image

Juridische vraag: Waarom eisen sommige bedrijven nog steeds dat je briefpapier gebruikt voor officiële correspondentie?

woensdag 19 september 2018, 16:52 door Arnoud Engelfriet, 15 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Recent las ik deze hilarische blog (The Daily WTF) waarin een bedrijf een domeinnaam wilde verhuizen en alle security tokens had maar het niet voor elkaar kreeg omdat het verzoek niet op briefpapier was verstuurd. Een grap, maar ik weet dat het in all seriousness ook echt gebeurt. Waarom is dat? Het is toch 2018, ik maak met Paint beter briefpapier dan sommige reclamebureaus.

Antwoord: De eis van briefpapier met briefhoofd is inderdaad een hardnekkige in veel juridisch georiënteerde processen. Het idee erachter is dat het bericht dan “officieel” is, want zo ziet het er dan uit.

De vermoedelijke achterliggende gedachte is dat een mededeling pas bindend op de afzender is als je erop mag vertrouwen dat deze van hem afkomstig is of door hem geautoriseerd is (art. 3:35 BW). Een los kattebelletje of een e-mail vanaf het bedrijfsdomein is dan net te dubieus. Briefpapier is alleen beschikbaar voor daartoe bevoegde personen, dus een brief op briefpapier is afkomstig van een bevoegd persoon.

Moehaha, inderdaad. Een logo’tje fotoshoppen (“technisch aanpassen met Adobe® PhotoShop software – PhotoShop is een gedeponeerd handelsmerk van Adobe Incorporated”) is triviaal, dus in de praktijk is dit een volkomen wassen neus. Juridische zaken zijn echter hardnekkig, en blijven over het algemeen ook bestaan nadat hun grondslag al lang verdwenen is.

De enige juridische reden die ik nog kan bedenken, is dat het vervalsen van iemands briefpapier een misdrijf is (valsheid in geschrifte). Je kunt dan zeggen, dat is zeer uitzonderlijk want we mogen veronderstellen dat mensen niet dagelijks misdrijven plegen. Daarom is een brief op briefpapier tóch anno 2018 betrouwbaar en werkelijk van de afzender. Blijkt dat niet zo te zijn, dan moet de politie daar tegen optreden maar zijn wij niet aansprakelijk.

Moehaha, inderdaad. Praktisch gezien zou ik dan ook zeggen, als dit als eis wordt neergelegd door een ICT-leverancier anno 2018, dan wordt het tijd om over te stappen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
19-09-2018, 20:13 door Anoniem
Hmnee, "moehaha" is te kort door de bocht. Email is triviaal na te maken, iedereen weet dit, en er kan nog meer mee gerotzooid worden met een client die html-en-javascript ondersteunt in je emailtjes.

Met papier weet je redelijk wat je in je hand hebt. Oh en rechters zijn niet zo van de digitaal dus is de kans dat ze zwalken op iemand zijn halfbakken argumenten of gewauwel van een "expert" een stuk groter. Namaken is ook gewoon werk, al is het minder (laserprinter) dan voorheen (drukker, etc.), toch zeker meer dan email of telefoon. Die laserprinter die ook weer allerlei gele puntjes over je werk heen piest, niet dat ik daar OHA zo blij mee ben maar daarvan gaan ze niet weg.

Dat je erover valt omdat het een domeinboer is die hopeloos verstrikt raakt in z'n eigen regels, ach. Als ze erover hadden nagedacht hadden ze iets beters bedacht, met encryptie enzo. Overigens, tdwtf is anecdotes voor de lach; probeer de RISKS list digest maar eens te lezen, en dat een tijdje vol te houden. Echt alles kan hopeloos kapot en omegod wat zijn er veel systemen die door "experts" inelkaar geknutseld worden en keer op keer hopeloos kapot blijken in de praktijk.

Maar in het algemeen, papier is welbeschouwd zo slecht nog niet en dat is niet verminderd alleen maar omdat er toevallig 2018 op je kalender staat ondertussen. Dan laat ik nog maar even het recente gehuil over alweer een ICT-crisis bij de rechtspraak buiten beschouwing. Alleen al mijn rechtspositie lijdt ernstig onder bijvoorbeeld de bijzonder inepte poging papier te vervangen genaamd "mijnoverheid". Vandaar dat ik ook zeg: Voor serieuze dingen, doe maar lekker papier.

