Wie bewijst er dat authenticatiemiddelen zijn misbruikt?

Photo by Signature Pro on Unsplash

Moet jij bewijzen dat je handtekening is vervalst, of de wederpartij het omgekeerde? Die vraag kwam recent zijdelings langs bij het Hof Amsterdam in een zaak over een borgtochtovereenkomst.

De gedaagde partij zou volgens een borgtochtovereenkomst op moeten draaien voor een lening van € 18.630 aan een (ondertussen failliet) bedrijf waar hij directeur en enig aandeelhouder van was. In art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Betwisten van de handtekening kan dus een effectief middel zijn om zo’n borg van tafel te krijgen.

Het Hof vindt de stelling dat deze persoon niets te maken had met de lening of borg moeilijk te geloven – hij was immers de enige directeur van het bedrijf. Die skepsis zien we terug in de beoordeling van de argumenten over identiteitsmisbruik:

In dat verband ligt het op zijn weg toe te lichten hoe het mogelijk is dat derden in het bezit zijn gekomen van gegevens met betrekking tot Zesto Groep zoals inloggegevens behorend bij de mailaccount en de bankrekening van Zesto Groep en wat de achtergrond en redenen ervan zijn dat diverse geldbedragen van de bankrekening van Zesto Groep zijn overgeboekt naar zijn eigen privérekening.
De achterliggende technologie is IDIN. Hierbij identificeer je jezelf via je bank, wat algemeen als veilig wordt gezien omdat toegang tot bankrekeningen al aan strenge authenticatie- en veiligheidsvoorschriften gebonden is. Daarnaast wordt gesproken over een mailaccount, dat is het info@ adres dus ik kan me nog nét voorstellen dat een ander dan de directeur in die mailbox kan.

Bij het banksysteem is dat wat meer twijfelachtig, gezien het algemeen bekende feit dat daar tweefactorauthenticatie en andere controles en toezicht zijn. Terecht zegt het Hof dan ook:

Onder deze omstandigheden lag het op de weg van [appellant] toe te lichten hoe het mogelijk is dat derden aan zijn persoonlijke inloggegevens zijn gekomen als het werkelijk zo is dat een en ander buiten hem om is gegaan. [appellant] heeft die toelichting evenwel niet gegeven. De stelling van [appellant] dat de stem in de geluidsfragmenten van de telefoongesprekken niet van hem is, maar van [naam 3] en dat daaruit zou moeten blijken dat niet [appellant] maar [naam 3] betrokken is geweest bij de totstandkoming van de overeenkomsten, is door [appellant] – tegenover de betwisting van [geïntimeerde] – op geen enkele wijze onderbouwd.
Dit wringt in zoverre dat normaliter de wederpartij bij een “stellige ontkenning” moet bewijzen dat de handtekening wél door die persoon is gezet (art. 159 lid 2 Rv). En daar komt bij dat de borg door deze meneer is aangegaan vanuit zakelijke motieven – zijn eigen bedrijf, immers – en dat de strenge handtekeningeis daarmee van tafel is.

De man krijgt de borgverplichting dus gewoon opgelegd. Had hij enige argumenten ingebracht waarom zijn account gehackt was of internetbankieren overgenomen, dan was dat wellicht anders komen te liggen.

Arnoud

6 reacties

  1. Mijn kennis van recht is puur gebaseerd op dit blog, uitspraken lezen en enige cursussen.

    Hoe werkt zoiets in een rechtszaal? Geeft een rechter tijdig hints aan de advocaten dat de bewijslast omgedraaid gaat worden, of is het de rol van de advocaat om zelfstandig aan te voelen dat het deze kant op gaat?

    Het valt me wel vaker op dat uitspraken ‘ineens’ een bepaalde richting op gaan, waarbij ik me afvraag of daar niet adequater op gereageerd had kunnen worden door partij A of B. Die gedachte doet de intelligentie van advocaten vermoedelijk tekort, dus vandaar de vraag.

    Meer inhoudelijk – Het hele idee van identiteitsfraude is natuurlijk dat je niet wéét hoe of waar ze aan je gegevens zijn gekomen. Je komt pas achter overeenkomsten in jouw naam, als er een geschil ontstaat (over betaling, of borgstelling). De British Post Office Scandal (maar ook bijv. toeslagenaffaire) leert ons ook dat toegeven dát er iets fout gaat een veel langere adem heeft dan individuele rechtszaken. Het perspectief dat een individuele gebruiker er überhaupt achter kan komen /mocht/ er iets mis gaan met IDIN is m.i. daarom weinig waard. Voor deze concrete € 18k heb je zeg maar net een paar vragen aan IDIN en de bank gesteld, met misschien een paar uurtjes Fox-IT. Mijn beeld is dat outsourcing van kritieke processen vooral ten laste van de rechtsbescherming van de kleine partij in de overeenokmst gaat. (Al is discussie over handtekeningen natuurlijk al eeuwenoud.)

    1. Bij wie de bewijslast ligt, volgt uit de wet. Hoofdregel is dat wie zich op een rechtsgevolg van een regel beroept, moet bewijzen dat de regel opgaat (art. 150 Rechtsvordering). Dit is de generieke versie van “wie eist, bewijst”, maar let op dat hij dus ook bij verweren geldt. Jij stelt dat ik je auteursrecht schend, ik stel dat ik aan het citeren was en dat er dus geen inbreuk is. In die situatie moet ik bewijzen dat mijn overname voldoet aan de eisen van citeren.

      De rechter kan en zal zeker aangeven waar zhij gaten ziet zitten of wat hij overtuigend vindt klinken, zodat de wederpartij daar op kan reageren. Maar uiteindelijk is het jouw verantwoordelijkheid om geen dingen te laten liggen.

      1. Heeft niks met deze situatie te maken, maar als je stelt dat je aan het citeren was en dat er dus geen inbreuk is, geef je dan impliciet toe dat die ander auteursrecht over datgene heeft?

        Dan krijg je dingen als “hij heeft helemaal geen auteursrecht, en als hij wel auteursrecht heeft dan ben ik aan het citeren, en als ik wel aan het citeren was dan is het claimbedrag veel te hoog” enzovoort?

        Ik heb daar lang geleden wel eens iets over gelezen, dat dat een soort rechtsbeginsel is oid, maar ik kom er even niet meer op

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.