Het Nieuw Nederlands Spam Peil

Sinds 19 mei 2004 is de nieuwe Telecommunicatiewet (Tw), met daarin het anti-spam beding, van kracht. Na anderhalf jaar is te zien dat de Tw redelijk effectief blijkt te zijn en dat het aantal spamruns na een aanzienlijke daling is gestabiliseerd. Een verdere daling is te verwachten met de aanstaande wetswijziging. Naast een nieuwe versie van de Tw is er ook nog een nieuwe e-mail gedragscode in aantocht. Maar zelfs als we alle spam van Nederlandse organisaties tot een onschadelijk nivo hebben teruggebracht, resteert voldoende werk.

Dank aan M. Witt voor enkele updates. Dank aan Guus Houtzager, Teun Vink, MacTijn en DMcLF voor het corrigeren van de vele typo’s.

Stabilisatie aantal Nederlandse spamruns

Ruim een jaar geleden schreef ik over de spamruns die verzonden worden door Nederlandse organisaties en individuen:

Sinds afgelopen mei is er een duidelijke daling waarneembaar. Niet alleen zijn in de loop van de tijd veel van de hardcore spammers uit de top 10 uit de anonimiteit gehaald, maar ook lijkt de Tw een afschrikwekkende werking hebben. Spammers lijken even af te wachten om te zien hoe daadkrachtig de OPTA is in de handhaving van de Tw. [...] In de grafiek is duidelijk een daling waarneembaar sinds mei 2004. De verwachting is dat deze trend zich voortzet indien de OPTA ook daadwerkelijk haar tanden laat zien.

Inmiddels zijn we dus een jaar verder, meer dan anderhalf jaar na het van kracht worden van het antispam-beding in de Telecommunicatiewet (Tw). De OPTA lijkt nu voldoende haar tanden te hebben getoond. Uit cijfers van de OPTA blijkt dat er inmiddels op basis van 9.072 klachten zo’n 9 boetes en 31 waarschuwingen uitgedeeld. Niet al deze klachten, boetes en waarschuwingen hebben betrekking op e-mail. Van de 9.072 had ruim 88 procent betrekking op ongevraagde e-mail en zijn minstens 7 boetes voor rekening van spammers. De boetes waren soms niet bepaald zachtzinnig en liepen uiteen van 2.000 tot 45.000 euro.

En dat werpt zijn vruchten af: de afname met 85 procent die vorig jaar gemeld kon worden, is gehandhaafd:

stats spamruns per maand

Deze grafiek is gebaseerd op gegevens van spamvrij.nl. Zonder twijfel heeft ook spamvrij.nl geen 100 procent zicht op alle spamruns. Omdat de grafiek in december 2005 is opgesteld, is die maand incompleet (het werkelijke aantal ligt een spamrun of vier of vijf hoger).

Dat gemiddelde van 15 spamruns per maand is niet zoveel aan te doen met de huidige wetgeving. Uit de lijst van de spamruns die in de afgelopen 6 maanden verzonden zijn door Nederlandse organisaties blijkt dat het aantal spamruns dat gericht is aan consumenten uiterst beperkt is. Tot begin 2004 hadden dat soort spamruns het grootste aandeel, zowel qua aantal als qua volume (aantal messages per spamrun).

Uit de top tien van spammers in de gehele database van spamvrij.nl is (op het moment van schrijven) hetzelfde te concluderen. Van de tien spammers met de meeste spamruns op hun naam is er nog maar één actief geweest in de afgelopen 365 dagen. De top tien beperkt tot enkel de spammers die in de afgelopen 365 dagen nog minstens een spamrun verzonden hebben, hebben beduidend minder spamruns op hun naam staan.

De spamruns die nu nog verzonden worden zijn voornamelijk gericht aan bedrijven. Denk daarbij aan virtuele rondleidingen, kantoorartikelen en professionele presentaties. Een deel van de spamverzendende bedrijven verstuurt spam zonder zich te realiseren dat ongevraagde bulk e-mail schadelijk is voor het communicatiemiddel e-mail (en vaak ook voor het eigen bedrijf). Deze bedrijven zijn in de regel bereid hun beleid aan te passen. De andere bedrijven die op spamvrij.nl genoemd worden blijven spam versturen omdat ze de negatieve consequenties negeren en hun mailing rechtvaardigen met “het mag van de wet!”

