Waarom eisen sommige bedrijven nog steeds dat je briefpapier gebruikt voor officiële correspondentie?

| AE 10823 | Ondernemingsvrijheid | 22 reacties

Een lezer vroeg me:

Recent las ik deze hilarische blog (The Daily WTF) waarin een bedrijf een domeinnaam wilde verhuizen en alle security tokens had maar het niet voor elkaar kreeg omdat het verzoek niet op briefpapier was verstuurd. Een grap, maar ik weet dat het in all seriousness ook echt gebeurt. Waarom is dat? Het is toch 2018, ik maak met Paint beter briefpapier dan sommige reclamebureaus.

De eis van briefpapier met briefhoofd is inderdaad een hardnekkige in veel juridisch georienteerde processen. Het idee erachter is dat het bericht dan “officieel” is, want zo ziet het er dan uit.

De vermoedelijke achterliggende gedachte is dat een mededeling pas bindend op de afzender is als je erop mag vertrouwen dat deze van hem afkomstig is of door hem geautoriseerd is (art. 3:35 BW). Een los kattebelletje of een e-mail vanaf het bedrijfsdomein is dan net te dubieus. Briefpapier is alleen beschikbaar voor daartoe bevoegde personen, dus een brief op briefpapier is afkomstig van een bevoegd persoon.

Moehaha, inderdaad. Een logo’tje fotoshoppen (“technisch aanpassen met Adobe® PhotoShop software – PhotoShop is een gedeponeerd handelsmerk van Adobe Incorporated”) is triviaal, dus in de praktijk is dit een volkomen wassen neus. Juridische zaken zijn echter hardnekkig, en blijven over het algemeen ook bestaan nadat hun grondslag al lang verdwenen is.

De enige juridische reden die ik nog kan bedenken, is dat het vervalsen van iemands briefpapier een misdrijf is (valsheid in geschrifte). Je kunt dan zeggen, dat is zeer uitzonderlijk want we mogen veronderstellen dat mensen niet dagelijks misdrijven plegen. Daarom is een brief op briefpapier tóch anno 2018 betrouwbaar en werkelijk van de afzender. Blijkt dat niet zo te zijn, dan moet de politie daar tegen optreden maar zijn wij niet aansprakelijk.

Moehaha, inderdaad. Praktisch gezien zou ik dan ook zeggen, als dit als eis wordt neergelegd door een ICT-leverancier anno 2018, dan wordt het tijd om over te stappen.

Arnoud

Deel dit artikel

  1. Maar als leverancier heb je toch gewoon een lijst van geautoriseerde contactpersonen?

    Een webhoster die *tig kleine websites heeft, misschien niet, maar die zal ook alleen maar verhuis verzoeken accepteren als het verzoek voor de verhuizing wordt gedaan vanaf het account waarmee de eerste registratie is gedaan, of vanuit bijvoorbeeld het e-mail adres waar de facturen naartoe gestuurd worden.

    Briefpapier is inderdaad achterhaald. Maar een procedure opstellen (als webhoster/registrar) waarin duidelijk wordt vermeld wie specifieke aanvragen mag indienen, stelt helemaal niets voor.

    Wil je als registrar dit niet via e-mail doen, dan zijn er ook nog de mogelijkheden om een dergelijke aanvraag in het DNS registratie control panel in te bouwen. Simpelweg een checkbox “verhuistoken aanvragen” bij het stopzetten van de domeinregistratie is hiervoor eigenlijk al voldoende

  2. Die tweede Moehaha, daar heb ik toch wel problemen mee.

    Je mag er toch in een welvarende democratische samenleving vanuit gaan, als burger of bedrijf, dat als er een misdrijf (niet eens een gewone overtreding!) onder de aandacht van de politie wordt gebracht, dat de politie gaat optreden. En zelfs dat de politie actief op zoek gaat naar misdrijven.

    Ik vind het diep triest dat het blijkbaar normaal gevonden wordt dat dit niet het geval is. En dat een jurist daar nog om lacht ook.

