Dronter gezin al jaren bedreigd vanwege geografische coördinaten

| AE 12466 | Informatiemaatschappij | 23 reacties

Veel mensen die digitaal opgelicht zijn, komen in hun zoektocht naar het postadres van een internetsite vaak uit bij de coördinaten 52°30 0 N, 5°45 0 E. Dat meldde de NOS onlangs. En dat is vervelend voor een gezin uit Dronten, want dat is waar hun huis staat. De coördinaten blijken de algemene plaatsbepaling van Nederland te zijn, deze Dronters wonen dus exact in het midden van het land. Maar het lastige is dus dat allerlei databases dit geven als de locatie van degene die je zocht, in plaats van “geen idee, maar ergens in dit land”. Wat is daar nu aan te doen?

Het verhaal deed me denken aan een zaak uit 2016 in Amerika, waar een stel uit Kansas vergelijkbare problemen had:

As any geography nerd knows, the precise center of the United States is in northern Kansas, near the Nebraska border. Technically, the latitudinal and longitudinal coordinates of the center spot are 39°50?N 98°35?W. In digital maps, that number is an ugly one: 39.8333333,-98.585522. So back in 2002, when MaxMind was first choosing the default point on its digital map for the center of the U.S., it decided to clean up the measurements and go with a simpler, nearby latitude and longitude: 38°N 97°W or 38.0000,-97.0000.
En natuurlijk woonden de eisers in deze zaak exact op die locatie. Er is geschikt, en het midden van de VS ligt nu in een meertje daar in de buurt. De Dronters met ditzelfde probleem hopen dat het midden van Nederland nu het Markermeer gaat worden, wat inderdaad de makkelijke oplossing zou moeten zijn.

Maar het probleem is wel iets fundamenteler. Er zijn dus kennelijk hele hordes systemen die deze coördinaten opvatten als gewoon een locatie, in plaats van als een default “we weten het niet”. Wie had er ooit het onzalige idee dat je een land kon aanduiden als een GPS locatie van een plekje in dat land?

Nou, dat blijkt dus de CIA te zijn geweest. Die publiceren het World Factbook, en daarin staat onder Geographic coordinates opgegeven “52 30 N, 5 45 E” en dat is de Haringweg in Dronten. Echt fout is dat niet perse te noemen, want ik zie in Maps wel hoe je dat soort van het midden van het land kunt noemen. Maar gezien het beoogde gebruik was het Drontermeer of voor mijn part het gemeentehuis van Dronten een minstens zo goede keuze.

Dit lijkt ergens een probleem van valse precisie te zijn, want je wekt de indruk dat deze coördinaten de straat zijn die je zoekt, maar het gaat alleen om het land waar je moet wezen, bepaald niet hetzelfde antwoord.  Maar het is lastig één actor in de keten aan te wijzen die het fout doet. De CIA heeft een algemene locatie zodat je het land met de grootste zekerheid vindt. Sites die dit herpubliceren, doen dit ook om over Nederland wat te melden. Diensten die beweren IP-adressen naar locaties te vertalen, gaan in goed vertrouwen af op de databases die ze hanteren. En daar is het ergens ooit misgegaan, want in plaats van (null) is daar dus die algemene locatie in gekomen. Maar om nu te zeggen dat dat een fóut is?

Arnoud

Wacht, Marktplaatsoplichting is geen oplichting?

| AE 12345 | Informatiemaatschappij | 22 reacties

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt een of andere truc.

In het gewone spraakgebruik spreken we al snel van oplichting als iets tegenvalt en je je geld (of spullen) kwijt bent. De Van Dale stelt het gelijk aan bedriegen, wat dan weer “met opzet misleiden” betekent. Maar juridisch gezien zitten er heel wat meer haken en ogen aan. Dit is wat de wet zegt (art. 326 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
De juridische definitie van “oplichting” eist dus heel wat meer dan alleen een stukje voor de gek houden of misleiden. Je moet echt een vuile truc uithalen. Dat kan dus met een valse naam of hoedanigheid, of door (oud-juridische taal is echt ongelofelijk prachtig) listige kunstgrepen of (nóg prachtiger) een samenweefsel van verdichtsels uit te halen. Maar doe je dat allemaal niet, dan is het dus geen oplichting.

Het simpelste voorbeeld: ik zet op Marktplaats een telefoon te koop voor een lage prijs, mensen betalen me dat geld, ik sluit mijn account en lever nooit en te nimmer die telefoon. Sterker nog, ik héb niet eens een telefoon. Ik ben nu juridisch niet strafbaar, want welke valse naam of hoedanigheid heb ik gebruikt, wat was mijn listige kunstgreep of samenweefsel van verdichtsel dan? Die zijn er niet.

