Minister moet opheldering geven over identiteitsfraude bij afsluiten contracten

Ministers Adriaansens van Economische Zaken en Yesilgöz van Justitie en Veiligheid moeten opheldering geven over identiteitsfraude bij het afsluiten van online contracten. Dat las ik bij Security.nl vorige week. De PvdA stelde naar aanleiding van een uitzending van Radar hier Kamervragen over. Als cynisch jurist zeg ik: wat had je dan verwacht, dat identiteitsfraude online moéilijk zou zijn?

De uitzending van Radar was veelzeggend:

Met een vals e-mailadres is rond juni vorig jaar met haar naam en bankrekeningnummer een energiecontract afgesloten bij Energiedirect, dochteronderneming van Essent. Op dit adres wordt ontzettend veel energie verbruikt. Energiedirect gelooft de gedupeerde in eerste instantie niet als zij zich tot hen wendt. Zij blijven incassorekeningen sturen en dreigen zelfs met een deurwaarder. … Ook de politie onderneemt geen actie. In Radar Checkt! gaat Fons Hendriks naar het adres waarop het energiecontract is afgesloten. Hier blijkt een groep krakers te wonen die bekend zijn bij de politie.
Er blijkt dus geen zinnige voorafgaande check te zijn bij de energieleverancier: men gelooft de opgegeven gegevens, gaat leveren naar het leveringsadres en stuurt facturen (en incassobureaus) naar het opgegeven facturatieadres. Oké.

Voor juristen is dit geen spannend verhaal: de leverancier moet maar naar de rechter en bewijzen dat die persoon werkelijk de overeenkomst heeft gesloten. Het deed me denken aan deze blog uit alweer 2018:

De feiten achter het vonnis zijn eenvoudig genoeg. Op naam van de gedaagde werden studieboeken besteld, deze werden ook geleverd maar de bijgesloten factuur bleef onbetaald ook na aanmaning. Daarop stapte de verkoper naar de rechter: er was gekocht, dus er moest worden betaald. Het kort maar krachtige verweer luidde simpel genoeg dat niet de gedaagde zelf maar haar stiefvader de boeken had gekocht. En dat slaagde (…).
Er zit juridisch natuurlijk geen verschil tussen een boek kopen en een energiecontract afsluiten via internet. Praktisch wel, al is het maar omdat de kosten van die laatste veel hoger kunnen zijn én omdat er vaker een enorme bureaucratie achter zit die je onverschillig is voor je argumentatie. Dat liet Radar ook zien, men gelooft de ontkenning niet en blijft hameren op betalen. Dat zou dan naar de rechter moeten gaan, maar als je niet uitkijkt wordt je op het facturatieadres afgesloten (een lezer alhier overkwam het), krijg je gedoe met zwarte lijsten of BKR en ga zo maar door.

Arnoud

 

29 reacties

  1. Wat zou voldoende zijn om aan te tonen dat iemand daadwerkelijk de bestelling heeft geplaatst? Een betaling via iDeal voor een eerste incasso zie je veel als vorm van “bewijs”, maar geen idee hoe dit juridisch zit.

    1. Goeie vraag. Er is niet één criterium denk ik, zo van “als je X vraagt of doet dan zit hij 100% zeker weten vast aan je contract”. Bij een overeenkomst op afstand zit je altijd met de vertaalslag van een elektronisch bericht naar een persoon, en omdat internet fundamenteel anoniem is lijkt me dat een onoplosbaar probleem in het algemene geval. Alle authenticatieprotocollen op dit moment die je koppelen aan een identiteit zijn lapwerk.

      Je komt al snel uit bij onwerkbaar, zoals “eerst langskomen in de winkel waar we je paspoort controleren”. Of bij duur/ingewikkeld zoals “alleen als u een vertrouwd certificaat heeft uitgegeven door een erkende certificeringsinstelling”.