    Als we het als als samenleving allemaal niet zo erg vinden, dat gefoefel met briefhoofden, haal het dan uit het strafrecht. De bevolking heeft recht op duidelijke wetgeving.

    • De tweede moehaha was gericht tegen het “maar zijn wij niet aansprakelijk”. Natuurlijk ben je dat wel, als jij blind vaart op iets dat triviaal vervalst kan worden dan kom je daar niet mee weg. Je behoort anno 2018 enige controleprocedures te hebben. De eis van briefpapier kan daar déél van uitmaken, maar is geen voldoende eis om te mogen spreken van gerechtvaardigd vertrouwen.

      • Mwoah,

        Alles kan tegenwoordig vervalst worden, sommige dingen iets gemakkelijker dan anderen, maar ik vind het nogal ver gaan dat je erop verdacht zou moeten zijn dat mensen een misdrijf begaan om jou voor de gek te houden.

        En een tweede overweging is: Als ze eenmaal een misdrijf begaan hebben, moet ik ze er dan wel de gevraagde dienstverlening weigeren? Moet ik dan niet overwegen of ik mezelf of mijn personeel daardoor niet ingevaar breng? Ze hebben immers al bewezen zich niet heel veel van de wet aan te trekken.

        Als ik mijn secretaresse vraag een misdadiger te confronteren met zijn misdrijf (want dat is immers wat je dan doet), is het dan gek om te verwachten dat die secretaresse na het werk wordt opgewacht door die misdadiger. Al is er maar 1% kans, dan voel ik me als werkgever al verantwoordelijk.

          • Ja, daar heb je gelijk in. Maar daar staat wel tegenover dat bij klachten/misbruik de top level registrar de overdracht kan terugdraaien. Dus de consquentie/schade is per definitie beperkt.

            Maar er zit wel een incosistentie in je verhaal: Enerzijds zeg je in je blogbericht dat vertrouwen op een briefhoofd onzin is, anderzijds lijk je als antwoord op mijn opmerking te stellen dat je wel degelijk de echtheid van iets wat makkelijk na te maken is (zoals een briefhoofd) grondig vast moet stellen als dienstverlener.

            Ik ben het met je eens dat je de nodige zorg moet dragen om de identiteit van je klanten vast te stellen. En ik ben het met je eens dat briefpapier, technisch gesproken, helemaal niets zegt.

            Maar ik ben het niet met je eens dat briefpapier juridisch gesproken niets zegt, juist omdat het een misdrijf is om het te misbruiken. Je mag redelijkerwijs verwachten dat de overheid voldoende maatregelen neemt om misdrijven zoveel als praktisch mogelijk te bestrijden, zodat jij en ik het niet individueel hoeven te doen. Dat is een stuk praktischer en ook nog eens een keer eerlijker en objectiever.

            Jouw redenering lijkt op ‘blaming the victim’. Ik wordt slachtoffer van een oplichter en dan is het mijn schuld. Kom nou toch !

            Ik moet thuis ook de deur op slot doen. Maar als er mensen komen in een politieuniform en met een echt uitziende politie-ID (weet ik veel hoe een echte politie-ID eruit ziet) dan mogen die van mij binnenkomen als ze daarom vragen.

            • Ik zeg dat je niet énkel mag drijven op een briefhoofd, omdat dit makkelijk te vervalsen is. Anno 2018 mag ik in de praktijk van een ICT-dienstverlener verwachten dat deze adequaat nagaat wie hem de opdracht geeft, mede gezien de zeer prevalente kans op phishing en identiteitsfraude. Enkel zeggen “dit ziet eruit als briefhoofd van bedrijf X” vind ik geen adequate wijze van verificatie. *(Op zijn minst omdat je vaak niet weet hoe dat er echt uit moet zien.) Je moet meer je best doen, je moet voorkómen dat je klant slachtoffer wordt van oplichting of diefstal. “Ja sorry, het briefhoofd leek echt dus hebben we het token aan bedrijfsnaam at gmail.com vrijgegeven” vind ik een verzaken van zorgplicht.

