Wiebe Barkey DMInterface Splijtbakweg 117 1333 HJ Almere mr. drs. Paul Pols ICTRecht B.V. Panamalaan 8B 1019AZ Amsterdam Betreft: Datum:
juridisch kader RPost Registered Email® dienst 29-03-2011
Inleiding DM Interface heeft ICTRecht verzocht te onderzoeken wat het juridische kader is dat van toepassing is op de diensten die door RPost Communications Limited en/of RPost US Inc (hierna: RPost) worden geboden met betrekking tot de verzending en ontvangst van e-mail binnen het Nederlandse rechtssysteem. Daarnaast is gevraagd te schetsen waaraan organisaties moeten voldoen in hun omgang met persoons- en andere vertrouwelijke gegevens en in hoeverre de diensten van RPost hierin kunnen voorzien.
De Registered Email® dienst van RPost RPost biedt verschillende diensten aan op het gebied van het versturen en ontvangen van e-mail via de dienst Registered Email®1. Meer specifiek zullen in dit advies de mogelijkheden worden besproken met betrekking tot het authentiseren van de partijen, het vaststellen van de inhoud, het leveren van bewijs van ontvangst en de omgang met persoonsgegevens gedurende dit proces. Om gebruik te kunnen maken van de Registered Email® dienst, moet de verzender zich allereerst te registreren, waarmee zijn identiteit wordt vastgelegd zodat deze verzender op een later moment geauthentiseerd kan worden. In dit kader kan gewerkt worden met het PKIcertificaat van een verzender of vindt authenticatie plaats in het kader van de totstandkoming van de overeenkomst, inclusief identificatie van de betreffende partij en verstrekking van betalingsgegevens. Voor de authenticatie van de verzender bij het versturen van e-mail worden verschillende opties aangeboden, waaronder een plug-in voor Microsoft Outlook® en Lotus Notes®. Wanneer er via de bij de plug-ins behorende “Send Registered”-knop e-mail verstuurd wordt, zal deze gekoppeld worden aan een unieke code die de geregistreerde verzender authentiseert. Alleen geautoriseerde en geauthentiseerde verzenders kunnen via Rpost e-mail versturen. Ontvangers van e-mail die op deze wijze wordt verstuurd hebben geen speciale software nodig om deze e-mail te kunnen ontvangen of de verzender daarvan te kunnen authentiseren. Registered Email®, RPost® en eSignOff® zijn geregistreerde merken in de Verenigde Staten van RPost Communications Limited. 1
Het vaststellen van de inhoud (inclusief bijlages) van via de Registered Email® dienst verstuurde e-mail is mogelijk doordat deze e-mail via de servers van RPost naar de ontvanger wordt verzonden. Ter verificatie van de inhoud van de e-mail, wordt een met Triple DES versleutelde kopie in combinatie met een SHA-1 'hash' aan het ontvangstbewijs gehecht (Registered Receipt). Op deze wijze kan de inhoud van een e-mail op een later moment worden geverifieerd, zonder dat de feitelijke inhoud van de e-mail daarvoor opgeslagen hoeft te worden door RPost. De hash-code van de originele e-mail kan als digitale vingerafdruk van de verstuurde e-mail worden gezien, terwijl de versleutelde kopie van de e-mail door RPost ontsleuteld kan worden tot de originele e-mail inclusief eventuele bijlages. Door het ontvangstbewijs van een bepaalde e-mail ter verificatie nogmaals naar RPost te sturen, kunnen de versleutelde versie en de bijbehorende hash-code van de originele e-mail met een onversleutelde versie vergeleken worden, om vast te stellen of de beide e-mails overeenkomen. De partij die de e-mail ter verificatie aan RPost voorlegt zal vervolgens een rapport ontvangen met een overzicht van de resultaten van de vergelijking en de originele inhoud van de e-mail. Naast het vaststellen van de authenticiteit van de verzender en de inhoud van de e-mail kan de Registered Email® dienst van RPost gebruikt worden om vast te stellen op welk tijdstip een email is verstuurd en ontvangen. In alle gevallen zal met behulp van de Registered Email® dienst kunnen worden aangetoond dat een e-mail is afgeleverd aan de e-mailserver van de ontvanger. Veelal zal daarnaast kunnen worden aangetoond dat een e-mail feitelijk door de ontvanger geopend is. Genoemde tijdstippen zijn gelinkt aan een atoomklok en worden standaard weergegeven in Coordinated Universal Time (UTC) en zo mogelijk ook in de lokale tijdzone.
Het leveren van bewijs met Registered Email® dienst in Nederland Het Nederlandse civiele recht kent een bewijsstelsel dat gekwalificeerd kan worden als gebaseerd op de vrije bewijsleer. Binnen dit stelsel kan bewijs worden geleverd door alle middelen, waarbij de waardering van het bewijs aan het oordeel van de rechter wordt overgelaten2, tenzij de wet voor specifieke gevallen anders heeft bepaald. In het algemeen geldt voor het leveren van bewijs de regel dat wie iets stelt ook degene is die het gestelde moet bewijzen. Feiten en rechten die door de ene partij in een conflict zijn gesteld worden als vaststaand aangenomen, tenzij ze door de andere partij voldoende gemotiveerd zijn betwist3. In de praktijk is de bewijslastverdeling tussen de partijen vaak bepalend voor de uitkomst van rechtszaken. Om deze reden wordt de bewijslast vaak gelijk gesteld aan een bewijsrisico. Om aan de bewijslast te kunnen voldoen zal overtuigend bewijs geleverd moeten worden, aangezien de beoordeling van het bewijs aan de rechter is overgelaten. Normaliter is het voor zowel de verzender als de ontvanger relatief eenvoudig om bepaalde aanpassingen aan een originele e-mail uit te voeren, zonder dat deze aanpassingen direct kenbaar zullen zijn. Zelfs als er met behulp van getuigenverklaringen vast zou komen te staan dat een e-mail met een bepaalde inhoud op een bepaald moment is verzonden, levert dit bovendien nog geen bewijs dat deze e-mail ook is ontvangen4. In het geval van een conflict kan de verzender normaliter dan ook niet voldoen aan de bewijslast die op hem of haar rust als de ontvangst van een e-mail 2
Artikel 152 lid 1 Wetboek van Burgerlijke Rechtsvordering Artikel 149 lid 1 Wetboek van Burgerlijke Rechtsvordering 4 Rb. Arnhem 6 maart 2006, LJN AV3919 3
gemotiveerd wordt betwist. De combinatie van de verschillende elementen van de Registered Email ® dienst leidt ertoe dat er overtuigend bewijs kan worden geleverd dat een e-mail met een door een onafhankelijke derde verifieerbare inhoud op een vastgesteld moment voor een identificeerbare ontvanger is afgeleverd. Zowel de verzender als de ontvanger kunnen de inhoud van een e-mail verifiëren door deze te laten vergelijken met de versleutelde versie van de via de Registered Email® dienst verzonden originele e-mail, als ze over het ontvangstbewijs beschikken. Op het moment dat een e-mail via de Registered Email® dienst wordt verzonden, wordt zowel het tijdstip van ontvangst als het tijdstip van aflevering aan de ontvanger door RPost vastgesteld. Om te bewijzen dat een e-mail ontvangen is, wordt de communicatie van het RPost Registration System™ met de mailserver van de ontvanger opgeslagen en de uitkomst van het proces omgezet in een voor leken leesbare status. In het geval van een betwisting van de ontvangst van de e-mail kan de volledige technische 'Delivery Audit Trail' overlegd worden, waaruit zal blijken dat de e-mailserver van de ontvanger de e-mail namens hem of haar op een vastgesteld tijdstip geaccepteerd heeft. In gevallen waarbij de ontvanger zijn e-mailadres voor een bepaald doel aan de verzender heeft verstrekt, is het risico dat een e-mail vervolgens de mailbox niet bereikt voor de ontvanger5. In andere gevallen kan er voor de volledigheid gebruik gemaakt worden van een bepaling in de algemene voorwaarden die ertoe strekt dat onder 'ontvangst' van e-mail aflevering aan de e-mailserver van de ontvanger zal worden verstaan. E-mail wordt tegenwoordig ook vaak gebruikt om overeenkomsten aan te gaan. Een overeenkomst wordt gesloten door aanbod