      Praktisch gezien zou ik zeggen, bij de eerste bestelling moet facturatie en leveringsadres gelijk zijn én overeenkomen met de adresgegevens van het betaalmiddel. Bij alle andere configuraties (inclusief waarin het betaalmiddel geen adresgegevens verschaft) moet je er vanuit gaan dat je met een oplichter zaken doet en het risico indekken.

      1. waar we je paspoort controleren

        En die regel wordt uiteraard na verloop van tijd ‘Sorry meneer Engelfriet, maar we moeten écht een kopie van uw paspoort maken”.

        Bij het eerste de beste voorstel van de minister waarin ‘kopie paspoort’ staat opgenomen of woorden van gelijke strekking gaat er van mijn kant een e-mail naar een aantal leden van de Tweede Kamer in een poging om dat er weer uit te halen.

        ‘Kopie paspoort’ is net zo onuitroeibaar als ‘achterdeurtje in cryptografie’. Hoe vaak je het ook benoemt, er komt altijd weer een beleidsmaker of politicus mee aanzetten na verloop van tijd.

        1. Ik zou meedoen met die mailactie. Tegelijkertijd weet ik dus geen oplossing binnen het huidige juridische stelsel waarmee je als verkoper met redelijke zekerheid weet met wie je op afstand zakendoet.

          Een systeem met een digitale identiteitskaart die een pseudonieme identifier opstuurt op basis van een chip in je identiteitskaart, waarna een gerechtsdeurwaarder die gaat dagvaarden deze ergens in kan doen om de NAW-gegevens erbij te zoeken?

          1. iDin misschien? Meer info op iDin puntje nl.

            Enkele jaren geleden forceerde de Staatsloterij dat ik niet meer online loten kon kopen, totdat mijn bank relevante delen van mijn identiteit (o.a. geboortedatum) kon bevestigen aan de Staatsloterij. Dat proces maakte gebruik van iDin.

            Daar moet toch iets mee te doen zijn dat juridisch sluitend en AVG-compliant is? Het klinkt mij beter in de oren dan de zoveelste bureaucraat die klakkeloos een ongecensureerd kopietje ID vraagt. Sorry, eis. Of anders dienst weigert.

            1. IRMA (https://irma.app/) is een vrij alternatief waarmee je kunt aantonen wie je bent, dat het jouw bankrekening is, en dat je daadwerkelijk woont op het adres waar je een aansluiting wilt hebben. Gegevens komen uit BAG, en zijn betrouwbaar. Het bestaat al een aantal jaar. Kunnen ze morgen gebruiken.

              Natuurlijk is het niet voor iedereen dé oplossing, want het vereist weer wat know-how, maar dit lijkt me al een prima optie om voor het gros van de mensen toch snel en betrouwbaar(der) online contracten af te sluiten. Maar beleidsmakers en politici denken alleen maar aan méér beleid. Soms, zoals in dit geval, zijn technische hulpmiddelen wel degelijk van toepassing.

              1. Ik had dus van de IRMA site altijd het beeld dat het bedoeld was voor overheid en semi-overheid, niet voor willekeurige webshops. Ik zie namelijk alleen voorbeelden van gemeentes en zeg maar goede doelen zoals de 65+ pas, maar niet het voorbeeld van 18+ verificatie bij een casino of drankhandelaar online. Ik heb net even geprobeerd te zoeken maar ik zie ook geen harde criteria dat het wel of niet zou mogen. Weet jij meer?

                1. Hun voorbeeld is expliciet een drankhandel, met een 18+-verificatie. Verificatie is onafhankelijk van een dienst van derden; voor zover ik alles goed begrepen heb. Iedereen kan het gebruiken voor hun website.

                  Zelfs als dat niet zou zijn, dan zou dit wel methode zijn om het aanhangige probleem te verkleinen, iig voor de grote groep digivaardigen. Het werkt een stuk robuuster dan “beleid”.

                  IRMA is open source, en heeft, v.z.i.w., geen beperkingen om dat ook naar andere-dan-Amerikaanse-OS’en te brengen.

