Overige onderwerpen

IT 536

Bestandkoppeling tegen fraude

Vragen van de leden Spekman en Jadnanansing (beiden PvdA) aan de staatssecretaris van Sociale Zaken en Werkgelegenheid en de minister van Onderwijs Cultuur en Wetenschap over de roep van gemeenten om bestandskoppeling tegen fraude (ingezonden 8 september 2011) 2011Z17249

Vraag 1 Bent u bekend met het bericht “Gemeenten: bestanden koppelen tegen fraude” 1) waarin gemeenten pleiten voor de koppeling van bestanden om fraude met uitkeringen beter aan te kunnen pakken?

Antwoord 1 Ja.

Vraag 2 Deelt u de mening dat er grote stappen gemaakt kunnen worden met de fraudebestrijding door bepaalde beschikbare gegevensbestanden aan elkaar te koppelen?

Het kabinet geeft hoge prioriteit aan preventie en opsporing van fraude en gebruikt daarbij ook de mogelijkheden om met bestandskoppeling en gegevensuitwisseling fraude met uitkeringen tegen te gaan. In het Handhavingsprogramma 2011-2014 heb ik aangekondigd te onderzoeken op welke wijze de bepalingen voor gegevensuitwisseling tussen de Wet Structuur uitvoering werk en inkomen (SUWI) en Wet werk en bijstand (WWB) kunnen worden geharmoniseerd1. Uiteraard moet gegevensuitwisseling zorgvuldig gebeuren en moet de Wet bescherming persoonsgegevens daarbij in acht worden genomen.

De afgelopen jaren is er veel gedaan op het gebied van gegevensuitwisseling. Zo kunnen medewerkers van gemeentelijke sociale diensten, het UWV en de SVB in het kader van de uitkeringsintake zien of iemand andere inkomsten of bepaalde vormen van eigen vermogen heeft. Het Inlichtingenbureau ondersteunt gemeenten bij de rechtmatigheidscontroles door bestandskoppelingen tussen verschillende bestanden uit te voeren, bijvoorbeeld de polisadministratie, de Belastingdienst en detentiegegevens. In combinatie met de informatie over de uitkering van cliënten leidt de bestandskoppeling soms tot nader onderzoek door de gemeente.

Aanvullend hierop ben ik gestart met een inventarisatie van de mogelijkheden van een bredere inzet van bestandskoppeling en gegevensuitwisseling om fraude te voorkomen en te bestrijden. Ik betrek hierbij ook de voorbeelden die wethouder Den Besten van de gemeente Utrecht mij, namens een aantal collega’s, heeft aangereikt en ik kijk ook naar de mogelijkheden voor het UWV en de SVB. Aan de hand van deze inventarisatie zal ik bezien of en in hoeverre aanpassing van regelgeving en ICT systemen nodig is en wat de kosten en de baten van de maatregelen zijn. Mijn beeld is dat er ook nog veel onbekendheid is bij gemeenten over de mogelijkheden inzake bestandskoppelingen en ik zal gemeenten informeren over deze mogelijkheden.

Vraag 6 Wat zijn de redenen dat bijvoorbeeld de bijstandsbestanden, woningadministratie en de gemeentelijke basisadministratie niet aan elkaar gekoppeld zijn? Overweegt u dergelijke stappen tot bestandskoppeling te zetten om de fraudeaanpak verder te verbeteren?

De WWB maakt gebruik van het GBA-adres en de bestanden zijn daarmee voor dat doel gekoppeld. De woningadministratie bestaat niet, zoals de bijstandsadministratie en de gemeentelijke basisadministratie, uit één enkele administratie. Veelal voeren woningbouwverenigingen hun eigen administratie en daarnaast worden woningen of kamers ook door privépersonen verhuurd. Op grond van de WWB moeten verhuurders van woningen of kamers gegevens verstrekken aan de gemeenten indien wordt getwijfeld aan de rechtmatigheid van een uitkering. Op deze wijze is uitwisseling van gegevens mogelijk tussen de WWB en de verschillende administraties van (particuliere) woningverhuurders.

