Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Digitale berichten die de overheid naar de berichtenbox van burgers met een MijnOverheid-account stuurt hebben dezelfde waarborgen als aangetekende fysieke post, zo stelt minister Bruins Slot van Binnenlandse Zaken. Dat las ik bij Security.nl onlangs. Maar hoe zit dat nu precies juridisch?
Antwoord: De brief van de minister is een reactie op een discussie over de status van digitale boodschappen in uw Mijn Overheid-berichtenbox tijdens het plenaire debat over de Wet modernisering elektronisch bestuurlijk verkeer. Deze zal in 2023 in werking treden en het onder meer mogelijk maken dat je digitaal berichten naar de overheid stuurt.
De status van aangetekende post in het recht is vrij hoog: al snel neemt de rechter aan dat post is aangekomen als je een PostNL-ontvangstbevestiging kunt laten zien. Niet altijd, zeker bij “geen gehoor” en geen bewijs van door de bus duwen. Het is dus een fijne procedurele stap die je kunt nemen bij dossieropbouw, je kunt dan in ieder geval het verweer “hebben we nooit gehad” aftikken als er een handtekening van de receptioniste of postkamer ligt dat het is aangenomen. (Dat de envelop wellicht leeg was, heb ik nooit als verweer in een vonnis aangetroffen.)
Bij digitale berichten is de aankomstbevestiging zeer kwetsbaar, er is geen breed gedragen technische standaard en in formele procedures vragen om een mail met ontvangstbevestiging voelt toch niet helemaal wenselijk. Dus het is fijn bevestiging te krijgen dat een bericht in de berichtenbox telt als een aangetekend stuk. Waarbij dan twee situaties gelden: berichten van de overheid, en berichten aan de overheid. Zoals de minister het uitlegt:
Officiële elektronische berichten van de overheid worden doorgaans geplaatst in de berichtenbox van MijnOverheid. Het tijdstip van ‘bezorgen’ wordt daarbij vastgelegd en kan daarmee gemakkelijk worden bewezen. Problemen doen zich voor als iemand te laat in de berichtenbox kijkt en daarmee niet tijdig op het bericht heeft gereageerd. Hierom wordt verplicht om bij het plaatsten van een bericht binnen 48 uur aan de geadresseerde een (eveneens digitale) notificatie te sturen, tenzij deze heeft laten weten geen notificaties te willen ontvangen.
Dit is natuurlijk al de huidige situatie. De logging door het overheidsorgaan is cruciaal, en we vertrouwen erop dat de loggende instantie dat eerlijk doet. (Ik zie bij Security.nl de suggestie dat een slinkse ambtenaar het bericht achteraf kan wijzigen en/of de gelogde gegevens aan kan passen. Dit lijkt me sterk maar ik kan geen informatie vinden over de beveiliging van deze procedures.)
De omgekeerde situatie wordt heel simpel geschetst:
Bij elektronische berichten aan de overheid is voorgeschreven dat het bestuursorgaan de ontvangst van een bericht moet bevestigen.Het wetsvoorstel gaat er van uit dat dit een geautomatiseerde bevestiging is. De ontvangstbevestiging vormt voor de afzender het bewijs dat diens bericht is ontvangen.
Dat is leuk en aardig, maar betekent nu dus dat je toch moet hengelen om een bevestiging per e-mail, en maar moet afwachten wanneer de ontvangende ambtenaar dit gaat doen. Ja, ik heb altijd weinig hoop in autoreplies, helemaal als die enkel zeggen “uw mail is ontvangen” zonder bijvoorbeeld aan te geven of de bijlagen zijn aangekomen.
Het wetsvoorstel regelt het iets uitgebreider, art. 2:13 lid 1 en 2 Awb gaat luiden:
1. Een ieder kan een bericht dat deel uitmaakt van een procedure over een besluit of een klacht of een ander krachtens wettelijk voorschrift voorgeschreven bericht elektronisch aan een bestuursorgaan zenden.
2. Bij wettelijk voorschrift of bij besluit van het bestuursorgaan wordt voor ieder type bericht als bedoeld in het eerste lid, gelet op de aard en de inhoud van het type bericht en het doel waarvoor het wordt gebruikt, een voldoende betrouwbare en vertrouwelijke wijze van verzenden aangewezen.
Het overheidsorgaan moet dus een elektronisch kanaal openstellen voor deze formele communicaties van de burger, en moet zorgen dat dit betrouwbaar en veilig is. Daar hoort dus logging van ontvangst bij. (Voor andere systemen mág het overheidsorgaan iets dergelijks doen, maar dat moet dan apart als keuze gemeld worden, art. 2:14 nieuw.)
Een ontvangstbevestiging wordt apart verplicht gesteld in art. 2:18:
1. Een bestuursorgaan bevestigt de ontvangst van een elektronisch bericht als bedoeld in artikel 2:13, eerste lid, dat is verzonden overeenkomstig het tweede lid van dat artikel en met inachtneming van de nadere eisen, gesteld krachtens het derde lid van dat artikel, tenzij:
1. a.het bestuursorgaan en de verzender gebruikmaken van hetzelfde systeem voor gegevensverwerking en de verzender in dat systeem kan zien dat het bericht voor het bestuursorgaan beschikbaar is; of
2. b.van de verzender geen elektronisch adres beschikbaar is.
2. 2.Indien een bericht als bedoeld in artikel 2:13, eerste lid, aan een bestuursorgaan wordt verzonden door de rechtstreekse invoer van gegevens in een systeem voor gegevensverwerking van het bestuursorgaan, stelt het bestuursorgaan de ingevoerde gegevens aan de verzender ter beschikking op een voldoende betrouwbare en vertrouwelijke manier.
In veel gevallen zal de communicatie verlopen via een berichtenbox. Dan moet het overheidsorgaan een notificatie sturen van de plaatsing (of afkeuring) van het bericht dat de burger uploadde:
In dat geval zal van de in de berichtenbox geplaatste ontvangstbevestiging op grond van het voorgestelde artikel 2:10 een notificatiebericht moeten worden gezonden (zie paragraaf 3.4.3). Een andere mogelijkheid is de bevestiging op het scherm waarin het bestuursorgaan meedeelt dat het bericht is ontvangen. Om de archieffunctie van de ontvangbevestiging te waarborgen, zou in dat geval een te downloaden versie hiervan ter beschikking kunnen worden gesteld.
Die downloadbare bevestiging lost dus het probleem op van de achterdochtige Security.nl reageerder, want als jij een digitaal getekende PDF hebt dat je bericht met inhoud X op datum Y ontvangen is, dan kan geen slinkse ambtenaar daar inhoud X’ van maken of het bericht weghalen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.