Het doorlopen van webpagina’s

bromfiets-verzekering-plaatje-nummerbord.jpgOvereenkomsten sluiten via internet blijkt toch weer een moeilijke zaak, zeker als je wederpartij achteraf gewoon keihard ontkent er een gesloten te hebben. Een recent vonnis van de kantonrechter Alkmaar is daar een mooi voorbeeld van. De eiser stelde dat de gedaagde met hem een overeenkomst voor een bromfietsverzekering had gesloten via haar website. De gedaagde ontkende, waarop de kantonrechter de eiser opdroeg met nader bewijs te komen van de stappen die je op de site moest doorlopen.

Dat bewijs kwam er, maar het blijkt bepaald niet overtuigend. De rechter wil meer zien dan een stapel schermafdrukken, zo blijkt:

Weliswaar valt uit de overgelegde schermafdrukken van webpagina’s af te leiden hoe er met [eiser] via internet een overeenkomst tot stand kan komen, maar nog steeds is niet gebleken dat [gedaagde] deze webpagina’s heeft doorlopen. Zo heeft [eiser] geen gegevens overgelegd waaruit blijkt welke webpagina’s ten tijde van het sluiten van de gestelde overeenkomst, 2 maart 2008, op de website […….] zichtbaar waren en een bezoeker daarvan moest doorlopen om een overeenkomst tot stand te laten komen. Aldus is niet vast komen te staan dat tussen partijen een overeenkomst tot stand is gekomen.

Schermafdrukken van nu bewijzen niet hoe de website in 2008 opereerde, en al helemaal niet dat de gedaagde partij daar ook werkelijk doorheen is gelopen. Een terecht punt, maar dit is wel de manier waarop veel bedrijven het zullen doen. (Verzamelen jullie meer informatie dan dit?) Ik ken er maar weinig die bijvoorbeeld het IP-adres loggen van elke bezoeker die op “Bestel nu” klikt of schermafdrukken van hun site maken op het moment dat die een update krijgt.

Een paar dagen later kreeg de gedaagde een verzekeringspolis thuisgestuurd. Dat bewijst m.i. dat wel degelijk alle pagina’s zijn doorlopen en dat op de knop “direct afsluiten” moet zijn gedrukt, want dat is de enige redelijke verklaring voor het feit dat het systeem van de eiser zo’n polis genereert en opstuurt.

Maar wat daar nog ontbreekt, is bewijs dat de gedaagde dat allemaal heeft gedaan. Het had ook zijn buurman kunnen zijn immers.

Nu zou je kunnen zeggen, als je zomaar een polis krijgt dan moet je aan de bel gaan hangen, maar nee:

Dat [eiser] vervolgens een verzekeringspolis aan [gedaagde] heeft toegezonden en hem erop heeft gewezen dat, indien hij niet binnen 14 dagen reageert, de op het polisblad vermelde gegevens worden verondersteld juist te zijn, maakt het voorgaande niet anders. Het niet-reageren op een dergelijk bericht, kan in redelijkheid niet worden beschouwd als wilsverklaring van [gedaagde] gericht op de totstandkoming van een overeenkomst.

De rechter lijkt hier impliciet artikel 7:7 BW aan te halen, waarin staat dat je ongevraagde zendingen “ten einde hem tot een koop te bewegen” en ongevraagde dienstverlening niet mag opvatten als een akkoord daarvoor. Stilzwijgend toelaten dat je ramen gelapt worden is geen grond voor een factuur, en verzekering is net zo goed een dienst als ramen lappen.

Het roept wel een fundamentele vraag op: hoe had deze verzekeringsmaatschappij dan wél moeten bewijzen dat het de gedaagde was die de bestelling had geplaatst? Zowat alles dat op een website wordt ingevuld, kan immers ook door de buurman of een kennis worden ingevuld.

Arnoud

26 reacties

  1. Als ik een pak koekjes aantref met een kakkerlak erin, wordt van de fabrikant verwacht dat die kan terugvinden (bijv. met de productiecode achterop de verpakking) in welke productielijn, en op welke dag, met welke batch ingredienten, door welke ploeg dit pak koekjes gemaakt is.

