Discussiemiddag: Is een persbericht eigenlijk spam?

| AE 1983 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 53 reacties

pers-middag.pngGisteren was ik bij een door De Perslijst georganiseerde discussie tussen de OPTA, journalistiek en advocatuur over het zakelijke spamverbod en wat dat betekent voor de pers. Met vertegenwoordigers van de OPTA, Logeion (de beroepsvereniging voor communicatie), de hoofdredacteur van journalistenvakblad Villamedia en telecomadvocaat Gerrit-Jan Zwenne beloofde dat wat.

Vorig jaar oktober is het spamverbod uitgebreid: ook ongevraagde commerciële, charitatieve of ideële mail naar zakelijke ontvangers was verboden. Dat gaf aardig wat paniek in de tent, maar nog steeds is er veel onduidelijkheid. Mag je bijvoorbeeld persberichten rondsturen naar iedereen die eruit ziet als een journalist? Of is dat ook spam? Hangt het er vanaf of het persbericht echt nieuws is of alleen maar een commercieel verhaal? En is “Mercedes lanceert nieuw model S300” dan echt nieuws?

Het panel opende met de mooie constatering dat “wat mag er nu” een simpele vraag is met een heel wat moeilijker antwoord. De veelgestelde vragen op de site van de OPTA vermelden bijvoorbeeld “Het is mogelijk dat een persbericht onder het spamverbod valt.” Wat moet je daarmee als ondernemer? Betekent dit “het kan, in theorie” of “dit is 99% zeker”? De OPTA kan dan wel geruststellend zeggen dat men niet handhavend optreedt tenzij er schade en overlast van komt, maar dat is natuurlijk geen juridische zekerheid.

En dat was waar de zaal toch naar op zoek was. De consensus leek te zijn: moeten we nu werkelijk zo moeilijk doen over persberichten in de spamwet, want welke journalist gaat dit als spam zien? Journalisten hebben meningen van belanghebbenden nodig en moeten dus veel mail krijgen met persberichten. Communicatiebureaus zullen echt niet zomaar iedereen hun persbericht sturen, want iemand een persbericht opdringen werkt alleen maar contraproductief. En mocht een journalist toch eens van werkgebied veranderen, dan kan hij via de contactgegevens bij het persbericht zich afmelden. Journalisten klikken liever drie keer iets weg dan de kans te lopen nieuws te missen.

De OPTA ziet het toch anders: wat nu als een politieke partij of Goed Doel besluit elk Nederlands bedrijf een mail te sturen omdat er NU actie voor Haïti nodig is. Daarop werd gereageerd met verwijzing naar een radiospotje van Wakker Dier, dat in het spotje mensen oproept om zich op de nieuwsbrief te abonneren. Een extreme vorm van opt-in. De zaal keurt af dat dit nodig is, maar ik zie werkelijk niet waarom. Het alternatief is dat iedere ontvanger zich maar moet gaan afmelden en dat lijkt mij ook niet werkbaar.

Dan komen we op de Hyveskrabbelzaak, waarin een berichtje op een socialenetwerkpagina ook als spam gezien werd. (Er is bezwaar gemaakt tegen de boete, dus misschien krijgen we nog wel een beroep bij de rechtbank ook.) Zwenne had zich goed ingelezen en vroeg zich af waarom Google-advertenties dan niet onder het spamverbod zouden vallen. De reactie van OPTA was opmerkelijk: inderdaad, behavioral targeting verdient aandacht en daar gaan we volgend jaar samen met Consumentenautoriteit en CBP naar kijken.

Er werden nog diverse pogingen gedaan om het met definities op te lossen. Als we bijvoorbeeld kunnen vastleggen wat ‘journalistiek’ is, dan kunnen we zeggen dat je journalisten mag spammen met persberichten. Of we definiëren “persbericht” en zeggen dat die altijd mogen. Maar het nadeel van die route is dat er dan direct misbruik gemaakt gaat worden van de definitie. Want dan heten morgen alle Viagramails ineens “PERSBERICHT”.

Als uitsmijter nog een doordenkertje: als je een dienstverlener bent die als dienst het aanleveren van nieuws en commerciële berichten heeft, moet je dan per mailing toch opt-out hebben?

Arnoud

Spywareboete DollarRevenue in stand gehouden (vrijwel dan)

| AE 1964 | Privacy | 19 reacties

dollarrevenue-floepvensters-balken.pngDe OPTA heeft een bedrijf en een persoon onterecht een boete opgelegd voor betrokkenheid bij de DollarRevenue-spywarezaak, meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware als onvoldoende duidelijk werd aangemerkt en je niet langs deze weg legaal software mag installeren. Dat de OPTA dan ten onrechte één BV en één van de directeuren privé had beboet, lijkt me dan meer iets voor de vierde alinea.

