Mijn mailbox is gehackt!

Nee, niet die van mezelf, maar van menig vraagsteller die wil weten wat hij of zij eraan kan doen. Meestal lijkt het te gaan om derden die het wachtwoord geraden hebben maar ongewijzigd laten, zodat het slachtoffer zelf niets doorheeft. De meeste mensen wijzigen hun wachtwoord immers zelden, en kijken ook niet in de map Verzonden items om te zien of iemand anders mee zit te mailen.

Nou ja, dat is dus ook precies wat je regelmatig moet doen. Ik raad aan wachtwoorden te maken met Strong password generator (maar er zijn er vast meer) en deze niet met anderen te delen. Als je je browser het wachtwoord laat onthouden, zet dan een schermbeveiliging met slotje op je computer. Of installeer iets als Keepass om wachtwoorden veilig te onthouden.

Ook regelmatig kijken of er gekke mails ontvangen of verzonden zijn is geen gek idee. Maar goed, je moet ook elke maand kijken of er rare afboekingen van je bankrekening zijn geweest en dat doet ook vrijwel geen hond.

Kun je juridisch iets doen? Ja, in theorie wel. Het is strafbaar als computervredebreuk om binnen te dringen in iemands mailbox, dus je kunt aangifte doen. Maar zonder IP-adres of andere bron van de dader is het wel héél lastig opsporen. Bovendien, als er niets stukgemaakt of gekopieerd is dat waarde heeft, zal het weinig prioriteit krijgen. Zeker omdat ook een rechtshulpverzoek naar de VS nodig is om Google of Hotmail te bewegen IP-adressen of andere login-informatie af te geven.

Ik vraag me al een tijd af waarom je niet bij zulke systemen gewoon ergens het IP-adres van de laatste vijf logins zou kunnen inzien. Zo moeilijk moet dat toch niet te maken zijn?

Jullie nog tips?

Arnoud

OPTA geeft spammer boete van 100.000 euro

Telecomwaakhond OPTA legt een Nederlandse e-mailspammer een boete van 100.000 euro op, meldde Webwereld gisteren. Het bedrijf verstuurde bijna 15 miljoen commerciële e-mails waarvoor geen toestemming was gegeven, of waarvoor op onzorgvuldige wijze toestemming was gevraagd. Uit het boetebesluit blijkt dat de OPTA ze hard afrekent op de bekende truc van opt-in vragen “voor partners” en dan de hele wereld je partner laten zijn. Daar moeten e-mailmarketeers nu écht eens mee kappen.

Het bedrijf bood op haar site een gratis dienst waar je na invullen van een formulier drie offertes kon krijgen voor allerlei producten. En onderaano p dat formulier had je dan de bekende vinkjes:

ontvang-aanbiedingen.png

Ja, daar staat “Ik ontvang graag aanbiedingen van Companeo partners”. En op grond van die zin meende het bedrijf dus alles en iedereen tot partner te kunnen aanwijzen om zo de offerteaanvragers te mogen mailen over van alles en nog wat. De eigen nieuwsbrief kreeg je zelfs als je het vinkje níet aanvinkte. Eh, wacht, wat?

Argument van Companeo was volgens mij dat die mensen “klant” waren, ze hadden immers de offertebemiddelingsdienst afgenomen. En van klanten heb je geen opt-in nodig. Maar die vlieger gaat niet op: je bent pas klant als je betaalt, niet als je een gratis dienst afneemt. Dat had de OPTA al eerder bepaald in hun Standpunt Telemarketing.

Bij de partnermailing ging dát wel goed, maar dan krijg je meteen de vraag, waar ben je mee akkoord gegaan als je zegt “Ik ontvang graag aanbiedingen van Companeo partners”. De abonnee weet niet wie de partners van Companeo zijn, aldus OPTA, dus hoe moet je dan weten welke spammails eigenlijk ge-optinde direct marketing was?

In de praktijk kwam het er immers op neer dat Companeo zich vrij achtte om abonnees, die hadden ingestemd met de hiervoor genoemde passage, te benaderen met advertenties van iedere willekeurige adverteerder waar Companeo zaken mee deed. Daaruit volgt dat de betreffende geïnteresseerde zich geen duidelijk beeld kon vormen van de producten die in de partnermailings zouden worden aangeprezen.

