Is een tracker in je e-mail legaal?

Een lezer vroeg me:

Ik krijg de afgelopen tijd veel emails met een zogenaamde email tracker. Dit houdt in dat de verstuurder precies kan zien door wie en wanneer zijn email wordt geopend. Dit is een redelijk beangstigend gevoel omdat ik niet weet wat er allemaal wordt bijgehouden door de verzender. Mag dat zomaar?

Email trackers zijn op zich niet nieuw, maar ze stijgen snel in de belangstelling. En nee, ze zijn niet legaal.

Het basisidee van e-mailtracking is dat je iets opneemt in het mailbericht dat je op afstand kunt uitlezen. Een bekend voorbeeld is een doorzichtige pixel opnemen die op een externe website staat. Als die pixel wordt opgehaald, dan moet dat wel zijn omdat de ontvanger het mailbericht ging lezen en zijn mailprogramma die afbeelding meende nodig te hebben.

Steeds meer maildiensten werken met HTML, en je kunt dan zo ongeveer een complete webpagina met alles erop en eraan opnemen. Inclusief tracking scripts, cookies of wat je maar wil. Zo kun je dan bijvoorbeeld uitlezen wat voor mailprogramma iemand gebruikt, hoe lang hij de mail leest, of hij op links klikt en ga zo maar door.

Dit is dus waar de cookiewet tegen bedoeld is. E-mailtrackers vallen onder het wettelijke begrip “gegevens opslaan of uitlezen” van andermans computer of telefoon. Of je dat nu doet vanuit een website of via een mail doet er niet toe. Zodra je gegevens wilt opslaan of juist wilt ophalen van iemands computer, zegt de cookiewet dat er toestemming voor nodig is.

Op een website is dat simpel, althans in theorie: een popupscherm of kadertje waarin wordt uitgelegd wat cookies zijn, en een knop om wel/geen toestemming. In de mail is dat veel lastiger, want volgens mij kunnen mailprogramma’s niet zomaar die dingen laten zien. Dit nog afgezien van dat daar de cookies en tracking scripts al worden gezet voordat je op ‘ja’ zou kunnen klikken, wat sowieso niet mag van de cookiewet. Dus nee, die dingen zijn niet legaal.

Arnoud

Mag je met een Kruidvat-GPS-tracker je kind in de gaten houden?

spotter-gps-tracker-kruidvatWeet altijd precies waar je kind is en maak contact in geval van nood, met de Spotter. Met die tekst adverteert de Kruidvat haar nieuwste product: een GPS-tracker die verbindt met een app op de telefoon van de ouders, zodat je altijd weet waar je kind is. Of je bagage (“Ideaal voor op vakantie!”), maar primair toch je kind als ik de advertentie goed lees. Dus u voelt hem al aankomen: eh, mag dat, met zo’n GPS-tracker je kind in de gaten houden?

Ook kinderen hebben recht op privacy, maar je zit dan wel meteen in een spanningsveld: als ouders heb je de plicht je kind op te voeden, en opletten hoe het gaat met je kind en waar die zoal uithangt, is deel daarvan. Die informatie botst met de privacy van het kind, en er is geen algemene regel die zegt dat het dan dús mag of dús niet.

In de gastblog van Noortje Mulder van afgelopen zomer ging het om meekijksoftware: chats en mails van je kind scannen. Hier gaat het om een minstens zo vergaande inbreuk: live zien waar je kind zich bevindt. Zoals Noortje het formuleerde:

[W]anneer gaat ouderlijk toezicht nu te ver? Deze vraag is lastig te beantwoorden, gelet op de dubbele rol die ouders hebben ten aanzien van de privacy van het kind. Enerzijds dienen zij het kind te beschermen, waardoor zij de privacy van het kind mogen beperken. In de meeste gevallen zal het beschermingsbelang van het kind een beperking van diens recht op privacy door de ouders rechtvaardigen. Anderzijds dienen zij zich niet onnodig te mengen in het privéleven van hun kind, laat staan bewust inbreuken daarop te maken.

Het belangrijkste is: opvoeden dient als doel te hebben het kind zelfstandig te laten worden. Je moet dus het GPS-volgen binnen dat kader kunnen verantwoorden. Waarom is dat nodig, en hoe wordt het kind er later beter van?

Bij een heel jong kind zou je kunnen zeggen, ik wil zien waar hij/zij is zodat ik bij verdwalen snel kan ingrijpen en het kind kan ophalen. Het kind leert dan zelfstandigheid (vrij rondlopen of -fietsen) maar er is een vangnet. Bij een wat ouder kind zal het minder snel gaan om verdwalen maar eerder om gaan naar ongewenste plekken of personen (“is mijn dochter nu alweer bij die rare gast die vier jaar ouder is”). Daar is ook wel een haakje naar zelfstandigheid te verzinnen, maar het wordt wel lastiger vind ik. Hoort bij zelfstandig worden niet ook een stuk je neus botsen en daarvan leren?

