Aangifte tegen een spamzwartelijstbeheerder

a2b-spamhaus.pngA2B Internet uit Purmerend doet aangifte tegen spambestrijder Spamhaus, die de isp zou hebben afgeperst met een denial-of-service aanval tegen zijn klanten. Dat schreef Webwereld maandag. Spamhaus meldde dat er een IP-adres onder beheer van A2B werd gebruikt om te spammen, en eiste een blokkade. A2B vond dat de blokkade te breed was, waarop Spamhaus heel A2B op de Spamhaus Block List zette. A2B beschouwde dat als “onterecht, onrechtmatig en zelfs strafbaar”.

Op zich staat het iedereen vrij om iedereen spammer te noemen, en om daar lijsten van te publiceren. Maar, zeker als je weet dat er mensen ook daadwerkelijk naar je luisteren, moet je enige zorgvuldigheid in acht nemen. Je lijst kan dan flinke gevolgen hebben, en die gevolgen kunnen onrechtmatig zijn.

In 2000 wilde de Vereniging tegen de Kwakzalverij “een zo objectief mogelijke lijst presenteren van de kwakzalvers die [in de 20e eeuw] de hoofdrol vertolkten”. Een orthomanueel genezer maakte bezwaar tegen vermelding in de lijst, omdat hij naar eigen zeggen absoluut geen kwakzalver was. De Hoge Raad oordeelde dat de lijst legitiem was als vrije meningsuiting, met name omdat de Vereniging een eigen duidelijke definitie had geschreven waar de genezer aan voldeed.

Het Hof Amsterdam oordeelde dit jaar dat een site die een zwarte lijst met artsen publiceerden, de teksten van een bepaalde arts offline moest halen. Men schreef onder meer “maakt zich schuldig aan fraude, mishandeling, het toebrengen van zwaar lichamelijk letsel, het achterlaten van een hulpbehoevende in nood en doodslag c.q. moord op termijn”. Een foto van de man (met balkje) was er naast gezet. Dat ging te ver: met zúlke zware beschuldigingen moet je uitkijken.

De vraag is dus, mag Spamhaus zo verkondigen dat A2B een spammer of spammerhulpje is. Spamhaus publiceert een lijst criteria, en die komt neer op:

SBL listings are based on evidence which has satisfied the SBL team that the IP address or IP range is under the control of a spammer, spam operation or a spam support service and represents an unwanted nuisance or threat to mail systems using the SBL.

In dit geval komt het bewijs neer op één bericht van een derde dat hij een spambericht had gehad uit een IP-range van A2B, meer precies van diens klant CB3ROB (wat deze ontkent in de comments bij Webwereld). Of je op die basis zó ver moet gaan dat je de hele IP-range van A2B moet blokkeren, is een goeie vraag. Aan de ene kant lijkt die maatregel me evident disproportioneel. Aan de andere kant lijkt A2B niets gedaan te hebben met de eerste klacht, en het is algemeen bekend dat partijen die niets doen met spamklachten daar vaak zelf een belang bij hebben. Hoewel het dan vaak gaat om notoire “bulletproof hosters” en vergelijkbare onfrisse types, en er is absoluut geen bewijs dat A2B notoir spamfaciliteerder zou zijn.

Update (16:53) zie hieronder het commentaar van CB3ROB.

Het lijkt me dus dat Spamhaus wel iets netter te werk had kunnen gaan. Mijn sympathie voor A2B wordt echter een stuk minder als ik dit soort dingen lees:

Hierdoor kan men dus spreken van een bewuste denial of service attack vanuit Spamhaus naar de klanten van A2B Internet om A2B Internet onder druk te zetten

De DoS-aanval waar men op doelt, is namelijk de publicatie SBL waar de IP-adressen op staan, zodat klanten van A2B niet meer konden mailen of gemaild worden. Maar dat is wettelijk gezien geen denial of service, aangezien de definitie daarvan is “de toegang tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan te bieden of toe te zenden” (art. 138b Strafrecht).

Ik krijg jeuk als mensen met zware wettelijke termen gaan gooien terwijl die evident niet van toepassing zijn. Ik zie werkelijk niets strafbaars aan wat Spamhaus heeft gedaan. Onrechtmatig, misschien. Maar aangifte? Denial of service? Kom nou toch.

