Wanneer is mijn reclamemail voor “gelijksoortige” producten toegestaan zonder opt-in?

Een lezer vroeg me:

Ik heb een webwinkel en wil meer reclame maken. Nu las ik dat je daarvoor normaal toestemming nodig hebt, maar niet als je “soortgelijke” producten adverteert aan je klant. Wanneer is het volgens de wet “soortgelijk”?
Voor veel ondernemers is deze uitzondering interessant, omdat het verzamelen van toestemming voor reclame toch vaak best pittig blijkt. Maar het is een heel beperkte, en ik denk dat je er weinig aan hebt. Zeg ik maar even vooraf.

De wet (art. 11.7 Telecommunicatiewet) staat toe om klanten (dus mensen die jou betalen) reclame te sturen zonder opt-in als het gaat om “eigen gelijksoortige producten of diensten” volgens de wet. Er is nooit een rechtszaak geweest waarin definitief hét criterium is toegelicht. Dat is ergens ook wel logisch, want wat zou dat dan moeten zijn in het algemeen? Je komt dan niet verder dan synoniemen voor die term.

De ACM heeft in haar richtsnoeren gezegd dat je vooral moet kijken naar de verwachting van de ontvanger: zou die gek opkijken als hij voor dát product reclame krijgt gezien zijn bestelling? Dat vind ik wel een mooie. Het idee van “gelijksoortig” is immers dat je iets relevants, iets logischerwijs erbij horends meestuurt.

In de Memorie van toelichting van de wet is gezegd dat je ook moet meewegen wat er is gecommuniceerd, hoe de winkel zich presenteert. Ben ik een brillenwinkel dan is reclame voor schoenen raar, ben ik de Bijenkorf dan kan het wel. Dan gaat het immers om mode in het algemeen, en bij een bril is een bijpassend paar schoenen niet zo raar als advies in een modewinkel.

De angel zit hem bij deze constructie in een ander aspect: je mag weliswaar zonder toestemming mailen, maar je moet het bij de bestelling hebben gemeld op het formulier en een áfmeldmogelijkheid (optout) hebben geboden. Dus na een paar jaar bedenken “ik wil meer reclame maken” is gewoon niet genoeg, je hebt dan nooit mensen dit gezegd laat staan ze een afmeldmogelijkheid gegeven. En dan kun je je niet op deze uitzondering beroepen.

Deze uitzondering is dan weer wel de reden waarom de “Ik wil de nieuwsbrief ontvangen”-aanvinkvakjes vooraf aangevinkt mogen zijn bij bestelformulieren. Het weghalen van dat vinkje is dan de opt-out.

Arnoud

Gastblog: Een glasvezel langs je flatraam. Moet je dat pikken?

kabel-muur-gedoogplichtOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Michel Arts over de gedoogplicht om kabels langs je raam te moeten tolereren.

Op veel plaatsen wordt op dit moment glasvezel aangelegd. Dat gaat niet altijd zonder problemen. In flats heb je het probleem dat je mogelijk geen glasvezel kan krijgen als je onderbuurman, de huisbaas of de vereniging van eigenaars niet wil meewerken. Reggefiber zegt in zo’n geval zelfs: “kunt u niet zelf zorgen dat alle benedenburen mee willen werken, dan willen wij alsnog een poging wagen”. Kan Reggefiber inderdaad niets doen en kun je dus geen glasvezelaansluiting krijgen?

De Telecommunicatiewet is hier volgens mij vrij duidelijk over. In hoofdstuk 5 van die wet is de zogenaamde gedoogplicht geregeld. Dat is de verplichting van grondeigenaren om, onder bepaalde voorwaarden, de aanwezigheid van kabels t.b.v. openbare telecommunicatienetwerken te gedogen. De eigenaar moet ook gedogen dat deze kabels aangelegd en opgeruimd worden. Wel heeft de eigenaar recht op een schadevergoeding als hij daardoor schade leidt. Ook de rechthebbende van een gebouw is verplicht om onder bepaalde omstandigheden telecomkabels (en dus ook glasvezelkabels) in en aan het gebouw te gedogen. Dat is geregeld in het vierde lid van artikel 5.2:

Voor zover het voor het aansluiten van gebruikers op een openbaar elektronisch communicatienetwerk nodig is, is bovendien de rechthebbende op een gebouw verplicht de aanleg, instandhouding of opruiming van netwerkaansluitpunten en kabels in en aan dit gebouw te gedogen.

