Jeroen Terstegge
Een bont gezelschap van ambtenaren uit diverse OECD-lidstaten, vertegenwoordigers van het bedrijfsleven, direct marketeers en consumenten(bonden) bogen zich twee dagen over het probleem dat "spam" heet. De nietsontziende aanpak wint terrein, met alle nadelige gevolgen van dien.
Enkele weken geleden woonde ik in Brussel de spam-conferentie van de OECD (in het Nederlands: de OESO) bij, met brede deelname maar een met een lichte oververtegenwoordiging aan mensen uit de telecom- en ISP-sector.
Ter voorbereiding heeft de OECD een uitstekend rapport geschreven over de spam-problematiek. Het blijkt dat in de wetgeving en de discussie in het algemeen verschillende definities van spam worden gehanteerd, de aanpak in de OECD-lidstaten nogal uiteenloopt en niet aansluit - en zo zijn er nog tal van andere problemen. Niettemin werd in de loop van de conferentie duidelijk dat men met de term "spam" eigenlijk alleen bedoelt: al die ongewenste rommel over sekssites, penisverlengingen, Viagra-pillen, geldleningen, de oplichtingspraktijken uit Afrika, en dergelijke.
De wetgevers liggen niet echt wakker van de zogeheten 'unsolicited commercial e-mail' of UCE, waarmee bedoeld wordt: de serieuze aanbiedingen van het reguliere bedrijfsleven. Mijn ervaring als privacy officer is dat consumenten helaas alle e-mail die ze ongevraagd krijgen en die hen niet aanstaat als spam beschouwen, dus ook de UCE.
De vertegenwoordigers van de Amerikaanse Federal Trade Commission (FTC) en van het bedrijf Brightmail zetten de toon. "Follow the money. Spam always makes somebody rich". Uit onderzoek blijkt dat als er slechts 0,001 procent van de ontvangers op het spambericht reageert, de spammer al winst maakt. Omdat volgens Brightmail bijna 80 procent van de spam uit de Verenigde Staten komt, hoeft de FTC het geldspoor dus niet ver te volgen (hoewel dat ook al een keer naar Nederland heeft geleid). Slechts 10 procent van de spam komt uit Europa en 7 procent uit Azië. Op de conferentie leerde ik ook dat volgens het bedrijf Spamhaus bijna alle spam van een beperkt groepje van ongeveer 180 personen schijnt te komen, wat bij enkele conferentiegangers terecht de vraag ontlokte waarom deze groep dan nog niet was aangepakt.
Volgens het bedrijf MessageLabs groeit het aantal spamberichten met ongeveer 7 procent per 2 weken. De spreker van AOL liet weten dat haar bedrijf nu dagelijks 2 miljard (!) spamberichten filtert, hetgeen - volgens de cijfers van Brightmail over januari 2004 - ongeveer 60 procent is van het totaal aantal e-mailberichten. Dat spamfilters echter ook negatieve kanten hebben, blijkt wel uit het feit dat volgens het bedrijf TRUSTe spamfilters gemiddeld 15 procent gewenste e-mail blokkeren. Mail dus die je nooit krijgt, maar mogelijk wel zou hebben willen hebben.
Ook worden de spammers inventiever en frauduleuzer. De nieuwste en ernstigste vorm van spam heet 'phishing', waarbij het bericht afkomstig lijkt te zijn van een bekend en respectabel bedrijf, maar in werkelijkheid van een crimineel afkomstig is. De ontvanger wordt gevraagd om een website te bezoeken en daar zijn persoonlijke gegevens in te vullen, die vervolgens worden onderschept door de spammer. Een recent bekend phishing-geval richtte zich op klanten van Paypal, bedrijf voor internetbetalingen. De daarbij gebruikte spam-mail bevatte ook nog eens een worm om zodoende zoveel mogelijk hits te krijgen.
Het meeste 'gephishte' bedrijf is echter eBay met 54 verschillende spam-mails in het laatste kwartaal, volgens de spreker van de Anti-Phishing Working Group (pdf).
