Hoe je vooral niet bewijst dat iemand wat kocht in je webwinkel

| AE 9394 | Webwinkels | 14 reacties

Voorbeeld van een incassozaak van een onderneming die een gecedeerde vordering op basis van een te gebrekkig aanvangsdossier dan wel te gebrekkige vertaling daarvan in de eigen processtukken laat sneuvelen. Een ambtelijke samenvatting van een recent vonnis dat in heerlijke taal een incassopartij werkelijk tot op de enkels affakkelt. Maar met tussen de regels door wel een schrikbarende constatering: hoe bewijs je dan wél dat iemand wat kocht bij je webwinkel?

De zaak is juridisch relatief simpel. Een webwinkel had een bestelling ontvangen en wilde daarvoor graag betaald worden. De persoon wiens naam en adres in de bestelling stonden, reageerde echter niet, dus verkocht men de vordering aan een incassobureau dat vervolgens naar de rechter stapte. Maar dat ging allemaal wel érg snel: het dossier rammelde zodanig dat de rechter eigenlijk meteen al de zaak aan de kant schuift. (Rechter Staal uit Maastricht, zie deze blog voor eerdere uitspraken van deze held.)

Een paar pareltjes:

Genoemd is een als zodanig niet in het geding gebrachte factuur die de dagtekening ’01-08-2016’ zou hebben en een gefactureerd bedrag van € 59,95 zou bevatten. Om welke zaak / zaken het hierbij zou gaan, laat Direct Pay na te vermelden. Ook valt in het exploot niet te ontwaren hoe / wanneer en op welk adres de ‘verkoper’ veronderstelt aan haar leveringsverplichting voldaan te hebben.

Vertaling: waar wordt nu precies geld voor gevraagd?

[Direct Pay] beroept zich op de gekozen manier van klantwerving via een website als verklaring voor het gegeven dat van de ‘elektronische overeenkomst’ geen ‘door partijen ondertekend document’ bestaat. Toch voegt Direct Pay in haar repliek aan eerdere beweringen toe dat op die overeenkomst een bepaalde set via een klik te activeren algemene voorwaarden van toepassing verklaard is. Daarnaar heeft Direct Pay zonder verdere detaillering of concrete aanduiding van het belang van een enkel onderdeel verwezen (prod.1).

Vertaling: er is via internet besteld, daar is verder geen bewijs van maar we hebben wel algemene voorwaarden dus moet er worden betaald.

Een ontoereikend zaakdossier, althans voor zover Direct Pay dit overgenomen dossier in een gebrekkig onderbouwde vordering vertaalt, is ter beoordeling aan de kantonrechter voorgelegd. Nadat mogelijk in een eerdere fase [gedaagde] er buiten rechte al mee overvallen is. Dat laatste is allerminst zeker, getuige het feit dat Direct Pay in haar exploot beweert niet op de hoogte te zijn van enig verweer van [gedaagde] . De fanatieke bestrijding van de vordering door [gedaagde] in de gerechtelijke procedure maakt het tamelijk onwaarschijnlijk dat zij eerder dan 9 januari 2017 (datum dagvaarding) kennis gekregen heeft van een tegen haar gerichte vordering.

Vertaling: en hoezo heeft u niet even nagevraagd hoe het zat?

Tussen de regels door lezend vermoed ik dat de webwinkel tegen een nepbestelling op valse naam is aangelopen. De persoon wiens naam genoemd was, werd daarbij niet geloofd (of gewoon geheel genegeerd onder het motto “smoesjes, je moet gewoon betalen”). En voor het incassobureau is dit ook gewoon productiedraaien: drie standaardbrieven en dan naar de rechter, komt wel goed want ze verweren zich toch nooit. En dan heb je dus de pech een rechter te treffen die hier zich al járen over opwindt.

Juridisch wordt het nu wel interessant: er is via internet besteld, en alle correspondentie (zoals de bestelbevestiging) ging per mail. En nu we bij de rechter staan, moet worden bewezen dat deze mevrouw de persoon was die de bestelling deed. Maar hoe doe je dat? Je kunt moeilijk laten zien hoe je website nu werkt als de bestelling uit 2016 was. Los daarvan, hoe bewijs je dan dat díe persoon de bestelling heeft gedaan?