    Op dezelfde manier is het niet onredelijk om van een verzekeringsmaatschappij te verwachten dat ze kunnen vertellen hoe hun “polis-productie-systeem” (want dat is een verkoopwebsite) er op de productiedatum van desbetreffende polis eruitzag. En net als de koekjesfabriek moet bijhouden waar zijn meel vandaan kwam, moet de verzekeraar bijhouden waar de bestelling vandaan komt.

    Of een rechter anders had geoordeeld als de verzekeraar in deze wel zijn administratie op orde had is inderdaad aan volgende vraag, Het lijkt em echter wel dat dan in ieder geval bewezen was dat er een polis gekocht was, en de verzekeraar had daarmee wellicht NAW gegevens behorende bij het IP kunnen krijgen.

  2. Een ip kan je niet altijd terug herleiden naar een gebruiker (zeker niet na x jaar).

    Dus het lijkt mij dat als je echt wilt kunnen bewijzen dat een bepaalde persoon achter de pc heeft gezeten voor een bepaalde bestelling, je dit nog moet verifieren door een contract te sturen waar hij zijn handtekening onder moet zetten en terug moet sturen.

    Het lijkt mij echter wat omslachtig om dat bij elke online transactie te doen. Echter als er in die transactie ook gelijk wordt betaald via bijvoorbeeld Ideal dan ligt de link met die persoon wel redelijk hard vast lijkt me.

    Of een andere methode kan misschien zijn om de gebruiker een account te laten maken en alleen met een geverifieerd emailadres de mogelijkheid geven om te bestellen. Ook dan zit de gebruiker redelijk hard vast aan zijn bestelling (Als je tenminste het emailadres aan de persoon weet te koppelen in de rechtzaal)

  3. Bij de meeste online aanmeldsystemen wordt gebruik gemaakt van een e-mail waarbij ik door op een link te klikken herbevestig dat ik me via dat mailadres aan wil melden. Zoiets had de verzekeraar natuurlijk eenvoudig ook voor de offerte kunnen doen: print in dikke letters een unieke code op de polis en daaronder de URL waar die code moet worden ingevuld om de polis te bevestigen. Je mag er vanuit gaan dat de klant dat kan aangezien die gebruik gemaakt heeft van de site om de polis aan te vragen. Voor de zekerheid kun je nog IP-adres registreren bij aanvraag polis en invoeren code, maar het lijkt me niet logisch/handig om te vereisen dat die in beide gevallen identiek zijn.

    Er zou nog discussie kunnen ontstaan over de vraag of de verzekeraar kan garanderen dat de persoon die de code invult daadwerkelijk de persoon is waarvan de naam op de polis staat. Maar die discussie voorkom je alleen als iemand fysiek ergens naar toe gaan en zich legitimeert. Ik ga er vanuit dat ook een rechter dan onnodig beperkend voor het systeem van elektronisch zaken doen zou vinden.

  4. Deze zaak geeft ook aardig aan, waarom er sommige dienstverleners zolang hebben gewacht online te gaan. Nog maar een paar jaren geleden was het zelfs onderwerp van workshops en serieuze bijeenkomsten in de verzekerings sector.

    Dat een rechter niet klakkeloos een screenshot accepteert, is iets waar we blij mee mogen zijn. Het is een effectieve horde tegen de slimme fotosoepers.

    Wat betreft je vraag: “wat moet je als aanbieder doen?”. Ik kan me voorstellen dat de aanbieder langs electronische weg contact maakt op 2 momenten.

    Moment 1: prospect/klant betreedt beschermde omgeving om offerte aan te vragen. Moment 2: na invullen een bevestiging van ontvangst.

    Als je er over nadenkt komen deze 2 stappen al vaak voor: om een offerte te kunnen aanvragen o.i.d. moet je her en der al een ID aanmaken. Bevestiging van die handeling is vaak verplicht (= terugsturen mail, of inkloppen toegestuurde code). En dat je na het invullen van een aanvraag een bevestiging krijgt met verzoek alles nog even te controleren is eerder regel dan uitzondering.