De bedoeling van de wetgever staat duidelijk in de memorie van toelichting (p. 48):

Dit betekent bijvoorbeeld voor het geval in een flatgebouw kabels moeten worden aangelegd ten behoeve van een aansluiting van een van de bewoners, de overige bewoners de aanleg, instandhouding en opruiming van deze kabels dienen te gedogen.

Om op de titel van deze gastbijdrage terug te komen: een glasvezelkabel langs je flatraam heb je dus inderdaad te pikken. Maar blijkbaar durven bedrijven als Reggefiber het niet aan om de gedoogplicht in te roepen. Op de website van de Autoriteit Consument & Markt (ACM) vond ik een besluit van de OPTA (Onafhankelijke Post en Telecommunicatieautoriteit, een van de voorlopers van de ACM) uit 2002 waarin aan de eigenaar van een flatgebouw een last onder dwangsom werd opgelegd omdat hij geen medewerking verleende aan de aanleg van twee KPN-aansluitpunten. Een last onder dwangsom betekent dat je een dwangsom moet betalen als je je niet houdt aan wat er in dat besluit is vastgelegd. Het ging hier om een flatgebouw waar geen KPN-infrastructuur aanwezig was. De eigenaar wilde niet verder gaan dan het verlenen van toegang tot een aansluitkast van concurrent Lijbrandt Telecom (KPN zou dan met Lijbrandt Telecom een contract moeten afsluiten voor het gebruik daarvan). Volgens de OPTA had KPN het recht om eigen kabels te leggen tot in de woning van de klanten.

In het besluit van de OPTA ging het om toegang tot een gemeenschappelijke ruimte van een flatgebouw. De ACM kan volgens mij een soortgelijk besluit ook opleggen aan een bewoner die weigert om toegang te verlenen tot zijn woning voor de aanleg van een glasvezelkabel voor zijn bovenbuurman. In de voorlopers van de Telecommunicatiewet (Telegraaf- en Telefoonwet 1904 en de Wet op de telecommunicatievoorzieningen) stond zelfs een bepaling die de PTT, en later KPN, de mogelijkheid gaf om aan de burgemeester of kantonrechter een last tot binnentreden te vragen om tegen de wil van de bewoner een woning binnen te treden voor de aanleg, instandhouding en opruiming van kabels.

In de Telecommunicatiewet ontbreekt een dergelijke bepaling. In de Algemene wet bestuursrecht staat echter een vergelijkbare bepaling die van toepassing is indien een bestuursorgaan tot het toepassen van bestuursdwang bevoegd is. Volgens die bepaling (artikel 5:27) kan een bestuursorgaan (zoals de ACM) zelf een machtiging tot binnentreden afgeven. Artikel 5.2 van de Telecommunicatiewet is een bepaling die de ACM via bestuursdwang kan handhaven. Dus de ACM kan de binnentredingsbepaling uit de Algemene wet bestuursrecht ook toepassen m.b.t. de gedoogplicht.

Samenvattend kunnen we dus stellen dat een benedenbuurman, verhuurder of een vereniging van eigenaars moet meewerken als een of meerdere bewoners glasvezel willen hebben. Het is dan ook onbegrijpelijk dat er woningcorporaties (zoals in Almere) zijn die zelfs niet willen dat de glasvezel via een stalen gootje aan de buitenkant van de flat aangelegd wordt. Wat vinden jullie? Moeten glasvezelbedrijven als Reggefiber zonodig een beroep doen op de wettelijke gedoogplicht of moeten ze het huidige beleid handhaven?

Michel Arts heeft elektrotechniek gestudeerd aan de Technische Universiteit Eindhoven en is antenneontwerper bij ASTRON. Naast techniek gaat zijn persoonlijke belangstelling uit naar (de geschiedenis van) auteursrecht, mediarecht en telecommunicatierecht.

Acht ton boete voor reclamemails wegens ontoereikende toestemming

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ’toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Wat gaan we nou eens doen met die cookiewet?

cookie-bril.jpgNederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar Dumpert.nl. De reacties van enkele sites zijn dan ook schouderophalend. Uiteraard schuimbekken de politici – het is immers verkiezingstijd – over deze grove schending. Maar eh jongens wat gaan we nou eens dóen met die stomme cookiewet?