                    1. Mooi, maar F-droid is voor Android, een product van een Amerikaans advertentiebedrijf. Ik zie dat het protocol open en gepubliceerd is, wat ik zéér kan waarderen. Zijn er al alternatieve client-applicaties voor bijvoorbeeld desktop of web?

                      1. Nee, vanuit de kaders die opgelegd zijn (eIDAS ‘hoog’, etc) zijn er bepaalde technische verplichtingen die we nu ingevuld hebben door gebruik te maken van de secure enclave (TPM) van de mobiele telefoon. Op zich zou het een interessante testcase kunnen zijn om IRMA als een browser plugin te draaien (denk aan iets als Metamask), maar dat vraagt een volledig nieuw stukje frontend/backend code. Onze prioriteit ligt nu op de groei van het ecosysteem en de lancering van de nieuwe app. Maar als Yivi / IRMA voldoende markt heeft is dit een leuk idee om verder te onderzoeken.

                        1. Hoe gaan jullie dan een impliciete vendor lock-in bij Apple/Google/Microsoft voorkomen? Ik gebruik geen van hun besturingssystemen vanwege privacy en gedragingen in het heden en verleden van deze bedrijven. Ik neem aan dat velen die dit blog volgen dan aardig goed weten waar ik op doel.

                          Ondanks dat ik op mijn mobiel (met Europees(!) OS) wel Android apps kan draaien, in een container, kan ik desondanks nu al geen gebruik maken van de DigiD app, omdat deze gebruikmaakt van (gesloten!) Google-diensten!

                          Mijn PC heeft ook een TPM. En mijn Yubikey kan ook goed geheimen bewaren. FIDO2 bestaat.

                          1. vanuit de F-droid store kun je de applicatie op een google-vrije mobiel installeren. Zolang er maar een TPM in zit komt het wel goed ( mits de android variant hoog genoeg is, API level 33) . Natuurlijk is een PC client ook een leuke optie, maar voor nu ligt de focus op het bedienen van de grootst mogelijke gebruikersgroep. Voordeel is wel dat Yivi volledig open source is en een enthousiaste developer kan natuurlijk zelf ook een PC implementatie maken.

                2. Dag Arnoud, dank voor de Suggestie. IRMA kun je hier inderdaad voor gebruiken als er geen sprake is van een regulering/wetgeving die bepaalde eisen stelt aan de authenticatie (bijvoorbeeld gokken, een wettelijk identificatiemiddel vereist).

                  Een energieleverancier kan gegevens uit de gemeentelijke basisregistratie opvragen via IRMA, gebruikers verkrijgen deze via een Digi-d inlog op iig niveau midden bij de gemeentelijke uitgifte service. Deze service wordt nu geleverd door gemeente Nijmegen maar wordt op termijn centraal geregeld.

                  Aanvullend kan een energieleverancier meteen gevalideerde contactgegevens zoals mobiel nummer en mailadres via IRMA opvragen, en bijvoorbeeld iDIN gegevens. Daar kan dan meteen een extra stukje matching gedaan worden.

                  Aan de vragende partij ligt de keuze voor hoe “vers” deze gegevens minimaal moeten zijn. In principe is een BRP kaartje van gemeente Nijmegen lang geldig. Het kan zijn dat een adres veranderd is. Evengoed ben je dan als vragende partij verzekerd van een betrouwbare set persoonsgegevens en kun je bij een te oud kaartje om een verversing vragen. Extra voordeel, de vragende partij krijgt gegevens zonder invul-fouten, zoals ze in de originele bron staan.

                  Onder het toelatingskader van de WDO (Wet Digitale Overheid) komen straks middelen op de markt die een status krijgen om gebruikt te mogen worden om bij een overheid of BSN gemachtigde organisatie in te loggen. IRMA (vanaf 4 april YIVI – nieuwe naam en verbeterde app) wil zeker toelating als privaat middel realiseren. Dan kun je zowel bij overheid als private partijen inloggen.

