Juridische vraag: is gebruik BCC wettelijk verplicht?
donderdag 17 januari 2013, 10:18 door Arnoud Engelfriet, 13 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
De komende zeven dagen een bezemwagen-editie van de Juridische vraag, waarbij Arnoud elke dag kort een vraag behandelt.
Vraag: Laatst werd ik weer eens gemaild door een bedrijf dat mij en nog 200 man in het "To: " veld had aangeschreven. Is het niet wettelijk verplicht om het "Bcc" veld te gebruiken?
Antwoord: E-mailadressen zijn persoonsgegevens, dus daar moet een bedrijf zorgvuldig mee omgaan. Ze moeten alle technische en organisatorische maatregelen nemen om die te beveiligen tegen misbruik en ongeautoriseerd gebruik. Bij e-mailadressen lijkt me het bcc-veld wel het minste ja. Lastig is alleen, je kunt nu een schadeclaim indienen maar wat is je schade?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (13)
17-01-2013, 10:25 door
Mysterio
Op de Universiteit gebeurde het regelmatig dat één of andere onoplettende alle studenten weer eens een bericht stuurde met iedereen in het 'aan' veld. Uiteraard gaat dan iedereen 'reply all' doen met de meest onzinnige dingen zodat binnen no-time de mailbox tot de nok toe vol zat.
Je hebt niet echt schade, maar het is erg onhandig. Anders bekeken echter zou je wel kunnen spreken van administratiekosten of extra werk. Bedrijven zijn nooit te beroerd dat door te belasten, dus waarom zou je als klant dat niet andersom ook kunnen doen?
Je hebt niet echt schade, maar het is erg onhandig. Anders bekeken echter zou je wel kunnen spreken van administratiekosten of extra werk. Bedrijven zijn nooit te beroerd dat door te belasten, dus waarom zou je als klant dat niet andersom ook kunnen doen?
@Mysterio:
Op de hogeschool gebeurde dit ook vaak. 11.000 studenten + docenten. Toen waren er ook iets van 16 reply-alls. De starter had ook een bijlage van 600kB meegestuurd. Daarbij de mime overhead van 33% is 798kB. Daarbij de 11.000 emailadressen a 50 bytes is ook alweer zowat 500kB aan emailadressen.
Het initiele mailtje was dus al een dikke 13GB. En volgens mij hadden sommige die bijlage ook weer 'teruggestuurd' ofzoiets. Heeft echt vele GBtjes en constant uploaden bij de mailserver gekost.
Paar studenten hebben hier dan ook een zware waarschuwing voor gehad. Deels offtopic, maar dit had voorkomen kunnen worden als er BCC gebruikt was. :)
Op de hogeschool gebeurde dit ook vaak. 11.000 studenten + docenten. Toen waren er ook iets van 16 reply-alls. De starter had ook een bijlage van 600kB meegestuurd. Daarbij de mime overhead van 33% is 798kB. Daarbij de 11.000 emailadressen a 50 bytes is ook alweer zowat 500kB aan emailadressen.
Het initiele mailtje was dus al een dikke 13GB. En volgens mij hadden sommige die bijlage ook weer 'teruggestuurd' ofzoiets. Heeft echt vele GBtjes en constant uploaden bij de mailserver gekost.
Paar studenten hebben hier dan ook een zware waarschuwing voor gehad. Deels offtopic, maar dit had voorkomen kunnen worden als er BCC gebruikt was. :)
Het blijft mensen werk, in de privé en interne e-mail is TO gebruikelijk, dus blijft het behelpen.
Ik zelf kijk bij de ONTVANGST niet echt welk veld gebruikt is.
Ik ben echt verbaast als een MAKREEL die bij ONTVANGST daar dus wel heeft gekeken,
vervolgens een boze e-mail terug stuurt naar de VERZENDER en ook nog eens in het TO-veld naar al de ONTVANGERS.
Dan valt het ECHT op dat er e-mail adressen te grabbelen zijn.
