Internetrecht door Arnoud Engelfriet

In Apple’s App Store is een applicatie verschenen waarmee je documenten kunt verzenden met je handtekening eronder, meldde iPhoneclub gisteren. De applicatie, Zosh, zou hierdoor een vervanger kunnen zijn van de fax, dat nog steeds de snelste manier is om ondertekende documenten te verzenden. De patent pending signature tool komt neer op een PDF editor die één ding kan, namelijk een plaatje van je handtekening in een PDF invoegen. Dit “let’s you” (sic) een handtekening zetten met je vinger op je iPhone.

Laat ik de discussie over rechtsgeldigheid meteen voor zijn: ja, dit is rechtsgeldig, en wel omdat de wet helemaal nergens eist dat contracten of formulieren ondertekend worden. Die handtekening is dus een leuk stukje dikdoenerij om een afspraak net wat meer gewicht te geven, maar formeel is het nergens voor nodig.

Deze applicatie kan nut hebben als de wederpartij per se een ondertekend document wil hebben, maar dat is puur en alleen een onderlinge wens waar je al of niet aan toe kunt geven. Maar met wettelijke rechtsgeldigheid heeft dat niet zo veel te maken.

En inderdaad, er staan allemaal regels over elektronische en digitale handtekeningen in de wet. Waarom die er staan, is me nog steeds niet duidelijk, en ik ben nog wel op t onderwerp afgestudeerd. In een cynische bui noem ik ‘t wel eens technologiefetishisme, het zo leuk vinden van techniek dat we er allerlei regeltjes voor gaan maken om het “goed te regelen” zonder dat iemand zich nu afvraagt of dit wel geregeld moet worden of waarom.

Arnoud

Het eerste digitale burgerinitiatief wordt vandaag bij de Tweede Kamer ingediend, meldde Nu.nl gisteren. Intrigerend, want in maart vorig jaar werd een e-petitie nog ongeldig verklaard omdat de handtekeningen digitaal en niet op papier gezet waren. Het reglement van de Commissie Burgerinitiatieven is in de tussentijd niet aangepast, dus waarom mag het nu ineens?

De crux blijkt te zitten in de evaluatie van deze regeling die eind november verscheen. Daarin blijkt dat de eis om inktstrepen op papier te verlangen bij petities echt een probleem is en nu eindelijk eens afgeschaft moet worden. Op zijn ambtenaars:

Continuering van de regeling voor onbepaalde tijd noodzaakt daarom te onderzoeken hoe de Kamer in de gelegenheid kan worden gesteld elektronische handtekeningen te verifiëren.

In de tussentijd gaat men over op een compromismodel: petities mogen zonder fysieke handtekeningen worden aangeboden, maar de commissie kan steeksproefgewijs mensen op de lijst alsnog een handtekening laten zetten. Voor de meelezende wiskundigen en statistici nog een interessante passage:

Deze steekproefsgewijze controle moet op basis van statistische regels minimaal 385 fysieke handtekeningen omvatten. Om ervan uit te kunnen gaan dat 95% van alle digitale steunbetuigingen juist is, mogen er in deze controlegroep maximaal 19 fouten zitten, dat wil zeggen de gegevens van naam, adres en woonplaats onjuist zijn. Dan kan met 95% waarschijnlijk- heid mogen worden gesteld dat het benodigde aantal steunbetuigingen van 40 000 geldig is. Het aantal van 385 handtekeningen is ook nodig als sprake is van 55 000 of 70 000 handtekeningen.

Ik hoor graag of dit klopt of niet

En ik zit me nu af te vragen of er een systeem denkbaar is waarbij je ook zonder deze steekproef petities kunt organiseren zonder het al te makkelijk te maken om frauduleus 40.000 namen te genereren. Ik vrees dat je toch altijd uitkomt bij een eis om te controleren.

Hoewel, hoe gaat dat eigenlijk bij papieren petities? De paar keer dat ik zo’n ding teken (ik heb namelijk een hekel aan zeehondjes, of eigenlijk aan mensen die mij op zaterdagmiddag vragen of ik dat heb) is dat volgens mij best onleesbaar.

Arnoud

Nou, mooi is dat. Ben ik net uit bed na een erg leuke oudejaarsavond, blijken een stel beveiligingsonderzoekers e-commerce gekraakt te hebben. Of nou ja, de beveiligingstechniek achter een hoop e-commerce sites. Dit omdat het MD5-algoritme, een klein maar cruciaal deel van de gebruikte beveiligingstechniek al drie -pardon, vier, het is 2009- jaar bijzonder zwak blijkt te zijn. Dankzij deze zwakte kan een aanvaller een nepsite voorzien van volstrekt authentiek uitziende certificaten, zodat niemand meer kan detecteren dat het een nepsite is.

Beveiligde websites, veel gebruikt bij e-commerce sites, maken gebruik van certificaten waarmee een browser kan vaststellen of hij met de echte site communiceert. Die certificaten worden uitgegeven door onafhankelijke instanties zoals CACert of Thawte, en zijn voorzien van hun digitale handtekening zodat er niet mee te knoeien valt.

De fout zit in het MD5-algoritme, dat gebruikt wordt bij het genereren van die digitale handtekening. MD5 genereert een hash, een korte code die uniek is voor het te signeren certificaat, en vervolgens wordt de handtekening geplaatst over die hash. Dit is veel sneller dan het hele certificaat zelf signeren. Het blijkt namelijk veel eenvoudiger dan gedacht om een tweede certificaat te genereren met inhoud naar keuze dat dezelfde hash heeft als het certificaat van zo’n instantie. En daarmee zal iedere browser dat nepcertificaat accepteren als authentiek.

Al in 2005 was bekend dat het MD5-algoritme deze zwakheid had, maar tot nu toe werd dit door veel mensen als een puur theoretische mogelijkheid afgedaan. Met deze publicatie wordt duidelijk dat dit een reële dreiging is. Gelukkig hebben zowel Microsoft als Mozilla maatregelen aangekondigd.

Klikken jullie trouwens ook al die irritante waarschuwingen over certificaten weg zonder ze te lezen? Ik zou het liever niet doen, maar soms heb je weinig keus als je een bepaalde website wilt gebruiken.

Arnoud

De petitie van actiegroep Vroeg Op Stap blijkt ongeldig, meldt onder andere Nu.nl. De groep wil vervroegde horecasluitingstijden wettelijk laten vastleggen, en had daarvoor een website opgezet waar sympathisanten hun handtekeningen konden achterlaten. Met 40.000 handtekeningen kun je dan een wetsvoorstel op burgerinitiatief indienen.

Vroeg Op Stap had er meer dan 120.000. De commissie burgerinitiatieven weigerde het voorstel echter toch naar de Tweede Kamer te sturen, omdat de handtekeningen niet op papier stonden maar elektronisch waren. Ze waren daarom niet rechtsgeldig. Dat blijkt ook in de bij Postbus 51-folder te staan.

Wat flauw.

Artikel 9 van het reglement van deze commissie eist dat een burgerinitiatief van haar 40.000 of meer sympathisanten de “naam, adres, geboortedatum en handtekening” verzamelt. Er staat “handtekening”, en dat moet je in principe inderdaad lezen als “handgeschreven handtekening”. Digitale handtekeningen zijn toch rechtsgeldig, denkt u nu. Klopt, maar die regeling is gemaakt voor handtekeningen in het vermogensrecht en het handelsverkeer tussen burgers. Contracten, akten en dat soort zaken.

Interessant daarbij is dat een digitale handtekening, of wat de wet dan noemt een elektronische handtekening, meer is dan alleen die moeilijke wiskunde met certificaten en zo. Een ingetypte naam kan namelijk een geldige digitale handtekening zijn. Daarvoor moet je naar het doel kijken waarvoor de handtekening nodig is. Bij een contract zou je zware eisen kunnen stellen, bij een blogpost heel wat minder. Die naamsvermelding onderaan mijn blogposts is dus een geldige digitale handtekening. Het doel daarvan is aan te geven dat ik auteur ben van die blogpost. En voor dat doel is in de context van bloggen het intypen van de tekst “Arnoud” voldoende.

Artikel 3:15c BW bepaalt dat de regeling over digitale handtekeningen ook buiten het vermogensrecht toepasbaar is, “voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet.” Dit is bijvoorbeeld uitgewerkt in art. 2:13 Algemene Wet Bestuursrecht, dat zegt dat berichten tussen burgers en de overheid elektronisch mogen worden verstuurd tenzij er een specifiek wettelijk verbod of vormvoorschrift dat anders bepaalt. Artikel 2:16 Awb zegt dat een digitale handtekening geaccepteerd moet worden als deze “voldoende betrouwbaar” is voor het doel van het bericht waar de handtekening op staat.

Het doel van de handtekeningen op de petitie is uiteraard dat de commissie (steekproefsgewijs) kan verifiëren dat de handtekeningen echt zijn. Dat zegt commissievoorzitter Johan Remkes ook bij 3voor12: “Papieren handtekeningen zijn beter te controleren. Als we dat willen uitbreiden naar digitale handtekeningen, moet de Tweede Kamer eerst ons reglement veranderen.”

Die logica volg ik niet. Een elektronische lijst met ingetypte namen en adressen lijkt me een stuk beter te controleren dan handgeschreven namen en geboortedatums. De petitie van Vroeg Op Stap laat mensen naast hun naam en e-mail ook hun adres, postcode en woonplaats invullen. En daarmee zijn de gegevens prima te verifiëren. Sterker nog, het lijkt me juist beter om het op deze manier te doen dan de manier van de Postbus 51-folder. Het is niet eens verplicht om je adres in te vullen bij een papieren petitie!

Deze petitie afwijzen enkel en alleen omdat de handtekeningen geen onleesbare krabbels op papier zijn, vind ik dan ook bijzonder weinig vooruitstrevend. We willen toch een E-overheid?

Arnoud

Een digitale factuur bespaart 90.000 bomen per jaar, bericht Ewald Smits in Sync.

In Nederland worden er jaarlijks meer dan 1 miljard facturen geproduceerd en verstuurd. 69% van Nederlanders is actief met internetbankieren. Deze actieve groep ontvangt circa 80% van alle nota’s.

Maar is een digitale of elektronische factuur eigenlijk wel legaal?

Ja natuurlijk, was mijn eerste gedachte. Overeenkomsten mag je elektronisch sluiten (zelfs per e-mail), dus waarom niet de factuur? Nou ja, omdat de belastingdienst regels heeft over facturen. En meer in het bijzonder zijn er ook regels voor elektronische facturen:

• De afnemer moet akkoord gaan met de factuur. Het is dus handig zoiets in je algemene voorwaarden te regelen.
• Op de factuur moeten de wettelijk verplichte gegevens staan, met name de BTW.
• De factuur moet authentiek en integer zijn. de afnemer moet er zeker van kunnen zijn dat de factuur werkelijk van de leverancier afkomstig is. Bovendien moeten beiden er zeker van zijn dat de factuur niet is veranderd.
• De Belastingdienst moet de factuur kunnen controleren. De gegevens van de factuur moeten dus worden bewaard.

Met name dat stukje over “authentiek en integer” is de uitdaging. Op papier is het genoeg als je briefpapier met het bedrijfslogo gebruikt, maar voor elektronische facturen is een digitale handtekening gewenst, alhoewel de Belastingdienst ook “sommige andere methoden” goedkeurt.

En komt dat even mooi uit: elektronisch factureren via internetbankieren is een “sommige andere methode.”

Sinds maart van dit jaar kunnen die facturen over de digitale snelweg worden afgeleverd bij gebruikers van internetbankieren. De Digitale Nota is feitelijk een nieuwe wijze van factureren, betalen en communiceren. Via de Digitale Nota kunnen alle gebruikers van internetbankieren hun rekeningen voortaan digitaal ontvangen en betalen. De papieren versie verdwijnt hiermee.

Hoe werkt dit?

Nota bekijken
In internetbankieren ziet de klant een overzicht met alle nota`s. Deze staan op volgorde van datum. Ongelezen nota’s herkent men aan een gesloten envelop. Met een muisklik kan de notaspecificatie geraadpleegd worden. De digitale nota kan er precies zo uitzien als de papieren pendant die de klant vroeger ontving.

Nota betalen
Betalen van de nota vindt plaats op de vertrouwde manier. Hiermee is het overtypen van acceptgiro`s door de klant verleden tijd. De betaling wordt bevestigd via de normale identificatiemethode van internetbankieren.

Er staat zelfs een demo online.

Arnoud

Digitale handtekeningen zijn rechtsgeldig, maar wanneer is iets een digitale handtekening? Steven Ras van ICTRecht pluist het uit voor de DigiD:

DigiD dient als middel voor authenticatie. DigiD als zodanig bestaat uit een gebruikersnaam en wachtwoord. Het verzorgt alleen niet zelf de vasthechting aan- of logische associatie met andere elektronische gegevens. Daarom is het niet aan te merken als een elektronische handtekening

Eerder vroeg Ras zich hetzelfde af voor OpenID. En de DigiD werd onlangs nog ingezet voor elektronische communicatie in Baarn.

Arnoud

ISPam.nl heeft een nieuwe rubriek: “Vraag het Mr. Ras”, waarin de bezoekers van ISPam.nl juridische vragen kunnen stellen aan mr. Steven Ras van ICTRecht. Goeie actie Steven!

De eerste vraag die hij behandelt, is of een elektronische handtekening rechtsgeldig is. Dat is een andere dan de digitale handtekening trouwens. Een digitale handtekening gebruikt encryptie, certificaten en andere technische toestanden (en is rechtsgeldig). Een elektronische handtekening is een handtekening die, eh, elektronisch geplaatst wordt.

Dat kan bijvoorbeeld door met je muis een tekening te maken die lijkt op je papieren handtekening. Zo doen sommige Internetproviders het, bijvoorbeeld bij de aanvraagformulieren voor domeinnamen van de SIDN. Maar dat levert een probleem op:

Waarschijnlijk worden de elektronische gegevens van de applet vastgehecht aan andere elektronische gegevens (gegevens van bijvoorbeeld een contract). Het is nog maar de vraag of deze gegevens kunnen worden gebruikt als middel voor authentificatie. Het is naar mijn mening bijna onmogelijk om dezelfde elektronische handtekening nogmaals te zetten of daar een unieke schrijfwijze uit af te leiden. Daarbij wordt er geen druk/snelheid gemeten. De gegevens van de applet maken het dan ook niet mogelijk de ondertekenaar te identificeren.

En daarom is zo’n applet-(hand)tekening geen elektronische handtekening in de zin van de wet. Zoals Steven vorig jaar ook al schreef trouwens.

Arnoud
(UPDATE: enkele typos in het citaat gefixed)

Eén van de eisen voor een rechtsgeldige digitale handtekening is dat er een betrouwbaar middel voor identificatie van de plaatser gebruikt wordt. Een OpenID identiteit is een webadres of URL, met een mogelijkheid om te bewijzen dat jij eigenaar bent van die URL. Is deze nu geschikt voor een digitale handtekening? Steven Ras van ICTRecht vraagt het zich af:

Het is nog maar de vraag of OpenID kan worden gezien als betrouwbaar middel voor authentificatie. Een OpenID-account maak jezelf aan en is daarom niet direct betrouwbaar. Kort gezegd: een elektronische handtekening die je aan jezelf geeft is onbetrouwbaar.

Arnoud