Nouja, voor techbedrijven minder, maar ook daar zitten meestal nonos die niet eens een behoorlijk antwoord kunnen schrijven en allerlei disclaimers onderaan emailtjes plakken. Dat zie je op papier toch minder. Papier is bijzonder, officieel, en er wordt dus anders mee omgegaan. Soms is alleen dat al voldoende om het de moeite waard te maken.
20-09-2018, 00:49 door Briolet - Bijgewerkt: 20-09-2018, 00:49
Door Anoniem: Hmnee, "moehaha" is te kort door de bocht. Email is triviaal na te maken, iedereen weet dit,

Werkelijk? Alle mail die bij ons de deur verlaat is DKIM getekend door de mailserver. Daar staat de private key. Iemand zal toch echt toegang tot die mailserver moeten hebben om daarmee een vervalst mailtje te kunnen versturen. En dan klopt die tijdcode van aanmaak niet. Om de mail terug te dateren met een eigen tijd, zul je de server zelf moeten kraken om die private key te bemachtigen.

Maar ook iets als gmail zet er een dkim handtekening in. Die mail kun je vervalsen door ook vanaf een gmail adres te versturen, maar een fictieve tijd/datum krijg je er dan nog niet in.
20-09-2018, 02:24 door Anoniem
Hmmmmm..... Uit de ouwe doos, maar niet geheel waardeloos.... Eind jaren 70 (sorry) heb ik een paar jaar voor een accountantskantoor gewerkt. Register accountants. Altijd al veel gezien in computers, veel kennis en ervaring ook al (de eerste PC moest nog uitgevonden worden). En dus een aantal keren met "de bazen" gesproken en met personeelszaken. Of het niet handig was om alvast een beginnetje te maken op dat vlak. En bijvoorbeeld een PET-computer of een TRS-80 of zo aan te schaffen. Het zou wat werk kunnen vereenvoudigen. Maar ook als R&D, omdat ik al voelde dat de wqet van Moore wel eens uit zou kunnen komen.

De oude vinkjes-zetters hadden er eens goed over nagedacht, en zagen het niet zitten. Hun belangrijkste argument was dat een document (van papier dus, eventueel met blokstempel en verse handtekingen) altijd nog een document was. Een vastlegging. Digitale data kon elke milliseconde op elke plek van bitje verspringen. Dus dat kon geen "vastlegging" zijn. Het was immers een dynamisch medium. Terwijl een echt document, op papier, met blokstempel en verse handtekingen, dat wel was. Een echt origineel. En dat het voor het afgeven van accountantsverklaringen slechts op echte originelen gecontroleerd kon en mocht worden. En daar hadden ze wel een punt, toen. Want even wat bitjes flippen, een vierkantstelling kloppend maken, of 8 verschillende grootboeken knutselen, die kunstjes had ik toen ook al in de gaten.

De tijden zijn veranderd. En er zijn ook veel kunstjes bijgekomen. Briefpapier vervalsen is ook een stuk gemakkelijker geworden. Maar het blijft vervalsen.

Los van dat alles blijft het originele document, of de originele vastlegging nog vaak van belang. Zo kom ik niet weg met een kopietje van mijn rijbewijs, noch zal de notaris of rechter een kopietje van mijn pas accepteren. Want die snappen ook inmiddels wel hoe photoshop werkt. Dan moet ik toch echt met het origineel verschijnen. En niks-de-moehaha! Ook andere documenten als diploma's of uittreksels van registers en dergelijke moeten nog steeds origineel zijn. Of een "gewaarmerkte kopie". Dat moehaha-bestaat nog steeds.

Je kunt natuurlijk ook overdrijven als firma, met alles op origineel briefpapier te verlangen. En toch, als me gevraagd zou worden om even een heel groot domein te transferen, ik noem maar wat, cocacola.com, of cnn.com of zo, dan zou ik toch ook liever even een bevestiging op origineel briefpapier krijgen. Mét verse handtekening! (En dan even de achterkant tegen het licht houden of je de doordruk van de balpen op het papier ziet.