De cookiewet is in 2012 aangenomen in de verwachting dat websites dan minder cookies zouden droppen, want toestemming vragen was toch best vervelend en de privacy van de bezoeker staat toch hoog in het vaandel bij elke site, getuige immers hun privacyverklaringen. Maar de reactie was een massaal “deze wet is gek” en veel partijen gingen gewoon door met cookies zetten, of plaatsten een niet te ontwijken toestemmingsknop op hun site om zo die toestemming af te dwingen. Ik ken geen site die heeft gezegd, wat een goed idee die cookiewet, wij stoppen met het tracken van onze bezoekers.

Dat dit niet mag, staat boven kijf. De cookiewet eist dat je toestemming hebt verkregen om cookies te mogen plaatsen, en wanneer zo’n cookie gebruikt wordt voor tracking of profiling dan val je ook nog eens onder de Wet bescherming persoonsgegevens met haar eisen over inzage, correctie en zorgvuldige verwerking.

Om toch te kunnen tracken, wrong menig site zich in allerlei bochten. De populairste bocht was bovenaan een zwarte balk met “Wij zetten cookies, daar gaat u mee akkoord door deze site te blijven gebruiken”. En heel vaak roepen dat deze opt-out een opt-in was, hielp daar ook bij. Maar vooral het feit dat de OPTA – tegenwoordig ACM – geen zichtbare actie ondernam tegen sites die op deze manier de wet schenden, was een grote klap voor de geloofwaardigheid van die wet.

De doodsteek kwam toen de minister een wetsvoorstel aankondigde om analyticscookies buiten de wet te plaatsen. Cookies met als doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij” die “geen of geringe gevolgen” voor de privacy hadden, zouden dan legaal zijn zonder toestemming. Volgens de minister mag dat van Europa, omdat het doel van de cookiewet is de privacy te waarborgen dus hoeven privacymetrustlatende cookies niet onder de wet te vallen. Dat de Europese cookiewet expliciet naar álle cookies verwijst en mede als doel heeft te zorgen dat er geen informatie op iemands harddisk komt zonder toestemming, zal ik dan maar niet te hard zeggen.

De ophef en frustratie – om niet te zeggen sábotage – bij de cookiewet is ergens wel begrijpelijk want het voorziene systeem is onwerkbaar. En we zijn zó gewend aan uitgebreide analytics en monitoring van onze websites dat het voelt alsof we weer terug moeten naar paard en wagen. En ook als privacymindende gebruiker heb ik een hekel aan de cookiewet: waar ik vroeger met een cookieblocker prima kon surfen, krijg ik door diezelfde blocker nu elke keer die stomme balken in beeld. Ik moet nu dus akkoord geven op privacyschendingen die ik voorheen kon voorkomen. Hoe is dat vooruitgang?

Goed. Ja ik ben alweer rustig. Maar de vraag blijft: wat gaan we doen met die cookiewet? Het lijkt me duidelijk dat het ding niet werkt zoals verwacht. En als een wet zó massaal wordt genegeerd en gepasseerd, dan wordt het lijkt mij de hoogste tijd eens wat aan die wet te gaan doen (u krijgt nog de groeten van de Auteurswet 1912). Ik zou alleen niet weten wat.

De belangrijkste beperking die ik zie, is dat het systeem van toestemming fundamenteel niet werkt. Mensen willen geen ja of nee zeggen tegen privacy-dingen, ze willen hun plaatje of filmpje of grappig artikel. Denken dat mensen met voldoende uitleg en knoppen wél gaan nadenken hierover, vind ik uitermate naïef. De enige reële route is volgens mij in de wet opnemen wat er wel en niet mag, bijvoorbeeld via een grijze en zwarte lijst van privacyschendingen. Zwartelijstverwerkingen mogen dan nooit (bv. individuele profielen die gezondheidsinformatie bevatten aan verzekeraars geven) en grijzelijstverwerkingen mogen dan alleen als de verwerker kan aantonen een groot belang te hebben én de privacyinbreuk wordt geminimaliseerd (bv. Google Streetview met opt-out). Dan hoef je het de mensen niet meer te vragen en voeren we het debat over privacy waar het hoort: in het parlement, bij het maken van een wet hierover.

Ja, ik kan lang wachten op zulke lijsten, ik weet het. Maar wat gaan we dan wél doen met die cookiewet?

Arnoud

De belseconde moet terug!