Arnoud<br/> PS: mijn boek De wet op internet is tot 1 december met 20% korting te koop! 🙂

Spamverbod niet EVRM-proof (gastpost)

Bij discussies over spam en het spamverbod alhier komt regelmatig het punt aan de orde of het spamverbod niet in strijd zou zijn met de uitingsvrijheid uit het Europese Verdrag voor de Rechten van de Mens (EVRM). Vaste reageerder jdk (Jeroen de Kreek) schreef op mijn verzoek deze blog met een uitgewerkt betoog over dit punt, zodat we deze discussie hier kunnen voeren.

Het Nederlandse spamverbod is in strijd met de Europese uitingsvrijheid. Wie een boete krijgt van de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) wegens spam kan het best naast alle overige weren ook aanvoeren dat uitvoering van de anti-spamregeling van artikel 11.7 Telecommunicatiewet in strijd is met artikel 10 EVRM. Het EVRM beschermt alle aspecten van de vrije meningsuiting, ook het leveren en ontvangen van denkbeelden. Per mei 2004 en oktober 2009 verbiedt de Telecommunicatiewet het versturen van ongevraagde commerciële, ideële of charitatieve berichten (“spam”) via elektronische communicatiesystemen. Daarmee ontstaat strijd met artikel 10 lid 1 EVRM.

Artikel 11.7 Telecommunicatiewet

Volgens artikel 11.7 lid 1 is het aanwenden van elektronische communicatiesystemen voor het overbrengen van ongevraagde berichten voor commerciële, ideële of charitatieve doeleinden aan abonnees toegestaan, mist de verzender kan aantonen dat de ontvanger voorafgaande toestemming heeft verleend. Daarnaast verbiedt artikel 11.7 lid 2 van de telecommunicatiewet het gebruik van elektronische contactgegevens voor commerciële, ideële of charitatieve business to business communicatie indien die gegevens niet zijn gebruikt overeenkomstig de door de abonnee aan die gegevens verbonden doeleinden. Andere middelen voor het overbrengen van commerciële, ideële of charitatieve zijn toegestaan, tenzij de abonnee via een register of anderszins heeft aangegeven de ongevraagde communicatie niet te willen ontvangen.

De anti-spamwet is dermate ruim en algemeen geformuleerd dat welhaast elk bericht dat zonder voorafgaande toestemming verzonden is, onder verboden spam vallen kan. Daaronder expliciete meningsuitingen, zoals van kerken, politieke partijen en verenigingen. Hoewel lang niet iedereen zit te wachten op zulke ongevraagde mails, gaat het niet aan dat de overheid met zo’n keihard verbod de uitingsvrijheid aan banden legt. Spam op bovenstaande wijze bestrijden is een bevoegdheid die de overheid niet toekomt.

Artikel 10 EVRM

Artikel 10 lid 1 EVRM verleent iedereen feitelijk het mensenrecht op het leveren of ontvangen van spam. Hoe vervelend spam ook zijn kan, dat mensenrecht mag u niet zonder meer ontnomen worden. Voorheen had iedereen het recht zonder voorafgaande toestemming denkbeelden te ontvangen. Nu is dat voor iedereen verboden als het gaat om spam, op straffe van een boete voor de verzender.

Artikel 10 EVRM discrimineert in principe niet op grond van de inhoud van uitingen, tenzij die inhoud dusdanig is dat deze overeenkomstig artikel 10 lid 2 EVRM kan worden onderworpen aan bepaalde formaliteiten, voorwaarden, beperkingen of sancties, die bij de wet zijn voorzien en die in een democratische samenleving noodzakelijk zijn in het belang van:

de nationale veiligheid, territoriale integriteit of openbare veiligheid, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden, de bescherming van de goede naam of de rechten van anderen, om de verspreiding van vertrouwelijke mededelingen te voorkomen of om het gezag en de onpartijdigheid van de rechterlijke macht te waarborgen.

De opsomming in artikel 10 lid 2 EVRM wordt de proportionaliteitstoets genoemd. Er dient altijd aan deze proportionaliteit getoetst te worden, voordat een recht voortvloeiend uit artikel 10 lid 1 EVRM ingeperkt worden mag. Indien er minder ingrijpende manieren zijn om het vermeende probleem aan te pakken, is de maatregel niet proportioneel en dus ontoelaatbaar. De algemene regel die uit artikel 10 EVRM volgt is dat heen en weer sturen en ontvangen van berichten via internet louter in individuele gevallen verboden kan of mag worden.