Je kunt moehahaaien wat je wilt, maar digitale data is geen vastlegging. Het is heel handig en snel, maar blijft dynamische data en elk electronisch docuemnt is feitelijk geen document in de zijn van eenduidige unieke vastlegging.

Ik vond het jammer dat ik geen TRS-80 van de zaak kreeg om mee te spelen, en waarschijnlijk dat accountantskantoor nu ook (anders hadden ze sneller met de tijd mee gegroeidd...).

Maar die ouwe potloodkluivers hadden wel een punt. En dat blijft valide. En ik meen dat ik dat niet alleen meen.
20-09-2018, 05:41 door Bitwiper
Papier is bij uitstek het medium waar wij (mensen), handgeschreven, handtekeningen op zetten.

Is de combinatie van:
- papier met uniek identificerende gegevens van een organisatie (mag voorgedrukt zijn);
- de naam van een persoon die -kennelijk- geautoriseerd is om namens de organisatie te tekenen voor het gestelde;
- diens -met pen gezette- handtekening,
niet het sterkste bewijs voor authenticiteit dat de mensheid kent? Vooral indien gezet in het bijzijn van een notaris - nadat deze op zorgvuldige wijze de identiteit van de ondertekenaar heeft vastgesteld?

En dus de vorm van identiteitsfraude die rechters het strengst zouden moeten bestraffen als iemand de boel belazert?

In hoeverre maakt een voorgedrukte handtekening, in de ogen van rechters, zo'n document minder authentiek?
20-09-2018, 06:34 door Anoniem
Door Briolet:
Door Anoniem: Hmnee, "moehaha" is te kort door de bocht. Email is triviaal na te maken, iedereen weet dit,

Werkelijk? Alle mail die bij ons de deur verlaat is DKIM getekend door de mailserver.
En wie kijkt daarnaar? Geen mensen, dus moet je maar hopen dat je computertje het juiste ding gedaan heeft.


Door Bitwiper: Papier is bij uitstek het medium waar wij (mensen), handgeschreven, handtekeningen op zetten.

Is de combinatie van:
- papier met uniek identificerende gegevens van een organisatie (mag voorgedrukt zijn);
- de naam van een persoon die -kennelijk- geautoriseerd is om namens de organisatie te tekenen voor het gestelde;
- diens -met pen gezette- handtekening,
niet het sterkste bewijs voor authenticiteit dat de mensheid kent?
Sterkst weet ik niet, en het is zeker wel na te maken, maar er kijken in ieder geval mensen naar. Hoop je dan.

Vooral indien gezet in het bijzijn van een notaris - nadat deze op zorgvuldige wijze de identiteit van de ondertekenaar heeft vastgesteld?
Identiteit is niet eens zo belangrijk, maar bevoegdheid te tekenen in naam van de organsiatie wel. Dat we dat meestal doen door eerst op "identiteit" terug te vallen is een makke en een privacyprobleem, maar daar hebben we het nu even niet over. Bij gebrek aan andere manieren om handelingsbevoegdheid vast te stellen levert identiteit hopelijk genoeg handvast op om later een eventuele schuldige terug te kunnen vinden.

En dus de vorm van identiteitsfraude die rechters het strengst zouden moeten bestraffen als iemand de boel belazert?
Het is in ieder geval de baseline waar je op terug kan vallen (zou moeten kunnen terugvallen) als "het electronische" niet helemaal solide genoeg blijkt te zijn. En dat er nogal wat schort aan "het electronische", dat willen de "moehaha het is 2018"-roepers niet weten, maar is helaas wel waar.

In hoeverre maakt een voorgedrukte handtekening, in de ogen van rechters, zo'n document minder authentiek?
Geen idee. Arnoud?
20-09-2018, 08:04 door Anoniem
Gek. Heel wat domeinnamen laten verhuizen van externe leveranciers naar onze organisatie.

