door middel van ‘online straatverboden’ hoopt burgemeester Halsema de ongewenste verspreiding van privébeelden op internet harder aan te kunnen pakken. Dat las ik bij AT5. De burgemeester wil hiermee ervoor zorgen dat daders zich niet meer in de buurt van een slachtoffer kunnen vertonen, ook online. De gemeente onderzoekt nog of het überhaupt juridisch haalbaar is,… Lees verder

Duitse privacywaakhond verbiedt Facebook om WhatsApp-data te gebruiken

| AE 12663 | Ondernemingsvrijheid, Regulering | 11 reacties

De Hamburgse privacytoezichthouder heeft Facebook verboden om WhatsApp-data van Duitse gebruikers voor eigen doeleinden te gebruiken. Dat meldde Tweakers afgelopen vrijdag. Het besluit van de Hamburgse commissaris met de onuitsprekelijke afkorting HmbBfDI heeft te maken met de gewijzigde gebruiksvoorwaarden van WhatsApp, die een dergelijke koppeling zouden autoriseren. Tegelijk was bij de overname van WhatsApp door Facebook nadrukkelijk… Lees verder

SIDN hoeft zonefile met alle .nl-domeinnamen niet aan bedrijf te verstrekken

| AE 12649 | Regulering | 21 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN) hoeft de zonefile van het .nl-domein, die alle domeinnamen eindigend op .nl bevat, niet aan het bedrijf Dataprovider te verstrekken, zo heeft de Autoriteit Consument & Markt (ACM) geoordeeld. Dat las ik bij Security.nl begin deze week. Dataprovider wilde de zonefile van het .nl-domein omdat dit behulpzaam zou zijn bij het leveren… Lees verder

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12645 | Regulering | 1 reactie

Een lezer vroeg me: Als zelfstandig security onderzoeker en pentester heb ik natuurlijk allerlei tools om sites en diensten te checken. In theorie zou je dat strafbare middelen kunnen noemen, want ik kan er ook zonder opdracht mee gaan werken en dan ergens binnendringen, ik pleeg dan computervredebreuk. Hoe ziet de wet het verschil? Het… Lees verder