Een nieuwe herziening van het antispam-beding in de Telecommunicatiewet zou hierin verandering kunnen brengen. Als de regel gaat worden dat ongevraagde e-mail ook aan rechtspersonen niet meer is toegestaan, is te verwachten dat het aantal spamruns van Nederlandse organisaties verder teruggebracht gaat worden. Wel nu, die wijziging staat op stapel.

Aankomende wijzigingen anti-spam wetgeving

De aanleiding voor de “Wet uitbreiding verbod ongevraagde elektronische communicatie zonder voorafgaande toestemming naar rechtspersonen” is de wens van de Tweede Kamer om ook spam aan bedrijven te verbieden. Dat kwam al ter sprake bij de behandeling van de huidige versie van de TW, maar het amendement werd destijds sterk ontraden door de Minister van Economische Zaken omdat het teveel consequenties zou hebben voor het bedrijfsleven. Het amendement werd vervolgens ook niet aangenomen door Tweede Kamer.

De marketingbranche werd door de minister in de gelegenheid gesteld door middel van zelfregulering de ongevraagde e-mail aan bedrijven zelf te regelen. Eind maart 2004 dienden kamerleden Van Dam en Atsma een motie in waarin de minister werd verzocht de beperking in de Tw op te heffen. In december gaf het ministerie in een brief aan de Tweede Kamer aan niet langer te verwachten dat de marketingsbranche zelf met afdoende regulering zou komen en gaf aan een wijziging van de Tw voor te bereiden.

Wijziging van bestaande wetten worden vastgelegd door uit te schrijven op welke plaatsen de geldende wet zal veranderd worden, teneinde die nieuwe wet te verkrijgen (voor Unix users: de wetmaker doet aan diff-in-Word). Op basis van een recent wijzigingsvoorstel heb ik eens gekeken wat de hoofdpunten in de nieuwe versie van de Telecommunicatiewet zullen zijn. Ondanks dat artikel 11.7 van de Tw ook over onder meer MMS, SMS en faxen gaat, beperk ik me – zoals gebruikelijk – tot e-mail.

  • Het uitgangspunt voor de verzending van e-mail met een commerciële, ideële of charitatieve inhoud aan zowel natuurlijke als rechtspersonen is “confirmed opt-in“. Voorheen gold enkel dat dergelijke e-mail alleen aan een opt-in regime was onderworpen in die gevallen dat de e-mail aan natuurlijke personen was gericht. Dat is een hele vooruitgang als het gaat om de inperking van de hoeveelheid ongevraagde (bulk) e-mail verzondendoor Nederlandse organisaties en individuen.Daarnaast maakt deze wijziging het leven van verzenders ook een stuk makkelijker: zij worden immers niet langer verleid tot het maken van het onderscheid tussen adressen van natuurlijke en rechtspersonen. In de ervaring van spamvrij.nl was het voor verzenders lang niet altijd duidelijk welke criteria de wetshandhaver (de OPTA) precies hanteert voor het onderscheid tussen adressen van natuurlijke en rechtspersonen. Bij twijfel over de status van een adres is de keuze tussen het al dan niet verzenden van e-mail snel gemaakt en wordt het adres opgenomen in de lijst van geadresseerden.
  • Een van die uitzonderingen is dat verzenders nog altijd dergelijke e-mails mogen sturen aan adressen van bedrijven die door die bedrijven “daarvoor bestemd en bekendgemaakt zijn”. In (het concept voor) de Memorie van Toelichting, MvT, wordt dit omschreven als het “selectief een algemene toestemming verlenen”. De ontvanger moet dus vooraf aangegeven hebben dat deze “ongevraagde elektronische berichten met marketingdoeleinden” wil ontvangen en op welke adres dat moet gebeuren. De ontvanger kan daarbij, volgens de MvT, aangeven aan welke criteria deze ongevraagde e-mails moeten voldoen (onderwerp? vorm?). De verzender dient zich aan deze beperking houden.De enige praktische uitvoering die ik me daar bij kan bedenken is dat bedrijven op hun website een e-mailadres publiceren met de expliciete vermelding dat “ongevraagde e-mail”, al dan niet met beperkingen ten aanzien van inhoud en vorm, aan dat adres gestuurd mag worden. Dat lijkt mij dan weer ergens gewoon een vorm van opt-in – weliswaar niet aanbieder specifiek, en bovendien slecht aantoonbaar in geval van een meningsverschil.

