Minister: digitale berichten overheid vergelijkbaar met aangetekende post

Pexels / Pixabay

Digitale berichten die de overheid naar de berichtenbox van burgers met een MijnOverheid-account stuurt hebben dezelfde waarborgen als aangetekende fysieke post, zo stelt minister Bruins Slot van Binnenlandse Zaken. Dat las ik bij Security.nl onlangs. Dit in reactie op een discussie over de status van digitale boodschappen in uw Mijn Overheid-berichtenbox tijdens het plenaire debat over de Wet modernisering elektronisch bestuurlijk verkeer. Deze zal in 2023 in werking treden en het onder meer mogelijk maken dat je digitaal berichten naar de overheid stuurt.

De status van aangetekende post in het recht is vrij hoog: al snel neemt de rechter aan dat post is aangekomen als je een PostNL-ontvangstbevestiging kunt laten zien. Niet altijd, zeker bij “geen gehoor” en geen bewijs van door de bus duwen. Het is dus een fijne procedurele stap die je kunt nemen bij dossieropbouw, je kunt dan in ieder geval het verweer “hebben we nooit gehad” aftikken als er een handtekening van de receptioniste of postkamer ligt dat het is aangenomen. (Dat de envelop wellicht leeg was, heb ik nooit als verweer in een vonnis aangetroffen.)

Bij digitale berichten is de aankomstbevestiging zeer kwetsbaar, er is geen breed gedragen technische standaard en in formele procedures vragen om een mail met ontvangstbevestiging voelt toch niet helemaal wenselijk. Dus het is fijn te bevestiging te krijgen dat een bericht in de berichtenbox telt als een aangetekend stuk. Waarbij dan twee situaties gelden: berichten van de overheid, en berichten aan de overheid. Zoals de minister het uitlegt:

Officiële elektronische berichten van de overheid worden doorgaans geplaatst in de berichtenbox van MijnOverheid. Het tijdstip van ‘bezorgen’ wordt daarbij vastgelegd en kan daarmee gemakkelijk worden bewezen. Problemen doen zich voor als iemand te laat in de berichtenbox kijkt en daarmee niet tijdig op het bericht heeft gereageerd. Hierom wordt verplicht om bij het plaatsten van een bericht binnen 48 uur aan de geadresseerde een (eveneens digitale) notificatie te sturen, tenzij deze heeft laten weten geen notificaties te willen ontvangen.
Dit is natuurlijk al de huidige situatie. De logging door het overheidsorgaan is cruciaal, en we vertrouwen erop dat de loggende instantie dat eerlijk doet. (Ik zie bij Security.nl de suggestie dat een slinkse ambtenaar het bericht achteraf kan wijzigen en/of de gelogde gegevens aan kan passen. Dit lijkt me sterk maar ik kan geen informatie vinden over de beveiliging van deze procedures.)

De omgekeerde situatie wordt heel simpel geschetst:

Bij elektronische berichten aan de overheid is voorgeschreven dat het bestuursorgaan de ontvangst van een bericht moet bevestigen.Het wetsvoorstel gaat er van uit dat dit een geautomatiseerde bevestiging is. De ontvangstbevestiging vormt voor de afzender het bewijs dat diens bericht is ontvangen.
Dat is leuk en aardig, maar betekent nu dus dat je toch moet hengelen om een bevestiging per e-mail, en maar moet afwachten wanneer de ontvangende ambtenaar dit gaat doen. Ja, ik heb altijd weinig hoop in autoreplies, helemaal als die enkel zeggen “uw mail is ontvangen” zonder bijvoorbeeld aan te geven of de bijlagen zijn aangekomen.

Het wetsvoorstel regelt het iets uitgebreider, art. 2:13 lid 1 en 2 Awb gaat luiden:

  1. Een ieder kan een bericht dat deel uitmaakt van een procedure over een besluit of een klacht of een ander krachtens wettelijk voorschrift voorgeschreven bericht elektronisch aan een bestuursorgaan zenden.
  2. Bij wettelijk voorschrift of bij besluit van het bestuursorgaan wordt voor ieder type bericht als bedoeld in het eerste lid, gelet op de aard en de inhoud van het type bericht en het doel waarvoor het wordt gebruikt, een voldoende betrouwbare en vertrouwelijke wijze van verzenden aangewezen.
Het overheidsorgaan moet dus een elektronisch kanaal openstellen voor deze formele communicaties van de burger, en moet zorgen dat dit betrouwbaar en veilig is. Daar hoort dus logging van ontvangst bij. (Voor andere systemen mág het overheidsorgaan iets dergelijks doen, maar dat moet dan apart als keuze gemeld worden, art. 2:14 nieuw.)

Een ontvangstbevestiging wordt apart verplicht gesteld in art. 2:18:

  1. Een bestuursorgaan bevestigt de ontvangst van een elektronisch bericht als bedoeld in artikel 2:13, eerste lid, dat is verzonden overeenkomstig het tweede lid van dat artikel en met inachtneming van de nadere eisen, gesteld krachtens het derde lid van dat artikel, tenzij:

    • a.het bestuursorgaan en de verzender gebruikmaken van hetzelfde systeem voor gegevensverwerking en de verzender in dat systeem kan zien dat het bericht voor het bestuursorgaan beschikbaar is; of

    • b.van de verzender geen elektronisch adres beschikbaar is.