Vraag 7 Deelt u de mening van de gemeenten dat een systeem waar alleen de verdachte adressen “uit rollen” de problemen omtrent privacy zou kunnen ondervangen?

Op diverse plaatsen wordt gebruik gemaakt van een dergelijk systeem. Zo gebruiken de interventieteams het Systeem Anonieme Risico Indicatie (SARI). Hiermee worden verschillende bestanden anoniem gekoppeld op basis van door SIOD aangeleverde risicoprofielen. Dit leidt tot een lijst met mogelijke fraudeurs en moet de pakkans verhogen.
Voorts werkt DUO thans in het kader van de aanpak misbruik uitwonendenbeurs reeds met een risicoprofiel. Op hiervan selecteert DUO studerenden met een uitwonendenbeurs bij wie het risico bestaat van onjuistheid van het woonadres. DUO zal vervolgens de gemeenten verzoeken een adrescontrole uit te voeren en zal daartoe persoonsgegevens met de gemeenten uitwisselen. Het gaat om een minimale set van persoonsgegevens. Nadat het onderzoek is uitgevoerd, zullen de resultaten van de adrescontroles worden teruggekoppeld aan DUO.

1) Volkskrant, 07 september 2011

IT 533

Ingericht als één vonnis

Rechtbank Zutphen 3 oktober 2011, LJN BT6835 (stichting E-Court tegen Griffier Zutphen)

Procesrecht. Griffierecht inzake E-Court arbitrage. Verzet tegen griffierecht. E-Court verzoekt verlof tot tenuitvoerlegging van een arbitraal vonnis, ingericht als één vonnis, waarin twee deelvonnissen zijn opgenomen. Voor de toepassing van de Wet griffierechten burgerlijke zaken geldt dit verzoek als twee afzonderlijke verzoeken om verlof tot tenuitvoerlegging en is dus twee maal griffierecht verschuldigd. Verzet wordt ongegrond verklaard.

Feiten (r.o. 2.1 en 2.2): E-Court, een scheidsgerecht als bedoeld in boek 4, titel 1, afdeling 2 Wetboek van Burgerlijke rechtsvordering, heeft namens T-Mobile Netherlands B.V. bij deze rechtbank een verzoekschrift ingediend strekkende tot verkrijging van verlof tot tenuitvoerlegging van een door E-Court gegeven arbitraal vonnis alsmede een akte van depot van bedoeld vonnis. In het arbitraal vonnis is uitspraak gedaan in twee afzonderlijke zaken: één tussen T-Mobile Netherlands B.V. en [persoon 1] en één tussen T-Mobile Netherlands B.V. en [persoon 2]. De griffier heeft ter zake van het depotverzoek en het exequaturverzoek aan E-Court (aanvankelijk) een griffierecht van vier maal € 111,-- (€ 444,--) in rekening gebracht.

5.5. Immers, het mag zo zijn dat het arbitrale vonnis, waarin zowel in de zaak tussen T-Mobile Netherlands B.V. en [persoon 1] en in de zaak tussen T-Mobile Netherlands B.V. en [persoon 2] een beslissing wordt gegeven, is ingericht als één vonnis, dit neemt niet weg dat de facto van verschillende “deelvonnissen” sprake is. De “gedaagde” partijen zijn immers niet dezelfde. Dit betekent dat de rechtbank ten aanzien van ieder “deelvonnis” afzonderlijk dient te beoordelen of verlof tot tenuitvoerlegging kan worden verleend. Er is in feite sprake van twee afzonderlijke verzoeken om verlof tot tenuitvoerlegging.

5.6. Dit brengt met zich dat de griffier zich met recht op het standpunt heeft gesteld dat hij het verzoekschrift van E-Court voor de toepassing van de Wgbz beschouwt als twee afzonderlijke verzoeken. Voor elk van die verzoeken is E-Court dan ook op grond van de met ingang van 1 juli 2011 geldende tarieven een griffierecht van € 111,-- verschuldigd. In zoverre is het verzet van E-Court dan ook ongegrond.