Inderdaad, “Ik ontvang graag aanbiedingen van Companeo partners” betekent “De hele wereld mag mij mailen”. En dát gaat dus in tegen de Telecomwet. Op zijn minst moet je specifiek noemen welke soort derden partner zijn en waarover die gaan mailen.

Voor mij is het al jaren evident dat “zorgvuldig geselecteerde partners” een inhoudsloze opmerking is, waar dus geen rechtsgeldige toestemming uit kan worden afgeleid. Maar toch blijft het maar opduiken in de e-mailmarketing. Misschien vanwege het motto “het is moeilijk iemand iets te laten snappen als zijn levensonderhoud er vanaf hangt dat hij het niet snapt”?

Arnoud

E-mail, chat en cloudopslag beschermd in Grondwet

terlouw-briefgeheim.jpgHet kabinet komt met een voorstel om het grondwettelijk beschermde brief- telefoon- en telegraafgeheim uit te breiden naar recente communicatievormen, las ik bij Webwereld. De Grondwet zal worden aangepast: artikel 13 gaat een “brief- en telecommunicatiegeheim” bevatten, zodat ook online communicatie gedekt wordt. Vanaf gisteren is er een internetconsultatie opengesteld, waar ook het voorstel te vinden is.

Het idee van een grondwettelijk vastgelegd communicatiegeheim is op zich niet nieuw. Al sinds de jaren negentig wordt met dit onderwerp gestoeid, nadat was geconcludeerd dat de oude frase “brief-, telefoon- en telegraafgeheim” het internet niet dekte.

Met deze voorgestelde wijziging wordt “brief en telecommunicatie” beschermd tegen meelezen door derden – zowel private partijen als de overheid. En “telecommunicatie” is breed: e-mail, SMS, Facebookbericht, forumprivéberichtje, direct message via Twitter, gegevens in de cloud, Skypegesprekken, een private chat met een klein groepje, alles eigenlijk zolang het maar communicatie op afstand met één of meer specifieke partijen betreft. Een Youtube-video of een uitzending op Programmagemist.nl is géén beschermde telecommunicatie.

Aftappen of kennisnemen van inhoud van telecommunicatie mag alléén nog met machtiging van de rechter. Of nou ja, niet helemaal, want bij zaken die de nationale veiligheid raken mag de minister een machtiging geven aan de betreffende opsporings- of veiligheidsdienst. (Die regeling kennen we al bij brieven, op zich niet nieuw dus.) Wel moet het gaan om privécommunicatie, dus andermans Twitterberichten mag je gewoon blijven lezen, die zijn openbaar tenslotte.

Verkeersgegevens (wie mailt met wie, wanneer kreeg X een SMS) vallen hier niet onder. Deze kunnen dus gemakkelijker worden opgevraagd of ingezien door Justitie. Onder de huidige wet mag bijvoorbeeld iedere politieagent zonder gerechtelijke toetsing naam en adres opvragen van de gebruiker van een IP-adres. Dit blijft zo.

Nu is het in het Wetboek van Strafvordering al redelijk uitgebreid geregeld dat Justitie niet zomaar mailboxen mag opeisen of datacommunicatie mag laten tappen. Heel veel verschil zal dit dan ook niet gaan maken in de strafrechtelijke verhouding, behalve misschien dat we nu al te bijdehante agenten (“ach mag ik even een kopietje mailbox? ik vraag het vriendelijk, werk nou even mee”) gewoon kunnen zeggen “lees de Grondwet”.

Wél heel nieuw is dat op grond van dit telecomgeheim ook private partijen niet zomaar in privécommunicatie mogen kijken. Facebook mag dus niet mijn privéberichten bekijken, en Gmail niet zomaar de mailtjes die ik daar bewaar. Net zoals de postbode mijn brieven niet mag openmaken en KPN niet mee mag luisteren met mijn telefoongesprekken. Hiervoor zal toestemming van de abonnee/klant/gebruiker nodig zijn.

De Grondwetswijziging gaat niet zo ver dat meteen wordt geregeld hoe die toestemming kan worden verkregen en of/wanneer deze mag worden geweigerd. Wat er dus gaat gebeuren zodra dit Grondwet wordt, is dat iedereen in de algemene voorwaarden zet “U geeft ons toestemming uw telecommunicatie te lezen”. Dat is legaal, totdat men besluit lid 3 van het nieuwe Grondwetsartikel in te zetten: daarmee kan een aparte wet worden gemaakt om hier specifiekere regels te stellen.

