Mijn mailbox is gehackt!

| AE 4572 | Privacy, Security | 10 reacties

Nee, niet die van mezelf, maar van menig vraagsteller die wil weten wat hij of zij eraan kan doen. Meestal lijkt het te gaan om derden die het wachtwoord geraden hebben maar ongewijzigd laten, zodat het slachtoffer zelf niets doorheeft. De meeste mensen wijzigen hun wachtwoord immers zelden, en kijken ook niet in de map Verzonden items om te zien of iemand anders mee zit te mailen.

Nou ja, dat is dus ook precies wat je regelmatig moet doen. Ik raad aan wachtwoorden te maken met Strong password generator (maar er zijn er vast meer) en deze niet met anderen te delen. Als je je browser het wachtwoord laat onthouden, zet dan een schermbeveiliging met slotje op je computer. Of installeer iets als Keepass om wachtwoorden veilig te onthouden.

Ook regelmatig kijken of er gekke mails ontvangen of verzonden zijn is geen gek idee. Maar goed, je moet ook elke maand kijken of er rare afboekingen van je bankrekening zijn geweest en dat doet ook vrijwel geen hond.

Kun je juridisch iets doen? Ja, in theorie wel. Het is strafbaar als computervredebreuk om binnen te dringen in iemands mailbox, dus je kunt aangifte doen. Maar zonder IP-adres of andere bron van de dader is het wel héél lastig opsporen. Bovendien, als er niets stukgemaakt of gekopieerd is dat waarde heeft, zal het weinig prioriteit krijgen. Zeker omdat ook een rechtshulpverzoek naar de VS nodig is om Google of Hotmail te bewegen IP-adressen of andere login-informatie af te geven.

Ik vraag me al een tijd af waarom je niet bij zulke systemen gewoon ergens het IP-adres van de laatste vijf logins zou kunnen inzien. Zo moeilijk moet dat toch niet te maken zijn?

Jullie nog tips?

Arnoud

OPTA geeft spammer boete van 100.000 euro

| AE 4514 | Privacy | 23 reacties

Telecomwaakhond OPTA legt een Nederlandse e-mailspammer een boete van 100.000 euro op, meldde Webwereld gisteren. Het bedrijf verstuurde bijna 15 miljoen commerciële e-mails waarvoor geen toestemming was gegeven, of waarvoor op onzorgvuldige wijze toestemming was gevraagd. Uit het boetebesluit blijkt dat de OPTA ze hard afrekent op de bekende truc van opt-in vragen “voor partners” en dan de hele wereld je partner laten zijn. Daar moeten e-mailmarketeers nu écht eens mee kappen.

Het bedrijf bood op haar site een gratis dienst waar je na invullen van een formulier drie offertes kon krijgen voor allerlei producten. En onderaano p dat formulier had je dan de bekende vinkjes:

ontvang-aanbiedingen.png

Ja, daar staat “Ik ontvang graag aanbiedingen van Companeo partners”. En op grond van die zin meende het bedrijf dus alles en iedereen tot partner te kunnen aanwijzen om zo de offerteaanvragers te mogen mailen over van alles en nog wat. De eigen nieuwsbrief kreeg je zelfs als je het vinkje níet aanvinkte. Eh, wacht, wat?

Argument van Companeo was volgens mij dat die mensen “klant” waren, ze hadden immers de offertebemiddelingsdienst afgenomen. En van klanten heb je geen opt-in nodig. Maar die vlieger gaat niet op: je bent pas klant als je betaalt, niet als je een gratis dienst afneemt. Dat had de OPTA al eerder bepaald in hun Standpunt Telemarketing.

Bij de partnermailing ging dát wel goed, maar dan krijg je meteen de vraag, waar ben je mee akkoord gegaan als je zegt “Ik ontvang graag aanbiedingen van Companeo partners”. De abonnee weet niet wie de partners van Companeo zijn, aldus OPTA, dus hoe moet je dan weten welke spammails eigenlijk ge-optinde direct marketing was?

In de praktijk kwam het er immers op neer dat Companeo zich vrij achtte om abonnees, die hadden ingestemd met de hiervoor genoemde passage, te benaderen met advertenties van iedere willekeurige adverteerder waar Companeo zaken mee deed. Daaruit volgt dat de betreffende geïnteresseerde zich geen duidelijk beeld kon vormen van de producten die in de partnermailings zouden worden aangeprezen.

