Zo kunnen mensen allerlei gevoelige informatie over jou verzamelen

mail tracking

De komst van gebruiksvriendelijke mailtools maakt het steeds eenvoudiger om mee te gluren in iemands mailbox. Zo kunnen mensen allerlei gevoelige informatie over je verzamelen. Hoe werkt dat?

Foto Flickr

Denk eens aan de volgende situaties. Je collega mailt of je zijn bericht van twee dagen eerder al gelezen hebt. ‘Nee sorry’, antwoord je, ‘helemaal gemist’. In werkelijkheid las je zijn mail al een paar keer, maar stelde je je reactie uit. Of: je bent al drie dagen ‘ziek’ en je leidinggevende mailt om je beterschap te wensen. Je mailt terug dat je morgen weer paraat staat.

De kans bestaat echter dat je collega weet dat jij zijn mail al een paar keer opende. En dat je leidinggevende kan zien dat de locatie waarvandaan je een mail terugstuurde, niet de plek is waar je woont.

Beangstigend? Het is niets nieuws, het fenomeen ‘mail tracking’ bestaat al decennia. Maar met de komst van gebruiksvriendelijke, betaalde productiviteits-tools als Streak, MailButler, Bananatag en Yesware wordt het steeds eenvoudiger om mee te gluren binnen de digitale muren van iemands mailbox.

Mail is het digitale communicatiemiddel dat we het meest vertrouwen, zo bleek uit het Nationaal E-mailonderzoek 2016. Veel meer zelfs dan sms, Whatsapp of de sociale media. Toch kun je je afvragen of dat vertrouwen terecht is, want wat kan en mag er eigenlijk met mail tracking?

1. Voor wie is het bedoeld en wat heb je eraan?

De techniek is niet nieuw. Wie gebruikmaakt van een nieuwsbriefdienst als MailChimp, waarmee je in één keer automatisch een mail naar een grote groep mensen kunt versturen, is waarschijnlijk wel bekend met mail tracking. Deze dienst houdt na het versturen van een nieuwsbrief namelijk bij wie ‘m opent, hoe vaak er op welke links wordt geklikt en vanaf welk apparaat dit gebeurt.

Minder bekend is dat dit ook heel eenvoudig kan bij ander e-mailverkeer. „Heel handig voor mensen die in hun werk afhankelijk zijn van hoe snel iemand reageert”, zegt Mike Verbruggen, specialist in ‘slimmer en effectiever werken’. „Stel: je bent projectmanager en je hebt iemand een offerte gestuurd. Dan is het nuttig om te weten of iemand jouw mail heeft geopend, zodat je niet voor niets gaat nabellen.”.

E-mail marketeers gebruiken de techniek al jaren, maar de doelgroep breidt zich uit. Veel bedrijfjes die deze programma’s aanbieden beschrijven potentiele klanten op hun website; ondernemers, productiviteitsfanaten en compulsieve e-mailers. En wie bijvoorbeeld de tool Streak for Gmail downloadt, ziet dan ook dat deze al bijna een half miljoen gebruikers heeft.

„Ik installeerde Streak niet vanwege de e-mail tracking-functie, maar die ben ik vanzelf wel gaan gebruiken”, vertelt een ondernemer die anoniem wil blijven. Mail tracking tools worden meestal aangeboden in uitgebreidere softwarepakketjes die allerlei handige toepassingen bevatten. Zo wilde deze ondernemer zijn mails kunnen timen. Hij stelde vaak in dat een mail die hij laat op de avond schreef pas ’s morgens om 7 uur verstuurd werd waardoor hij productief overkwam en zijn mail bovenaan de lijst van de ontvanger stond. Bij toeval ontdekt hij een ‘bijfunctie’ van de mail tracking tool. „Zo stuurde ik een keer een offerte aan een potentiële klant, waarna ik opeens zag dat die mail binnen een kwartier ook in een ander dorp werd geopend. Namelijk op de locatie waar een van mijn grootste concurrenten zit. Daardoor vermoedde ik dat zij contact hadden, en heb daarop mijn verkoopstrategie aangepast.”

Nu is het timen van mails niet meteen een functie die privacyvragen oproept. Maar mail tracking wel, vooral omdat de ontvanger van niets weet. Iets waar de bedrijven die dit soort programma’s aanbieden vaak ook expliciet melding van maken. Zo laten de makers van productiviteits-tool Bananatag weten dat er „niks zichtbaars aan je mail wordt toegevoegd waardoor de ontvanger zou kunnen merken dat hij gevolgd wordt”.