en aanvaarding daarvan6. De vorm van deze verklaringen is vrij en de totstandkoming van een overeenkomst kan daarom onder andere op elektronische wijze7 of zelfs mondeling plaatsvinden. In het geval van betwisting en in het licht van hetgeen is beschreven met betrekking tot het Nederlandse bewijsstelsel, is het echter belangrijk dat de totstandkoming van de overeenkomst te bewijzen is. Wanneer een overeenkomst wordt gesloten met eSignOff® kan aangetoond worden dat de partijen, op een door een onafhankelijke derde vastgesteld moment, een niet te vervalsen tekst overeen zijn gekomen. Voor bepaalde overeenkomsten is wettelijk bepaald dat deze alleen in schriftelijke vorm geldig of onaantastbaar tot stand kunnen komen. Overeenkomsten die elektronisch (bijvoorbeeld via e-mail) tot stand komen voldoen ook aan deze eis als er aan vier criteria is voldaan. Deze vier criteria voor elektronische overeenkomsten zijn dat de overeenkomst raadpleegbaar moet zijn voor de partijen, de authenticiteit van de overeenkomst in voldoende mate is gewaarborgd en bovendien het moment van totstandkoming van de overeenkomst en de identiteit van de partijen met voldoende zekerheid kunnen worden vastgesteld8. De eSignOff® dienst van RPost kan dankzij de combinatie van de toegankelijkheid van e-mail, de bewijsbaarheid van de inhoud van de originele e-mail, de vaststelling van het tijdstip door 5
Krachtens artikel 3:37 lid 3 Burgerlijk Wetboek Artikel 6:217 lid 1 Burgerlijk Wetboek 7 Specifiek voor elektronische overeenkomsten geldt voorts het vereiste dat de ontvangst van de aanvaarding bevestigd moet worden. 8 Artikel 6:227a Burgerlijk Wetboek 6
een onafhankelijke derde en de authenticatie van de partijen dienen om aan deze vier criteria te voldoen. De eSignOff® dienst kan daarbij worden aangemerkt als een geavanceerde elektronische handtekening, die op unieke wijze aan de ondertekenaar is verbonden, het mogelijk maakt op de ondertekenaar te identificeren, tot stand komt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden en op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft is verbonden dat elke wijziging achteraf van de gegevens kan worden opgespoord9. In dit kader kan worden verwezen naar het feit dat de toegang tot de mailbox van de ontvanger onder zijn exclusieve controle kan worden gehouden en dat de ontvanger daarnaast kan worden geïdentificeerd aan de hand van zijn IP-adres in combinatie met de datum en tijd en de beweging van de muis waarmee een digitale representatie van een handtekening wordt gezet. Een geavanceerde elektronische handtekening zal in beginsel in alle lidstaten van Europa bewijsrechtelijk aangemerkt kunnen worden als equivalent aan de handgeschreven handtekening. Artikel 3:15a Burgerlijk Wetboek inzake de rechtsgeldigheid van elektronische handtekeningen is namelijk een uitwerking van artikel 5 van de Richtlijn 1999/93/EG betreffende een gemeenschappelijk kader voor elektronische handtekeningen. In deze richtlijn wordt lidstaten de verplichting op gelegd om geavanceerde elektronische handtekeningen die zijn gebaseerd op een gekwalificeerd certificaat en zijn aangemaakt door een veilig middel bewijsrechtelijk gelijk te stellen aan een handgeschreven handtekening. De rechtsgeldigheid van elektronische handtekeningen kan niet worden ontzegd op basis van het enkele feit dat een geavanceerde elektronische handtekening niet is gebaseerd op een door een gekwalificeerd of geaccrediteerd certificatiedienstverlener afgegeven certifcaat of niet met een veilig middel is aangemaakt.