Gaat vaak geheel elektronisch: van aanvraag tot en met verhuizing zelf.
20-09-2018, 10:03 door Anoniem
De vermoedelijke achterliggende gedachte is dat een mededeling pas bindend op de afzender is als je erop mag vertrouwen dat deze van hem afkomstig is of door hem geautoriseerd is (art. 3:35 BW). Een los kattebelletje of een e-mail vanaf het bedrijfsdomein is dan net te dubieus. Briefpapier is alleen beschikbaar voor daartoe bevoegde personen, dus een brief op briefpapier is afkomstig van een bevoegd persoon.

Bedrijfsemail is ook enkel beschikbaar voor daartoe bevoegde personen. Briefpapier kan door onbevoegden worden gestolen of nagemaakt (zeer gemakkelijk), bedrijfsemail kan worden gehacked. Wat is het verschil ?
20-09-2018, 10:07 door Anoniem
Identiteit is niet eens zo belangrijk, maar bevoegdheid te tekenen in naam van de organsiatie wel. Dat we dat meestal doen door eerst op "identiteit" terug te vallen is een makke en een privacyprobleem,

Ik ben persoon X, en ik ben bevoegd. Hoe ga je dat controleren ? Indien je de identiteit niet weet, dan kan je ook niet weten of iemand bevoegd is. Je zal iemand moeten identificeren - of met persoonsgegevens, of door gebruik van bijvoorbeeld functionele mailbox, waarbij vastgesteld is dat de mensen in dat team mandaat hebben.

Indien ik je als leverancier niet kan identificeren, persoonlijk of functioneel, dan kan ik er ook niet vanuit gaan dat je bevoegdheid hebt namens wie dan ook. Immers weet ik dan niet met wie ik te maken heb.
20-09-2018, 10:12 door Anoniem
Wees blij dat je registrar een beetje moeite doet om domeinkaping te voorkomen!
Zeker bij .com domeinen zoals daar staat. In .nl is het iets minder belangrijk omdat je daar gemaakte fouten nog terug
kunt laten draaien. Echter dat gaat ook niet zomaar met een mailtje.
20-09-2018, 11:37 door Anoniem
Mijn domein heeft DNSSEC, TLSA, CA, SRV, DKIM, SPF records. Ruimte genoeg om te verifieren wie ik ben.

Maar... om die instellingen te krijgen moest ik wel eerst overstappen naar een betere DNS provider (transip) en daar zit nu net het probleem. Een catch-22 situatie.

Er zijn grote organisaties waar je per brief van adres en bankrekeningnummer kan veranderen en die geld uitdelen aan wie er om vraagt. Dit kan makkelijk door een crimineel worden gedaan en ik vraag me af of ze er al aan zijn toegekomen om te controleren of een bankrekeningnummer overeenkomt met de geadresseerde.

Aan de andere kant: er zijn bedrijven en instellingen die een recent uitreksel kvk eisen om zaken met je te doen. Wat denken ze daar mee te bereiken? Zo'n uitreksel bevat persoonsgegevens en iedereen kan het toch al opvragen bij de kvk. Die krijgen ze dus nooit. Een bank die om de akte van oprichting van een al lang bestaande BV vraagt voor een spaarrekening: die vragen ze zelf maar op.
20-09-2018, 12:18 door Anoniem
Een logo’tje fotoshoppen (“technisch aanpassen met Adobe® PhotoShop software – PhotoShop is een gedeponeerd handelsmerk van Adobe Incorporated”) is triviaal
Heel correct Arnoud, want zoals algemeen bekend https://www.geenstijl.nl/1768301/photoshoppen_mag_niet/
20-09-2018, 12:33 door Anoniem
Door Anoniem:
Identiteit is niet eens zo belangrijk, maar bevoegdheid te tekenen in naam van de organsiatie wel. Dat we dat meestal doen door eerst op "identiteit" terug te vallen is een makke en een privacyprobleem,
Ik ben persoon X, en ik ben bevoegd. Hoe ga je dat controleren ?
Nee, je zegt "ik ben bevoegd". En dat controleren is inderdaad precies het probleem. Maar niet onmogelijk.