Rechtspraak

Volgens het Sunday Times-arrest van het Europees Hof voor de Rechten van de Mens (EHRM) stelt op grond van de proportionaliteitstoets van artikel 10 lid 2 EVRM drie eisen aan beperkingen op het recht van vrije meningsuiting. De beperking moet zijn:

  1. bij wet voorzien;
  2. <li>ten behoeven van de opgesomde legitieme doelen van algemeen 
    

    belang;

    <li>noodzakelijk in een democratische samenleving.</li>
    

De eerste eis (de voorziening bij wet) wordt ruim uitgelegd in de rechtspraak van het EHRM. Niet de formele status van de beperkende regeling is van belang, maar de kenbaarheid en voorzienbaarheid ervan.

Het EHRM laat onder andere van het aangevoerde doel van de beperking (de tweede eis) afhangen of deze beperking nodig is. Het gaat dan om de vraag of de beperkende maatregel evenredig is aan het legitieme doel dat het beoogt. Wanneer de maatregel ongeschikt is om dat doel te bereiken of wanneer een minder ingrijpende maatregel hetzelfde doel had kunnen dienen, is de maatregel onevenredig. Het EHRM weegt de met de beperking gemoeide belangen af tegen het belang van de uitingsvrijheid.

De derde eis, de noodzaak van beperking voor de democratische samenleving, wordt dusdanig uitgelegd door het ERHM dat er sprake hoort te zijn van een ‘pressing social need’. Nationale overheden hebben hierin een zekere marge. ‘Pressing social need’ is geen wet van Meden en Perzen. Dat begrip is aan interpretatie onderhevig.

Europese richtlijn

Om te weten wat het doel van het spamverbod is, kan naar de titel van het hoofdstuk bij artikel 11.7 van de Telecommunicatiewet en naar de bijpassende Europese richtlijnen gekeken worden. Volgens die titel is het doel van die bepaling “de bescherming van persoonsgegevens en de persoonlijke levenssfeer”. Dit doel blijkt ook uit de richtlijn betreffende privacy en elektronische communicatie waar het artikel uit komt (2002/58/EG).

Privacybescherming en bescherming van persoonlijke levenssfeer is een legitiem doel om te dienen, net als de bescherming van de uitingsvrijheid. In het kader van de effectuering van deze richtlijn strijden twee mensenrechten om belangenbehartiging: het genoemde artikel 10 EVRM en artikel 8 EVRM, dat de persoonlijke levenssfeer beschermt. De overheid heeft tot taak deze rechten op gelijke wijze te wegen. Het ene recht weegt in principe niet zwaarder dan het andere recht. Bij en tijdens bescherming van persoonlijke levenssfeer, hoort ook de uitingsvrijheid beschermd te zijn. De bovengenoemde proportionaliteitstoets van artikel 10 lid 2 EVRM ziet hier op toe.

De Europese richtlijn in relatie tot de artikelen 8 en 10 EVRM plaatst nationale overheden voor een dilemma. Aan de ene kant verlangt de richtlijn dat nationale overheden privacy- en levenssfeerbeschermende maatregelen nemen, aan de andere kant zal uitvoering kunnen stuiten op belangen die door artikel 10 EVRM beschermd worden.

Privacy en persoonlijke levenssfeer beschermen door in het algemeen spam te sanctioneren is tegen het zere been van de uitingsvrijheid en dus een brug te ver. Zeker nu er een redelijk alternatief is.

Redelijke alternatieven

Artikel 13 lid 3 van de Europese richtlijn (2002/58/EG) wil dat lidstaten passende maatregelen nemen om ervoor te zorgen dat, zonder kosten voor de abonnee, ongevraagde communicatie met het oog op direct marketing niet toegestaan is zonder toestemming van de betrokken abonnees, of ten aanzien van abonnees die dergelijke communicatie niet wensen te ontvangen, waarbij de keuze tussen deze mogelijkheden door de nationale wetgeving wordt bepaald.

Dat artikel roept niet op tot iets wat lijkt op artikel 11.7 van de telecommunicatiewet. Dat artikel roept overheden eerder op in het kader van veilig internet en bescherming van privacy en levensfeer het gebruik van (gratis) spamfilters en whitelists te propageren, terwijl daarnaast het onklaarmaken van dergelijke filters of whitelists strafbaar is gesteld. Ook kunnen consumenten en ondernemingen kiezen voor een provider met spamfiler en kunnen overheden kiezen voor het implementeren van een gratis spamvrije e-mailservice van Overheidswege voor particulieren en bedrijven.

Daarnaast kan EU Richtlijn 2002/58/EG zo begrepen worden dat lidstaten gehouden zijn de mogelijkheden van civielrechtelijke aansprakelijkheid voor spamboeren niet aan te tasten, zodat zij bij het veroorzaken van eventuele schade aan computersystemen civielrechtelijk aansprakelijk gesteld kunnen worden. Zoals dat bijvoorbeeld succesvol gebeurd is in de zaak AbFab/XS4ALL.