5.7. Bij de klacht van E-Court dat de griffier zowel voor het verzoek om verlof tot tenuitvoerlegging als het verzoek om een akte van depot afzonderlijk griffierecht in rekening heeft gebracht, heeft E-Court geen belang. Uit het verweerschrift van de griffier blijkt immers dat uiteindelijk voor beide verzoeken tezamen maar één maal een griffierecht van € 111,-- in rekening is gebracht.

5.8. Op grond van het vorenstaande is het verzet van E-Court ongegrond.

IT 531

Drie finalisten Internet Scriptieprijs bekend

Matthijs van Bergen, "Discriminatie op de digitale snelweg: een kink in de kabel? Een grondrechtelijk perspectief op de discussie over netneutraliteit", Universiteit van Amsterdam

Marieke Haan, "Are you really just a Social Network Site user? A study on Article 2(d) Directive 95/46/EC in relation to Social Network Sites", Rijksuniversiteit Groningen

Alicia Schalkwijk, "Geneesmiddelenverkoop op internet, de gevaren voor de gezondheid voor de Europese burgers, de inbreuken op de intellectuele eigendomsrechten van de farmaceuten en schadevergoedingsmogelijkheden", Universiteit Utrecht

Op 13 oktober de uitslag tijdens het symposium, zie meer hier (pdf), 1 PO-punt voor advocaten ad €50.

IT 521

Vermeldingen op internet

Hof Amsterdam 12 juli 2011, LJN BT2771 (Vermelding op internet)

Als randvermelding. Blijkens eigen vermeldingen op internet blijkt huurder niet meer woonachtig te zijn en wordt ontbinding van huurovereenkomst gevorderd. Tevens laat huurder anderen verblijven en bovendien heeft huurder een aanzienlijke huurachterstand laten ontstaan.

3.3 (...) Nadat [appellant] bij akte afdrukken had overgelegd van websites waarop [geïntimeerde] heeft vermeld dat hij woonachtig is aan de [adres], alsmede een afschrift uit de basisadministratie van de gemeente Amsterdam, waaruit blijkt dat [geïntimeerde] sinds 29 september 2010 is ingeschreven op een adres aan de [adres], heeft [geïntimeerde] ten slotte aangevoerd dat hij zijn inschrijving heeft gewijzigd naar het huis van zijn oom omdat het gehuurde op 4-hoog is gelegen en de oude inschrijving op 3-hoog mogelijk problemen zou kunnen opleveren bij de postbezorging, “te meer nadat [geïntimeerde] reeds eerder de toegang tot de woning ontzegd is geweest door [appellant]”.

IT 516

Tool om social media gedragscode op te stellen

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl

IT 513

Omgaan met boodschappers van slecht nieuws

 

Bundesarchiv, Bild 102-11145 / onbekend / CC-BY-SA

Met commentaar in't kort van Walter van Holst, Mitopics.

Onlangs liet parlementslid Pierre Heijnen zich ontvallen dat de tijd wellicht rijp is voor een vorm van klokkeluidersbescherming voor hackers die misstanden in informatiebeveiliging aan het licht brengen. Dat werd verwelkomd door een open brief vanuit die gemeenschap, maar ook met kritiek ontvangen door rechtswetenschappers (Oerlemans en praktijkadvocaten (SOLV). Daarbij slaagde men er niet in om een aantal voor de hand liggende drogredeneringen te vermijden. In dit blog wat nuance, zowel voor als tegen.

Als eerste valt een zekere angstreflex voor misbruik op. Terwijl de huidige situatie eveneens evident tot misbruik leidt, maar dan van misbruik van de wet computercriminaliteit tegen boodschappers van slecht nieuws. Zowel in binnen- als buitenland komt het (te vaak) voor dat exploitanten of uitgevers van slecht beveiligde systemen of software een strafvervolging initiëren om critici de mond te snoeren. Het recente voorbeeld in Nederland is uiteraard TransLink Systems (TLS) dat aangifte deed tegen Brenno de Winter. Minder bekend in Nederland is dat de het Duitse Magix een Zweedse hacker met strafvervolging bedreigde omdat deze een lek in de door Magix uitgegeven muzieksoftware wilde publiceren. Eveneens onbekend is de Duitse zaak van Thomas Roth die zelfs een huiszoeking te verduren kreeg omdat hij op het punt stond een kraakmethode voor een cryptografisch algoritme te publiceren.