Maar als ik die adressen dan ga googelen blijk meer dan 50% daarvan al op het web te liggen,
Het adres van de MAKREEL meestal in veelvoud.
Ik blijf het leuk vinden om met Google-maps te kijken in wat voor huis die MAKREEL woont.
Na ruim 100 jaar auto is het normaal dat er een paar mensen per dag dood gaan in een ongeluk.
over 70 jaar zal het wel normaal zijn dat er af en toe een paar e-mail adressen op straat komen te liggen.
Ik zelf kijk bij de ONTVANGST niet echt welk veld gebruikt is.
Ik ben echt verbaast als een MAKREEL die bij ONTVANGST daar dus wel heeft gekeken,
vervolgens een boze e-mail terug stuurt naar de VERZENDER en ook nog eens in het TO-veld naar al de ONTVANGERS.
Dan valt het ECHT op dat er e-mail adressen te grabbelen zijn.
Maar als ik die adressen dan ga googelen blijk meer dan 50% daarvan al op het web te liggen,
Het adres van de MAKREEL meestal in veelvoud.
Ik blijf het leuk vinden om met Google-maps te kijken in wat voor huis die MAKREEL woont.
Na ruim 100 jaar auto is het normaal dat er een paar mensen per dag dood gaan in een ongeluk.
over 70 jaar zal het wel normaal zijn dat er af en toe een paar e-mail adressen op straat komen te liggen.
17-01-2013, 11:01 door
Erik van Straten
Door Arnoud Engelfriet: Lastig is alleen, je kunt nu een schadeclaim indienen maar wat is je schade?
Los van directe "schade" (vaak emotioneel, maar het kan ook "career limiting" zijn voor ontvangers, zie bijv. http://www.nrcnext.nl/blog/2010/10/06/het-netwerk-van-wouter-bos-ligt-op-straat/) zijn er vaak ook indirecte consequenties: meer spam, phishing en malwaremails in je inbox.Niet zelden kiezen spammers bewust afzenders uit zo'n lijst als ze spammen naar anderen op die lijst: de kans dat iemand een spammail van een (enigszins) bekende opent, is veel groter dan als de afzender John Doe is.
Het zou goed zijn als hier eens wat wetenschappelijk onderzoek naar plaatsvond. Bijv. unieke mailadressen aanmaken en deze onder een groot aantal ontvangers verspreiden en erin uitleggen dat het om een onderzoek gaat en het niet de bedoeling is dat je reageert. Ik weet zeker dat dit vroeger of later tot spam leidt, de vraag is alleen hoe snel en in hoeveel gevallen.
17-01-2013, 11:15 door
Wim ten Brink
Heb onlangs een vergelijkbare situatie meegemaakt die zelfs iets verder ging dan dit. Mijn dealer/garage van mijn auto die ook altijd het onderhoud verzorgde was failliet gegaan en ik had al snel een andere dealer gevonden. Maar pas geleden ontving ik een emailtje van twee voormalige werknemers van dit bedrijf die kennelijk het gehele klantenbestand hebben gekopieerd van die dealer om vervolgens iedereen op die lijst een emailtje te sturen om hun nieuwe garage/onderhoudsdiensten mee aan te kondigen. Duidelijk spam, dus. (En naar SpamKlacht verstuurd.) Maar ze waren ook nog eens zo dom om alle klanten in de TO op te nemen in plaats van de BCC.
Dat kan dus nog interessant worden omdat als de curator er achter komt dat zij het klantenbestand hebben "gejat", kunnen ze nog grotere problemen krijgen naast een mogelijke boete van de OPTA...
Of niet?
Dat kan dus nog interessant worden omdat als de curator er achter komt dat zij het klantenbestand hebben "gejat", kunnen ze nog grotere problemen krijgen naast een mogelijke boete van de OPTA...
Of niet?
Da's een leuke. Main mailtool heeft geen BCC. Wel een blind send. Mag ik nou die software niet meer gebruiken??
