Je collega mailt met de vraag of je zijn bericht van twee dagen terug al gelezen hebt. ‘Nee sorry’, antwoord je, ‘helemaal gemist’. In werkelijkheid las je zijn mail al een paar keer, maar stelde je je reactie uit. Of wat als je leidinggevende mailt om je beterschap te wensen. Je bent al drie dagen ziek en mailt terug dat je morgen weer paraat staat. Dat kan gebeuren, toch? De kans bestaat echter dat je collega allang wist dat jij zijn mail al een paar keer opende. En je leidinggevende kon zien waar vandaan jij een mail terugstuurde en die locatie niet de stad is waar hij weet dat je woont. Beangstigend? Het is niets nieuws, want het fenomeen ‘mail tracking’ bestaat al decennia. Maar met de komst van gebruiksvriendelijke betaalde productiviteittools als Streak, MailButler, Bananatag en Yesware wordt het steeds eenvoudiger om, zonder dat de ontvanger het weet, mee te gluren binnen de digitale muren van zijn mailbox. Terwijl mail het communicatiemiddel is dat we het meest van alles vertrouwen, zo bleek uit het Nationaal Emailonderzoek 2016. Veel meer zelfs dan SMS, Whatsapp of social media. Toch kun je je afvragen of dat vertrouwen terecht is, want wat kan en mag er eigenlijk met al deze tools?
1. Voor wie is het bedoeld en wat heb je eraan?
Wie gebruik maakt van een nieuwsbriefdienst zoals MailChimp, waarmee je in één keer automatisch een mail naar een grote groep mensen kunt versturen, is waarschijnlijk wel bekend met mail tracking. Deze dienst houdt na het versturen van een nieuwsbrief namelijk bij wie je ‘m opent, hoe vaak er op welke links wordt geklikt en vanaf welk apparaat dit gebeurt. Minder bekend is dat dit ook heel eenvoudig kan bij ander mailverkeer. “Heel handig voor mensen die in hun werk afhankelijk zijn van hoe snel iemand reageert”, verklaart Mike Verbruggen, specialist in ‘slimmer en effectiever werken’. “Stel je bent projectmanager en je hebt iemand een offerte gestuurd. Dan is het nuttig om te weten of iemand jouw mail heeft geopend, zodat je niet voor niets gaat nabellen”, illustreert hij. Email marketeers gebruiken de techniek al jaren, maar de doelgroep breidt zich uit.
Veel van de tools beschrijven potentiele klanten op hun website; ondernemers, productiviteitsfanaten en compulsieve e-mailers. En wie bijvoorbeeld de tool Streak for Gmail via de Chrome webwinkel download, ziet dan ook dat deze al bijna een half miljoen gebruikers heeft.
“Ik installeerde Streak niet vanwege de mail tracking functie, maar die ben ik vanzelf wel gaan gebruiken”, vertelt een ondernemer die anoniem wil blijven. Mail tracking tools worden meestal aangeboden in uitgebreidere softwarepakketjes die allerlei handige tools bevatten. Zo wilde deze ondernemer zijn mails kunnen timen. Hij stelde vaak in dat een mail die hij laat op de avond schreef pas ’s morgens om 7 uur verstuurd werd waardoor hij productief overkwam en zijn mail bovenaan de lijst van de ontvanger stond. Bij toeval ontdekt hij een ‘bij-functie’ van de mail tracking tool. “Zo stuurde ik een keer een offerte aan een potentiele klant, waarna ik opeens zag dat die mail binnen een kwartier ook in een ander dorp werd geopend. Namelijk op de locatie waar een van mijn grootste concurrenten zit. Daardoor vermoedde ik dat zij contact hadden, en heb daarop mijn verkoopstrategie aangepast.”
Nu is het timen van mails niet meteen een functie die privacy-vragen oproept. Maar mail tracking wel, vooral omdat de ontvanger van niets weet. Iets waar de bedrijven die de tools aanbieden vaak ook expliciet melding van maken. Zo laten de makers van productiviteitstool Bananatag weten dat er ‘niks zichtbaars aan je mail wordt toegevoegd waardoor de ontvanger zou kunnen merken dat hij gevolgd wordt.’
2. Hoe werkt het?
Technisch gezien werkt het vaak als volgt: op het moment dat iemand jou een getrackte mail stuurt, is aan die mail een minuscule afbeelding (denk aan een pixel van 1 bij 1) toegevoegd. Deze pixel is transparant, waardoor je ‘m niet kan zien. Op het moment dat jij de mail opent, wordt deze onzichtbare mini-afbeelding automatisch gedownload van een internetserver van de verzender. Op die server staat vervolgens jouw download geregistreerd, net als een aantal andere gegevens zoals vanaf welke locatie je de mail downloadde, het tijdstip, of welk besturingssysteem je gebruikt. En telkens als je de mail weer opnieuw bekijkt, wordt dat ook weer geregistreerd.