2. Hoe werkt het?

Technisch gaat het vaak als volgt: op het moment dat iemand je een getrackte mail stuurt, is aan die mail een minuscule afbeelding (denk aan een pixel van 1 bij 1) toegevoegd. Deze pixel is transparant, waardoor je ’m niet kunt zien. Op het moment dat je de mail opent, wordt deze onzichtbare mini-afbeelding automatisch gedownload van een internetserver van de verzender. Op die server staat vervolgens jouw download geregistreerd, net als een aantal andere gegevens, zoals vanaf welke locatie je de mail downloadde, het tijdstip of welk besturingssysteem je gebruikt. En telkens als je de mail opnieuw bekijkt, wordt dat ook weer geregistreerd.

3. Mag dat zomaar?

Nee, zegt ict-jurist Arnoud Engelfriet. is „We hebben niet voor niks een cookiewet. Die wet gaat niet alleen over cookies, maar daarin staat ook precies beschreven dat je normaliter de informatie op een computer alleen met toestemming en medeweten van de eigenaar mag uitlezen en opslaan. Als je geen toestemming vraagt, ben je in overtreding en daarmee riskeer je in theorie een boete van 9 ton.”

In de praktijk is dit soort boetes nog nooit opgelegd, omdat niemand er ooit een zaak van gemaakt heeft. Engelfriet vindt het een schokkende ontwikkeling dat deze tools steeds makkelijker beschikbaar zijn. Maar ook dat mensen het zo snel inzetten, zonder na te denken of het wel mag en wat dat betekent voor de privacy van de ontvanger.

„Het fenomeen mail tracking is al lang bekend, en we krijgen er vrijwel nooit meldingen over”, laat Saskia Bierling van toezichthouder Autoriteit Consument en Markt (ACM) weten. „Het is inderdaad niet toegestaan, maar je kunt je er vrij eenvoudig tegen beschermen.” De ACM laat weten andere prioriteiten te hebben (namelijk zaken waar veel klachten over komen), maar kan wel actie ondernemen bij meldingen van misbruik. Waar je dan aan moet denken? Bierling: „Zaken waarbij er gevolgen zijn voor de ‘persoonlijke levenssfeer’ van de melder.” Bijvoorbeeld als je leidinggevende je ontslaat omdat hij door de mail tracking meent te kunnen bewijzen dat je loog over je ziekmelding.

Kun je dan ook een rechtszaak aanspannen als je erachter komt dat iemand je bespiedt? „Dat kan zeker, al zal het moeilijk zijn om te bewijzen voor welk bedrag je schade hebt geleden”, aldus Engelfriet. „Stel dat je ziet dat je baas je zomaar trackt. Dat is weliswaar verboden, maar hoeveel financiële schade jij daardoor leidt, is vaak niet zo makkelijk te bepalen.”

Een collectieve rechtszaak zou volgens de jurist een interessante aanpak kunnen zijn. „Als voldoende mensen zeggen dat ze er last van hebben, zich verenigen in een fonds en een massaclaim indienen tegen zo’n softwarebedrijf, zou dat zeker succesvol kunnen zijn.”

4. Wat kun je ertegen doen?

Als je wilt voorkomen dat je per mail wordt gevolgd, zorg dan in elk geval dat je mailbox niet automatisch afbeeldingen laadt. Dat kun je bij instellingen veranderen en zorgt ervoor dat je bij iedere mail expliciet toestemming moet geven om een afbeelding te zien.

Wie wil zien of hij spionnen via de mail ontvangt, kan dat bijhouden met een gratis tool als UglyMail die je daarvan op de hoogte stelt vóór je een getrackte mail opent. En wie überhaupt wil bijhouden welke bedrijven en adverteerders je sporen online volgen, kan gratis Privacy Badger installeren. Die brengt op elke website die je bezoekt alle trackers voor je in kaart en blokkeert ze eventueel.

Contraspionage als middel tegen spionage, het voelt toch wat paradoxaal. „Het is eigenlijk ook de omgekeerde wereld dat jij als werknemer je mailbox moet beveiligen omdat de kans bestaat dat je collega’s of je baas je bespioneren”, reageert Daphne van der Kroft van privacyvoorvechter Bits of Freedom. Ze hoopt dan ook dat de nieuwe Europese privacywet die volgend jaar ingaat hier effect op zal hebben. „Toezichthouders kunnen straks hoge boetes uitdelen bij overtredingen. Hopelijk met het effect dat bedrijven en particulieren die met dit soort tools werken beter nadenken en het anders organiseren.”

Voor het doel van dit artikel heeft de auteur één week lang al haar uitgaande mails getrackt. Op een iemand na, bleek geen enkele ontvanger zich tegen dit soort tracking te beveiligen. Bij iedere mail was minimaal één leesbevestiging inclusief tijdstip te zien. In de helft van de gevallen stond daar ook een locatie vermeld, met name als de mail vanaf een telefoon werd geopend.