Bron van dit ‘gemak’ om eigen incompetentie op beveiligingsvlak af te wentelen op boodschappers van het slechte nieuws is toch vooral het Cybercrimeverdrag. Dat heeft in Nederland er toe geleid dat zelfs het criterium van een doorbreken van een beveiliging is geschrapt uit ons wetboek van strafrecht. Het onbevoegd toegang hebben tot een geautomatiseerd werk is daarmee op zichzelf al een misdrijf geworden, ongeacht of er sprake is van wetenschap van dit gebrek aan bevoegdheid of dat er sprake is van een kwaad opzet of niet. En daarmee is de gevleugelde kreet ‘wat offline geldt moet ook online gelden’ een holle frase geworden. Immers, bij de huis- en erfvredebreuk, waar het delict computervredebreuk schijnbaar bij aan zou sluiten, is er nog sprake van een vereiste van een sommatie om zich uit de voeten te maken alvorens er sprake is van een strafbaar feit. Een dergelijk geobjectiveerd criterium ontbreekt bij de computervredebreuk, wat het tot een aantrekkelijke stok maakt om iedere hond die constateert dat men zijn beveiliging niet op orde heeft te slaan. En aan dit gemak mag, gezien het toenemend maatschappelijk belang bij informatiebeveiliging, best wat gedaan worden.

Wat critici van de gedachte van Heijne uit het oog lijken te verliezen is dat het strafvorderlijk optreden bij verdenkingen van computercriminaliteit een bepaald hoge impact kan hebben. Zeker in het geval van een journalist of een beveiligingsonderzoeker kan dit al snel resulteren in een situatie waarin er een de facto Berufsverbot voor de duur van het strafvorderlijk onderzoek wordt gegeven. Bij een vervolging wegens huisvredebreuk of zelfs diefstal zullen niet snel alle informatiedragers in een huishouden in het strafvorderlijk onderzoek betrokken worden. Een louter vertrouwen op het opportuniteitsbeginsel, ook al lijkt dit redelijk goed te functioneren, is niet voldoende. Hoewel het Openbaar Ministerie zichtbaar groeiende is in haar rol bij het bestrijden van computercriminaliteit is het risico van een disproportionele aanpak in de praktijk te groot gebleken. In de al veel aangehaalde zaak rond de e-mail van Jack de Vries had de telastelegging nog wel een paar onsjes meer gekund, men had immers computervirussen verspreid om een ‘botnet’ op te bouwen. In het geval TLS had het sepot in een veel eerder stadium plaats kunnen vinden, de door Brenno de Winter zelf gepubliceerde verslagen van zijn onderzoeksmethoden hadden het OM al van voldoende aanknopingspunten kunnen voorzien om een afweging te maken.

Waar met name Oerlemans aan voorbijgaat is dat invoering van een expliciete strafuitsluitingsgrond helemaal geen vrijbrief biedt, het is uiteindelijk aan de rechter om een beroep op een dergelijke strafuitsluitingsgrond te honoreren. Daarbij is een proportionaliteitstoets nog steeds heel wel denkbaar, en de strafrechtklassiekers van de Huizense veearts (HR 27-06-1932 NJ 1933, 60 enHR 20-02-1933, NJ 1933, 918) indachtig hebben we het in de kern over een concrete uitwerking van het ontbreken van de materiële wederrechtelijkheid. Hoe in een geval als dat van Nieuwe Revu een beroep op een (geconcretiseerde) materiële wederrechtelijkheid zou kunnen slagen is mij een raadsel.

