Juridische vraag: is e-mail geldig bewijsmateriaal?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik vraag me af of e-mail als bewijsmateriaal mag worden beschouwd in een juridisch geschil, in welke vorm dan ook. E-mail is immers een oude techniek (jaren zeventig vorige eeuw) die nog altijd wordt toegepast? Deze verouderde techniek kent diverse problemen wat betreft beveiliging. Het is triviaal om mail te manipuleren of vervalsen. Dat kan een rechter toch niet zomaar aanvaarden?
Antwoord: Er zijn in Nederland geen regels over de eisen waaraan bewijs moet voldoen om bewijs te zijn. Alles mag, zolang de rechter maar meent dat het bewijst wat de partij die het inbrengt daarover zegt. (De enige uitzondering is de ondertekende akte: een stuk papier met handtekening, al of niet bij de notaris. Daarvan geldt in beginsel dat de rechter dit móet aanvaarden als bewijs van wat er afgesproken is.) De rechter zal dus nooit vooraf gaan onderzoeken of de e-mail wel echt is, of mails afwijzen enkel omdat het mails zijn. Hoofdregel is, zolang de partijen er zelf geen punt van maken, mag alles worden overlegd en kan de rechter dat gewoon meenemen.
Maakt de wederpartij er wél een punt van, dan moet de rechter de standpunten tegen elkaar afwegen en bepalen wat hem het meest waarschijnlijk voorkomt. Een stapel e-mail krijg je niet zomaar van tafel met "ach kom dat is vervalst, iedereen weet dat e-mail triviaal te vervalsen is". De rechter wil horen waaruit blijkt dat nu net déze mails vervalst zijn, niet dat mail in theorie te vervalsen is.
Bewijs wordt altijd in de context bekeken. Een voorbeeld. Alice leent Bob 1200 euro, en Bob zet in de mail dat hij dat gaat terugbetalen tegen 100 euro per maand. Vervolgens maakt Bob drie maanden lang 100 euro over met omschrijving "terugbetaling lening". Daarna stopt hij. Alice klaagt Bob aan, en die ontkent nu een lening te hebben gesloten en zegt dat die mail die Alice dan inbrengt, vervalst is. Dat zal Bob verliezen: de omschrijving toont aan dat er een lening is, en het is dan niet meer dan logisch dat daar afspraken over zijn. Die mail is kennelijk de afspraak. Zonder nadere toelichting van Bob zal de rechter die mail dan gebruiken om te bepalen wat de afspraak is.
Als Bob zegt dat de lening maar 300 euro was en dat Alice dus het bedrag "1200 euro" in de mail vervalst heeft, dan heeft Alice een lastiger situatie. Het is niet ondenkbaar dat iemand meer claimt dan waar ze recht op heeft. Alice zou dit kunnen rechtzetten door haar overmaking aan Bob van 1200 euro te laten zien. Dat in combinatie met die mail zou bewijs genoeg moeten zijn. (Daarom moet je dus nooit een geldbedrag in contanten uitlenen.)
Kortom, het is altijd een kwestie van alle feiten in combinatie afwegen. Je mag niet zeggen "het is mail dús we mogen er niet naar kijken".
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Met andere woorden, ik kan emails vervalsen, op basis daarvan een klacht indienen, en de tegenpartij moet voor de rechter gaan aantonen / aannemelijk dat ik die emails vervalsd heb. Is dat geen vorm van omgekeerde bewijslast, en moet de rechter niet zelf nagaan of het bewijs deugt ?
Als ik het zo hoor, dan worden alle forensische principes, die je zou mogen verwachten, volstrekt genegeerd. Je komt met wat materiaal aan, en als je mazzel hebt, wordt het materiaal door de rechter aanvaard. Eigenlijk moet je daarbij mazzel/pech hebben, want het lijkt meer af te hangen van de mening van de rechter, dan van een daadwerkelijke toetsing.
Ik zeg niet 'je mag er niet naar kijken want het is email', maar houd me op deze manier wel vast voor een uitspraak van zo'n rechter, en mag daarom hopen dat een uitspraak niet alleen op een simpele email wordt gebaseerd. Als het criteria voor email nu eens zo is dat het geldig signed moet zijn (zoals pgp/gpg), dan is het iig duidelijk dat er niet met de email is geknoeid, wie de afzender en wie de ontvanger is..
En omdat veel bedrijven exchange servers met foutlook gebruiken, zijn ook meteen de headers en originele versies van de mail weg, die je wellicht had kunnen gebruiken om het tegendeel te bewijzen...
Je moet in een rechtszaak altijd alle feiten meenemen, de rechter zal niet de e-mail in isolatie bekijken maar altijd de context meenemen en dan bepalen hoe veel waarde hij aan de mail hecht en wat er uit de inhoud van de mail volgt.
@Anoniem 12:46: ja, je kunt e-mails vervalsen, daarmee een rechtszaak beginnen en dan moet de wederpartij uitleggen waarom die claim onterecht is. Ik kan ook een rechtszaak beginnen met als enige bewijs de stelling dat jij vorige week maandag mondeling hebt verklaard mij 1000 euro te zullen betalen.
De rechter zal echter niet zeggen "het is e-mail, dus u heeft gelijk" - net zo min als "het is e-mail, daar kijk ik niet naar". Er wordt dus altijd naar alle omstandigheden gekeken. Een losse mail tussen partijen die geen enkel verder contact hebben, is ongebruikelijk en zal dus geen sterke aanwijzing vormen. Mailen wij dagelijks en zitten daar opmerkingen tussen over geld, dan is het waarschijnlijker dat die mailketen echt is.