Indien je de identiteit niet weet, dan kan je ook niet weten of iemand bevoegd is.
Dat kan wel. Bijvoorbeeld via "zero-knowledge proofs". Als tastbaar voorbeeld: "Als je in het bezit bent van deze sleutel dan ben je bevoegd dit deurslot open te maken." Dan verplaatst het probleem zich naar zorgen dat alleen bevoegde personen een sleutel in hun bezit kunnen krijgen en ook zorgen dat de sleutel niet wordt nagemaakt, zeggens een toegangslek. Maar er hangt geen naam aan en dus wordt er geen identificatie uitgevoerd tijdens de bevoegdheidscheck. Bevoegdheid checken zonder persoonsidentiteit te kennen kan dus wel.

Indien ik je als leverancier niet kan identificeren, persoonlijk of functioneel, dan kan ik er ook niet vanuit gaan dat je bevoegdheid hebt namens wie dan ook. Immers weet ik dan niet met wie ik te maken heb.
Eerlijkgezegd wordt veel van dat soort identificatie alleen maar uitgevoerd om je eigen hachje zeker te stellen. Je schrijft op welke naam de persoon claimde toen'ie namens je klantbedrijf kwam bestellen, en als er dan gedonder van komt kun je zeggen "jamaar het was die persoon". Controleren of de identiteit die je voorgeschoteld krijgt ook bevoegd is, kun je meestal niet eens, want weet jij veel wie er binnen die andere organisatie nou helemaal bevoegd is? Je weet niet eens wie er precies allemaal werken. Je moet zo'n persoon dus meestal maar gewoon op z'n mooie blauwe ogen geloven.

Ga maar eens kritisch kijken naar hoe zoiets normaliter gebeurt. Er wordt vaak wel vanalles "gecheckt" maar als je er een beetje aan rammelt valt het geheel nogal snel als een kaartenhuis inelkaar. Gewoon omdat het vol zit met zulke aannames, dat als je een "echte" identiteit hebt dat dan de andere claims ook wel snor zullen zitten. Het punt was precies dat dat identiteit checken maar een zijdelings iets is, en voldoende noch vereist bovendien. Het gaat om die andere claims, en die worden maar wat vaak maar gewoon aangenomen zonder deugdelijk gecheckt te worden. "Want we hebben de identiteit toch gecheckt?" Ja leuk, maar dat is dus niet de kern van de zaak, en zo kun je dus mooi de plank mis slaan... of door iemand gemanipuleerd worden de plank mis te slaan.
20-09-2018, 15:01 door Anoniem
Door Anoniem:
Door Anoniem:
Identiteit is niet eens zo belangrijk, maar bevoegdheid te tekenen in naam van de organsiatie wel. Dat we dat meestal doen door eerst op "identiteit" terug te vallen is een makke en een privacyprobleem,
Ik ben persoon X, en ik ben bevoegd. Hoe ga je dat controleren ?
Nee, je zegt "ik ben bevoegd". En dat controleren is inderdaad precies het probleem. Maar niet onmogelijk.

Wie er bevoegd zijn namens een bedrijf te tekenen kun je opvragen bij de KVK.
En als het goed is doet de registrar dat ook.
Ik herrinner me ook wel dat ik wel eens een formulier heb moeten laten tekenen door de financieel directeur alvorens
het te faxen.
20-09-2018, 18:12 door Anoniem
Dit is een van de weinige dingen waar een publieke blockchain perfect voor is. Een afzender (waarvan iedereen kan zie wie hij is) laten bevestigen dat hij iets wil door het te publiceren in de blockchain.
21-09-2018, 15:58 door Anoniem
Een beetje oude doos nog (voor de jonkies die dat leuk vinden). Voor de eerste kleuren kopieerapparaten had men een vergunning nodig. Want veel veiligheid op papier was nog op kleurendruk gebaseerd. Een bankbiljet bijvoorbeeld. Een postzegel. Of een aandeel aan toonder. Dus kon je pas een kleuren kopieerapparaat krijgen als je vergunning had (en dus in dat register geregistreerd stond).