Ook de door SOLV geuite vrees dat de door de rechtbank Utrecht veroordeelde vervalser van OV-chipkaarten niet vervolgd had kunnen worden lijkt mij onterecht. Om te beginnen was het inzetten van de wet computercriminaliteit in dit geval al het gebruik van een kanon om een mug te beschieten (zie ook IT 183) die voorbij ging aan de kern van het misdrijf: het vervalsen van waardekaarten (art. 232 Sr). Daarnaast is het heel wel mogelijk een aantal critieria te formuleren om een dergelijk beroep kans van slagen te geven. Men kan denken aan cumulatieve eisen als:

  • Dat de geconstateerde beveiligingsproblemen onder de aandacht van de betrokken systeemeigenaar zijn gebracht, of beoogde te brengen
  • De betrokken systeemeigenaar of –eigenaren een redelijke termijn is gegund om schadebeperkende maatregelen te treffen (responsible disclosure)
  • Men zich niet meer toegang heeft verschaft dan nodig was om het beveiligingsprobleem te constateren en te documenteren
  • Men zichzelf of anderen geen profijt heeft verschaft als gevolg van de wetenschap van het beveiligingsprobleem (anders dan bijvoorbeeld publiciteit).

En hoewel een dergelijke strafuitsluitingsgrond een stap in de goede richting zou zijn, zijn andere manieren om een dergelijke ‘klokkeluidersbescherming’ in te voeren denkbaar. Mijn voorkeur zou uitgaan naar een grondige herziening van het wetboek van strafrecht en de delictsomschrijving van de computervredebreuk meer in lijn te brengen met die van de huisvredebreuk. Een minder optimale weg is het door de Minister van Justitie uitvaardigen van richtlijnen voor het Openbaar Ministerie die hetzelfde zouden behelzen als de hierbovengenoemde criteria.

Oerlemans en SOLV vinden dat de afweging van algemeen belang tegenover het al dan niet ongeautoriseerd toegang hebben tot een computersysteem per definitie in handen van de rechter moet blijven. Voor mij is de gedachte dat degenen die de kwaliteit van de informatiebeveiliging in de praktijk beter blijken te kunnen beoordelen dan de systeemeigenaar daarbij ook enige ruimte krijgen om een meer ethische afweging temaken bepaald minder vreeswekkend dan de gedachte dat omwille van het rechtsmonopolie van de rechter beveiligingslekken vooral geconstateerd zullen worden door beveiligingsbedrijven en de echte kwaadwillenden. Waarbij ik de beveiligingsbedrijven zeker geen kwaad hart toedraag, het zijn er alleen zo weinig in verhouding tot de echte kwaadwillenden.

Walter van Holst

IT 507

Zwartepieten met DigiNotar

met dank aan Rob van den Hoven van Genderen en Walter van Holst, Mitopics.

Na een golf van berichten over Diginotar, tot en de faillietverklaring van DigiNotar van vandaag blijven er toch wel een behoorlijk aantal eindjes open. In dit blog van Rob van den Hoven van Genderen en Walter van Holst een aantal invalshoeken.Twee weken geleden werd bekend dat (vermoedelijk) Iraanse hackers bij het Beverwijkse bedrijf Diginotar hebben ingebroken en via de vervalste Diginotar veiligheidscertificaten Iraans Google Mail-verkeer hadden afgetapt. De aansprakelijkheidsvraag voor deze inbraak werd in eerste instantie impliciet bij DigiNotar gelegd door minister Donner. Ook werd DigiNotar geacht het slachtoffer van criminelen te zijn, te weten de Iraanse overheid en sympathiserende hackers.  Online overheidsdiensten zoals DigiD, eveneens beveiligd via een (gekwalificeerd) certificaat van Diginotar, zouden geen gevaar lopen. Er werd in eerste instantie door de minister er vanuit gegaan dat de gescheiden omgeving voor gekwalificeerde certificaten ook daadwerkelijk gescheiden was. Dat wil zeggen tot vrijdag 3 september. Toen gaf browsermaker Mozilla aan DigiNotar niet meer te vertrouwen, gevolgd door de minister van BZK in een nachtelijke persconferentie. Uit onderzoek van Fox IT bleek namelijk dat het bij DigiNotar zelfs aan de meest elementaire maatregelen tot beveiliging ontbrak. Wat terecht al tijdens de persconferentie de vraag opriep of DigiNotar niet aansprakelijk te houden was.