Je kunt als wederpartij natuurlijk jouw versie van de mailketen overleggen en daarmee laten zien dat er iets niet klopt. De rechter zal dan fronsen, want die houdt niet van vervalst bewijs. Afhankelijk van wie hij vanwege de overige omstandigheden het meest gelooft, krijg jij of de wederpartij dan de opdracht aanvullend bewijs te leveren.
Een e-mail "ik leen je 1000 euro" plus een bankoverschrijving van 1000 euro met als tekst "lening" kun je niet weerleggen met "mail kan worden vervalst" bijvoorbeeld.
@dim: zo'n disclaimer heeft weinig nut, je kunt die mail gewoon overleggen om aan te tonen dat die gemaild is met die inhoud. Een disclaimer kan niet verhinderen dat jij een mail inbrengt bij de rechter. Wel kan de disclaimer verhinderen dat jij conclusies of rechtsgevolgen mag trekken uit de mail. Staat er bv "het contract is akkoord wat mij betreft" in de mail met daaronder "Deze mail is geen bindende toezegging" dan heb jij GEEN contract.
Behalve natuurlijk als de partij met de disclaimer vervolgens acties onderneemt die lijken alsof er wel een toezegging is. Zo hebben wij een leverancier met een dergelijke disclaimer waardoor prijsindicaties, die hij in de mail vermeldt, niet geldig zouden zijn. In het verleden is echter steeds weer gebleken dat hij levert volgens de prijsindicaties in die mail.
Als hij dus plotseling niet wil leveren volgens een gemaakte prijsindicatie, dan sta je als klant sterk met de oude mail (inclusief disclaimer) en de betalingen conform de in die mail genoemde prijzen.
Peter
Eigenlijk zou je eens 10 of 20 rechters dezelfde materie moeten laten interpreteren, om te kijken hoeveel verschil er is tussen de beoordelingen. Het lijkt erop dat rechters bij dit soort zaken eerder hun mening geven, dan dat zij daadwerkelijk toetsen, en kijken of het bewijsmateriaal in forensisch opzicht deugt. In hoeverre zijn rechters daadwerkelijk in staat om, zonder verdere technische onderbouwing, ''in te schatten'' of een email echt is of niet ?
Als ik het verhaal van Arnoud hoor, dan kan je best zaken faken, zolang je maar zorgt dat het een beetje overtuigend overkomt.
Als partij A zegt "de mail is echt" en partij B zegt "in die mail is geëdit", dan moet de rechter onderzoeken wiens verklaring het meest geloofwaardig is. Niet door zelf de headers te onderzoeken en de offsite backuptape van de provider op te vragen om zo de mail te bekijken, maar door te kijken of er ander bewijs is dat één van die standpunten steunt. Als in een mail staat "ik leen je 1000 euro" en er is een overschrijving van 1000 euro met onderwerp "lening", dan bewijst dat dat er 1000 euro is geleend.
Alles is te faken, en dat weten rechters al driehonderd jaar. Daarom kijken ze verder dan de individuele bewijsmiddelen.
Plus, als uitkomt dat je dingen hebt vervalst, dan heb je een groot probleem. Dat is valsheid in geschrifte, en dat is een misdrijf. En omdat al het bewijs er al ligt voor die strafzaak, lijkt me de kans groot dat Justitie daar bovenop duikt want dat is leuk scoren natuurlijk.
PGP met content-encryptie kun je makkelijk gebruiken om mail-server logs te omzeilen. Het garandeert dat alleen de afzender de inhoud kan lezen. In combinatie van de twee gaat ben je volgens mij compleet.
Zonder PGP wordt het inderdaad erg moeilijk en lijkt het inderdaad op omgekeerde bewijslast om aan te moeten tonen dat de emails vervalst zijn. Lijkt me erg makkelijk om iemand bij de neus te nemen zo.
Overigens is bewijzen dat een mail echt is, net zo moeilijk als bewijzen dat die vals is.
Email volgt een bepaalde route om ergens aan te komen. Die route kan o.a. worden gevolgd via de received headers. De informatie uit die headers kan worden gecontroleerd door het raadplegen van logs van de betreffende mail servers.
De constructie van een email kan ook worden gebruikt om aan te tonen dat er mee geknoeid is.
De content kan eveneens worden gebruikt, met name in combinatie met constructie.
Het is eenvoudiger aan te tonen dat een mail vals is, dan dat die echt is. Immers, een perfect nagemaakte email die een route heeft gevolgd die niet te controleren is, is een reëele mogelijkheid. Veel hangt af van de technische kennis van de vervalser.
Zonder gerechterlijk bevel is het voor de providers niet mogelijk (cq. toegestaan) om die logging te verstrekken. Hooguit kun je je eigen provider zo ver krijgen. Hij kan beargumenteren dat je je eigen persoonsgegevens wenst in te zien. Al zou hij misschien wel de geaddresseerde moeten anonimiseren. Hoe zich dat echter verhoudt met de registratie van die verzameling persoonsgegevens bij het CBP, weet ik niet.
Peter
Zonder gerechterlijk bevel is het voor de providers niet mogelijk (cq. toegestaan) om die logging te verstrekken. Hooguit kun je je eigen provider zo ver krijgen. Hij kan beargumenteren dat je je eigen persoonsgegevens wenst in te zien. Al zou hij misschien wel de geaddresseerde moeten anonimiseren. Hoe zich dat echter verhoudt met de registratie van die verzameling persoonsgegevens bij het CBP, weet ik niet.
Peter
De geadresseerde is gemachtigd mail die aan hem gericht is te controleren, want dat is aan hem/haar gerichte mail. Er is voor de ISP geen reden om een gerechtelijk bevel te eisen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.