OPTA wijst telefonieproviders erop dat ze per 1 januari ten minste één abonnement moeten aanbieden met bellen per seconde in plaats van per minuut, en zonder starttarief, las ik bij Webwereld. Naast de netneutraliteitswet (en de omgekeerde bewijslast bij de cookiewet) treedt dan ook de belsecondewet in werking. Of nou ja, ik noem het maar belsecondewet maar net als netneutraliteit en cookies gaat het in feite om één artikel uit de Telecommunicatiewet. Maar “artikel 7.2a lid 4 Telecommunicatiewet” bekt zo slecht.

Toen ik nog een klein nerdje was, moest ik online met een tikkenteller (zie foto) die per zo veel seconde een tik registreerde, waarna ik het bijbehorende tarief bij m’n ouders afrekende. Dat werd op zeker moment bellen per seconde, en in 2010 gingen alle providers ineens volstrekt toevallig tegelijkertijd naar het afrekenen per minuut. Ook was er het starttarief (maar dat was dacht ik er ook al in mijn tikkentellertijd?) waardoor met name korte gesprekken ineens relatief duur werden.

Per 1 januari wordt het dus verplicht om ten minste één mogelijkheid te bieden om per seconde te bellen en zónder starttarief. En omdat telecomjongens héél handig zijn in creatieve interpretatie van zulke regels (“nu slechts 75 euro per seconde!”), moet die mogelijkheid “vergelijkbaar” zijn met de andere door de aanbieder aangeboden abonnementen.

Maar wat is “vergelijkbaar”? Daar zou zelfs Wim ten Brink even over moeten nadenken, maar de OPTA heeft onlangs een toelichting op artikel 7.2 lid 4 gepubliceerd waarin zij een poging doet. Als algemeen criterium hanteert OPTA dat de perseconde-dienst “een volwaardig en serieus alternatief [moet] zijn” voor de andere diensten.

Voor de bijdehante telecomjongens nog een keertje uitleg van wat “per seconde” inhoudt:

[Bellen per seconde] geldt dus meteen vanaf de eerste seconde en derhalve is het bij de voorgeschreven overeenkomst niet toegestaan de eerste minuut af te ronden. De gespreksduur in seconden in rekening brengen betekent naar het oordeel van het college dat de consument moet betalen voor wat hij feitelijk belt

Dus per seconde en niet “na de eerste minuut betaalt u per seconde” of “u betaalt per seconde, berekenend in blokken van 60” of dergelijke bijdehante kleine letters.

Of het aanbod vergelijkbaar is, kan afhangen van alle factoren die consumenten meenemen in hun abonnementskeuze. De duur, de maandkosten, houdbaarheid van belminuten, wel of niet een gratis dan wel leasetoestel, en ga zo maar door. U kunt uitgaan van het gemiddelde belprofiel van afnemers van uw meest afgesloten overeenkomst, suggereert de OPTA heel behulpzaam. Maar de OPTA doet géén uitspraken vooraf of een bepaald abonnement (of juist een prepaidopzet) voldoet aan de regels. Op basis van klachten bij Consuwijzer kan men beboetend optreden.

De uitdaging van vandaag: verzin een abonnement of prepaidaanbieding waarbij per seconde wordt afgerekend die lijkt te voldoen aan het “vergelijkbaar”-criterium en tóch een volslagen flop gaat worden.

Arnoud

NS stuurt mailing ondanks expliciete opt-out

ns-spam.pngCollega Michaël meldde het net voor het weekend: hij kreeg spam van de NS terwijl hij zich had afgemeld voor dergelijke mails. En in de mail stond nog eens dat hij zich expliciet moet gaan afmelden voor nieuwe mailings over “reisinformatie en serviceberichten”. Ook van andere mensen hoorde ik dat ze deze mail hebben gehad hoewel ze zich eerder voor alle mogelijke zaken hebben afgemeld.

Op zich heeft de NS wel degelijk het recht om haar klanten te spammen. Artikel 11.7 lid 3 Telecommunicatiewet staat toe om klanten mails te sturen voor “gerelateerde producten en diensten”, mits

bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens.

Michaël en de andere mensen die me mailden, hebben dat verzet gebruikt en mogen dus geen reclamemails meer krijgen. Daar valt m.i. ook onder nieuwe soorten “reisinformatie en serviceberichten” want opt-out is opt-out: niet meer mailen dus. Het zou wel erg makkelijk zijn om om een verzet heen te komen door je bestaande nieuwsbrief een nieuwe naam te geven.