Daarna kwamen de kleuren(laser-)printers, alles werd goedkoper, alhoewel nog steeds flink duur. De afdruk kwaliteit nam ook nog toe. Toen is het kunstje bedacht om vrijwel onzichtbaar, met elk printje een code mee te printen. Zo werken de printers nog.

Het belang was om elk printje aan de hardware te kunnen koppelen. En de eigenaar van de printer dus. Niks nieuws. Daarvoor had elke typ-machine in de letterblokjes of de aanslag wel een oneffenheidje. Zodat het redelijk mogelijk was om een getypte brief en de tikmachine waarop dat gebeurd was, aan elkaar te kunnen knopen. Net zoals elk voorwapen op de kogel een spoor achterlaat.

Pas na die puntjes op elke print konden kleurenprinters zonder vergunning verkocht worden. Ook lang voor alle wetten die nu bedacht worden zat de staat er al bovenop dat originele documenten en falsificaten onderscheiden moesten kunnen worden. Dat je niet met een heel pak geprinte aandelen aan toonder de hele Shell kon overnemen bijvoorbeeld.

Ik schrijf er graag over. Want tegenwoordig nemen we te snel aan dat bijvoorbeeld alles wat in een database staat "waar" is. Enkel omdat het in een database staat. Terwijl ik nog steeds, en steeds sneller, alle bitjes van een database kan laten knipperen. En een hacker kan dat ook. Of de software die ik gebruik om van die bitjes in de database wat leesbaars te maken. Een database is dynamisch. En dus geen vastlegging.

Het zelfde is het geval met publiceren. Een brief, maar ook een krant of een boek, is een vastgelegde publicatie. Iets wat op je scherm staat is dat niet. Ik kan nog steeds alle bitjes en pixels laten knipperen. Je kunt er een screenshot van maken, maar dat blijft een momentopname die elk moment kan veranderen. Zo kan ik ook (of iemand anders, of alle software die ertussen zit), bij miljoenen mensen van het zelfde "document" bij elk een andere versie laten verschijnen. Of helemaal niks. Dat betekent ook dat juridisch het niet waterdicht is dat als iemand met een enkel screenshot wil bewijzen dat ik iets gepubliceerd heb. Er is immers geen harde zekerheid dat de rest van de wereld inderdaad het zelfde op zijn scherm zag.

Het is een beetje mieredingesen, maar juridisch blijft het van belang. Een printje van een email, een read receipt, een pdf'je, een record in een database, een screenshot van een pagina, kan nooit de bewijskracht hebben van een origineel document. Omdat het in der aard dynamische data is.

Het is een wezenlijk verschil. Want anders zou W.A. van Buuren ook vast liever op vakantie een paar wetten digitaal ondertekenen. Of anderen graag zien dat je lekker digitaal kunt stemmen. Een slimme en onderlegde jurist zou dan echter kunnen aannemelijk maken dat een wet niet geldig is of een verkiezingsuitslag. Zonder bewijs of aannemelijk te maken dat er gerommeld is. Maar enkel met aan te tonen dat gerommel niet uit te sluiten is. Ook de blockchain waarmee men nu vaak komt, blijft betwistbaar. Omdat het transportmedium dynamische data is. Nu wellicht veilig, maar met een batterij werkende qbits misschien niet meer. Het blijft dynamische data. En wie zegt dat er niet ergens in een garage al een 2024-qbit hobby computer staat te draaien?

Met name als je je tegen digitale "bewijzen" moet verdedigen zeer relevant allemaal. Bijvoorbeeld vragen naar het origineel bewijs. De originele handtekening. Dan kan het wat procerederen kosten (veel rechters zijn inmiddels ook van de jonge generatie en dus geneigd dynamisch materiaal als vastgelegd origineel te beschouwen) maar uiteindelijk win je in de zin van dat digitaal bewijs niet als onweerlegbaar bewijs beschouwd mag worden. En dan geeft de wet je doorgaans het voordeel van de twijfel. De diepere rechtsprincipes......

(Daar zit wel weer gouden handel in voor advocaten. Maar dan moet je wel een goeie hebben en daar zijn er niet veel van.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.