image

Juridische vraag: Mag een bedrijf mijn mail tracken vanwege een wettelijke verplichting?

woensdag 12 september 2018, 14:26 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust?

Antwoord: Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van de AVG. De AVG is als 'algemene' wet namelijk in principe altijd ondergeschikt aan andere wetten.

Het punt is alleen, er is bij mijn weten geen enkele wet die eist dat een bedrijf nagaat of een werknemer (of een klant) een mail geopend heeft. Ik kan de opmerking van "wettelijke verplichting" dus niet plaatsen.

Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen. Denk aan een aanzegging voor een niet-verlengd arbeidscontract, een bevestiging van een online aankoop of een formele waarschuwing. Het tracken van de e-mail en loggen dat een daarin opgenomen link is aangeklikt, geeft daarvoor voldoende bewijs.

Echter, dat iets effectief is onder wet A betekent nu net nog niet dat het onder de AVG ineens mag. De AVG is dus ondergeschikt, maar een gekozen maatregel om een andere wet na te leven moet wel noodzakelijk zijn om die wet na te leven. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk?

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is "ik moet bewijzen dat je dit bericht hebt gehad" op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
12-09-2018, 15:30 door Anoniem
Nou ik weet nog wel een leukere vraag: Mag een bedrijf opens en clicks volgen bij een gewone marketing email?

Want ze doen het allemaal. Want cookie-wetgeving telt alleen op websites. Wat mogen ze eigenlijk doen met deze informatie? Rapporteren zodat ze kunnen zien welk artikel in de smaak valt en welke niet? Bepalen welke ontvanger welke aanbieding krijgt (gelijkend met bonus kaart)? Verkopen van gegevens aan derden, anoniem of niet?

Naast opt-out voor de nieuwsbrief ben ik nog nergens "recht op verzet" van verwerking opens/clicks tegengekomen op de opt-out formulieren.
12-09-2018, 15:36 door Anoniem
Mag een bedrijf mijn mail tracken vanwege een wettelijke verplichting?

Lees je vraag nog eens goed. Mag een bedrijf zich houden aan een wettelijke verplichting ? Nee, een bedrijf *moet* zich houden aan een wettelijke verplichting. Of denk je dat wettelijke verplichtingen vrijblijvend zijn ?
12-09-2018, 15:38 door Anoniem
@Arnoud :

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is "ik moet bewijzen dat je dit bericht hebt gehad" op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
12-09-2018, 15:39 door Anoniem
Tracking zegt overigens niet dat jij of ik een email hebben geopend of een link hebben aangeclicked. Het zegt enkel dat iemand dat heeft gedaan, vanaf een bepaald IP adres. Bewijzen wie het was, is vrijwel onmogelijk.
12-09-2018, 16:12 door Anoniem
Juist vanwege de AVG willen organisaties graag weten of een verkeerd gestuurde mail ook geopend is. Als het bericht ingetrokken kan worden voordat de ontvanger het bericht gelezen heeft kan een datalek aantoonbaar voorkomen worden.

Non repudiation / onweerlegbaarheid is een andere reden om een ontvangstbevestiging te vragen. Persoonlijk zie ik geen verschil tussen een aangetekende brief of een digitale variant met ontvangstbevestiging. Ik denk dat de AVG niet gebruikt kan worden om ontvangstbevestiging / onweerlegbaarheid vast te leggen. Er zal snel sprake zijn van een gerechtvaardigd belang, wat onder de AVG een grondslag is waaronder gegevens verwerkt mogen worden.
12-09-2018, 16:33 door Anoniem
Mijn email client doet niet aan html, tracking pixels, of wat ook. En als ik wil klikken moet ik eerst een extern programma opstarten (lynx, geen javascript, ha ha), maar ik kan er ook voor kiezen om dat niet te doen. En als klikken de enige manier is van het bericht lezen... dan lees ik het toch lekker niet? Hooguit voer ik je bericht aan spamcop. Nouja, mischien dat je van de abuse melding nog wat kan maken, maar ik weet niet of dat juridisch vliegt.