Spamklacht indienen dus, zou je zeggen. Maar opmerkelijk genoeg kom je niet door de spamklachtwizard heen. Deze meldt namelijk als je alles eerlijk invult:

Het spamverbod is niet van toepassing op berichten waar u zichzelf voor aangemeld heeft. Ook mag een bedrijf dat uw e-mailadres van u heeft gekregen bij de verkoop van een product of een dienst u gerelateerde berichten zenden, zelfs indien u daar destijds niet expliciet toestemming voor hebt gegeven. OPTA kan uw klacht daarom niet in behandeling nemen.

Als uitgangspunt klopt het, maar je hebt het recht om te allen tijde bezwaar (‘verzet’) aan te tekenen tegen zulke mailings. En vanaf dat moment mag er géén mail meer verstuurd worden.

Update (11 mei): OPTA laat weten dat ook het negeren van aangetekend verzet wel degelijk een klacht dient op te leveren. OPTA meldt: “Ook tegen dit ’type’ spam treden wij op. Want het is uiteraard in strijd met de wet wanneer een bedrijf – ondanks eerder aangetekend verzet tegen verder gebruik van je elektronische contactgegevens – desondanks toch nog berichten verzendt. Wij zullen dit op www.spamklacht.nl dan ook snel verduidelijken. Tot die tijd verzoeken wij klagers om bij de vraag over voorafgaande toestemming aan te vinken dat hij of zij géén toestemming heeft gegeven.”

Wie heeft er nog meer deze mailing gehad, nadat hij zich had afgemeld voor commerciële mails?

Arnoud

Heeft opt-in wel zin bij cookies?

Naar aanleiding van de recente discussie over het cookierapport van TNO en IViR verscheen bij Netkwesties het artikel Vergaande spraakverwarring over opt-in en opt-out. In het kader van de discussie over de nieuwe Europese cookiewet had TNO ontdekt dat veel bedrijven de huidige wet schenden, omdat volgens hen het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) een opt-in voor cookies zou eisen.

Netkwesties vroeg mijn commentaar op de spraakverwarring, en enige frustratie gaf het volgende antwoord:

Persoonlijk geloof ik niet in opt-in en maar gedeeltelijk in opt-out. De meeste mensen weten niet hoe dit soort systemen werken, en zóuden dit ook niet hoeven weten. Het idee van opt-in = controle vind ik een illusie. Want met de simpelste belofte krijgen bedrijven wel een opt-in, maar mensen hebben geen idee wat de implicaties van hun toestemming zijn.

Als bepaald gedrag als fundamenteel ongewenst ervaren wordt, dan moet de wet worden aangepast om het gedrag op het juiste spoor te krijgen. Dus niet een opt-in voor tracking cookies voor het volgen van surfgedrag maar een verbod op tracking cookies.

Als we vinden dat tracking moet kunnen maar dat de getrackte persoon invloed moet hebben, dan moet de wet voorschrijven dat er zo’n invloedmechanisme komt.

De wet moet dan over de implicaties gaan en niet over die illusie.

Wat vinden jullie?

Arnoud

Marketingbranche verslikt zich in OPTA’s cookierapport

Branchepartijen BVA, DDMA, IAB, NUV en Thuiswinkel.org hebben grote kritiek op het door TNO en IViR opgestelde rapport “A bite too big, Dillema’s bij de implementatie van de cookiewet in Nederland“, las ik bij Marketingfacts. Het rapport bevat volgens de branchepartijen grove fouten en is met slechts acht respondenten niet representatief voor de sector. We pakken het rapport er dus eens bij.

Bij Marketingfacts zegt de DDMA:

DDMA voorzitter Henry Meijdam staat versteld: “dat men in de samenvatting zegt dat toestemming voor cookies op basis van de huidige wetgeving is vereist, is onbegrijpelijk. Het schetst bovendien het onterechte beeld dat organisaties nu illegaal bezig zijn wanneer zij cookies plaatsen.”

In de samenvatting van het rapport zie ik staan

De regels over het plaatsen van cookies zijn op Europees niveau gewijzigd van een op-out naar een opt-in procedure. Hierdoor is degene die een cookie plaatst verplicht de internetgebruiker voor of tijdens het plaatsen van een cookie te informeren over het plaatsen van het cookie en het doel van de gegevensverzameling. Ook dient hij hiervoor toestemming te vragen.