3. Mag dit zomaar?
Nee, zegt ICT-jurist Arnoud Engelfriet. “We hebben niet voor niks een cookiewet. Die wet gaat niet alleen over cookies, maar daarin staat ook precies beschreven dat je normaliter de informatie op een computer alleen met toestemming en medeweten van de eigenaar mag uitlezen en opslaan. Als je geen toestemming vraagt, ben je in overtreding en daarmee riskeer je in theorie een boete van 9 ton. ”In de praktijk zijn dit soort boetes echter nog nooit opgelegd, omdat niemand er ooit een zaak van gemaakt heeft. Engelfriet vindt het een schokkende ontwikkeling dat dit soort tools steeds makkelijker beschikbaar zijn. Maar ook dat mensen het zo snel inzetten zonder na te denken of het wel mag en wat dat betekent voor de privacy van de ontvanger.
“Dit soort mail tracking is al decennia bekend, en we krijgen er vrijwel nooit meldingen over”, laat Saskia Bierling van toezichthouder Autoriteit Consument en Markt (ACM) weten. “Het is inderdaad niet toegestaan, maar je kunt je er vrij eenvoudig tegen beschermen.” De ACM laat weten andere prioriteiten hebben (namelijk zaken waar veel klachten over komen), maar kan wel actie ondernemen bij meldingen van misbruik. Waar je dan aan moet denken? Bierling: “Zaken waarbij er gevolgen zijn voor de ‘persoonlijke levenssfeer’ van de melder.” Bijvoorbeeld als je leidinggevende je ontslaat omdat hij door de mail tracking meent te bewijzen dat je loog over je ziekmelding.
Kun je dan ook een rechtszaak aanspannen als je erachter komt dat iemand jou bespiedt? “Dat kun je zeker, al zal het moeilijk zijn om te bewijzen voor welk bedrag je schade hebt geleden”, aldus Engelfriet. Stel dat je ziet dat je baas je zomaar trackt, dan is weliswaar verboden, maar hoeveel financiële schade jij daardoor leidt, is vaak niet zo makkelijk te bepalen.” Een collectieve rechtszaak zou volgens de jurist een interessante aanpak kunnen zijn. “Als voldoende mensen zeggen dat ze er last van hebben, zich verenigen in een fonds en een massaclaim indienen tegen zo’n softwarebedrijf, dan zou dat zeker succesvol kunnen zijn.”
4. Wat kun je ertegen doen?
Als je wilt voorkomen dat je per mail wordt gevolgd, zorg dan in elk geval dat je mailbox niet automatisch afbeeldingen laadt. Dat kun je bij instellingen veranderen en zorgt ervoor dat je bij iedere mail expliciet toestemming moet geven om een afbeelding te zien. Als je geen afbeelding verwacht, zorg dan ook niet dat die wordt binnengehaald. Wie wil zien of hij spionnen via de mail ontvangt, kan dat bijhouden met een gratis tool als UglyMail die je daarvan op de hoogte stelt vóór je een getrackte mail opent. En wie überhaupt wil bijhouden welke bedrijven en adverteerders je sporen online volgen, kan gratis Privacy Badger installeren die op elke website die je bezoekt alle trackers voor je in kaart brengt en eventueel blokkeert. Contraspionage als middel tegen spionage, het voelt toch wat paradoxaal. “Het is eigenlijk ook de omgekeerde wereld, dat jij als werknemer je mailbox moet beveiligen, omdat de kans bestaat dat je collega’s of je baas je bespioneren”, reageert Daphne van der Kroft van privacyvoorvechter Bits of Freedom. Ze hoopt dan ook dat de nieuwe Europese privacywet die volgend jaar ingaat hier effect op zal hebben. “Toezichthouders kunnen straks hoge boetes uitdelen bij overtredingen. Hopelijk met het effect dat bedrijven en particulieren die met dit soort tools werken beter nadenken en het anders organiseren.
Verantwoording
Voor het doel van dit artikel heeft de auteur één week lang alle uitgaande mails getrackt. Op een iemand na, bleek geen enkele ontvanger zich tegen dit soort tracking te beveiligen. Bij iedere mail was minimaal één leesbevestiging inclusief tijdstip te zien. In de helft van de gevallen stond daar ook een locatie vermeld, met name als de mail vanaf een telefoon werd geopend.
Een eerdere versie van dit artikel verscheen in NRC Next