Voordeel van civielrechtelijke aanpak van spam is dat de mensenrecht bepalingen van het EVRM in beginsel niet horizontaal werken. In civiele zaken kan artikel 10 EVRM in principe niet als weer ingeroepen worden. Spam die ondanks deze maatregelen schade aanricht aan computersystemen, kan aangepakt worden met artikel 161 sexies van het wetboek van Strafrecht. Dat artikel verbiedt het opzettelijk vernielen, beschadigen of onbruikbaar maken van een computer- of communicatiesysteem. De overheid beschikt over een legio aan proportionele maatregelen die ingezet kunnen worden om spam te bestrijden en privacy en levensfeer te beschermen. Daarbij is het niet noodzakelijk en zelfs onwenselijk met verboden de algemene uitingsvrijheid aan banden te leggen.

Economisch nadeel & conclusie

Die onwenselijkheid is niet alleen mensenrechttechnisch, ook zit er een sterk nadelig economisch component aan de anti-spamwet. Moderne techniek maakt telecommunicatie relatief makkelijk en goedkoop. Daarmee is het voor de enkeling eenvoudiger tegen relatief lage kosten grote groepen mensen tegelijk te bereiken en aldus een plek op de markt te verwerven, al dan niet ten koste van gevestigde partijen. Dat geeft dynamiek aan de vrije mededinging die aan de Europese economie ten grondslag ligt.

De nieuwe bepalingen van artikel 11.7 van de Telecommunicatiewet frustreren dit economisch voorspoed brengende effect van de moderne technologie en beschadigen daarmee de economische slagkracht van deze technologie voor Europa in handen van onder andere zzp’ers en het MKB. Kortom artikel 11.7 van de Telecommunicatiewet in strijd is met artikel 10 EVRM en niet in het algemeen economisch belang.

Mag een vereniging haar leden spammen?

Tijdens de discussie over opt-in per algemene voorwaarden kwam nog een interessante vraag naar boven: mag een vereniging haar leden ongevraagde mails of SMS-berichten sturen?

Hoofdregel is dat je bij ongevraagde elektronische berichten (SMS, e-mail, fax, MSN, noem maar op) toestemming moet hebben voor het versturen van deze berichten. Tenminste, als die berichten “commercieel, charitatief of ideëel” zijn. Een mededeling over de sluitingstijden van het clubhuis valt daar niet onder, maar een bedelbrief voor geld om een nieuw clubhuis te bouwen wel.

Ik heb de OPTA afgelopen maandag deze vraag voorgelegd, maar helaas nog geen reactie ontvangen. Het beste advies lijkt me dus om bij het lid worden mensen te vragen of ze nieuwsbrieven, verzoeken van het bestuur en dergelijke mails willen ontvangen. Alleen: hoe formuleer je dat op zo’n manier dat mensen het wel oké vinden maar je toch je maandelijkse bedelbrieven voor een nieuw clubhuis kunt sturen?

Arnoud

Opt-out: zo moet het dus niet!

Per 1 oktober worden zakelijke mailings aan banden gelegd. Commerciële, ideële en charitatieve mails aan zakelijke e-mailadressen mogen dan alleen nog met voorafgaande en ondubbelzinnige toestemming. Jaja, zult u denken, dat wisten we allemaal al (waarom het 1 oktober moest worden in plaats van de toegezegde 1 juli weet ik nog steeds niet).

Dat het adressenbestand van allerlei mailinglijsten nu opgeschoond moet worden, begint ondertussen bij veel bedrijven ook door te dringen. Maar lang niet iedereen lijkt door te hebben dat je expliciet toestemming moet vragen. Stilzwijgen is geen toestemming. Lijkt mij logisch, maar toch zie ik (via diverse lezers, waarvoor dank) regelmatig mails als de volgende:

Ja, ik wil in de toekomst op de hoogte gehouden worden: klik hier.

Nee, ik wil in de toekomst niet op de hoogte gehouden worden: klik hier.

Na het maken van uw keuze ontvangt u per omgaande een bevestiging per e-mail. Mochten wij voor 15 september geen reactie van u hebben ontvangen, dan gaan wij ervan uit dat u onze berichten op prijs stelt.

Mooi is dat. Ik ga er vanuit dat deze lezer een spamklacht indient bij de OPTA na 1 oktober en dat dat zal leiden tot een leuke boete.

En het is “er vanuit“.

Arnoud