Dit gaat echter duidelijk over de nieuwe regels omtrekt cookies, die wet moeten worden maar dat nu nog niet zijn. Bij lezing van het rapport valt me op dat men de oude en de nieuwe situatie regelmatig door elkaar bespreekt en niet duidelijk aangeeft of men met “verboden” bedoelt “onder de huidige wet” of “onder de Richtlijn waar we binnenkort wet van gaan maken”.

Voor mij erg verrassend was de volgende opmerking in het rapport:

Door de implementatie van deze wijziging in de Telecommunicatiewet verandert er weinig in de Nederlandse situatie aangezien de huidige implementatie van de oude regels in het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) reeds een opt-in systeem kent.

Een opt-in voor cookies was nieuw voor mij, dus gauw het huidige BUDE erbij gepakt. Artikel 4.1 BUDE noemt deze eisen:

  • op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan
  • op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.

(Deze regels gelden niet als de cookies de verzending van communicatie over een openbaar elektronisch communicatienetwerk uit te voeren of te vergemakkelijken, of nodig zijn om een dienst te leveren – dus login cookies, shoppingcartcookies en sessiecookies vallen buiten deze regels en mogen ook zonder nadere toelichting of opt-out.)

Ik ben toch geneigd dat eerder als een informatieplicht en een opt-outmogelijkheid te lezen. De woordkeuze voor “weigeren” wijst er volgens mij op dat er niet echt om toestemming moet worden gevraagd. Of nou ja, het is semantiek uiteindelijk – is er verschil tussen zelf aanvinken “ja ik wil” of juist het weghalen van een vinkje bij die tekst?

Ook kreeg ik vragen van de passage over respawning cookies, waarbij een weggehaald HTTP cookie wordt hersteld via een kopie daarvan uit de Flash-cookiejar. Het rapport zegt:

Opvallend is dat een klein aantal respondenten aangeeft gebruik te maken van respawning, terwijl dit in strijd is met artikel 4.1 van het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE).

Waar deze strijd zit, wordt niet toegelicht. Ik vermoed dat men bedoelt dat niemand uitlegt dat men respawning gebruikt, laat staan dat gebruikers het kunnen weigeren. Maar dat zou ik niet formuleren als “respawnen is verboden”. Overigens staan Flash cookies bij Adobe in een slecht licht, en heeft ook de IAB zich hiertegen verklaard. Ik mag hopen dat dat betekent dat ze bij inwerkingtreding van de nieuwe telecommunicatiewet verboden worden.

Oh ja, en dat van die acht respondenten: in een gedetailleerde reactie wordt dit toegelicht (pdf) als

Het aantal (relevante) respondenten in dit onderzoek bedraagt n=56. Bij de vragen die zich specifiek richten op Online Behavioral Advertising is de steekproef heel klein, namelijk n=7. In totaal geven vijf respondenten aan de gegevens verkregen via cookies te gebruiken om bezoekers te segmenteren.

En dat klopt wel, zie figuur 2, pagina 31 van het rapport waar men toelicht hoe de (overigens 74) respondenten zijn opgebouwd. Zeven is inderdaad best klein. Maar zijn er zo veel advertentienetwerken dan?

Alles bij elkaar vind ik het rapport nogal een gemiste kans. Tijd dus voor een nieuw onderzoek als de nieuwe wet er is.

Arnoud

DollarRevenue-affiliate krijgt 14.000 euro boete voor verspreiden reclameworm

Een affiliate van het beruchte DollarRevenue heeft van de rechtbank een boete van 14.000 euro gekregen, meldde Webwereld vorige week. De OPTA kwam tijdens het onderzoek naar spyware van DollarRevenue de namen tegen van twee Nederlanders die als affiliate stonden geregistreerd bij het bedrijf. Zij verspreidden tegen betaling de DollarRevenue-software, en de OPTA merkte ze daarom aan als zelfstandig verspreiders van spyware.

Eén van de beboete personen ging in beroep, maar ook de rechtbank acht hem schuldig. Alleen de hoogte van de boete wordt ietwat gematigd (van 16.000 naar 14.000 euro) omdat onvoldoende rekening was gehouden met het feit dat hij ten tijde van de overtreding psychisch in de war was.