Dus nee, er is geen pasklaar antwoord of dit mag of niet. Het gaat om waarom je het doet, hoe oud je kind is en wat je wilt bereiken.

Hoe zouden jullie als kind (kies zelf je leeftijd) hebben gereageerd als je zo’n tracker in je tas had gevonden? En niet “wauw wat gaaf, die bestonden niet toen ik 9 was dus dan ging ik het gauw patenteren” maar het privacystuk dus 😉

Arnoud

GSM-tracker onder iemands auto hangen is aftappen van GSM-masten, wtf?

haicom-tracker-gps-gsmSoms gaan mijn juridische tenen echt zó krom staan bij het lezen van een vonnis, dat wil je niet weten. In een vonnis van medio april werd een man strafrechtelijk veroordeeld voor het inzetten van een “heimelijk geplaatst track&trace-systeem” dat hij onder iemands auto had gehangen.

De man had eind 2012 een Haicom GPRS tracker gekocht, een GPS/GSM-combinatie die zijn locatie periodiek doorbelt zodat live tracking van waar het apparaat zich bevindt, mogelijk wordt. Hij had dit apparaat bevestigd onder de auto van een ander, met als doel te achterhalen waar deze ander zijn boot had verstopt. Ik neem aan door te zien waar die meneer heenrijdt en dan na te gaan of dat een loods voor een boot is.

Toen de eigenaar het ding ontdekte, deed hij aangifte waarna de plaatser werd vervolgd. Maar er is in het strafrecht geen artikel dat het wederrechtelijk continu vaststellen van iemands locatie verbiedt. Nou ja misschien stalken, het opzettelijk en wederrechtelijk stelselmatig inbreuk maken op iemands persoonlijke levenssfeer. Maar dat was niet ten laste gelegd. Dus wat nu?

De officier had artikel 139d Strafrecht van stal gehaald. Volgens dit artikel is het strafbaar om een gesprek, telecommunicatie of andere gegevensoverdracht af te tappen of op te nemen als je daar niet toe bevoegd bent. Oké, maar welke gesprekken of telecommunicatie worden (wordt? Ruud, help) er afgeluisterd als je een GPS/GSM-tracker plaatst?

Je wilt misschien je schoenen uitdoen als je ook last hebt van krommende juridische tenen, want dit is dan wat de rechtbank zegt:

Door een SIM-kaart in het track&trace-systeem te plaatsen heeft verdachte dit systeem zodanig ingericht dat hij door middel van een geautomatiseerd werk, te weten een computer, via de door de leverancier meegeleverde software kon inloggen en vervolgens kon beschikken over de gegevens die via gsm-masten werden overgedragen.

Oftewel: er wordt wederrechtelijk telecommunicatie met de GSM mast afgetapt. Meneer krijgt via een GSM (gprs) verbinding data binnen over de locatie van een GPS-apparaat, en dat mag niet. Want, eh, ja want. Want. Ja. Eh.

De rechtbank is van oordeel dat in het onderhavige geval het door middel van een geautomatiseerd werk (computer) oproepen van alle door het technisch hulpmiddel (track&trace-systeem) opgevangen signalen uit de ether (interceptie) dient te worden aangemerkt als aftappen.

Want ja eh dat is aftappen. Hùh.

Ik snap hier werkelijk niets van. De GSM-communicatie is legaal, want meneer heeft zelf de SIM-kaart gekocht en het abonnement (prepaid?) geactiveerd. Dat men vervolgens ongewenste/ongepaste/strafbare data over die verbinding transporteert, maakt het nog geen áftappen van die verbinding. Net zo min als wanneer ik een strafbare uiting per mail verzend.

Als je zegt, maar hij mócht die GPS-data niet overdragen: prima, maar waar staat dat in de wet? Plus, dan nog tápt hij deze niet. Dat gaat inherent over het meeluisteren/meekijken bij andermans dataoverdracht.

Dus nee. Hier klopt echt weinig van. (Ik denk wel dat dit soort track&trace strafbaar is, maar dan als stalking dus.) Het voelt als, dit moet niet legaal zijn dus laten we de wet zo uitleggen dat het niet legaal is. En dat is écht verkeerd.

Waarmee niet gezegd is dat de rechtbank de ballen verstand heeft van techniek – ze weten er meer van dan de politie want die schrijft consequent “gsp” als ‘ie “gps” bedoelt. Maar dat terzijde.

Arnoud