In het licht van dergelijke enorme cijfers en ernstige gevaren was het dus niet verwonderlijk dat spreker na spreker zich uitsprak voor een keiharde aanpak van het spam-probleem. De Europese Commissie riep de Amerikaanse overheid op om ook het opt-in stelsel in te voeren, net zoals de Europese Richtlijn 2002/58 die eind vorig jaar van kracht werd. De op 1 januari van kracht geworden Amerikaanse CAN-SPAM Act kent namelijk een opt-out systeem (nee, CAN staat niet voor 'kunnen', maar voor 'inblikken', en is eigenlijk een acronym: Controlling the Assault of Non-Sollicited Pornography and Marketing Act of 2003).
Al dit verbale geweld overstemde de roep van het reguliere bedrijfsleven om bij de bestrijding van het spam-probleem rekening te houden met zijn belang om op een economisch verantwoorde en efficiënte wijze e-commerce te kunnen blijven bedrijven, inclusief online adverteren. De nationale overheden hebben de noodkreet van de consumenten, de ISP’s en de telecomproviders om iets aan de stortvloed van ongewenste reclame te doen, gehoord en zijn nu ieder op geheel eigen wijze de spam-problematiek aan het aanpakken.
Om de brij heendraaien
Toen aan het panel de vraag werd gesteld welk principe - het "country-of-origin" principe of het "country-of-destination" principe - bij een wereldwijde aanpak van het spam-probleem nou eigenlijk de voorkeur verdiende, bleek uit het schaapachtig lachen van het panel en de reacties uit de zaal dat dit eigenlijk de 'million dollar question' is en de hete brij waar we al twee dagen omheen draaiden.
Het 'country-of-origin"-principe gaat ervan uit dat de verzender zich moet houden aan de wetten van het land waarin hij gevestigd is. Dit principe ligt ten grondslag aan de Europese E-commerce Richtlijn 2000/31, die echter met zoveel woorden direct marketing e-mail van de toepassing van het country-of-origin principe uitzondert (met de bedoeling om dit later te regelen in een aparte richtlijn, maar in Richtlijn 2002/58 is dit probleem - abusievelijk? - in het midden gelaten).
Het "country-of-destination"-principe gaat er daarentegen van uit dat de verzender zich moet houden aan het recht van het land waarin de ontvanger woont.
Aan beide systemen kleven belangrijke voor- en nadelen. Het country-of-origin principe heeft evidente voordelen voor de verzender, maar ligt politiek gevoelig, want dat vereist vertrouwen van de nationale regelgevers in elkaars wetgeving, een eigenschap die bij de meeste wet- en regelgevers volledig afwezig is. Panellid Buttarelli, Secretaris-Generaal van de Italiaanse privacy-autoriteit, haastte zich te zeggen dat in Europa het country-of-origin principe geldt, maar ik vrees dat die bewering slechts gedeeltelijk waar is (alleen voorzover het het verzamelen en gebruik de persoonsgegevens - dus naam en e-mailadres - betreft), als het er in een rechtszaak over spam echt op aankomt, zal deze stelling waarschijnlijk niet overeind blijven.
In de discussie maakten sommige vertegenwoordigers van Europese autoriteiten onderscheid tussen het sturen van de e-mail (waarvoor het country-of-origin zou gelden) en de inhoud en vorm van de e-mail (waarvoor zij liever het country-of-destination principe zien). Het panellid van de FTC merkte op dat de Verenigde Staten op dit punt zoveel mogelijk handelen "in the interest of the consumer". Lees: Amerikaanse consumer: country-of-destination dus: de Amerikaanse wet geldt, hetgeen ook ten grondslag ligt aan andere Amerikaanse privacy-wetgeving, zoals de COPPA.
Australië maakt het op dit punt echter het allerbontst. De recente Australische anti-spam wet kent de zogeheten "Australian link", dat de Australische autoriteiten rechtsmacht geeft zodra Australië op enigerlei wijze bij spam is betrokken. Dat is bijvoorbeeld het geval als een Australiër of een server op Australisch grondgebied spam verstuurt, ontvangt of doorgeeft.
Het country-of-origin principe kent ook andere nadelen. Zo is het voor de consument meestal volstrekt onduidelijk of de e-mail die hij ontvangen heeft legaal of illegaal is, want hij weet vaak niet uit welk land het bericht komt, laat staan welke wet er geldt. Dat kan leiden tot een stroom van (onterechte) klachten van consumenten. En dan hebben we het nog niet gehad over het verhaal halen in het buitenland onder een vreemd rechtsstelsel, met taalproblemen etc. Niet echt goed voor de verhouding met je klant dus.