Hoewel het systeem van gekwalificeerde certificaten niet tot onder de algemene kennis juristen, zelfs van IT-juristen, pleegt te vallen zijn er meerdere rechtsgebieden die in beeld komen:

  • Strafrechtelijk: kan DigiNotar strafrechtelijk vervolgd worden voor lekken bij derden die ontstaan zijn door de zeer late melding van hun eigen probleem?

  • Privaatrechtelijk: kan DigiNotar aansprakelijk gesteld worden voor de geleden schade?

  • Bestuursrechtelijk: hoe rechtsgeldig zijn de bestuurshandelingen die verricht zijn met, inmiddels ongeldige, certificaten van DigiNotar als authenticatiemiddel?

Strafrechtelijke vervolgbaarheid
Bij een hypothetisch strafrechtelijk onderzoek dient op na het feitenonderzoek de vraag te worden beantwoord of hier sprake is van een strafbaar feit, bijvoorbeeld op grond van het voldoen aan de delictsomschrijving van artikel 161septies wetboek van strafrecht.

‘Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld (…)’

Of zijn zij medeschuldig aan computervredebreuk (naast natuurlijk de hackers)? . Is er sprake van voorwaardelijke opzet? van DigiNotar of van een falende controlerende overheid? Er lijkt op zijn minst gelegenheid te zijn geboden door de kans op opzettelijk misbruik aanzienlijk te vergroten, maar dat als verwijtbaar in deze zin aanmerken zou een strafrechtelijk novum zijn.Wel zou de nalatigheid van DigiNotar in beeld kunnen komen voorzover er sprake is van computervredebreuk in andere systemen, zoals dat van Google Mail, door (waarschijnlijk) de Iraanse overheid. We komen dan al snel in moeilijke discussies over rechstmacht (tenzij het om het Google rekencentrum in Nederland zou gaan).De strafrechtelijke vervolgbaarheid lijkt daarom vooralsnog een moeilijke.

Privaatrechtelijke aansprakelijkheid

Allereerst zijn we het niet eens met Arnoud Engelfriet zijn constatering dat het lastig zal zijn om schade op DigiNotar te verhalen. Waarbij overigens opgemerkt moet worden dat Arnoud zijn blog schreef op een moment toen de omvang van het probleem veel kleiner leek dan nu is gebleken. Er zijn namelijk meerdere rollen van DigiNotar:

  • DigiNotar als uitgever van gekwalificeerde certificaten (die dezelfde waarde aan een elektronische handtekening geven als een klassieke handtekening); en

  • DigiNotar als uitgever van de (ongereguleerde) reguliere SSL-certificaten.

Verder is het ook de vraag tegenover wie:

  • Alle (vooral) Nederlandse (overheids)partijen die nu inderhaast certificaten hebben moeten vervangen en geconfronteerd zijn met verstoringen van processen als gevolg hiervan of het inmiddels niet meer erkend worden van oude certificaten door o.a. Microsoft?

  • De partijen waar de certificaten onterecht aan werden toegeschreven, zoals Google, Microsoft?

  • Iraanse dissidenten die het slachtoffer zijn geworden van de afluisterpraktijken die mogelijk waren door nalatigheid van DigiNotar?

Initieel leek het er op dat alleen DigiNotar’s omgeving voor reguliere SSL-certificaten gecompromitteerd was. Wat in dit geval wel heel ernstig is, is dat DigiNotar niet zelf naar buiten is getreden toen geconstateerd is dat buitenstaanders zich toegang hadden verschaft. Nog erger is dat DigiNotar naar het zich laat aanzien maar heel beperkt onderzocht heeft hoe groot het probleem nu werkelijk was. Daarmee is kostbare tijd verloren voor derden om maatregelen te kunnen treffen.

Wrang is dat  degenen die de meeste schade geleden hebben waarschijnlijk het minste in een positie zijn om de inmiddels failliete boedel van DigiNotar aan te spreken, zelfs maar hypothetisch. Dat zijn waarschijnlijk Iraanse dissidenten die voor hun leven moeten vrezen. Los van de praktische onmogelijkheid om DigiNotar aan te spreken vanuit een martelcel in Teheran zal aangetoond moeten worden dat het voor DigiNotar voorzienbaar was dat zij deze schade zouden kunnen leiden en dat DigiNotar derhalve een zorgplicht jegens hen had. Met wederom het vraagstuk van de rechtsmacht.