Dan heb ik je bericht niet gelezen omdat ik eerst moest klikken en dat vertikt heb, en dan?
12-09-2018, 17:27 door Anoniem
Door Anoniem: @Arnoud :

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is "ik moet bewijzen dat je dit bericht hebt gehad" op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?

E-mail is geen verplichting. Je kunt ook een aangetekende brief sturen, of een ander communicatiekanaal gebruiken.
12-09-2018, 17:56 door Briolet
Als het echt een wettelijke verplichting zou zijn, is de methode fout, want als je in een bedrijfstak zit waar dit verplicht zou zijn, moet je ook zeker weten dat de gebruikte methode werkt.

Als je het regelt via trackingpixels, dan moet de ontvanger wel toelaten dat plaatjes standaard geopend worden. Velen hebben dat uit staan.
Dan heb je nog mailservers die de trackingpixels eruit filteren voordat ze bij de gebruiker in de inbox komen. Bij ons gebeurd dat met het programma "MailScanner".
Met andere woorden: met deze methode kun je nooit aan die verplichting voldoen. Als die er al is.

Dan blijft alleen de methode van bewust aanklikbare linkjes over. En dat lijkt me geen probleem als je de link een naam geeft in de trant van "Bevestig ontvangst". Dan weet de ontvanger ook dat er verwacht wordt dat je klikt, want anders is de kans groot dat je nog steeds geen ontvangstbevestiging krijgt.
13-09-2018, 09:38 door Anoniem
Door Anoniem: @Arnoud :

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is "ik moet bewijzen dat je dit bericht hebt gehad" op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
Het is geen bewijs: je anti-virus/spam/malware filtering kan ook alles lezen inclusief allerlei trackers, dus dan lijkt het alsof het gelezen is terwijl dat helemaal niet zo is.

Dus nog duidelijker: de huidige manier (tracken van email) kan nooit op basis van wettelijke plicht als de voordelen (aantonen dat gelezen) niet bestaan

Q
13-09-2018, 13:14 door Anoniem
Door Anoniem: Juist vanwege de AVG willen organisaties graag weten of een verkeerd gestuurde mail ook geopend is. Als het bericht ingetrokken kan worden voordat de ontvanger het bericht gelezen heeft kan een datalek aantoonbaar voorkomen worden.
Email die "ingetrokken" kan worden is geen email. (Wat de "collaboration server en client" met die functionaliteit bieden is dus ook geen email. En zelfs dat werkt niet buiten de eigen organisatie.)

Plus dat of'ie "geopend" is niets zegt over of de inhoud niet toch gelekt is omdat er iemand meekeek op de lijn, bijvoorbeeld. Stel je stuurt onbedoeld naar een gmail-adres, en de mail wordt niet "geopend", maar is ondertussen wel door google op advertentiewaarde doorzocht. Is dat nou wel of niet een lek? Ga er dus maar gewoon vanuit dat een verstuurde onversleutelde email een lek betekent.

Want denk na: Je bent een hoop moeite aan het doen je in te dekken tegen een eventualiteit waarbij je de welwillende medewerking van je ontvanger nodig hebt om te weten of je nat gegaan bent of niet, waarmee je dus anderen lastigvalt om je eigen hachje te redden van het moeten melden van een lek, terwijl eigenlijk veiligheidshalve de informatie toch wel als gelekt beschouwd moet worden.

Non repudiation / onweerlegbaarheid is een andere reden om een ontvangstbevestiging te vragen. Persoonlijk zie ik geen verschil tussen een aangetekende brief of een digitale variant met ontvangstbevestiging.
Ontvanstbevestiging van wat? Dat de server je emailtje in ontvangst genomen heeft? Of dat de mailclient je mailtje geopend heeft? "Message disposition notification" is hoe dan ook vrijwillig en het staat vaak genoeg uit.
13-09-2018, 13:51 door Anoniem
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?