Ik vraag me heel erg af hoe zo’n regeling eruit moet gaan zien.

Oh, en nog een leuke: ook spam en malwarebijagen vallen onder het telecomgeheim straks. Dat is immers gerichte communicatie per e-mail, dus daar mag een provider niet zomaar in gaan kijken. Ook hier zal dus expliciete toestemming nodig zijn (wat trouwens ook al soort van zo geldt vanwege de netneutraliteitswet).

Arnoud<br/> Afbeelding: Briefgeheim van Jan Terlouw, omdat het gaat om geheime informatie die versleuteld is, net zoals hoe je telecommunicatie geheim houdt.

Mag je een failliet e-mailadres heractiveren?

Een lezer vroeg me:

Mijn provider is failliet gegaan, en iemand heeft het domein overgekocht waar ze ook mail mee kunnen ontvangen. Mag dat zomaar? Het is (was) toch mijn mailbox?

Een mailbox is een lastig iets om juridisch te duiden. Het is een verzameling data, en op zo’n verzameling kun je geen eigendomsrechten claimen. Zeggen dat je dus “jouw” mailbox terug wilt van de curator is onmogelijk, bijvoorbeeld.

Als de mailbox gekoppeld is aan een persoon, dan valt de mailbox wel onder de Wet bescherming persoonsgegevens want die koppeling maakt de mailbox een persoonsgegeven. Die mailbox (en het bijbehorende mailadres) mag dan niet zomaar worden gebruikt. Hoofdregel is toestemming, en als uitzondering is (naast de goede uitvoering van de overeenkomst) eigenlijk alleen de dringende eigen noodzaak beschikbaar.

Hoe dringend noodzakelijk is het om een e-mailadres van de vorige domeinnaameigenaar te activeren? Niet heel erg lijkt me. Ik vind dit toch wezenlijk iets anders dan de situatie waarin een ex-werkgever een werknemersmailadres actief houdt. Een ex-werkgever mag zo’n mailbox monitoren want daar kunnen voor de opvolger bestemde werkmails in komen.

Bij een overgenomen domeinnaam kan ik me moeilijk een belang voorstellen (oké, een legitiem belang) dat rechtvaardigt dat je de mails van “vroeger” opvangt. Behalve misschien als de domeinnaam overgenomen is in het kader van een boedelaankoop ten behoeve van voortzetting van het bedrijf. Jullie?

Arnoud

Amsterdam mag e-mail personeel niet bekijken

outlook-machtigen-inzien.pngDe dienst werk en inkomen van de gemeente Amsterdam mag niet zomaar in de mailbox van medewerkers kijken, las ik bij Nu.nl. Het besluit waarmee de dienst zich dat recht gaf, was in strijd met de Wet op de ondernemingsraden. Het kunnen inzien van mailboxen valt namelijk onder “personeelvolgsystemen” en voordat je dat mag doen, moet de ondernemingsraad toestemming geven.

Zoals tegenwoordig vrijwel elk bedrijf had ook deze overheidsdienst een protocol over toegang tot mailboxen. Eerst als onderdeel van de algemene Gedragscode Elektronische Communicatiemiddelen, maar nu gewijzigd. En die gewijzigde regeling verschilde op een belangrijk punt: waar vroeger (behalve bij vermoedelijke integriteitschendingen) alleen met toestemming in een mailbox mocht worden gekeken, mocht dat nu ook zonder toestemming wanneer bij ziekte of iets dergelijks bleek dat je geen collega gemachtigd had om in je mailbox te kunnen.

De OR heeft instemmingsrecht bij dergelijke gedragscodes en protocollen. De Wet Ondernemingsraad bepaalt namelijk dat dat dit recht bestaat bij alle verwerkingen van persoonsgegevens in het algemeen (en mail lezen valt daaronder) maar ook iets specifieker bij “waarneming van of controle op aanwezigheid, gedrag of prestaties” van groepen werknemers.