                  IRMA (YIVI) is dus niet alleen bedoeld voor overheid, zorg en het publieke. Ook in het Private kan IRMA ingezet worden. Die perceptie dat IRMA vooral in het publieke domein zichtbaar is begrijp ik, maar de komende tijd zul je meer private toepassingen met IRMA zien ontstaan.

                  Beantwoord ik zo je vraag? Ik zal de reacties in de gaten houden iig.

                3. IRMA is bij uitstek geschikt om in zowel het publieke als private domein gebruikt te worden. In IRMA zitten de BRP gegevens, gelinked aan het BSN. Maar een dienstverlener kan natuurlijk ook gewoon de adres/postcode/naam attributen opvragen en het BSN buiten scope laten. Vanuit dataminimalisatie is dit sowieso gewenst, maar zolang je geen grondslag hebt mag je geen BSN verwerken. IRMA draait momenteel meerdere usecases in het private domein (of het snijvlak publiek/privaat) waarbij het BSN niet gebruikt mag worden. De kracht zit hem dan ook in de andere gegevens uit de BRP die eigenlijk (door de link met BSN) een erg hoge betrouwbaarheid hebben. De uitzending van Radar was een prima voorbeeld van een usecase waarbij een SSI wallet als IRMA (of een van de andere alternatieven) ingezet kan worden. Zolang de brongegevens maar betrouwbaar zijn (en op een veilige manier in de wallet worden opgeslagen) heb je als dienstverlener veel schonere data. Een van de cases die nu opgezet wordt is de inzet van IRMA bij AML / fraude processen bij verzekeraars. Achmea is daar een pilot voor aan het optuigen.

                  Wat betreft webshops: uit eerdere gesprekken met ze hoorden we vaak terug dat de echte identiteit ze niet echt uitmaakt, zolang de postcode maar ingevuld is. Dat was vaak nog belangrijker dan de betaling (“die komt vanzelf wel”). Maar dat maakt misbruik natuurlijk ook makkelijker. Het zou goed zijn als hier dingen veranderen, maar wel op een wijze die de privacy van klanten beschermt.

                  Nb: IRMA heet vanaf 4 april “yivi”, en er komt ook een nieuwe app release aan. De naam IRMA blijft nog wel even (onder water) bestaan maar aan de voorkant gaan we met de nieuwe naam communiceren.

                  1. Ik ben eigenlijk principieel tegen naamswijzigingen (zie diverse webstukjes erover), en internationaal (ik kwam initieel op een Engelstalige versie van de site) is “yivi” ook geen erg handige naam, omdat YIVO al iets met Yiddish is, wat er uiteraard niets mee te maken heeft.

                    1. We hadden het liever anders gezien, maar als er al een bestaande IRMA is in duitsland (die op het snijvlak security/privacy zit) dan is dat minder handig. IRMA is een bestaande naam die vooral binnen de onderzoeks/overheid wereld veel bekendheid geniet. Maar we konden het risico niet nemen dat er iets met merkrecht mis zou gaan nu we groeien.

      2. Het afsluiten van een energiecontract op een ander adres moet mogelijk zijn, ook als je geen energiecontract hebt met de leverancier op je huidige adres. Mensen kunnen ook een vakantiehuisje hebben en ik vind het te ver gaan om de contractuele vrijheid zo aan banden te leggen dat je voor je vakantiehuisje nog maar bij één leverancier terecht kan.

        1. Ik denk dat het idee achter de vragen is dat we maatschappelijke normen gaan stellen aan online leveranciers waar het gaat om het voorkomen van “identiteitsfraude” bij bestellingen. Een mismatch tussen factuur- en afleveringsadres is een signaal voor mogelijke fraude en zou dan van de leverancier een extra verificatie vereisen.

