Regels en realiteit van tell-a-friend systemen

Joor Loohuis, 7 juli 2009, 6349 views.

Eind 2008 hebben de OPTA en het CBP vastgesteld dat tell-a-friend systemen om email te sturen alleen onder enkele strenge voorwaarden legaal zijn. Het is echter de vraag of die regels wel uitvoerbaar zijn op de manier waarop ze bedoeld zijn.

Tags: , , ,

Veel websites geven hun bezoekers de mogelijkheid om een kennis een berichtje te sturen om ze op de website te wijzen, een kaartje te sturen, of iets van die aard. Dat lijkt op zich aardig, maar volgens de Nederlandse regelgeving is het sturen van ongevraagde elektronische boodschappen aan natuurlijke personen (en per 1 oktober 2009 ook aan bedrijven) in of vanuit Nederland niet toegestaan, tenzij de ontvanger daar toestemming voor heeft gegeven. De werkelijke wet is natuurlijk een stuk uitgebreider dan dat, maar het komt er op neer dat de ontvanger niet de kans krijgt om toestemming te geven, en tell-a-friend berichten zijn voor de wet dus spam.

De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) en het College Bescherming Persoonsgegevens (CBP) hebben op 3 december 2008 echter een gezamenlijk oordeel gegeven dat tell-a-friend systemen onder voorwaarden legaal zijn. Voor de precieze formulering verwijs ik graag naar het persbericht met het oordeel. ICT-jurist en blogger Arnoud Engelfriet beschouwt het resultaat als een aardig compromis. Maar op een van die voorwaarden wil ik graag even ingaan:

  • Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.

De bedoeling is dus dat de ontvanger moet weten wie de verzendknop heeft gedrukt, en niet zo zeer op welke website het tell-a-friend systeem stond. Hoe dit in de werkelijkheid wordt uitgelegd door degenen die tell-a-friend systemen implementeren, is dat de afzender van het bericht haar of zijn email adres moet invoeren in het tell-a-friend formulier, dat vervolgens wordt gebruikt als afzender van het bericht (in technische termen, niet alleen de 'From:' en soms de 'Reply-To' headers, maar ook de envelope sender). Waar het op neer komt is dat een ontvangende mail server het bericht beschouwt als verzonden door iemand vanuit het domein van de afzender, en dat heeft gevolgen:

  • Mail servers passen soms als anti-spam maatregel een controle toe waarbij wordt gekeken of de verzendende server wel een mail server voor het domein (MX record in DNS) van de afzender is. Dat zal typisch niet het geval zijn.
  • Vergelijkbaar, technologieen als Sender Policy Framework (SPF) die identificieren welke berichten legitiem een domeinnaam in de afzender mogen gebruiken, zullen deze berichten meestal als spam beschouwen.
  • Zoals gewoonlijk hoeft iemand die zo'n tell-a-friend formulier invult niet zijn eigen email adres in te vullen, en ook niet een werkend adres in te vullen voor de ontvanger. Het is dus helemaal niet gezegd dat de afzender aan te spreken is, maar het opent wel de deur voor meer backscatter spam.

Waarschijnlijk zijn er nog wel meer problemen met de afhandeling van de mail. Het lijkt mij dus dat deze voorwaarde voor het gebruik van tell-a-friend systemen goed bedoeld maar in de praktijk niet uitvoerbaar is. Een deel van de oprecht verzonden berichten zal als spam aangemerkt worden, en het misbruik zal niet noodzakelijk afnemen. De realiteit is ook dat eigenaren van websites nog steeds tell-a-friend functies willen, en dat wij als webdevelopers ze dan ook gewoon zullen implementeren, uiteraard helemaal conform de voorwaarden.

Creative Commons License Op dit werk is een Creative Commons Licentie van toepassing.
Social networking: Tweet dit artikel op Twitter Geef dit artikel door op LinkedIn Bookmark dit artikel op Google Bookmark dit artikel op Yahoo! Bookmark dit artikel op Technorati Bookmark dit artikel op Delicious Deel dit artikel op Facebook Digg dit artikel op Digg Zend dit artikel naar to Reddit Geef dit artikel een duim omhoog op StumbleUpon Zend dit artikel naar Furl

Talkback

reageer op dit artikel

Re: Regels en realiteit van tell-a-friend systemen (Arnoud Engelfriet, 2009-07-07 19:47 CEST)
Volgens mij volgt uit die eis niet noodzakelijkerwijs dat de mail headers moeten worden aangepast. Je kunt ook in de body van het bericht de werkelijke afzender (de vriend die de informatie wilde vertellen) vermelden bijvoorbeeld.

Je kunt ook verdedigen dat deze eis juist met zich meebrengt dat de SMTP envelope afzender het bedrijf moet zijn. Alleen dan kun je effectief filteren op mails van dit bedrijf.