Voor partijen als Google en Microsoft waarvan certificaten waren vervalst zal het lastig zijn om concrete schade (enigszins overgesimplificeerd: concrete uitgaven om schade te herstellen of te voorkomen) aan te tonen, waarbij ze ook nog de hoge drempel over moeten bij het aantonen dat DigiNotar een zorgplicht jegens hen had die geschonden is. Die concrete schade zal vrijwel niet aantoonbaar zijn. Ook lastig is dat een aanspraak op grond van onrechtmatige daad gedaan zou worden, en niet op grond van een toerekenbare tekortkoming (wanprestatie).

Resteren de getroffen overheden en andere afnemers van gekwalificeerde certificaten. Die hebben veelal overuren en kosten moeten maken om in allerijl certificaten te organiseren van wél betrouwbare certificatenleveranciers. Dat is concrete schade, schade die waarschijnlijk kleiner was geweest als DigiNotar de inbraak wél adequaat had onderzocht en haar klanten tijdig had geïnformeerd. Waarbij nog komt dat een zorgplicht van DigiNotar veel makkelijker aangenomen zal worden omdat er nu eenmaal een overeenkomst bestond tussen partijen.

Bestuursrechtelijke dimensie

Een nog nauwelijks besproken dimensie is de bestuursrechtelijke. Veel overheden gebruikten gekwalificeerde certificaten van DigiNotar om communicatie rondom elektronisch bestuurlijk verkeer te authenticeren. De Algemene wet bestuursrecht (Awb) luidt op dit punt als volgt:

‘Indien een bestuursorgaan een bericht elektronisch verzendt, geschiedt dit op een voldoende betrouwbare en vertrouwelijke manier, gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt.’ (art. 2:14 lid 3 Awb)

Nu bleek dat de omgeving waarin DigiNotar de gekwalificeerde certificaten aanmaakte en beheerde gecompromitteerd was rijst de vraag of DigiNotar certificaten niet vanaf het moment van inbraak niet langer aan deze eis voldeden. Wat met terugwerkende kracht zou betekenen duizenden beschikkingen van o.a. de Belastingdienst, de RDW en honderden gemeenten niet aan dit elementaire vormvoorschrift voldoen. In dat licht is het dan ook vreemd dat omwille van de stabiliteit van de overheidsdienstverlening ontraden werd om automatische updates van Microsoft software uit te rollen. Die overheidsdienstverlening had met evenveel recht net zo goed stilgelegd kunnen worden. Want als we de de memorie van toelichting van dit wetsartikel er bij pakken, dan zien we op pagina 15 dat er met voldoende betrouwbaar o.a. het volgende bedoeld wordt:

De volgende aanduidingen geven een goede uitwerking aan de open normen van betrouwbaarheid en vertrouwelijkheid:

  • Authenticiteit = oorsprong van het document: zijn de gegevens werkelijk van de afzender afkomstig?

  • Integriteit = de zekerheid dat gegevens volledig zijn en niet onbevoegdelijk zijn gewijzigd.

  • Onweerlegbaarheid = het voorkómen van weerlegbaarheid; onloochenbaarheid.

  • Transparantie = de mogelijkheid dat wijzigingen van de gegevens achteraf kunnen worden opgespoord en inzichtelijk kunnen worden gemaakt.

  • Beschikbaarheid = toegankelijkheid en bereikbaarheid van het document.

  • Flexibiliteit = de mate waarin aan nieuwe of oude gebruikseisen kan worden voldaan.

  • Vertrouwelijkheid = exclusiviteit: het document is alleen toegankelijk voor hen voor wie het is bestemd.