    Dat vervolgens marketeers en zelfbenoemde website doorloop specialisten deze veiligheids stappen eruit slopen omdat die tot meer afhakers zou zorgen is weer een ander punt.

  5. Een eenvoudige methode om aan te tonen dat iemand wel degelijk de aanvraag heeft ingediend is door een eerst per email te laten registreren. De klant moet dan zijn email adres invoeren en vervolgens stuur je een bevestigings-email naar dat adres. Het IP adres dat bij invoer van het email adres is gebruikt koppel je vervolgens aan die gebruiker. De klant ontvangt vervolgens een email met b.v. een wachtwoord waarmee hij kan registreren. Met een extra link erbij kan de klant terug naar de site maar is dan wel geregistreerd. Bij geregistreerde gebruikers hoef je vervolgens niet het IP adres bij iedere pagina te registreren. Je hoeft alleen maar bij te houden of de gebruiker een ander IP nummer gebruikt. Zo ja, dan voeg je het nieuwe IP adres toe aan de geregistreerde gebruiker. (Master-detail relatie dus tussen email adres en IP adres.) Een verzekering aanvragen moet dan ook alleen kunnen door een geregistreerde klant. Je kunt dan via het email adres en de IP nummers een relatie leggen met deze klant. Natuurlijk kan de buurman een net-email adres hebben gemaakt en daarnaast de WiFi router hebben gehacked om zo een nep-order te plaatsen. Dat is dan wel een vrij bijzondere situatie. Toch kun je ook daar rekening mee houden door de verzekering toe te sturen en daarbij aangeven dat de gebruiker op de site een code (vermeld in de bijgeleverde brief) in moet voeren om de verzekering te bevestigen. Als de klant dit niet doet dan wordt de verzekering binnen twee weken weer ongeldig verklaard. Dus het omgekeerde van wat hier gebeurde, namelijk een reactie vragen om het contract te bevestigen. Je kunt overigens wel vragen om een formulier terug te sturen met handtekening eronder maar ook een handtekening kan eenvoudig vervalst worden. Registratie van email adres, IP nummers plus het bevestigen van de order via de code die naar de klant is verstuurd zou mogelijk voldoende kunnen zijn. (En alsnog een snelle methode kunnen zijn om verzekeringen aan te bieden.)

    @Pierre, jij en ik hebben hetzelfde idee. Maar jij typt een stuk sneller dan ik. 🙂

  6. @MathFox, je kunt op een gegeven moment zelfs stellen dat zelfs een handtekening onder een contract vervalst is waardoor het contract ongeldig zou zijn. Om die reden zul je als verkoper/leverancier dus altijd nog een extra bevestiging moeten vragen ter bevestiging of anders het risico nemen dat er klanten zijn die de boel oplichten. Dat is gewoon een risico dat je als bedrijf neemt. In dit geval gaat het om een verzekering. Als de klant zijn eerste rekening heeft betaald kun je er wel van uit gaan dat hij accoord is gegaan. Je zou dan ook stellen dat die eerste betaling gebruikt wordt als bevestiging. Als de klant niet op tijd betaald dan pech voor hem! Dan wordt de verzekering gewoon geannulleerd met terugwerkende kracht. Alleen pech hebben als een klant een verzekering aanvraagt, ontvangt en nog voor de eesre betaling al een ongeluk krijgt die de verzekering dekt. Je zou misschien een eerste aanbetaling moeten vragen bij het online afsluiten van de verzekering. (Via iDeal bijvoorbeeld.)

  7. Het niet-reageren op een dergelijk bericht, kan in redelijkheid niet worden beschouwd als wilsverklaring van [gedaagde] gericht op de totstandkoming van een overeenkomst.