Viel dit protocol nu onder deze regeling? Het was immers bedoeld om bij ziekte het werk over te kunnen nemen, vanwege de naar buiten toe gestelde responstijd van 24 uur op alle mails van cliënten. Snel je cliënten van dienst kunnen zijn, dat is toch geen controle op werknemers?

De rechter vindt van wel:

Het besluit is niet gericht op die controle, maar kan er wel geschikt voor zijn. Bepaald niet uitgesloten is immers dat de manager, wanneer de medewerker een achterstand in werk blijkt te hebben, deze hier op aanspreekt. Daarmee is ook voldaan aan het criterium dat het moet gaan om ‘de prestaties’ van de medewerker.

Oftewel, de manager kan langs deze weg toevallig zien hoe iemand functioneert en daar dan iets mee doen. En vanwege die mogelijkheid tot controleren van prestaties had er instemming van de OR moeten worden gevraagd.

De rechter merkt daarbij op dat dit de eerste uitspraak van zijn soort is. Eerdere relevante jurisprudentie is er niet. Wel had hij nog het boek Inzicht in de Ondernemingsraad gevonden (en om raadselachtige redenen zijn de auteurs geanonimiseerd in het vonnis), waarin werd aangegeven dat het er niet om gaat of de systemen gebruikt wórden om personeel te volgen maar of ze daarvoor gebruikt kúnnen worden. Dus toch nog een soort van externe onderbouwing.

Voor de volledigheid wordt ook nog de privacy erbij gehaald, immers je mag (in beperkte mate) privé mailen vanuit die mailbox en het lezen daarvan door de manager is dan een verwerking van je persoonsgegevens. Dat is óók weer een reden waarom toestemming van de OR nodig was.

Op straffe van een dwangsom moet de dienst nu het protocol eerst aan de OR voorleggen, en mag men het pas invoeren na hun toestemming. En ik kan me zo voorstellen dat de OR nu enigszins kritisch zal staan tegenover het protocol.

Arnoud

Nieuwe opt-in vereist voor ex-Wanadoo en Orange abonnees?

Per 1 augustus stopt internetprovider T-Mobile met het ondersteunen van de @wanadoo en @orange e-mailadressen. Vanaf dat moment werkt alleen nog een nieuw aangemaakt @online e-mailadres. Bij DDMA las ik een interessant punt daarbij: mag je die oude adressen dan hernoemen naar @online, of schend je dan de antispamwet?

Je kunt hier twee kanten mee op: (1) het is dezelfde gebruiker, en je corrigeert/actualiseert alleen zijn e-mailadres, dus het mag, of (2) het is een nieuw e-mailadres en dus geldt de eerder verkregen opt-in daar niet voor.

Pakken we de Telecommunicatiewet erbij, dan zien we dat er letterlijk staat

Het gebruik van (…) elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees of gebruikers is uitsluitend toegestaan, mits de verzender kan aantonen dat de desbetreffende abonnee of gebruiker daarvoor voorafgaand toestemming heeft verleend (…)

Er staat dus niet letterlijk een verwijzing naar het “nummer”; het moet de abonnee zijn die toestemming heeft verleend. Toestemming kan op zich ook voor bv. meerdere e-mailadressen tegelijk worden gegeven, dus dat is logisch. En een abonnee is een “natuurlijk persoon of rechtspersoon”, niet een e-mailadres.

Het kan wél afhangen van hoe de opt-in is geformuleerd: stond daar “schrijf dit e-mailadres in” of “schrijf mij in”? In het eerste geval kun je niet zomaar een ander e-mailadres gaan mailen vanaf nu. Maar ik vermoed dat de meeste e-mailmarketeers werken met “ja ik wil de nieuwsbrief ontvangen”, zodat de toestemming niet e-mailadresspecifiek is.

Ik zie nu in de DDMA E-mail Code staan dat men daar wél opt-in als adresgebonden beschouwt, dus mogelijk is het advies binnen dat kader bedacht:

De adverteerder draagt er zorg voor dat de bestandseigenaar bij het verzamelen van e-mailadressen degene wiens e-mailadres wordt verzameld duidelijk en op eenvoudig toegankelijke wijze geïnformeerd wordt over de navolgende punten: a) dat het e-mailadres voor het toezenden van reclame zal worden gebruikt;

Maar ook hier twijfel ik of het écht zo streng bedoeld is dat opt-in per mailadres is verkregen.