De boete werd opgelegd in 2007 vanwege het ongevraagd installeren van software, wat namelijk in strijd is met de Telecommunicatiewet, of beter gezegd het Besluit Universele Dienstverlening en Eindgebruikersbelangen (Bude). Het bedrijf DollarRevenue bood via allerlei affiliates een downloader aan, dat nadat het was geïnstalleerd op de computer van een eindgebruiker, zonder tussenkomst van die eindgebruiker automatisch contact opnam met de DollarRevenue server om daar nog meer software te downloaden. Daardoor kreeg de eindgebruiker een stroom van reclameboodschappen in floepvensters en een extra zoekbalk in de taakbalk van Windows XP, plus nog de nodige narigheid.

dollarrevenue.pngNou mag dat op zich allemaal wel, mits je maar de gebruiker vooraf vertelt wat hij gaat downloaden. Dat was hier niet gebeurd: de software werd via botnets verspreid maar ook als ActiveX control aangeboden. En vanwege dat laatste maakten de DollarRevenue-jongens bezwaar tegen de boete. Bij ActiveX wordt namelijk een EULA getoond, en daar stond het allemaal heus in. Zeker sinds SP2, waarbij Microsoft de informatievoorziening rond installeren van ActiveX controls had uitgebreid.

Daar trapte de verrassed cluevolle rechtbank niet in:

Bij XP SP2 wordt immers uitsluitend algemene informatie verstrekt over de toepassing van ActiveX en wordt er geen informatie gegeven over de doeleinden en plaatsing van de downloader, de loader.exe en de advertentiebundel. Het duidelijk verschaffen van informatie komt neer op de invulling van ‘Name’ en ‘Publisher” in het standaard ActiveX venster. Met betrekking tot de naam is het vermelden van ‘Click here to agree to this download”, zoals bij DollarRevenue, ontoereikend. Deze ruimte dient immers gebruikt te worden om de naam van de software kenbaar te maken. In bijvoorbeeld het ActiveX venster van Adobe Flash Player staat duidelijk om welke software het gaat, namelijk de Flash Player. Dit is met de naam ‘click here to agree to this download niet het geval.

(Een rechter die Flash installeert? Het moet niet gekker worden.)

De DollarRevenue jongens hadden nog wat achter de hand: in de EULA stond deze toch niets aan duidelijkheid overlatende zin:

Carefully read the following license agreement and the partner software application eulas found at the above online sites, because by downloading or installing, registering for, or using the software and/or partner application software, you are consenting to be bound by and are becoming a party to these agreements applicable to your software.

Maar het noemen van een EULA plus verwijzing naar die van anderen is toch bezwaarlijk uit te leggen als voldoende duidelijke uitleg over wat deze software nu gaat doen. Verwijzen naar EULAs van advertentiebedrijven helpt daarbij niet.

Bij andere verspreidingsvormen, zoals via dat botnet of via de silent install optie (bedoeld om de eindgebruiker “een overdaad aan informatieschermen te besparen”, hoe krijg je het verzonnen) en via exploits, werd zelfs helemaal niets in beeld gebracht. Dus hoe dan ook werd artikel 4.1 Bude overtreden.

Na een kort intermezzo over de bevoegdheid (veel gebruikers van deze software woonden buiten Nederland, maar dat bleek niet relevant) maakt de rechtbank vervolgens korte metten met het argument dat het allemaal de schuld van de affiliates was. DollarRevenue verspreidde de software ook zelf, en had bovendien niets gedaan om te controleren dat de affiliates zich netjes zouden gedragen.

Arnoud

Mag ik een cookie op uw PC plaatsen?

| AE 1850 | Informatiemaatschappij, Ondernemingsvrijheid, Privacy | 30 reacties

Enigszins boos meldde Out-law onlangs dat “cookies verboden gaan worden” in Europa. Of nou ja, ze mogen wel maar een website moet vooraf expliciet om toestemming vragen. Dat zou blijken uit de gewijzigde regels uit het Telecompakket dat onlangs door het Europees Parlement gegaan is.

Artikel 5 van de Universeledienstenrichtlijn 2002/22/EC wordt namelijk aangepast, en in dat artikel staat geregeld onder welke voorwaarden een aanbieder informatie mag opslaan (of inzien) op de computer van een gebruiker. Er staat nu dat dit alleen mag als:

the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller

en dat gaat worden:

the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia about the purposes of the processing.

“Consent” is een heel stuk sterker dan “information”. Je kunt als website dus niet meer volstaan met een standaardriedel “Wat zijn cookies en waarom slaan we die op op uw PC- in je privacyverklaring. Je moet nu ook toestemming hebben om dit te mogen doen. En het aanbieden van een privacystatement is onvoldoende om toestemming te mogen claimen.

En het is zeker de bedoeling dat cookies vallen onder het kopje “information”, zo blijkt uit de aanhef van de gewijzigde richtlijn. Daarin staan namelijk cookies expliciet genoemd als voorbeeld.

Maar toch denk ik dat Out-law een beetje te paniekerig is. In diezelfde aanhef staat namelijk:

Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application.

Wanneer een browser dus afdoende controle biedt over het accepteren en opslaan van cookies, hoeft een site daar niet meer elke keer om te vragen. Ik vraag me wel af wat de EU hieronder gaat verstaan.

Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?

Arnoud

Mag een vereniging haar leden spammen?

| AE 1796 | Informatiemaatschappij | 18 reacties

Tijdens de discussie over opt-in per algemene voorwaarden kwam nog een interessante vraag naar boven: mag een vereniging haar leden ongevraagde mails of SMS-berichten sturen? Hoofdregel is dat je bij ongevraagde elektronische berichten (SMS, e-mail, fax, MSN, noem maar op) toestemming moet hebben voor het versturen van deze berichten. Tenminste, als die berichten “commercieel, charitatief… Lees verder

Opt-out: zo moet het dus niet!

| AE 1745 | Informatiemaatschappij | 68 reacties

Per 1 oktober worden zakelijke mailings aan banden gelegd. Commerciële, ideële en charitatieve mails aan zakelijke e-mailadressen mogen dan alleen nog met voorafgaande en ondubbelzinnige toestemming. Jaja, zult u denken, dat wisten we allemaal al (waarom het 1 oktober moest worden in plaats van de toegezegde 1 juli weet ik nog steeds niet). Dat het… Lees verder

Rechtbank: SURFnet geen openbaar elektronisch communicatienetwerk

| AE 1550 | Informatiemaatschappij | 7 reacties

Weet u nog, die keiharde botsing tussen OPTA en SURFnet? Ik was het ook helemaal vergeten, maar gelukkig meldde ISPam het. SURFnet heeft bij de rechter gelijk gekregen: zij zijn geen openbare internetaanbieder en hoeven zich dus niet bij de OPTA aan te melden. Wie internet-toegang aanbiedt aan “het publiek”, moet zich registreren bij de… Lees verder

Wilt u meer klagen over spam bij de OPTA alstublieft?

| AE 1452 | Informatiemaatschappij | 10 reacties

Spam is verboden, maar over één spammail moet u niet zeuren. Of nou ja, dat mag wel, maar telecomtoezichthouder en antispamhandhaver OPTA hoeft geen maatregelen te nemen tegen bedrijven of instellingen op basis van één klacht over een spamrun. Dat blijkt uit een helaas nog ongepubliceerd vonnis (via Solv). Het ging in deze zaak om… Lees verder

Informatieplichten over beveiliging voor providers

| AE 1416 | Ondernemingsvrijheid, Security | 14 reacties

Internetproviders en met name aanbieders van mobiel internet dienen volgens telecomwaakhond OPTA hun klanten beter te informeren over de gevaren op het web, meldde Nu.nl eergisteren. De OPTA, die ook toezicht uitoefent over internetaanbieders, heeft beleidsregels uitgegeven over de informatieplichten van internetaanbieders. Op grond van art. 11.3 Telecommunicatiewet is de OPTA bevoegd deze regels op… Lees verder

Boete van OPTA voor verspreiden malware

| AE 727 | Security | Er zijn nog geen reacties

De OPTA heeft drie Nederlandse bedrijven en hun twee directeuren een boete van in totaal een miljoen euro opgelegd, meldde Planet dinsdag. De boete (van 1 miljoen) was voor het verspreiden van de DollarRevenue reclamesoftware. Deze software installeerde ongevraagd andere software, toonde reclame in floepvensters (popups) en was niet of nauwelijks te verwijderen. Goed dus… Lees verder

Is Surfnet een openbare Internetaanbieder?

| AE 339 | Informatiemaatschappij | Er zijn nog geen reacties

Planet meldt over een “keiharde botsing tussen Surfnet en de OPTA”. De OPTA is belast met het toezicht op de naleving van de Telecommunicatiewet. Openbare Internetproviders moeten zich aan allerlei regels uit die wet conformeren, waar besloten providers geen last van hebben. Surfnet biedt netwerkdienstverlening voor de aangesloten organisaties, en ziet zichzelf niet als een… Lees verder