Welke wet eist dat dit via email gebeurt? Misschien kan dit ook wel via een (aangetekende/persoonlijk overhandigde) fysieke brief, mondelinge mededeling etc. Vraag is dan wel of dit minder privacy-invasief is.
13-09-2018, 18:58 door Anoniem
Door Anoniem:
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?

Leg dan ook eens uit hoe je dat MET email tracking gaat aantonen. Want alle vormen van email tracking gebeuren,
zeker buiten een organisatie, toch op geheel vrijwillige basis. De mail kan wel allerlei tracking pixels en scripts bevatten,
maar een BEETJE email client doet daar default niks mee. De gebruiker moet eerst de configuratie gewijzigd hebben
om daar wel iets mee te doen. Dat zou binnen een organisatie door de IT afdeling oid gedaan kunnen worden, maar
erbuiten niet.

Ik denk ook dat je in plaats van allerlei slimme technische truukjes veel beter de ontvanger zelf in de loop kunt opnemen.
Dus niet proberen te kijken of de mail geopend is (want dat zegt helemaal niet dat ie ook gelezen en begrepen is), maar
zet in het bericht een tekst "als u dit gelezen heeft reply dan met AKKOORD" oid.
14-09-2018, 10:04 door Anoniem
Door Anoniem: @Arnoud :

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is "ik moet bewijzen dat je dit bericht hebt gehad" op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
Zoals ik niet op iedere brief reageer met een bevestiging dat ik die heb ontvangen (en alleen maar hoef te tekenen voor een aangetekende brief) is er mijns inziens helemaal geen noodzaak voor e-mail tracking. Mijn werkgever kan, als er een noodzaak is voor tracking, kiezen voor een aangetekende brief. Het rotte aan tracking in e-mail is dat spammers het ook gaan gebruiken. En ik geloof niet dat we daarop zitten te wachten.
14-09-2018, 12:20 door Anoniem
Ongeveer Iedere commerciële maildienst gebruikt tracking, maar dat betekent nog niet dat het mag. Want je registreert nogal wat met tracking: wanneer een email is geopend, vanaf welk IP, op welk tijdstip, hoe vaak de email is geopend. Dat zijn persoonsgegevens volgens AVG. Met scripting is nog veel meer te registreren, bijvoorbeeld bewegingen van de muis, je kunt een systeem fingerprinten, etc.

Een ontvangstbevestiging kan ook per post worden geregeld, of met een externe digitale dienstaanbieder, of je kunt de ontvanger vragen ontvangst van emails te bevestigen. Er zijn twee protocolaire soorten van bevestiging van verzenden: jouw mail server geeft aan dat het aan de MX server is afgeleverd (server niveau) met een bezorgbevestiging. En de gebruiker kan reageren op een verzoek op bevestiging (gebruiker niveau).

Versturende servers kunnen aflevering ook loggen, maar dat vereist doorgaans de hulp van een beheerder.

Er zijn mail filters die links volgen, de meerderheid is toch wel zo slim om pixel bugs e.d. niet te volgen. Het volgen van links kan ervoor zorgen dat ongewild toestemming voor bijvoorbeeld mailings wordt gegeven of ingetrokken, het is niet aan te raden voor gebruikers om zo'n filter te gebruiken.
14-09-2018, 15:40 door Anoniem
E-mail is geen verplichting. Je kunt ook een aangetekende brief sturen, of een ander communicatiekanaal gebruiken.

LMFAO. En jij wordt vast ook heel erg blij indien je maandelijks een aangetekende brief krijgt met je rekening (waarbij de kosten natuurlijk wel aan je worden doorberekend). Laten we het zo inefficient en duur mogelijk maken ;)
14-09-2018, 15:40 door Anoniem
Welke wet eist dat dit via email gebeurt? Misschien kan dit ook wel via een (aangetekende/persoonlijk overhandigde) fysieke brief, mondelinge mededeling etc. Vraag is dan wel of dit minder privacy-invasief is.

Vraag is ook of je erg blij wordt van de extra kosten.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.