    De redenen voor deze uitzondering worden genoemd in (het concept voor) de MvT en bevat een tweetal belangrijke gronden. Op de eerste plaats is het bedrijfsleven bang voor een achterstand ten opzichte van de Europese concurrentie. De Europese richtlijn, waarvan de huidige Tw de Nederlandse implementatie is, stelt het opt-in regime voor e-mail aan natuurlijke personen verplicht, maar laat voor wat betreft e-mail naar rechtspersonen de keuze over aan de lidstaten zelf. Het Nederlandse bedrijfsleven vreest ongelijkheid tussen de ondernemers in Nederland en daarbuiten als in Nederland wel een opt-in regime geldt voor e-mail aan rechtspersonen, en in de andere landen niet. Een tweede reden is dat nu niet elke keer opnieuw de vereiste toestemming moet worden verkregen en vastgelegd en daarmee wordt “een mogelijk commerciële achterstand ten opzichte van buitenlandse concurrentie tot aanvaardbare proporties beperkt”.

  • Het versturen van ongevraagde e-mail aan adressen waarvan de houder, kortweg, buiten de Europese Unie is gevestigd is gewoon toegestaan. Voorwaarde is wel dat voldaan moet zijn aan de regelgeving die geldt in het betreffende land. Blijkbaar is spam in onze landen wel een probleem, maar buiten de Europese Unie niet.
  • Ongewijzigd zijn onder meer de regel dat ongevraagde e-mail onder bepaalde voorwaarden is toegestaan als het adres verkregen is bij de verkoop van een product of een dienst, de verplichting dat de werkelijke identiteit van de verzender moet zijn opgenomen in de e-mail, alsook de verplichting dat er een geldig postadres of nummer voor unsubscription requests moet zijn genoemd.

Met deze wijziging is in ieder geval een van de belangrijke problemen van de huidige wetgeving, te weten het onderscheid tussen natuurlijke en rechtspersonen, gecorrigeerd. Ondanks dat andere lacunes niet worden gerepareerd, acht ik dit een goede stap.

Het zal overigens nog wel even duren voordat deze wet ook echt van kracht is. Aan de precieze tekst wordt nu nog gesleuteld, onder meer naar aanleiding van zogenaamde consultatierondes met onder meer het OPT (Overlegplatform Post en Telecom), het ACTAL (Adviescollege Toetsing Administratieve Lasten) en het CBP (College Bescherming Persoonsgegevens). Daarna gaat het wetsvoorstel naar de Raad van State, gevolgd door de parlementaire behandeling in de Tweede en Eerste Kamer. Als dat allemaal is afgerond, moet de Koningin der Nederlanden er een handtekening onder zetten en wordt de nieuwe wet in de Staatscourant gepubliceerd. Pas daarna, en dan hebben we het over heel wat meer dan een half jaar, zal de wet eens van kracht worden. Het duurt even, maar dan heb je ook wat!

En nog een gedragscode

Deze wetswijziging is niet het enige dat gaat komen. Het Ministerie van Economische Zaken heeft met het bedrijfsleven afgesproken dat de wet de “publiekrechtelijke norm” gaat vormen, waarop het bedrijfsleven zelf met een aanvullende gedragscode komt. Ook aan die aanvullende gedragscode wordt op dit moment geschreven. Deze code zal dan enkel gaan over e-mail aan rechtspersonen, er bestaat immers al een gedragscode voor e-mail aan consumenten: de Code Verspreiding Reclame via E-mail.

De nieuwe code definieert gedragsregels voor ondernemingen met betrekking tot hoe er met de nieuwe Tw omgesprongen moet worden zodat er zo min mogelijk hinder ontstaat. Deze gedragscode wordt door in ieder geval door het bedrijfsleven zelf gehandhaafd, maar hoe dat er in de praktijk eruit gaat zien is mij niet duidelijk. Vermoedelijk zal dat gelijk zijn aan de handhaving van de code voor het verzenden van e-mail aan consumenten, dus via een procedure bij de Reclame Code Commissie.

