Juridische vraag: is gebruik BCC wettelijk verplicht?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
De komende zeven dagen een bezemwagen-editie van de Juridische vraag, waarbij Arnoud elke dag kort een vraag behandelt.
Vraag: Laatst werd ik weer eens gemaild door een bedrijf dat mij en nog 200 man in het "To: " veld had aangeschreven. Is het niet wettelijk verplicht om het "Bcc" veld te gebruiken?
Antwoord: E-mailadressen zijn persoonsgegevens, dus daar moet een bedrijf zorgvuldig mee omgaan. Ze moeten alle technische en organisatorische maatregelen nemen om die te beveiligen tegen misbruik en ongeautoriseerd gebruik. Bij e-mailadressen lijkt me het bcc-veld wel het minste ja. Lastig is alleen, je kunt nu een schadeclaim indienen maar wat is je schade?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je hebt niet echt schade, maar het is erg onhandig. Anders bekeken echter zou je wel kunnen spreken van administratiekosten of extra werk. Bedrijven zijn nooit te beroerd dat door te belasten, dus waarom zou je als klant dat niet andersom ook kunnen doen?
Op de hogeschool gebeurde dit ook vaak. 11.000 studenten + docenten. Toen waren er ook iets van 16 reply-alls. De starter had ook een bijlage van 600kB meegestuurd. Daarbij de mime overhead van 33% is 798kB. Daarbij de 11.000 emailadressen a 50 bytes is ook alweer zowat 500kB aan emailadressen.
Het initiele mailtje was dus al een dikke 13GB. En volgens mij hadden sommige die bijlage ook weer 'teruggestuurd' ofzoiets. Heeft echt vele GBtjes en constant uploaden bij de mailserver gekost.
Paar studenten hebben hier dan ook een zware waarschuwing voor gehad. Deels offtopic, maar dit had voorkomen kunnen worden als er BCC gebruikt was. :)
Ik zelf kijk bij de ONTVANGST niet echt welk veld gebruikt is.
Ik ben echt verbaast als een MAKREEL die bij ONTVANGST daar dus wel heeft gekeken,
vervolgens een boze e-mail terug stuurt naar de VERZENDER en ook nog eens in het TO-veld naar al de ONTVANGERS.
Dan valt het ECHT op dat er e-mail adressen te grabbelen zijn.
Maar als ik die adressen dan ga googelen blijk meer dan 50% daarvan al op het web te liggen,
Het adres van de MAKREEL meestal in veelvoud.
Ik blijf het leuk vinden om met Google-maps te kijken in wat voor huis die MAKREEL woont.
Na ruim 100 jaar auto is het normaal dat er een paar mensen per dag dood gaan in een ongeluk.
over 70 jaar zal het wel normaal zijn dat er af en toe een paar e-mail adressen op straat komen te liggen.
Niet zelden kiezen spammers bewust afzenders uit zo'n lijst als ze spammen naar anderen op die lijst: de kans dat iemand een spammail van een (enigszins) bekende opent, is veel groter dan als de afzender John Doe is.
Het zou goed zijn als hier eens wat wetenschappelijk onderzoek naar plaatsvond. Bijv. unieke mailadressen aanmaken en deze onder een groot aantal ontvangers verspreiden en erin uitleggen dat het om een onderzoek gaat en het niet de bedoeling is dat je reageert. Ik weet zeker dat dit vroeger of later tot spam leidt, de vraag is alleen hoe snel en in hoeveel gevallen.
Dat kan dus nog interessant worden omdat als de curator er achter komt dat zij het klantenbestand hebben "gejat", kunnen ze nog grotere problemen krijgen naast een mogelijke boete van de OPTA...
Of niet?
(ofwel: de essentie is duidelijk, maar waarom niet een fatsoenlijk stuk software gebruiken voor zoiets ipv. de microsoft rommel?? Dan heb je het hele probleem niet.)
Het is niet moeilijk, je moet alleen na-denk-en.
Je moet echt kiezen om BCC te gebruiken met Outlook 2010.
Omdat niemand vooraf kan bepalen welke dingen jij wel of niet mee geassocieerd wilt worden, valt zoiets onder de privacywetgeving en dient er zorgvuldig met e-mailadressen omgesprongen te worden.
(ofwel: de essentie is duidelijk, maar waarom niet een fatsoenlijk stuk software gebruiken voor zoiets ipv. de microsoft rommel?? Dan heb je het hele probleem niet.)
Dat kan dus nog interessant worden omdat als de curator er achter komt dat zij het klantenbestand hebben "gejat", kunnen ze nog grotere problemen krijgen naast een mogelijke boete van de OPTA...
Of niet?
Het kopiëren van de klantgegevens is geen diefstal zoals de wet het voorstelt zoals ik heb begrepen. Of een curator daar problemen mee heeft? Ja, dat zou kunnen echter kan hij/zij er mogelijk weinig aan doen.
Daar is maar één antwoord op en dat is, nee.
Een bedrijf dat per klant een mailtje stuurt is niet verplicht om dat via BCC te doen.
Volgens de etiquette is het wel netjes als het bij meerdere ontvangers gebruikt wordt.
Om aan de privacywet te voldoen is de BCC een optie, het bedrijf kan ook kiezen voor andere opties.
En verder zal een rechter een emailadres als jantje20@hotmail.com alleen als persoonsgegeven zien als er uit te halen is waar die woont en zijn achternaam bij staat.
Net zoals iedereen weet dat er in elk dorp wel een dorpsstraat 1 is. Het is een feit én kan een persoonsgegeven zijn in combinatie met andere gegevens, zoals plaatsnaam en/of naam van de bewoners.
Dat heeft weinig met privacy van doen, indien er gebruik gemaakt wordt van de adressen van de universiteit, al is het wel vervelend. Immers kan je al die adressen al opzoeken, of herleiden aan de hand van de naamgevingsconventie (i.e. voornaam.achternaam@universiteit.nl).
"De vraag was of BCC wettelijk verplicht is. Daar is maar één antwoord op en dat is, nee."
Dat zal vrijwel altijd de conclusie zijn. Al vraag ik mij af of degene op het CIA hoofdkwartier die een mail stuurde naar vele tientallen agenten in Iran -waaronder een mol-, en vergat deze in de BCC te zetten, niet strafrechtelijk vervolgd zou kunnen worden wegens grove nalatigheid, met de dood voor sommigen tot gevolg.
In sommige gevallen kan een kleine fout verstrekkende gevolgen met zich meebrengen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.