          Ik zie meer mogelijkheden voor verificatie zoals even met een ID-bewijs langs een kantoor en daar een handtekening op het contract zetten, een (symbolische) vooruitbetaling via iDeal, etc. Maar dat zou dan alleen nodig zijn in niet-standaard gevallen.

  2. Stel je krijgt door iets als dit een negatieve registratie (BKR, zwarte lijst, etc.) en de rechter oordeelt dat het niet jouw bestelling is dan wel dat jij niet het contract hebt gesloten. Moet de organisatie die je er op heeft gezet dan ook zorgen dat je er af wordt gehaald op een manier dat de negatieve vermelding er nooit op heeft gestaan? Immers die vermelding is dan compleet onterecht en kan wel (nu of in de toekomst) negatieve gevolgen hebben.

  3. “Vraag 4 Deelt u de mening dat consumenten, die slachtoffer van online identiteits- fraude zijn en dus niet zelf een overeenkomst hebben gesloten, dit niet zelf zouden moeten aantonen, maar dat het aan de ondernemer is bij wie een overeenkomst is gesloten om aan te tonen dat die overeenkomst met de desbetreffende consument is gesloten? Zo ja, hoe is de geldende wet- en regelgeving dienaangaande en behoeft die aanpassing? Zo nee, waarom deelt u die mening niet?”

    Dit is wel echt een bizar lui kamerlid. Ik als non-jurist ben bekend met het adagium “wie eist bewijst”. Dit had het kamerlid zelf ook in 5 minuten kunnen uitzoeken, maarja, dat levert natuurlijk minder publiciteit op :/

    1. Helemaal mee eens. Tegelijkertijd is het vaak wel zo dat veel bedrijven hier nogal ijzerenheinig in gaan: er is een contract, uw naam is ingevuld dus u was het, ik hoor bezwaar, dat zijn smoesjes dus wij gaan dagvaarden. En dan krijg je als consument tegenwoordig wel vaak gelijk bij de rechter (ook bij verstek) maar je ziet de kosten per brief oplopen, je krijgt enorme stress omdat alles heel juridisch en dreigend klinkt, een incassobureau kan héél nadrukkelijk aangeven dat je er toch echt aan vast zit en je moet maar hopen dat de rechter ambtshalve toetst zoals verwacht. Anders hang je voor 2500 euro bij iets dat begon bij 80.

      1. Misschien zou het goed zijn als het mogelijk wordt dat de rechter bij een verstek zaak ambtshalve verklaringen voor recht kan geven. De rechter kan enig rechtsherstel bieden door te bepalen dat de eiser onrechtmatig heeft gehandeld en een agressieve handelspraktijk te verrichten, door zoveel aanmaningen zonder rechtsgrond te versturen.

      2. Ja eens. Voorlichting naar de consument toe zou wel zeker helpen. En evt. een gedragscode voor bedrijven om bij een claim van identiteitsfraude gedegen onderzoek te doen ofzo. Een wetswijziging voelt hier wel wat idioot wat mij betreft. Enige waar ik qua wetgeving aan zou denken is evt. een grotere (en automatische!) kosten veroordeling in zaken van “groot” bedrijf versus consument wanneer de consument geen blaam treft en consistent onderbouwd de vordering heeft betwist. Dat zou mogelijk wat kunnen helpen tegen het David vs Goliath gevoel wat je dan toch hebt als consument.

      1. Het is voor de bühne. Dat is mijn probleem ermee. De kamer zit vol met juristen en de vraag is met 5 minuten googlen te beantwoorden (de wet zit zo dat diegene die een vordering opeist ook moet bewijzen dat die vordering terecht is), dus er is in principe in zijn geheel geen wetswijziging nodig.

        Ik denk dan: kom met nuttige voorstellen daarom zit je daar. Dit soort vragen heeft weinig te doen imho met de macht controleren of oplossingen aandragen.

        (Ja natuurlijk is het goed als de kamer aandacht besteed aan de gevolgen van identiteits fraude, doe het dan zo dat het leidt tot oplossingen)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.