Natuurlijk, ik pleeg wanprestatie en ben dus civielrechtelijk voor de rechter te dagen. Ook heb ik (als ik professioneel handelaar ben) waarschijnlijk een oneerlijke handelspraktijk gepleegd en ben ik bestuurlijk te beboeten als de ACM heel veel zin heeft. En ik ben mijn account op Marktplaats kwijt, inclusief al mijn reviews en geschiedenis en dat doet ook pijn. Maar strafbaar, in de zin van een strafblad, boete en de cel in? Nee.

De kern is dat als je alléén maar niet levert (en dat ook niet van plan was), dat je dan geen oplichter bent omdat dat “valse voorwendselen of samenweefsel van verdichtsels” vereist. Je moet echt een truc uithalen om oplichter te zijn.

In 2016 zette de Hoge Raad de principes hierover nog eens op een rijtje. De kern is dat je niet iedere vorm van bedrog tot het misdrijf oplichting (vier jaar cel) wil verheffen. Het moet wel een ernstig geval zijn. Men citeert een voorbeeld van een internetondernemer die wist dat hij niet kon leveren maar desondanks de webshop open hield:

Niet elke vorm van bewust oneerlijk zakendoen levert het in artikel 326 van het Wetboek van Strafrecht strafbaar gestelde misdrijf ‘oplichting’ op. Dat geldt eveneens wanneer kan worden bewezen dat men is benadeeld door een persoon die niet van plan of in staat was zijn verplichting na te komen en die zich in strijd met de waarheid heeft voorgedaan als een bonafide (ver)koper.
Natuurlijk staan kopers dan een tikje in de kou. Maar er zijn genoeg andere middelen, zoals betalen met een beschermd middel (zoals de creditcard), onderzoek doen naar betrouwbaarheid (de reviews) of kopen bij bekende webwinkels (met keurmerken zoals Thuiswinkel Waarborg) of achteraf betalen dan wel bij het ophalen/ontvangen. (Oh ja, en in theorie de verkoper dus voor de rechter slepen, maar wie doet dat nou.) Het is dan eigenlijk niet meer nodig dat het strafrecht hier tegen ingezet kan worden.

Specifiek in de internetcontext zijn wel ontzettend vervelend de figuren die een gewoonte maken van niet leveren maar wel het geld houden. Daar is een oplossing voor bedacht, die recent in het strafrecht is beland (art. 326e Strafrecht):

Hij die een beroep of een gewoonte maakt van het door middel van een geautomatiseerd werk verkopen van goederen of verlenen van diensten tegen betaling met het oogmerk om zonder volledige levering zich of een ander van de betaling van die goederen of diensten te verzekeren, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Hiermee is het dus wel mogelijk om grootschalige internetbedriegers aan te pakken, maar blijven de individuele “je zei dat je zou leveren dus ik ga aangifte doen” gevallen buiten het strafrecht. Ik ken nog geen veroordelingen onder dit artikel.

Arnoud

Zijn digitale handtekeningen ineens juridisch ongeldig verklaard?

| AE 12325 | Informatiemaatschappij, Ondernemingsvrijheid | 46 reacties

Elektronische handtekening niet voldoende betrouwbaar, kopte ITenRecht onlangs. In een recent vonnis verwees de rechtbank Zeeland-West-Brabant een borgtochtovereenkomst naar de prullenbak, omdat de digitaal geplaatste handtekening niet betrouwbaar was. Daarmee kon niet worden bewezen dat de wederpartij daadwerkelijk deze had getekend, zodat de borgtocht niet kon worden opgeëist. Opmerkelijk, want het hele punt van digitale handtekeningen was nu juist die betrouwbaarheid.

De eisende partij had in 2018 voor zijn bedrijf een geldlening aangevraagd bij Swishfund, waarbij hij persoonlijk zich borg stelde voor de lening. Daarvoor werd een digitaal contract ondertekend, en wel met Adobe Sign dat een heel proces heeft voor tekenen:

Het contract wordt naar het e-mailadres van de aanvrager gestuurd. Alvorens deze het document kan openen en digitaal kan ondertekenen dient hij een verificatiecode in te voeren. Deze code wordt per SMS naar het door de aanvrager opgegeven telefoonnummer gestuurd. Nadat de aanvrager het document heeft geopend kan hij parafen en een handtekening plaatsen door deze te typen, tekenen of door een afbeelding in te voegen. De aanvrager kan zelf kiezen welke van deze methoden hij gebruikt. Wanneer het ondertekenen is afgerond wordt het document door Adobe Sign voorzien van een zegel. Hierdoor kan het document niet meer worden gewijzigd.
In 2019 ging het bedrijf failliet, waarna Swishfund de borgsteller uiteraard aansprak. Die liet de zaak lopen, waardoor hij bij verstek werd veroordeeld tot betaling. Daar kwam hij vervolgens tegen in verzet, met het argument dat hij nooit een rechtsgeldige borgovereenkomst had getekend. Dat is belangrijk, want in art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Wat je dus online allemaal zegt of aanvinkt, is dus niet van belang als er geen handtekening onder een (elektronisch of papieren) geschrift staat.

Nou, laat maar zien dan. Swishfund had inderdaad een digitaal ondertekend document, en meende sterk te staan: zij stelde dat de handtekening een gekwalificeerde elektronische handtekening betreft in de zin van artikel 3, onderdeel 12, van de eidas-verordening. Die term wijst op de hoogste en meest veilige vorm van digitaal ondertekenen, namelijk

een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen [dat dus voldoet aan de strengste eisen uit de wet] en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen [dus dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten, dus eentje die voldoet aan de strengste wettelijke eisen];
Ik vat hier de wet enorm samen. Maar de kern komt erop neer dat je voor zo ongeveer elke component van je handtekeningenproces een wettelijke eis hebt, en dat niet zomaar iedere partij even dergelijke krabbels kan faciliteren. Ik ben vast weer te cynisch als ik zeg dat dat zelden goed gaat; laten we het hier er dan op houden dat Swishfund niets had aangedragen waaruit blijkt dat zij met deze bureaucratische wirwar aan eisen had gewerkt. (Dit soort bewijs vergeten gebeurt opmerkelijk vaak; toevallig las ik gisteren nog een vrij ernstige geval waarin eiser Ziggo überhaupt niet eens een contractstekst had overlegd, laat staan bewijs dat het contract aanvaard was.)

Geen gekwalificeerde handtekening dus. Maar dat is niet perse een ramp, want de wet benoemt expliciet dat dit niet mag betekenen dat er geen geschrift ondertekend is (artikel 25 lid 1 eidas-verordening):

Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

Wat je vervolgens doet, is kijken hoe er dan wél een krabbel is gezet en hoe betrouwbaar je dat gezien de omstandigheden mag beschouwen. Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je ‘echte’ handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je ‘echte’ handtekening bestaat niet eens.) In de omstandigheden – vastleggen dat het aan de deur is afgegeven – vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.

Hier ging het om een overeenkomst tot borgstelling, wat natuurlijk ietsje meer impact heeft dan tekenen voor een pakketje. Daarom kijkt de rechter een stuk strenger naar het proces:

Het enige direct aan [eiser] te relateren document waarover Swishfund beschikt is het kopie van zijn identiteitsbewijs. Vast staat dat er voorafgaand aan het sluiten van de overeenkomsten op geen enkel moment direct persoonlijk contact is geweest tussen Swishfund aan de ene kant en [eiser] aan de andere kant, terwijl ook niet is gebleken dat partijen eerder zaken met elkaar hebben gedaan. Swishfund stelt weliswaar telefonisch te hebben gesproken met [eiser] , maar deze stelling is tegenover de betwisting door [eiser] onvoldoende onderbouwd. Hoewel geen enkele ondertekeningsmethode bestand zal zijn tegen alle mogelijke vormen van misbruik, levert de door Swishfund gevolgde methode een groot risico op van misbruik door personen die de beschikking hebben over de e-mailadressen en de bankgegevens van een vennootschap en over de persoonsgegevens van haar bestuurders.
Oftewel, een oplichter zou vrij eenvoudig een borgtocht kunnen afsluiten als ze die gegevens uit de laatste zin hebben, en de digitale handtekening van Swishfund verandert daar niets aan. Daar had dus meer verificatie tussen moeten zitten, bijvoorbeeld een videogesprek waarbij je foto en persoon vergelijkt en dan de handtekening laat zetten.

Die meer verificatie is waar we de definitie van “geavanceerde digitale handtekening” voor hebben. Daar zit onder meer de eis in dat je “gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken” gebruikt. Dat zou hier dan de SMS met code zijn, maar als je alleen een webformulier gebruikt dan weet je natuurlijk niet van wie dat nummer is of zelfs maar dat alleen de aanvrager die telefoon kan lezen. Dat is dus niet genoeg.