Het advies bij de DDMA-blog om actief navraag te doen bij de abonnee lijkt me sowieso het beste, maar ik denk dat je op zich het e-mailadres wel kunt omzetten in een uitzonderlijke situatie als deze.

Arnoud

“Het versturen van e-mail is een grondrecht”

send-button.pngEen lezer vroeg me:

Ik ben webmaster van een vereniging. Om onze leden te bereiken, hebben we een algemeen mailadres (alleleden@onzevereniging punt nl). Bij de laatste ledenvergadering hebben wij onze leden gemeld dat dit mailadres uitsluiten bedoeld is voor gebruik door het bestuur of na goedkeuring van het bestuur. Maar nu zegt één van onze leden dat we deze eis niet kunnen stellen, omdat iedere Nederlander het recht heeft aan iedereen een brief of email mag sturen als het adres publiek bekend is. Klopt dat?

Eh, nee, dat klopt niet.

Het is op zich waar dat alles mag tenzij het verboden is, maar er zijn genoeg regels en verboden rondom e-mail. De bekendste regel is natuurlijk het spamverbod, artikel 11.7 Telecommunicatiewet. Dit artikel bepaalt dat je niet ongevraagd commerciële, charitatieve of ideële reclame mag mailen naar een e-mailadres, ongeacht hoe publiek dat adres bekend is.

In de XS4All/Ab.fab zaak bepaalde de Hoge Raad dat de eigenaar van een server (XS4All met haar mailservers, in die zaak) mag beslissen wie er wat doet op die server (Ab.fab, met zijn reclamemails). Eén van de verweren van Ab.fab was dat zij op grond van de uitingsvrijheid (artikel 10 EVRM) het recht moest hebben om haar doelgroep te bereiken. Maar nee:

Dit grondrecht kan immers in beginsel niet dienen ter rechtvaardiging van een inbreukmakend gebruik van een goed waarop een ander exclusieve rechten heeft.

Voor mails die buiten die categorieën vallen is er geen specifieke regel. Dus ja, dan kun je zeggen dat je er gewoon heen mag mailen. Een discussie over hoe het bestuur omgaat met de leden, zou je via dat e-mailadres kunnen initiëren, en op grond van de wet kan het bestuur dat niet verhinderen.

Een vereniging kan natuurlijk wel in haar statuten of huishoudelijk reglement opnemen dat leden elkaar niet lastig vallen via de mail. Dat mag, je kunt als vereniging strenger zijn dan de wet. En dan heeft dit lid zich eraan te houden als hij lid wil blijven. (En als niet-lid kan zijn mail eenvoudig op de server worden geweerd natuurlijk.)

Persoonlijk lijkt me het het eenvoudigst als de mailserver zo wordt ingesteld dat alleen het bestuur kán mailen naar dat adres, maar dan moet je wel de goede faciliteiten hebben natuurlijk.

Arnoud

“Het versturen van e-mail is een grondrecht”

send-button.pngEen lezer vroeg me:

Ik ben webmaster van een vereniging. Om onze leden te bereiken, hebben we een algemeen mailadres (alleleden@onzevereniging punt nl). Bij de laatste ledenvergadering hebben wij onze leden gemeld dat dit mailadres uitsluiten bedoeld is voor gebruik door het bestuur of na goedkeuring van het bestuur. Maar nu zegt één van onze leden dat we deze eis niet kunnen stellen, omdat iedere Nederlander het recht heeft aan iedereen een brief of email mag sturen als het adres publiek bekend is. Klopt dat?

Eh, nee, dat klopt niet.

Het is op zich waar dat alles mag tenzij het verboden is, maar er zijn genoeg regels en verboden rondom e-mail. De bekendste regel is natuurlijk het spamverbod, artikel 11.7 Telecommunicatiewet. Dit artikel bepaalt dat je niet ongevraagd commerciële, charitatieve of ideële reclame mag mailen naar een e-mailadres, ongeacht hoe publiek dat adres bekend is.

In de XS4All/Ab.fab zaak bepaalde de Hoge Raad dat de eigenaar van een server (XS4All met haar mailservers, in die zaak) mag beslissen wie er wat doet op die server (Ab.fab, met zijn reclamemails). Eén van de verweren van Ab.fab was dat zij op grond van de uitingsvrijheid (artikel 10 EVRM) het recht moest hebben om haar doelgroep te bereiken. Maar nee:

Dit grondrecht kan immers in beginsel niet dienen ter rechtvaardiging van een inbreukmakend gebruik van een goed waarop een ander exclusieve rechten heeft.