Het country-of-destination principe leidt echter tot schier onoverkomelijke problemen voor de verzender van serieuze direct marketing e-mail. Immers, hij weet vaak niet in welk land een ontvanger gevestigd is, zeker niet als deze een mailadres in een .com-domein heeft. Voorts is het vrijwel onmogelijk om bij een grensoverschrijdende mailactie aan de vele verschillende eisen ten aanzien van de vorm en inhoud van de mail te voldoen. Zo eist de Amerikaanse CAN-SPAM Act dat in de onderwerpregel de letters ADV (advertisement) worden gezet, zodat de ontvanger weet dat het om een direct marketing bericht gaat. De Koreaanse wet differentieert verder en eist dat bij e-mail voor 'volwassenen’ de letters ADLT (adult) in de onderwerpregel worden gezet. Andere wetten eisen dat het bericht voorzien wordt van een online opt-out mogelijkheid; weer andere willen dat ook een gewoon postadres wordt vermeld.
Opmerkelijk ver gaat de Japanse wet die eist dat de volledige naam- en adresgegevens van de verzender aan het begin van de onderwerpregel worden gezet. Ook zijn er landen die eisen dat de onderwerpregel de verdere inhoud van de e-mail nauwkeurig weergeeft.
Het enige dat de verzender in zo’n geval kan doen, is het principe van de "highest-common-denominator" toepassen, hetgeen inhoudt dat hij zich houdt aan de strengste regel uit één land waar hij in ieder ander land goed mee zit. Dat is nog te doen als het gaat om een of twee voorwaarden, maar het wordt wel heel erg ingewikkeld bij de vele verschillende (en mogelijk tegenstrijdige) eisen die de verschillende landen nu aan elektronische direct mail stellen (en dan heb ik het nog niet over eisen met betrekking tot het product of de dienst waarvoor geadverteerd wordt, de vorm van het adverteren of de doelgroep).
Met de vorm en inhoud van de e-mail ben je er echter nog niet. Ook van belang is in welke vorm de preferenties van de ontvanger moeten worden vastgelegd (opt-in/opt-out?). Hoe ziet bijvoorbeeld een geldige toestemming er uit? Het antwoord op deze vraag raakt immers rechtstreeks aan de eisen die je aan de inrichting van een website moet stellen.
En ben je verplicht om naast de vastlegging van de mailvoorkeuren van de consument in je eigen database ook nog de centrale opt-out lijsten in de betrokken landen te raadplegen, bijv. in de Verenigde Staten of in Groot-Brittannië? En welke wilsuiting gaat dan vóór; de (eerdere) opt-in in jouw database of de (latere) opt-out in de centrale opt-out registratie?
Ongebreidelde toepassing van het country-of-destination principe door de nationale wetgevers legt een bom onder de ontluikende e-commerce activiteiten van veel gevestigde en gerespecteerde bedrijven. Het wordt ófwel onmogelijk, ófwel verschrikkelijk ingewikkeld en duur om aan alle juridische eisen te voldoen bij het versturen van direct marketing boodschappen via e-mail aan consumenten in andere landen.
Daarom pleit ik ervoor dat de OECD als organisatie van 30 westerse landen met banden met nog eens 70 landen zich - net als 20 jaar geleden met de privacy-principes voor grensoverschrijdend verkeer van persoonsgegevens - gaat bezighouden met het vaststellen van regels (principes, guidelines, whatever) voor de spamproblematiek, waar het reguliere bedrijfsleven, de consumenten en de overheid op kunnen bouwen. Deze regels of principes moeten:
Zonder een gecoördineerde en eenduidige internationale aanpak van het spam-probleem ben ik bang dat het kind van de e-commerce met het badwater van de spam wordt weggegooid...
[26 februari 2004]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/column_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie84/column1.php on line 86
Warning: include(/home/sites/www.netkwesties.nl/web/templates/column_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie84/column1.php on line 86
Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/column_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie84/column1.php on line 86