Inderdaad, “Ik ontvang graag aanbiedingen van Companeo partners” betekent “De hele wereld mag mij mailen”. En dát gaat dus in tegen de Telecomwet. Op zijn minst moet je specifiek noemen welke soort derden partner zijn en waarover die gaan mailen.

Voor mij is het al jaren evident dat “zorgvuldig geselecteerde partners” een inhoudsloze opmerking is, waar dus geen rechtsgeldige toestemming uit kan worden afgeleid. Maar toch blijft het maar opduiken in de e-mailmarketing. Misschien vanwege het motto “het is moeilijk iemand iets te laten snappen als zijn levensonderhoud er vanaf hangt dat hij het niet snapt”?

Arnoud

E-mail, chat en cloudopslag beschermd in Grondwet

| AE 4510 | Privacy | 25 reacties

terlouw-briefgeheim.jpgHet kabinet komt met een voorstel om het grondwettelijk beschermde brief- telefoon- en telegraafgeheim uit te breiden naar recente communicatievormen, las ik bij Webwereld. De Grondwet zal worden aangepast: artikel 13 gaat een “brief- en telecommunicatiegeheim” bevatten, zodat ook online communicatie gedekt wordt. Vanaf gisteren is er een internetconsultatie opengesteld, waar ook het voorstel te vinden is.

Het idee van een grondwettelijk vastgelegd communicatiegeheim is op zich niet nieuw. Al sinds de jaren negentig wordt met dit onderwerp gestoeid, nadat was geconcludeerd dat de oude frase “brief-, telefoon- en telegraafgeheim” het internet niet dekte.

Met deze voorgestelde wijziging wordt “brief en telecommunicatie” beschermd tegen meelezen door derden – zowel private partijen als de overheid. En “telecommunicatie” is breed: e-mail, SMS, Facebookbericht, forumprivéberichtje, direct message via Twitter, gegevens in de cloud, Skypegesprekken, een private chat met een klein groepje, alles eigenlijk zolang het maar communicatie op afstand met één of meer specifieke partijen betreft. Een Youtube-video of een uitzending op Programmagemist.nl is géén beschermde telecommunicatie.

Aftappen of kennisnemen van inhoud van telecommunicatie mag alléén nog met machtiging van de rechter. Of nou ja, niet helemaal, want bij zaken die de nationale veiligheid raken mag de minister een machtiging geven aan de betreffende opsporings- of veiligheidsdienst. (Die regeling kennen we al bij brieven, op zich niet nieuw dus.) Wel moet het gaan om privécommunicatie, dus andermans Twitterberichten mag je gewoon blijven lezen, die zijn openbaar tenslotte.

Verkeersgegevens (wie mailt met wie, wanneer kreeg X een SMS) vallen hier niet onder. Deze kunnen dus gemakkelijker worden opgevraagd of ingezien door Justitie. Onder de huidige wet mag bijvoorbeeld iedere politieagent zonder gerechtelijke toetsing naam en adres opvragen van de gebruiker van een IP-adres. Dit blijft zo.

Nu is het in het Wetboek van Strafvordering al redelijk uitgebreid geregeld dat Justitie niet zomaar mailboxen mag opeisen of datacommunicatie mag laten tappen. Heel veel verschil zal dit dan ook niet gaan maken in de strafrechtelijke verhouding, behalve misschien dat we nu al te bijdehante agenten (“ach mag ik even een kopietje mailbox? ik vraag het vriendelijk, werk nou even mee”) gewoon kunnen zeggen “lees de Grondwet”.

Wél heel nieuw is dat op grond van dit telecomgeheim ook private partijen niet zomaar in privécommunicatie mogen kijken. Facebook mag dus niet mijn privéberichten bekijken, en Gmail niet zomaar de mailtjes die ik daar bewaar. Net zoals de postbode mijn brieven niet mag openmaken en KPN niet mee mag luisteren met mijn telefoongesprekken. Hiervoor zal toestemming van de abonnee/klant/gebruiker nodig zijn.

De Grondwetswijziging gaat niet zo ver dat meteen wordt geregeld hoe die toestemming kan worden verkregen en of/wanneer deze mag worden geweigerd. Wat er dus gaat gebeuren zodra dit Grondwet wordt, is dat iedereen in de algemene voorwaarden zet “U geeft ons toestemming uw telecommunicatie te lezen”. Dat is legaal, totdat men besluit lid 3 van het nieuwe Grondwetsartikel in te zetten: daarmee kan een aparte wet worden gemaakt om hier specifiekere regels te stellen.

Ik vraag me heel erg af hoe zo’n regeling eruit moet gaan zien.

Oh, en nog een leuke: ook spam en malwarebijagen vallen onder het telecomgeheim straks. Dat is immers gerichte communicatie per e-mail, dus daar mag een provider niet zomaar in gaan kijken. Ook hier zal dus expliciete toestemming nodig zijn (wat trouwens ook al soort van zo geldt vanwege de netneutraliteitswet).

Arnoud<br/> Afbeelding: Briefgeheim van Jan Terlouw, omdat het gaat om geheime informatie die versleuteld is, net zoals hoe je telecommunicatie geheim houdt.

Amsterdam mag e-mail personeel niet bekijken

| AE 4482 | Ondernemingsvrijheid, Privacy | 19 reacties

De dienst werk en inkomen van de gemeente Amsterdam mag niet zomaar in de mailbox van medewerkers kijken, las ik bij Nu.nl. Het besluit waarmee de dienst zich dat recht gaf, was in strijd met de Wet op de ondernemingsraden. Het kunnen inzien van mailboxen valt namelijk onder “personeelvolgsystemen” en voordat je dat mag doen,… Lees verder

Nieuwe opt-in vereist voor ex-Wanadoo en Orange abonnees?

| AE 4471 | Privacy | 16 reacties

Per 1 augustus stopt internetprovider T-Mobile met het ondersteunen van de @wanadoo en @orange e-mailadressen. Vanaf dat moment werkt alleen nog een nieuw aangemaakt @online e-mailadres. Bij DDMA las ik een interessant punt daarbij: mag je die oude adressen dan hernoemen naar @online, of schend je dan de antispamwet? Je kunt hier twee kanten mee… Lees verder

“Het versturen van e-mail is een grondrecht”

| AE 4555 | Privacy | 15 reacties

Een lezer vroeg me: Ik ben webmaster van een vereniging. Om onze leden te bereiken, hebben we een algemeen mailadres (alleleden@onzevereniging punt nl). Bij de laatste ledenvergadering hebben wij onze leden gemeld dat dit mailadres uitsluiten bedoeld is voor gebruik door het bestuur of na goedkeuring van het bestuur. Maar nu zegt één van onze… Lees verder

“Het versturen van e-mail is een grondrecht”

| AE 2971 | Privacy | 15 reacties

Een lezer vroeg me: Ik ben webmaster van een vereniging. Om onze leden te bereiken, hebben we een algemeen mailadres (alleleden@onzevereniging punt nl). Bij de laatste ledenvergadering hebben wij onze leden gemeld dat dit mailadres uitsluiten bedoeld is voor gebruik door het bestuur of na goedkeuring van het bestuur. Maar nu zegt één van onze… Lees verder

Ga weg met je “toestemming voor zorgvuldig geselecteerde derden”

| AE 2915 | Privacy | 22 reacties

Recent zag ik het weer voorbij komen: een bestelformulier dat toestemming bedingt voor “zorgvuldig geselecteerde partners” om per e-mail, post, telefoon en/of SMS reclame te sturen. Is dat legaal? Natuurlijk niet. En ik kan er wérkelijk niet bij waarom ze bij -in dit geval- SBS denken van wel. Uitgangspunt van de antispamwet en privacywet is… Lees verder

Is e-mail rechtsgeldig?

| AE 2905 | Privacy | 69 reacties

Héél, héél veel vragen krijg ik over de rechtsgeldigheid van e-mail. Die variëren van “heb ik een contract als er in e-mail ‘akkoord’ staat” tot “kan ik met deze e-mail aangifte doen van bedreiging/stalking/smaad”. Nou, heel kort: ja, e-mail is rechtsgeldig – behalve in een paar uitzonderlijke gevallen. En, als ik zo vrij mag zijn,… Lees verder