Voor mails die buiten die categorieën vallen is er geen specifieke regel. Dus ja, dan kun je zeggen dat je er gewoon heen mag mailen. Een discussie over hoe het bestuur omgaat met de leden, zou je via dat e-mailadres kunnen initiëren, en op grond van de wet kan het bestuur dat niet verhinderen.

Een vereniging kan natuurlijk wel in haar statuten of huishoudelijk reglement opnemen dat leden elkaar niet lastig vallen via de mail. Dat mag, je kunt als vereniging strenger zijn dan de wet. En dan heeft dit lid zich eraan te houden als hij lid wil blijven. (En als niet-lid kan zijn mail eenvoudig op de server worden geweerd natuurlijk.)

Persoonlijk lijkt me het het eenvoudigst als de mailserver zo wordt ingesteld dat alleen het bestuur kán mailen naar dat adres, maar dan moet je wel de goede faciliteiten hebben natuurlijk.

Arnoud

Ga weg met je “toestemming voor zorgvuldig geselecteerde derden”

akkoord-zorgvuldig.pngRecent zag ik het weer voorbij komen: een bestelformulier dat toestemming bedingt voor “zorgvuldig geselecteerde partners” om per e-mail, post, telefoon en/of SMS reclame te sturen. Is dat legaal? Natuurlijk niet. En ik kan er wérkelijk niet bij waarom ze bij -in dit geval- SBS denken van wel.

Uitgangspunt van de antispamwet en privacywet is voorafgaande toestemming. En dat is niet “ja joh doe maar wat ik merk het wel” maar “Ja, ik wil graag de maandelijkse nieuwsbrief van ICTRecht ontvangen”. Wie dat laatste zegt, krijgt maandelijks onze nieuwsbrief. Maar het moge duidelijk zijn dat je dan niet óók nog een wekelijks setje aanbiedingen voor ICT-kantoorsupplies kunt gaan krijgen. Of een aanbieding van een bevriend advocatenkantoor dat nu tegen 50% stunttarief wil procederen.

Op zich kun je best toestemming vragen voor meerdere partijen of meerdere soorten mailings ineens. Je noemt dan gewoon de betreffende partijen en mailings in één keer, en mensen zetten daar een vinkje bij (of niet). Dus “Ja, ik wil graag wekelijks aanbiedingen van Bol.com, Central Point én de V&D ontvangen” is een prima opt-in voor de wekelijkse aanbiedingen van die partijen.

Waar het misgaat is dat veel bedrijven die toestemming vragen, primair gericht zijn op het verhandelen of verhuren van “opt-in bestanden”. De aanname is daarbij namelijk dat je opt-in geeft voor een bepaald soort mailings – “ik wil graag aanbiedingen voor detectiveromans” of “ik wil graag gebeld worden voor een ziektekostenverzekering”. Maar zo werkt opt-in gewoon niet, sorry. Opt-in moet specifiek zijn, oftewel moet de betreffende bedrijven bij naam noemen.

Men probeert dit dan te camoufleren door te spreken van “partijen A en B alsook zorgvuldig door ons geselecteerde derden” maar dat is echt juridische onzin. Wie zijn dat dan? Hoe weet ik dat een partij door jou zorgvuldig is geselecteerd als ik spam van hem krijg? Hoe véél partijen gaan dit zijn? Drie? Tien? Vijfduizend? En wat versta jij onder ‘zorgvuldig’? Dat ze vooraf betalen?

Eind vorig jaar werd een megaboete opgelegd voor spammen. Daarbij werd toestemming geclaimd via “…en mogelijk andere derden” wat de OPTA afkeurde. Die boete ligt nu in beroep bij de rechtbank, maar ik zou van mijn stoel vallen (en beloof dat op Youtube te zetten) als blijkt dat de rechtbank déze formulering acceptabel acht.

Kan iemand me uitleggen hoe een opt-in specifiek en duidelijk is als je alleen van “zorgvuldig geselecteerde partijen” spreekt?

Arnoud

Is e-mail rechtsgeldig?