  2. 2.Indien een bericht als bedoeld in artikel 2:13, eerste lid, aan een bestuursorgaan wordt verzonden door de rechtstreekse invoer van gegevens in een systeem voor gegevensverwerking van het bestuursorgaan, stelt het bestuursorgaan de ingevoerde gegevens aan de verzender ter beschikking op een voldoende betrouwbare en vertrouwelijke manier.

In veel gevallen zal de communicatie verlopen via een berichtenbox. Dan moet het overheidsorgaan een notificatie sturen van de plaatsing (of afkeuring) van het bericht dat de burger uploadde:
In dat geval zal van de in de berichtenbox geplaatste ontvangstbevestiging op grond van het voorgestelde artikel 2:10 een notificatiebericht moeten worden gezonden (zie paragraaf 3.4.3). Een andere mogelijkheid is de bevestiging op het scherm waarin het bestuursorgaan meedeelt dat het bericht is ontvangen. Om de archieffunctie van de ontvangbevestiging te waarborgen, zou in dat geval een te downloaden versie hiervan ter beschikking kunnen worden gesteld.
Die downloadbare bevestiging lost dus het probleem op van de achterdochtige Security.nl reageerder, want als jij een digitaal getekende PDF hebt dat je bericht met inhoud X op datum Y ontvangen is, dan kan geen slinkse ambtenaar daar inhoud X’ van maken of het bericht weghalen.

Arnoud

5 reacties

  1. Ik heb een fundamenteel probleem met de “berichtenbox”: het is een postbus, in beheer bij de overheid waarbij de overheid op ieder moment kan beslissen om het toegangsbeleid te wijzigen. Wat gebeurt er met de burgers die geen DigiD SMS notificatie hebben ingesteld en daarom per 1 oktober niet meer kunnen inloggen bij de belastingdienst? Wat gebeurt er wanneer in de toekomst inloggen met SMS notificatie wordt uitgefaseerd.

    Het is belachelijk dat de overheid dat claimen dat een in de “berichtenbox” geplaatst bericht bij de burger is aangekomen als zij aan de andere kant weet dat betreffende burger niet over de vereiste inlogmiddelen beschikt?

    1. De groep volwassenen zonder mobiel is extreem klein, ik geloof iets van 125.000. Een klein deel daarvan is de groep “wil-niet/heb-ik-niet nodig/paranoïde/lekker-dwarsliggen” en het merendeel heeft ivm geestelijke of lichamelijke problemen überhaupt overal hulp voor nodig.

      1. Mijn probleem is fundamenteler: Mag de overheid “zomaar” de toegangsregels tot een verplichte berichtenbox veranderen zonder zich ervan te vergewissen dat alle (verplichte) gebruikers van deze box toegang tot de nieuwe inlogmiddelen hebben?

        1. Er is een jarenlange discussie over de zorgplicht van de overheid bij elektronisch berichtenverkeer. Een zorgplicht die steeds verder op de achtergrond lijkt te raken en pas invulling krijgt als zich problemen voordoen. De Nationaal Ombudsman heeft vaker aangegeven dat een overheidsvoorziening moet werken op een manier die de burger in staat stelt zijn rechten en plichten uit te oefenen. Hij introduceerde daarvoor het begrip adequaat met de eis aan de overheid om de organisatie en administratie zo in te richtten dat die behoorlijke dienstverlening kan opleveren.

          De wet bevat voor verzending door de overheid een fictie als zou de berichtenbox gelden als de plaats waar belanghebbende wordt bereikt en ook zijn post afhandelt. Zoals vroeger de deurmat van zijn verblijfplaats. Feitelijk is het meer een equivalent van het afhaalpunt van PostNL. Ook de RvS is kritisch op deze wetgeving en de verdringing (overgang naar verplicht elektronisch) die het bevat.

          Juridisch is de overheid lui geworden en heeft het voorbeeld van de banken gevolgd. Die zijn ook stelselmatig in het overbrengen van verantwoordelijkheid naar belanghebbende en het verminderen van de eigen verantwoordelijkheid daarbij. De melding van fraude is inmiddels opgehangen aan het verplicht periodiek controleren van het account en de betalingen door de rekeninghouder. Die eis bij de berichtenbox is impliciet en verborgen in de toelichting.

          Wat de nieuwe wetgeving niet regelt, wordt dus een verantwoordelijkheid van het betreffende overheidsorgaan bij de implementatie. Daarvan zal de NO uiteindelijk iets gaan vinden of het moet eerder in de rechtspraak terecht komen.

      2. Ik heb wel een smartphone, een vrij nieuwe zelfs, maar ik gebruik geen iOS of Android. Als inloggen met sms wegvalt, dan word ik dus gedwongen om een Android-apparaat te gebruiken om in te loggen. Bij een bank of zo vind ik dat vervelend (al heb ik dat nog niet meegemaakt), maar dat is tot daaraan toe. Maar de overheid moet zorgen dat iedereen toegang heeft, dus ook mensen die een afwijkend systeem gebruiken. En als ze dat niet willen, dan is het aan hun om met een andere oplossing te komen. Zij leveren immers een kritieke dienst waarbij je niemand mag buitensluiten.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.