    De rechter verwijst hiermee naar art. 3:33 BW. Dit artikel vereist een verklaring waaruit een rechtsgevolg gerichte wil moet blijken al voor er een rechtshandeling tot stand is gekomen. Een beroep op art. 7:7 BW gaat hier niet op omdat het niet gaat om een zaak en niet gerept wordt het mogen houden er van.

  8. @Alex: zie 7:7 lid 4 dat zegt dat het artikel ook geldt bij ongevraagde dienstverleningen. Maar je hebt gelijk dat de rechter hier zegt dat er geen sprake is van een wilsverklaring. Stilzitten kan als wilsverklaring worden opgevat (“ik ga nu iets geheims vertellen, wie dat niet wil respecteren moet nu weggaan”) maar hier dus niet.

    Ik vermoed dat daarachter dezelfde gedachte zit als in 7:7 – ongevraagd iets geleverd (product of dienst) krijgen en dan te horen krijgen “je stilzwijgen was toestemming dus graag betalen” is gewoon niet redelijk.

  9. Wat suggesties:

    1. Polis ondertekenen en terugsturen?
    2. Je stuurt een code op, waarmee mensen de verzekering activeren.
    3. Je laat de klant de eerste overboeking zelf doen. Daarna pas automatische incasso.
    4. Stuur een kortingscode voor korting op de afgesloten verzekering (positieve variant van 2.)
    5. De verzekeringsmaatschappij accepteert het verlies.
  10. Dit probleem geldt denk ik voor meer online-zaken. Ook het kopen op afstand kent deze problemen. Wat ik wel geregeld heb gezien is dat je je dient te legitimeren met je bankrekening (bijv paypall of google-adsense). Nog steeds niet helemaal correct volgens mij, maar een goede stap.

    Maar geldt dit probleem niet voor alle ‘koop op afstand’-transacties? Er is geen manier om aan te tonen dat de ‘klant’ ook daadwerkelijk zelf heeft besteld, of dat iemand een ‘geintje’ uithaalt. Dit kan alleen door een extra controle slag in te voeren, met controleerbare gegevens (dus bellen naar het nummer uit het telefoonboek, bankgegevens controleren, etc). Email is geen oplossing, want iedereen kan een email adres aanmaken dat ‘juist’ lijkt.

    Volgens mij, kan je stellen dat je als online-winkel een betaling ontvangt je dan pas een transactie hebt. Zonder betaling alleen maar een ‘lead’. Dit geldt volgens mij ook voor verzekeringsproducten.

  11. De inhoud van de log files van de webserver lijkt me het meest voor de hand liggende en zo niet afdoende dan toch minstens aannemelijke bewijs. Daar staat elke pagina opvraging immers in compleet met datum/tijd en IP-adres.

  12. @Sander (#12): De kosten van een ideal betaling mogen hoger zijn dan 1 cent, deze zorgt er wel voor dat ellende als dit soort rechtzaken de dienstverlener bespaart blijven. En die paar cent die zo’n transactie kost; ik hoop dat de dienstverlener die er wel uit kan krijgen.

    @Hans (#14): Je kan wel ip-adressen loggen, maar hoe ga je bewijzen dat de klant in kwestie op het moment van aanmelden ook dat ip adres had? En als er meerdere mensen van 1 ip-adres gebruik maken (niet ongewoon in een huishouden); hoe ga je dan bewijzen dat je de juiste persoon voor je hebt?

  13. Dit soort problemen gaan pas “opgelost” worden als er een digitaal paspoort is om te verifi?ren dat je bent wie je zegt wat je bent. Wat Sander beschrijft doet dit indirect door de Bank te gebruiken als Identity Provider. Hierbij Identity Provider = Bank, want Verkoper vertrouwt dat als Bank zegt Koper = Koper het zo is, Koper vertrouwt Bank het beheer van deze gevoelige informatie toe en gelooft in de beveiliging van de gegevens door Bank.

    We vertrouwen niet iedereen de rol van Identity Provider toe en terecht, maar tot we ergens een doorbraak (wetgeving?) hebben blijft het schipperen.