Héél, héél veel vragen krijg ik over de rechtsgeldigheid van e-mail. Die variëren van “heb ik een contract als er in e-mail ‘akkoord’ staat” tot “kan ik met deze e-mail aangifte doen van bedreiging/stalking/smaad”. Nou, heel kort: ja, e-mail is rechtsgeldig – behalve in een paar uitzonderlijke gevallen. En, als ik zo vrij mag zijn, die zijn niet relevant voor mijn vraagstellers.

De focus op “rechtsgeldigheid” heeft me altijd verbaasd. Er is nooit discussie geweest of bijvoorbeeld een mondelinge toezegging rechtsgeldig zou zijn. Afspraak is afspraak, zeggen juristen dan. Alleen bewijzen wat er mondeling is afgesproken, ja dat is lastig. Maar bij e-mail schiet ineens iedereen in een juridische stuip want oh jee zou de rechter dat niet categorisch afkeuren omdat het triviaal vervalsbaar is?

Ik vermoed dat dit te maken heeft met een vaag onthouden discussie over de rechtsgeldigheid van faxen. Daar was de vraag of een faxbericht geaccepteerd mocht worden als akte, of dat echt alleen het origineel voor dat doel geschikt was. Ja, ook de akte telt in die situatie, bepaalde de Hoge Raad begin jaren negentig. Een faxapparaat produceert een letterlijke kopie, en indien gewenst kan het papieren origineel altijd worden opgevraagd en vergeleken. Misschien is daaruit het idee ontstaan dat een elektronisch document alleen rechtsgeldig is wanneer er ook een papieren origineel is.

Die rechtspraak ging echter specifiek over ‘aktes’, ondertekende geschriften die bedoeld zijn als bewijs van bijvoorbeeld een koop of erkenning van een schuld. Daarvan eist de wet inderdaad dat ze schriftelijk zijn, maar sinds een paar jaar kan dat ook elektronisch. Het grote probleem bij elektronische akten zit hem dan ook meer in de handtekening, want een elektronische handtekening zetten is een heel gedoe.

Wanneer de wet geen akte eist, dan mag alles als bewijs worden gebruikt. De rechter kijkt niet naar het middel waarin dat bewijs vervat zit, maar kijkt naar wat het bewijs bewijst. Pas als er iemand gaat roepen dat het bewijs vervalst is, dan wordt er gekeken naar hoe waarschijnlijk dat is in dit geschil. Je komt dus niet ver met “dit is mail, iedereen weet dat dat te vervalsen is” – nee, je moet bewijzen dat deze mail vervalst is.

Ook in strafzaken is het geen probleem om e-mail als bewijs te gebruiken. Daar ligt het iets lastiger, want de wet (art. 339 Strafvordering) noemt een beperkt aantal bewijsmiddelen en “e-mail” staat niet in die lijst. Er staat wel “schriftelijke bescheiden”, en dit mag volgens de Hoge Raad worden gelezen als “zolang er maar letters te zien zijn”. Een spandoek en sms-bericht zijn “schriftelijk” verklaard volgens dat oordeel, en e-mail valt er natuurlijk ook onder. In de strafrechtspraak hebben rechters dan ook weinig moeite met bijvoorbeeld bedreigingen per e-mail “schriftelijk” noemen.

Bij digitalisering van officiële stukken gelden er soms ook nog specifieke regels. Als een proces-verbaal schriftelijk moet zijn, mag men dit dan als gescande PDF opslaan en het originele stuk papier shredden? Daar zijn de geleerden het geloof ik nog niet over eens.

Maar in de dagelijkse praktijk durf ik met stelligheid te zeggen: ja e-mail is rechtsgeldig. Waar de meeste mensen e-mail voor gebruiken, gelden geen specifieke regels over het middel e-mail als zodanig. Een koop gesloten per e-mail is rechtsgeldig. Een mededeling per e-mail mag je de rechter laten lezen, en die mag daaruit conclusies trekken. Een e-mail met strafbare inhoud mag je aan de politie geven, en die kan daarmee een strafrechtelijk onderzoek opstarten. En uiteindelijk kan de afzender veroordeeld worden voor het versturen van die mail.

En dat e-mail triviaal te vervalsen is, is volstrekt irrelevant.

Arnoud