Arnoud

Rechter staat gekraakte PGP-berichten van telefoon toe als bewijs

| AE 9392 | Strafrecht | 15 reacties

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken.

Het verweer in deze zaak sluit aan bij de recente discussie over het mogen doorzoeken van telefoons. De rechtbank hier volgt de Hoge Raad, die uiteindelijk soort van vond dat het wettelijk voldoende is geregeld met de algemene bevoegdheid om dingen te mogen doorzoeken, in combinatie met gepaste terughoudendheid die men bij de politie en het OM mag verwachten. Namelijk:

Het uitlezen van de telefoon heeft in dit geval plaatsgevonden in het kader van een onderzoek naar een buitengewoon ernstig feit, namelijk de grootschalige handel in en de productie van synthetische drugs en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

In maart maakte de politie bekend 3,6 miljoen met PGP versleutelde berichten te kunnen lezen. Encryptiesleutels daarvoor waren namelijk op de servers van aanbieder Ennetcom beschikbaar, in plaats van alleen op de telefoons zelf. De berichten in deze zaak zaten daar dus tussen.

Uit de ontsleutelde berichten blijkt dat er druk werd gecommuniceerd over het opzetten en beheren van een synthethischedrugslab. Deze berichten waren volgens de rechtbank verzonden en ontvangen door de verdachte, gezien de strekking van de berichten en verklaringen van andere verdachten. Dat levert dan het bewijs op van zijn betrokkenheid bij de productie van de drugs.

Ik blijf er moeite mee houden dat “het moet in de wet geregeld zijn” vertaald wordt naar “we mogen je rugzak doorzoeken dus ook je telefoon”. Maar ik vermoed dat na uitspraken als deze er weinig noodzaak meer zal komen bij de wetgever om nog een apart wetsartikel te gaan invoeren.

Arnoud

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Strafrecht | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Kan de blockchain je makerschap en auteursrecht bewijzen?

| AE 9097 | Auteursrecht, Innovatie | 13 reacties

Een lezer vroeg me: Bewijzen dat je auteur bent van een werk, blijft een lastige. Nu zie ik mogelijkheden om dat in de blockchain vast te leggen. Hoe juridisch houdbaar zou dat zijn? De wet stelt geen eisen aan het bewijs dat je auteursrecht hebt. Bewijs mag met alle middelen worden geleverd (art. 152 Rechtsvordering)…. Lees verder

Hoe bewijs je dat een ontsleuteld bestand echt is?

| AE 8981 | Strafrecht | 34 reacties

Een lezer vroeg me: Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in… Lees verder

Hoe bewijs ik dat iemand een handtekening heeft gezet?

| AE 8854 | Contracten | 22 reacties

Een lezer vroeg me: Onlangs ben ik aangereden door een bedrijfswagen en ik heb daar (zo bleek achteraf) een whiplash aan overgehouden. De twee inzittenden hebben destijds dat schadeformulier getekend, maar ontkennen nu dat ze die handtekening hebben gezet. Omdat ik achter hen reed (maar zij écht fout zaten) is dit cruciaal. Hoe houd ik… Lees verder

OM mag opnamen van geweldsincidenten tonen om daders te vinden

| AE 8151 | Privacy, Strafrecht | 11 reacties

Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden… Lees verder

Hoe bewijs je dat je algemene voorwaarden al jaren op je site staan?

| AE 7620 | Contracten | 23 reacties

Iedere webwinkel en online dienstverlener heeft algemene voorwaarden, maar bewijs het maar eens. Beter gezegd: bewijs maar eens dat je voorwaarden in 2010 op je site stonden, iets dat van belang is als je nu ruzie hebt met een klant uit 2010 en hij je aansprakelijk stelt voor schade. En dat dat bewijzen niet meevalt,… Lees verder

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Aansprakelijkheid, Strafrecht | 30 reacties

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder