Juridische vraag: Mag een bedrijf mijn mail tracken vanwege een wettelijke verplichting?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust?
Antwoord: Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van de AVG. De AVG is als 'algemene' wet namelijk in principe altijd ondergeschikt aan andere wetten.
Het punt is alleen, er is bij mijn weten geen enkele wet die eist dat een bedrijf nagaat of een werknemer (of een klant) een mail geopend heeft. Ik kan de opmerking van "wettelijke verplichting" dus niet plaatsen.
Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen. Denk aan een aanzegging voor een niet-verlengd arbeidscontract, een bevestiging van een online aankoop of een formele waarschuwing. Het tracken van de e-mail en loggen dat een daarin opgenomen link is aangeklikt, geeft daarvoor voldoende bewijs.
Echter, dat iets effectief is onder wet A betekent nu net nog niet dat het onder de AVG ineens mag. De AVG is dus ondergeschikt, maar een gekozen maatregel om een andere wet na te leven moet wel noodzakelijk zijn om die wet na te leven. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk?
Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is "ik moet bewijzen dat je dit bericht hebt gehad" op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Want ze doen het allemaal. Want cookie-wetgeving telt alleen op websites. Wat mogen ze eigenlijk doen met deze informatie? Rapporteren zodat ze kunnen zien welk artikel in de smaak valt en welke niet? Bepalen welke ontvanger welke aanbieding krijgt (gelijkend met bonus kaart)? Verkopen van gegevens aan derden, anoniem of niet?
Naast opt-out voor de nieuwsbrief ben ik nog nergens "recht op verzet" van verwerking opens/clicks tegengekomen op de opt-out formulieren.
Lees je vraag nog eens goed. Mag een bedrijf zich houden aan een wettelijke verplichting ? Nee, een bedrijf *moet* zich houden aan een wettelijke verplichting. Of denk je dat wettelijke verplichtingen vrijblijvend zijn ?
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
Non repudiation / onweerlegbaarheid is een andere reden om een ontvangstbevestiging te vragen. Persoonlijk zie ik geen verschil tussen een aangetekende brief of een digitale variant met ontvangstbevestiging. Ik denk dat de AVG niet gebruikt kan worden om ontvangstbevestiging / onweerlegbaarheid vast te leggen. Er zal snel sprake zijn van een gerechtvaardigd belang, wat onder de AVG een grondslag is waaronder gegevens verwerkt mogen worden.
Dan heb ik je bericht niet gelezen omdat ik eerst moest klikken en dat vertikt heb, en dan?
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
E-mail is geen verplichting. Je kunt ook een aangetekende brief sturen, of een ander communicatiekanaal gebruiken.
Als je het regelt via trackingpixels, dan moet de ontvanger wel toelaten dat plaatjes standaard geopend worden. Velen hebben dat uit staan.
Dan heb je nog mailservers die de trackingpixels eruit filteren voordat ze bij de gebruiker in de inbox komen. Bij ons gebeurd dat met het programma "MailScanner".
Met andere woorden: met deze methode kun je nooit aan die verplichting voldoen. Als die er al is.
Dan blijft alleen de methode van bewust aanklikbare linkjes over. En dat lijkt me geen probleem als je de link een naam geeft in de trant van "Bevestig ontvangst". Dan weet de ontvanger ook dat er verwacht wordt dat je klikt, want anders is de kans groot dat je nog steeds geen ontvangstbevestiging krijgt.
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
Dus nog duidelijker: de huidige manier (tracken van email) kan nooit op basis van wettelijke plicht als de voordelen (aantonen dat gelezen) niet bestaan
Q
Plus dat of'ie "geopend" is niets zegt over of de inhoud niet toch gelekt is omdat er iemand meekeek op de lijn, bijvoorbeeld. Stel je stuurt onbedoeld naar een gmail-adres, en de mail wordt niet "geopend", maar is ondertussen wel door google op advertentiewaarde doorzocht. Is dat nou wel of niet een lek? Ga er dus maar gewoon vanuit dat een verstuurde onversleutelde email een lek betekent.
Want denk na: Je bent een hoop moeite aan het doen je in te dekken tegen een eventualiteit waarbij je de welwillende medewerking van je ontvanger nodig hebt om te weten of je nat gegaan bent of niet, waarmee je dus anderen lastigvalt om je eigen hachje te redden van het moeten melden van een lek, terwijl eigenlijk veiligheidshalve de informatie toch wel als gelekt beschouwd moet worden.
Welke wet eist dat dit via email gebeurt? Misschien kan dit ook wel via een (aangetekende/persoonlijk overhandigde) fysieke brief, mondelinge mededeling etc. Vraag is dan wel of dit minder privacy-invasief is.
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
Leg dan ook eens uit hoe je dat MET email tracking gaat aantonen. Want alle vormen van email tracking gebeuren,
zeker buiten een organisatie, toch op geheel vrijwillige basis. De mail kan wel allerlei tracking pixels en scripts bevatten,
maar een BEETJE email client doet daar default niks mee. De gebruiker moet eerst de configuratie gewijzigd hebben
om daar wel iets mee te doen. Dat zou binnen een organisatie door de IT afdeling oid gedaan kunnen worden, maar
erbuiten niet.
Ik denk ook dat je in plaats van allerlei slimme technische truukjes veel beter de ontvanger zelf in de loop kunt opnemen.
Dus niet proberen te kijken of de mail geopend is (want dat zegt helemaal niet dat ie ook gelezen en begrepen is), maar
zet in het bericht een tekst "als u dit gelezen heeft reply dan met AKKOORD" oid.
Leg dan eens uit hoe je zonder email tracking kan aantonen dat een email aankomt ? Heb je een methode in gedachte om emails te kunnen tracken, zonder email tracking ?
Een ontvangstbevestiging kan ook per post worden geregeld, of met een externe digitale dienstaanbieder, of je kunt de ontvanger vragen ontvangst van emails te bevestigen. Er zijn twee protocolaire soorten van bevestiging van verzenden: jouw mail server geeft aan dat het aan de MX server is afgeleverd (server niveau) met een bezorgbevestiging. En de gebruiker kan reageren op een verzoek op bevestiging (gebruiker niveau).
Versturende servers kunnen aflevering ook loggen, maar dat vereist doorgaans de hulp van een beheerder.
Er zijn mail filters die links volgen, de meerderheid is toch wel zo slim om pixel bugs e.d. niet te volgen. Het volgen van links kan ervoor zorgen dat ongewild toestemming voor bijvoorbeeld mailings wordt gegeven of ingetrokken, het is niet aan te raden voor gebruikers om zo'n filter te gebruiken.
LMFAO. En jij wordt vast ook heel erg blij indien je maandelijks een aangetekende brief krijgt met je rekening (waarbij de kosten natuurlijk wel aan je worden doorberekend). Laten we het zo inefficient en duur mogelijk maken ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