  14. @Arnoud(10): Dat niet-handelen een wilsverklaring kan opleveren ben ik wel met je eens. Een goed voorbeeld daarvan is de situatie waarin partijen afspreken dat bij niet-handelen de overeenkomst met een jaar wordt verlengt. Maar het is zeker niet zo dat een niet-handelen altijd een wilsverklaring oplevert, zolang als men maar waarschuwt.

    een niet-handelen of een stilzwijgen kan als wilsverklaring gelden, indien daardoor op grond van de omstandigheden bij de wederpartij het vertrouwen kan worden gevestigd, dat de wil op het sluiten der overeenkomst was gericht. (bron: verbintenissenrecht – Arthur S. Hartkamp & Carel Asses)

    Het is een beetje raar dat partij A een brief stuurt met daarin een waarschuwing dat als partij B niet regeert partij A aanneemt dat partij B een overeenkomst met hem wilde, later enkel en alleen op basis van deze omstandigheid gerechtvaardigd vertrouwen mag hebben dat partij B de overeenkomst ook daadwerkelijk wilde. (In dit citaat lees ik trouwens een verwijzing naar 3:35 BW)

  15. @Blijbol (#18); heb ongeveer een jaar geleden daar een leuke presentatie van gezien door twee mannen van het NFI (bedankt voor het kaartje Arnoud!). Deze hadden als suggestie om iedere regel te hashen, en de hash van de vorige regel aan ’t begin van de volgende te zetten. Op deze manier kan je niet zomaar een regel wijzigen, omdat dan ook alle hashes veranderen. Print je iedere dag de eerste en laatste hash uit, laat ze verzegelen bij een notaris, en er twijfelt niemand meer aan de authenticiteit.

    Moet je alleen nog wel de rechter even uitleggen wat hashes zijn… (succes!)

  16. In theorie wel, maar enkel tot het moment dat je die hashes uitprint & verzegelt. Als je iedere dag die hashes uitprint heb je 1 dag om je logfiles aan te passen en opnieuw te genereren (de hashes er opnieuw voorzetten). Als er na 3 weken een conflict bestaat over iets als waar deze blogpost aan geweid is, zal niemand er van uitgaan dat je daar in de eerste 24 uur al op zo’n manier rekening mee gehouden hebt dat je de logfiles alvast hebt aangepast.

  17. OpenID? Dat maakt het vaak eenvoudiger dan lastiger. Een OpenID is altijd gekoppeld aan het bijbehorende sociale netwerk en je kunt dan aan dat netwerk om meer informatie over de betreffende persoon vragen, zoals alle overige sites waar hij die ID gebruikt. Als je een website maakt die OpenID gebruikt dan kun je in de site aangeven welke informatie deze ID moet doorgeven. Bijvoorbeeld naam, email adres, telefoon, enz. Vaak zie je dat sites alsnog om een email adres vragen zodat je een alternatief email adres kunt opgeven maar als ze de OpenID provider om jouw email adres vragen, krijgen ze die automatisch. De OpenID zelf is niet voldoende om meer informatie over de gebruiker te krijgen. Maar met een gerechts-order kun je proberen de OpenID provider te overtuigen dat je de overige informatie nodig hebt wegens juridische redenen. Plus, ook al gebruik je OpenID, je hebt nog altijd een IP nummer wat meehelpt om de echte gebruiker op te sporen. Als je een Wifi router hebt gehacked dan kunnen ze in die router een logboek raadplegen op zoek naar MAC adressen die er niet in thuis horen om vervolgens een PC in de omgeving op te sporen die dit MAC adres gebruikt om via Wifi contact te maken met deze router.

    De vraag is alleen of de kosten voor de opsporing wel in verhouding staan tot de misdaad. Het klinkt rot maar een onderzoek van EUR 100.000 om de dader van een vergrijp ter waarde van een tientje te grijpen is gewoon te gek voor woorden. En een verzekering voor een brommer is vaak maar een klein bedrag… De kosten voor een dergelijk onderzoek maken het al snel onrendabel.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.