Die code voor het bedrijfsleven zal in grote lijnen waarschijnlijk overeen gaan komen met de code voor het versturen van e-mail aan consumenten. Voor zover ik weet is er nog nergens een concept van deze code gepubliceerd, maar het is te verwachten dat de code onder meer vastlegt:

  • mate van herkenbaarheid van de opdrachtgever
  • verplichte vermelding bron van het adressenbestand
  • verantwoordelijkheid van de opdrachtgever voor tussenpartijen
  • verplichting het adressenbestand actueel te houden, door terugkerende validatie
  • criteria geldend voor het verzamelen van e-mailadressen (melding aan houder, doorverkoop, etc)
  • maximale grootte van de verzonden e-mail
  • gebruik van attachments
  • omgang met role accounts (info@, inkoop@, etc)
  • minimale eisen unsubscription requests
  • wijze klachtenafhandeling

Het is te hopen dat de ontvangers beter worden voorgelicht dan is gebeurd bij de introductie bij de code voor de consumenten. Die introductie ging gepaard met onduidelijkheden over de reikwijdte van de code, bovendien lijkt het grote publiek niet bekend te zijn met de code en de mogelijkheid tot indienen van een klacht. Voor zover is na te gaan zijn er op het moment van schrijven een zevental uitspraken gedaan door de RCC. Helaas zijn deze uitspraken enkel na betaling in te zien. Over één uitspraak is elders te lezen dat de klager in het gelijk gesteld werd.

[Update 8 november 2006: Inmiddels heeft de RCC één uitspraak gepubliceerd. Dat is gebeurd als "straf" (serieus!) voor het feit dat de verzender voor de derde keer niet vergewist heeft of klager toestemming gegeven heeft of niet. Ik ben onder de indruk.]

Overigens is in artikel 7 van Code Verspreiding Reclame via E-mail vastgelegd dat de code jaarlijks geëvalueerd dient te worden door de branche en de RCC. Nu is die code van kracht geworden op 15 juni 2004, maar heeft er in de afgelopen zomer bij mijn weten geen officiële evaluatie plaatsgevonden. Uit een presentatie van EMMA-nl, een van de opstellers van de code, blijkt dat men graag de maximale grootte van de e-mails wil verhogen, en bovendien de code wil herzien op het punt van derdenverstrekking.

[Update 8 november 2006: Die evaluatie heeft nog altijd niet plaatsgevonden. Het is duidelijk hoe serieus elk van de partijen met deze code omgaat. Er is wel één lichtpuntje. Eén van de opstellers van de code, Emma-nl, heeft inmiddels de juiste definitie van spam op haar site staan: "De in de branche gehanteerde definitie is echter in bulk gestuurde ongevraagde e-mail. Waarbij ongevraagd is gedefinieerd als 'geen toestemming voor gegeven'. De perceptie wijkt dus af van de definitie."]

En dan nu de rest van de wereld

Met een nieuwe versie van de Tw en met een aanvullende gedragscode wordt met een beetje geluk de spam die verzonden wordt door Nederlandse organisaties en individuen en gericht is op Nederlandse gebruikers hooguit nog een triviaal probleem. Het wordt dan hoog tijd dat verder gekeken wordt.

Een deel van de spam die we elke dag in onze mailbox tegen komen en die we op basis van de spam zelf niet tot Nederland kunnen herleiden, wordt wel vanuit of via Nederlandse servers verzonden. Niet alleen worden open proxies in Nederlandse IP space misbruikt, maar ook zijn er, niet nader te noemen, bedrijven en individuen die geld verdienen aan de levering van servers en connectiviteit aan spammers. Spammers kunnen daarmee relatief ongestoord complete zombie netwerken beheren. Het meest bekende voorbeeld is natuurlijk Megaprovider, die in ieder geval tot 23 mei 2005 nog zeer actief was. En zo zijn er meer.

Deze spam aanpakken zal erg moeilijk zijn, zeker voor de officiële instanties die zich bezig houden met de handhaving. Dat is technisch al een heel stuk complexer dan waarmee men tot nu toe te maken heeft gehad, maar vermoedelijk is de juridische complexiteit de grootste drempel.