(ofwel: de essentie is duidelijk, maar waarom niet een fatsoenlijk stuk software gebruiken voor zoiets ipv. de microsoft rommel?? Dan heb je het hele probleem niet.)
(ofwel: de essentie is duidelijk, maar waarom niet een fatsoenlijk stuk software gebruiken voor zoiets ipv. de microsoft rommel?? Dan heb je het hele probleem niet.)
Oh oh oh. En toch is het niet zo moeilijk om de MTA emails met teveel in de To: te laten weigeren, zelfs te laten herschrijven. Al zou ik dat laatste niet doen. Gewoon blokkeren en een iedereen@ emaillijst aanmaken, die tijdelijk toegankelijk gemaakt wordt voor mensen die om een lijstje van iedereen komen vragen en daar een acceptabele reden voor hebben. Want dit soort dingen zijn geen technisch probleem, maar een mensen-die-niet-nagedacht-hebben-probleem.
Het is niet moeilijk, je moet alleen na-denk-en.
Het is niet moeilijk, je moet alleen na-denk-en.
Per ongeluk BCC gebruiken kan eigenlijk niet met Outlook 2010.
Je moet echt kiezen om BCC te gebruiken met Outlook 2010.
Je moet echt kiezen om BCC te gebruiken met Outlook 2010.
17-01-2013, 12:01 door
WhizzMan
@Mysterio: Je email adres hoeft niet iedereen te weten. Je kan er spam en andere ongewenste e-mail door ontvangen, of mensen raken op de hoogte van een connectie tussen jou en anderen, al dan niet een controversiele connectie. Hoewel het in Nederland over het algemeen geen groot taboe is, kan je bijvoorbeeld in grote problemen komen als je via zo'n actie als homofiel bekend gemaakt wordt, om eens een voorbeeld te noemen.
Omdat niemand vooraf kan bepalen welke dingen jij wel of niet mee geassocieerd wilt worden, valt zoiets onder de privacywetgeving en dient er zorgvuldig met e-mailadressen omgesprongen te worden.
Omdat niemand vooraf kan bepalen welke dingen jij wel of niet mee geassocieerd wilt worden, valt zoiets onder de privacywetgeving en dient er zorgvuldig met e-mailadressen omgesprongen te worden.
Door Anoniem: Da's een leuke. Main mailtool heeft geen BCC. Wel een blind send. Mag ik nou die software niet meer gebruiken??
(ofwel: de essentie is duidelijk, maar waarom niet een fatsoenlijk stuk software gebruiken voor zoiets ipv. de microsoft rommel?? Dan heb je het hele probleem niet.)
BCC is standaard verborgen in outlook 2010 je moet BCC zelf kiezen via opties om deze te gebruiken.(ofwel: de essentie is duidelijk, maar waarom niet een fatsoenlijk stuk software gebruiken voor zoiets ipv. de microsoft rommel?? Dan heb je het hele probleem niet.)
Door WorkshopAlex: Heb onlangs een vergelijkbare situatie meegemaakt die zelfs iets verder ging dan dit. Mijn dealer/garage van mijn auto die ook altijd het onderhoud verzorgde was failliet gegaan en ik had al snel een andere dealer gevonden. Maar pas geleden ontving ik een emailtje van twee voormalige werknemers van dit bedrijf die kennelijk het gehele klantenbestand hebben gekopieerd van die dealer om vervolgens iedereen op die lijst een emailtje te sturen om hun nieuwe garage/onderhoudsdiensten mee aan te kondigen. Duidelijk spam, dus. (En naar SpamKlacht verstuurd.) Maar ze waren ook nog eens zo dom om alle klanten in de TO op te nemen in plaats van de BCC.
Dat kan dus nog interessant worden omdat als de curator er achter komt dat zij het klantenbestand hebben "gejat", kunnen ze nog grotere problemen krijgen naast een mogelijke boete van de OPTA...
Of niet?
Dat kan dus nog interessant worden omdat als de curator er achter komt dat zij het klantenbestand hebben "gejat", kunnen ze nog grotere problemen krijgen naast een mogelijke boete van de OPTA...