Het maakte niet uit dat deze personen ‘slechts’ affiliates waren en dus andermans software promootten. Hun handelingen zorgden er namelijk voor dat de software werd geïnstalleerd op computers van eindgebruikers, en dat mag niet als daar niet expliciet toestemming voor is gekregen. Het boetebesluit van de OPTA legt uit hoe de affiliates werkten:

[E]en argeloze gebruiker kreeg een link toegestuurd naar de kwaadaardige software via één van de contactpersonen uit zijn MSN-contactenlijst. De gebruiker dacht dat dit een persoonlijke boodschap betrof met een link naar een foto. Zodra hij de link opende, werd advertentie- en verspreidingssoftware op zijn computer geïnstalleerd. De volgende keer dat de gebruiker het chatprogramma MSN opstartte, werd automatisch aan al zijn contactpersonen in de contactenlijst dezelfde link toegestuurd.

Dat is dus niets meer of minder dan een ordinaire worm die zichzelf verspreidt. En of je nu je eigen of andermans worm loslaat, het is en blijft een overtreding van de wet.

Zestien- of veertienduizend: het blijven forse boetes. Bij deze zaken krijg je wel altijd de vraag of ze echt effectief zijn. Deze spyware is op 180.000 computers geïnstalleerd en volgens Tech’n Security kreeg je

30 cents per install in the USA, 20 cents per install in Canada, 10 cents in the UK, 1 cent in China and .02 cents in other countries

Volgens Pay per Install geldt die “.02 cents” voor Azië, dus ik aarzel nu wat het Nederlandse bedrag is. Bij 10 cent per installatie (analoog aan de UK) is de revenue dus 18.000 dollar, maar bij 2 cent is het slechts 3600 dollar en dan heeft de boete toch wel aardige impact.

Arnoud

Moet een provider een simlock op een tweedehands mobiel verwijderen?

unlock-simlock-simvrij.pngTelecomtoezichthouder Opta gaat consumenten waarschuwen voor de verkoop van tweedehands telefoons met simlock, las ik bij Nu.nl. Een simlock laten verwijderen is namelijk alleen gratis voor de eerste gebruiker, had MobileMac ontdekt. Ik krijg er zelf ook zeer regelmatig vragen over: kan een telecomboer zomaar weigeren een telefoon te unlocken als die tweedehands gekocht is van een (al dan niet ex-)abonnee? Volgens mij niet, maar ja leg dat die telecomjongens maar eens uit.

Het is providers toegestaan toestellen standaard te simlocken, zodat klanten niet tussendoor snel over kunnen stappen met behoud van hun gesponsorde toestel. Het is precies die sponsoring die eerst terugbetaald moet worden met één of soms zelfs twee jaar abonnementskosten. Er zijn geen wettelijke regels over de grenzen van simlocks, maar de OPTA had ooit een afspraak met providers gemaakt die kortweg hierop neerkwam:

Aanbieders mogen een SIMlock toepassen bij abonnementen waarbij een toestel in de loop van een aantal maanden (maximaal 12) moet worden afbetaald.

Ik begrijp nu echter dat de aanbieders (providers) deze afspraak zo interpreteren dat die alleen geldt tussen hen en hun abonnees. Als een abonnee zijn toestel verkoopt, dan gaat de aanspraak op unlocken niet mee. Dat lijkt me een bijzonder rare interpretatie. Waarom zou de abonnee die aanspraak moeten (of willen) behouden? De enige die wat hééft aan de aanspraak op unlocken is de eigenaar van het toestel.

De wet kent dit principe van rechten die meegaan met andere rechten op diverse plekken. Dit zijn de geheten afhankelijke rechten (art. 3:82 BW) en nevenrechten (art. 6:142 BW). Zo is bijvoorbeeld een erfdienstbaarheid (het mogen lopen op de grond van de buren) een afhankelijk recht. Wie dat recht verkrijgt, kan het niet meenemen als hij verhuist. Het recht gaat over op degene die de grond naast die van de buren koopt. Logisch ook, wat moet je met een erfdienstbaarheid als je de naastliggende grond niet hebt?

Net zo snap ik werkelijk niet waarom het van belang zou zijn dat degene die de unlock aanvraagt, de abonnee is. Het gaat er m.i. om of het gesponsorde toestel is terugverdiend. Dat is eenvoudig na te gaan – controleer via het IMEI bij welk contract de telefoon hoort en hoe oud dat contract is – en de identiteit van de aanvrager is daarbij irrelevant.

Frustrerend is dan wel dat wie zijn gelijk wil halen, meer dan de 120 euro kwijt is die men wil hebben voor dat unlocken.

Arnoud