Dus kortom, geen superveilige wettelijk gekwalificeerde handtekening, geen unieke middelen voor ondertekening dus ook geen geavanceerde handtekening en gezien de omstandigheden ook geen vrije of eenvoudige digitale handtekening. (IT-ers die laatst zeiden dat ze een training IT-recht bij me willen doen, dit is niveautje op de helft, nog steeds interesse?) Daarmee is het stuk dus niet ondertekend door meneer, en vanwege die wettelijke eis is de borgtocht dus niet bewezen. En zelfs als het geen “particuliere borg” is, dan vindt de rechter het ondertekeningsproces niet betrouwbaar genoeg om desondanks van aanvaarding door meneer te spreken.

Zijn hiermee nu digitale handtekeningen ongeldig verklaard, zoals diverse tipgevers me vroegen. Nee, zeer zeker niet. Het zit hem (zoals zo vaak) in de slechte implementatie. Het proces gaat er te makkelijk vanuit dat je de juiste persoon tegenover je hebt, en dat is specifiek bij deze zware verplichting (een borg van totaal iets van 25k) een onoverkomelijk probleem. Heb je minder ernstige verplichtingen, zoals een arbeidscontract waarbij je weet dat je de juiste persoon tegenover je hebt, dan was deze zelfde technologie en proces helemaal prima geweest.

Arnoud

Uber en Lyft hoeven chauffeurs in Californië niet als werknemer te behandelen

| AE 12318 | Informatiemaatschappij | 5 reacties

Techbedrijven als Uber en Lyft hebben een belangrijke overwinning gehaald in de Amerikaanse staat Californië, meldde Nu.nl vorige week. De zogeheten Proposition 22 werd aangenomen, waardoor ride sharing platforms zoals Uber en Lyft uitgezonderd worden van de eerder aangenomen wet om gig economy-hulpjes als werknemer te behandelen. Dat scheelt de platforms 100 miljoen dollar aan… Lees verder

Mag Ziggo mijn mediabox-opnames verplaatsen naar de cloud?

| AE 12316 | Informatiemaatschappij, Ondernemingsvrijheid | 49 reacties

Een lezer vroeg me: Binnenkort start Ziggo met de uitrol van een ingrijpende update van haar mediabox XL. Deze update zorgt ervoor dat opnames voortaan in de cloud worden bewaard in plaats van op de harde schijf van het apparaat. Als gevolg daarvan worden alle opnames die nog op de harde schijf staan gewist. Opnames… Lees verder

Kun je een algoritme wel racistisch noemen?

| AE 12229 | Informatiemaatschappij | 84 reacties

Twitter lijkt witte mensen op foto’s eerder uit te lichten dan zwarte mensen, bleek deze week uit tests van gebruikers. Dat meldde Nu.nl onlangs. Het gaat om een experiment van Tony Arcieri, die ontdekte dat Twitter inzoomt op grote afbeeldingen en daarbij witte gezichten de voorkeur geeft, zoals hier naast kort te zien is. Dat… Lees verder

Als ik in de winkel bij een zuil koop, heb ik dan een internetkoop gedaan?

| AE 12205 | Informatiemaatschappij | 24 reacties

Een lezer vroeg me: In retailland is een trend gaande waarbij retailers kosten willen besparen op hun winkel ruimte. Je ziet dan dat ze in de winkel slechts een beperkt assortiment aanhouden en dat ze in plaats daarvan een zuil in de winkel hebben met een PC en internet verbinding. De consument kan in de… Lees verder

Mogen mensen je kind buiten fotograferen en op Facebook zetten?

| AE 12181 | Informatiemaatschappij, Privacy, Uitingsvrijheid | 8 reacties

Een lezer tipte me over deze Viva-forumdiscussie: Vorige week werd ik getagged op Facebook in een bericht van een winkelcentrum in de buurt. Hierop staat mijn kind in het midden met verder alleen een ander persoon die je alleen van De achterkant ziet weglopen. Mijn kind zie je vanaf de zijkant en precies midden in de foto. Nu… Lees verder

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke… Lees verder

Een notaris is toch een stuk duidelijker dan een blockchain voor een authenticiteitsverklaring

| AE 12153 | Informatiemaatschappij | 7 reacties

Programmadirecteur Sylvia Bronmans krijgt de eerste notarisverklaring dat de coronameldersoftware in de appstore dezelfde is als de open source software op github. Dat meldde Brenno de Winter op Twitter. De software die recent uitkwam, is als open source ontwikkeld vanuit het oogpunt van transparantie. Hartstikke leuk, maar daarna moet deze vanuit de appwinkels van Apple… Lees verder