Of niet?
Het kopiëren van de klantgegevens is geen diefstal zoals de wet het voorstelt zoals ik heb begrepen. Of een curator daar problemen mee heeft? Ja, dat zou kunnen echter kan hij/zij er mogelijk weinig aan doen.
17-01-2013, 22:06 door
cjkos
De vraag was of BCC wettelijk verplicht is.
Daar is maar één antwoord op en dat is, nee.
Een bedrijf dat per klant een mailtje stuurt is niet verplicht om dat via BCC te doen.
Volgens de etiquette is het wel netjes als het bij meerdere ontvangers gebruikt wordt.
Om aan de privacywet te voldoen is de BCC een optie, het bedrijf kan ook kiezen voor andere opties.
En verder zal een rechter een emailadres als jantje20@hotmail.com alleen als persoonsgegeven zien als er uit te halen is waar die woont en zijn achternaam bij staat.
Net zoals iedereen weet dat er in elk dorp wel een dorpsstraat 1 is. Het is een feit én kan een persoonsgegeven zijn in combinatie met andere gegevens, zoals plaatsnaam en/of naam van de bewoners.
Daar is maar één antwoord op en dat is, nee.
Een bedrijf dat per klant een mailtje stuurt is niet verplicht om dat via BCC te doen.
Volgens de etiquette is het wel netjes als het bij meerdere ontvangers gebruikt wordt.
Om aan de privacywet te voldoen is de BCC een optie, het bedrijf kan ook kiezen voor andere opties.
En verder zal een rechter een emailadres als jantje20@hotmail.com alleen als persoonsgegeven zien als er uit te halen is waar die woont en zijn achternaam bij staat.
Net zoals iedereen weet dat er in elk dorp wel een dorpsstraat 1 is. Het is een feit én kan een persoonsgegeven zijn in combinatie met andere gegevens, zoals plaatsnaam en/of naam van de bewoners.
"Op de Universiteit gebeurde het regelmatig dat één of andere onoplettende alle studenten weer eens een bericht stuurde met iedereen in het 'aan' veld. Uiteraard gaat dan iedereen 'reply all' doen met de meest onzinnige dingen zodat binnen no-time de mailbox tot de nok toe vol zat."
Dat heeft weinig met privacy van doen, indien er gebruik gemaakt wordt van de adressen van de universiteit, al is het wel vervelend. Immers kan je al die adressen al opzoeken, of herleiden aan de hand van de naamgevingsconventie (i.e. voornaam.achternaam@universiteit.nl).
"De vraag was of BCC wettelijk verplicht is. Daar is maar één antwoord op en dat is, nee."
Dat zal vrijwel altijd de conclusie zijn. Al vraag ik mij af of degene op het CIA hoofdkwartier die een mail stuurde naar vele tientallen agenten in Iran -waaronder een mol-, en vergat deze in de BCC te zetten, niet strafrechtelijk vervolgd zou kunnen worden wegens grove nalatigheid, met de dood voor sommigen tot gevolg.
In sommige gevallen kan een kleine fout verstrekkende gevolgen met zich meebrengen.
Dat heeft weinig met privacy van doen, indien er gebruik gemaakt wordt van de adressen van de universiteit, al is het wel vervelend. Immers kan je al die adressen al opzoeken, of herleiden aan de hand van de naamgevingsconventie (i.e. voornaam.achternaam@universiteit.nl).
"De vraag was of BCC wettelijk verplicht is. Daar is maar één antwoord op en dat is, nee."
Dat zal vrijwel altijd de conclusie zijn. Al vraag ik mij af of degene op het CIA hoofdkwartier die een mail stuurde naar vele tientallen agenten in Iran -waaronder een mol-, en vergat deze in de BCC te zetten, niet strafrechtelijk vervolgd zou kunnen worden wegens grove nalatigheid, met de dood voor sommigen tot gevolg.
In sommige gevallen kan een kleine fout verstrekkende gevolgen met zich meebrengen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