 De subnormen authenticiteit en integriteit zijn nadrukkelijk in het geding. Het zal hier echter vooral afhangen of er burgers of bedrijven zijn die dit argument gaan gebruiken. Het wachten is dus op bijvoorbeeld een slimme fiscalist die een elektronische beschikking van de Belastingdienst aanvecht op deze gronden. Zeker in die situaties waarin een bestuursorgaan binnen een bepaalde termijn zal moeten beslissen kan dit een interessante situatie opleveren. Wordt ongetwijfeld nog vervolgd.

IT 494

Contractuele boete kan oplopen

Exploot van betekening, mét renteberekening 7 juli 2011
Hof Amsterdam 25 januari 2011, zaak 106.001.132/01 (Acanthis Information Systems B.V. tegen Virage B.V.)
Hof Amsterdam 16 februari 2010, zaak 106.001.132/01
Hof Amsterdam 10 april 2008, zaak 106.001.132
Hof Amsterdam 5 juli 2007, rolnr 1783-03
Hof Amsterdam 28 september 2006, rolnr 1783-03

Met dank aan Nanda Ruyters, BRight advocaten

Na een viertal tussenarresten is er een eindarrest gewezen door het Hof Amsterdam in navolging van een vonnis Rechtbank Haarlem 27 augustus 2003, HA ZA 03-49.

Uitgebreide bespreking van de feiten en grieven: Virage heeft van Acanthis het programma DocBase C/S gekocht en specifiek de versie 5.1.c hiervan, versie 5.1.d en 5.1.e zijn tevens bij Virage geïnstalleerd. Acanthis vordert €25.603,38 met (contractuele) rente en kosten, in reconventie vordert Virage ontbinding van de overeenkomst en €11,134 als schadevergoeding.

Acanthis verweert zich, niet-succesvol, door te stellen dat Virage haar niet tijdig, binnen 30 dagen, in kennis heeft gesteld. De termijn die Virage heeft aangegeven ter reparatie zijn redelijk, de facturen hoeven naar maatstaven van redelijkheid en billijkheid niet te worden voldoen dan nadat voldoende zeker was dat haar een deugdelijk software-product is geleverd. Bewijsopdracht betreft de ondeugdelijkheid (Hof 28 september 2006).

Getuigenverhoor is wenselijk om dit te bewijzen, Acanthis acht het zinloos, maar gaat uiteindelijk om. Eén deskundige wordt gekozen, waarvan akte moet worden genomen (Hof 5 juli 2007). Die akte wordt niet genomen door Acanthis en Hof benoemd andere deskundige waartegen geen bezwaar is gemaakt en formuleerd de gestelde vragen (Hof 10 april 2008). Hof oordeelt, nadat deskundige heeft aangegeven de gestelde vragen niet te kunnen beantwoorden, dat Virage de mogelijkheid moet worden geboden om bewijs te leveren middels getuigen.

Inhoudelijk: verklaringen leveren bewijs dat niet het resultaat dat men ervan verwachtte, maar geen oorzaak in gebreken aan de software. Overeenkomst en de voortvloeiende verplichtingen dient Virage na te komen. In conventie: betaling van €26.601,38 echter wel vermeerderd met de contractuele rente (á 2% per maand). Dit heeft tot een grote exponentiële gegroeide som geleid, van de hoofdsom á €26.601,38 naar €263.537,84 na berekening van de contractuele rente.

2.6.1 Weliswaar verklaren deze getuigen dat de door Acanthis geleverde software niet deed wat die behoorde te doen, maar geen van de getuigen heeft iets kunnen verklaren over de oorzaak van de problemen, zodat niet als vaststaand kan worden aangenomen dat de oorzaak van een en ander gelegen is in gebrekkigheid van de geleverde software.

2.7. Op grond van het vorenstaande moet worden geconcludeerd dat Virage wel geslaagd is in het bewijs dat het werken door haar met de Acanthis geleverde software niet het resultaat had dat men ervan verwachtte, maar niet in het bewijs dat de oorzaak daarvan lag in gebreken aan die software, hetgeen Acanthis steeds gemotiveerd heeft betwist, waartoe zij onder meer heeft aangevoerd dat de oorzaak van de problemen ligt in het verkeerd gebruik door Virage van DocBase.