              Met blaming heeft dat verder weinig te maken.

              • Klinkt allemaal redelijk, maar aan de andere kant is er toch ook een redelijke verwachting dat je je bedrijfsprocessen niet hoeft in te richten op crimineel gedrag.

                Je kunt van een typische registrar die letterlijk een paar euro’s per jaar voor een domein vraagt toch niet heel veel verwachten qua verantwoordelijkheid nemen en diepgaande checks uitvoeren. Dat bedrag ben je al kwijt om je jas van 150€ een avondje in de garderobe van een uitgaanstent te hangen.

                Zij kunnen voor dat bedrag toch geen verantwoordelijkheid nemen voor de beveiliging, een jaar lang, van jouw domeinnaam waar jij een waarde van tienduizenden of honderdduizenden Euro’s aan geeft. Dat is toch ook niet redelijk?

                • Misschien, maar dit is voor mij wel het andere uiterste. Juist als goedkope hoster zou ik zeggen “u mag inloggen op het controlepaneel en daar het verhuistoken opvragen”. Dat is veel simpeler en je krijgt geen gezeur met “is dit briefpapier echt of nep”. Verantwoordelijkheid voor wachtwoordmanagement kun je in AV bij de klant leggen.

                  De jasbewaarder is overigens aansprakelijk, ook als je €1 betaalt en ook als er een bordje hangt van niet. Als professional heb je een zorgplicht.

          • Maar niemand geeft de slachtoffers van een marktplaatsoplichting de schuld ervan dat ze opgelicht zijn. Er zijn een aantal tips waarmee je het risico kunt beperken, en voor je eigen bestwil gebruik je die, maar zelfs als je die niet gebruikt haalt niemand het in zijn hoofd om te zeggen ‘eigen schuld, had je maar niet op marktplaats moeten kopen’. Hoogstens: ‘Tja, op marktplaats loop je nu eenmaal een bepaald risico’

            Ik vind gewoon (en dat is misschien een politieke mening) dat de staat ervoor dient te zorgen dat misdrijven zodanig effectief bestreden worden dat je in het normale leven geen bijzondere maatregelen hoeft te nemen tegen misdrijven, dat het een uitzondering is als je slachtoffer bent van een misdrijf.

            Bijvoorbeeld ‘slechte buurten’, waar je in het donker beter niet komt, zijn een verschrikking voor mij en altijd al geweest in mijn 50 jarige leven. De staat heeft verdorie te zorgen dat eerzame burgers zich vrij kunnen bewegen. Ook midden in de nacht in een ‘achterbuurt’

  3. Volgens mij is het feit dat je een voor dat domein geldige verhuiscode hebt, voldoende bewijs dat jij de partij bent die die verhuizing in gang mag zetten.

    Overigens moet hierbij worden aangetekend worden dat het om een Amerikaans geval uit 2007 gaat.

    Ik moet nu denken aan energiecontracten in Nederland anno nu. Energieleveranciers zijn verplicht aan een contractsovername mee te werken als een concurrent daarom vraagt. Niks verhuiscodes en zo. Over geautoriseerde overdrachten en hun bewijslast gesproken…

  4. De enige juridische reden die ik nog kan bedenken, is dat het vervalsen van iemands briefpapier een misdrijf is (valsheid in geschrifte).

    In een oude Hack-Tic over geavanceerd social engineering werd dit ook opgevoerd. De brief /fax met officieel briefhoofd en logo doet het erg goed (vaak beter dan bellen), met de kanttekening dat het federal crime wirefraud / valsheid in geschrifte is, en dus ook veel strafbaarder.

    Aan het bewerken

Bewerk uw reactie

U mag deze reactie niet aanpassen. De reactie is meer dan 15 minuten oud, of u bent niet de auteur (of allebei).

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

U mag deze reactie niet aanpassen. De reactie is meer dan 15 minuten oud, of u bent niet de auteur (of allebei).