Zorgplicht met betrekking tot persoonsgegevens en andere vertrouwelijke gegevens Indien persoonsgegevens worden verwerkt dienen de nodige maatregelen te worden genomen om de betreffende persoonsgegevens te beschermen. Vertrouwelijke gegevens zijn ook te zien als persoonsgegevens indien deze gegevens herleidbaar zijn tot een bepaald individu10. In Nederland wordt de omgang met persoonsgegevens beheerst door de Wet bescherming persoonsgegevens (hierna: Wbp), die een uitwerking is van de Europese richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Uit de Wbp volgt dat er sprake is van een zorgplicht van de verantwoordelijke, die zich uit in:
9
Beveiligingsplicht: volgens deze verplichting moet de geboden beveiliging bescherming bieden tegen 'verlies' of enige vorm van 'onrechtmatige verwerking' van persoonsgegevens. Dit kan worden gedaan door te zorgen dat de beveiliging dusdanig sterk is dat onbevoegden niet bij deze gegevens kunnen komen. Deze beveiligingsplicht is van toepassing op alle stappen die worden genomen betreffende het proces van gegevensverwerking.
Artikel 3:15a lid 2 Burgerlijk Wetboek Artikel 1 sub a Wet bescherming persoonsgegevens.
10
Passende technische en organisatorische maatregelen: de maatregelen dienen in overeenstemming te zijn met de stand van de techniek en de kosten van de maatregelen. De invulling van het criterium 'passende maatregelen' is niet nader ingevuld en wordt ter beoordeling van experts overgelaten. Het gebruik van encryptie wordt in dit kader gezien als een passende maatregel. Encryptie zorgt voor een versleuteling van de betreffende gegevens, als gevolg waarvan alleen degene die in bezit is van de juiste sleutel toegang kan verkrijgen tot de gegevens. Met encryptie kan derhalve worden voorkomen dat een onbevoegde derde zich toegang tot de gegevens kan verschaffen. Het gevolg van encryptie is dat de versleutelde gegevens niet meer aangemerkt kunnen worden als persoonsgegevens, tenzij iemand zowel over de versleutelde gegevens als de sleutel kan beschikt. Wat betreft het criterium van passende organisatorische maatregelen kan worden gedacht aan het minimaliseren van het aantal personen dat toegang heeft tot belangrijke computersystemen.
Voorkomen van onnodige verwerking: de genomen maatregelen dienen er verder mede op gericht te zijn om onnodige verwerking van persoonsgegevens te voorkomen. Uit de Kamerstukken volgt de volgende omschrijving: “het beschermen van de persoonlijke levenssfeer door middel van een samenhangend geheel van ICT-maatregelen waardoor persoonsgegevens worden verminderd of geëlimineerd en/of onnodige of ongewenste verwerking van persoonsgegevens wordt tegengegaan, zonder verlies van functionaliteit”11. Het gebruik van de techniek 'hashing' is hiervan een voorbeeld. Deze techniek houdt in dat er gebruikt gemaakt wordt van een hash-code die berekend wordt en die dient als een digitale vingerafdruk. Op deze wijze kan de authenticiteit van de originele data op een later moment vastgesteld worden, zonder dat deze data daarvoor door RPost hoeft te worden opgeslagen. Het gevolg van deze maatregel is dat onnodige verwerking van de betreffende gegevens wordt tegengegaan.
Indien niet wordt voldaan aan de eisen van de Wbp en iemand schade lijdt als gevolg van het feit dat met betrekking tot zijn gegevens in strijd is gehandeld met de Wbp of de daarop gebaseerde bepalingen, dan kan deze schade verhaald worden op de verantwoordelijke. Verder heeft het College bescherming persoonsgegevens bevoegdheden die dienen ter handhaving en naleving van de Wbp. De Wet bescherming persoonsgegevens ziet niet op de verwerking van bedrijfsgegevens en het bovenstaande is dus in principe niet wettelijk verplicht voor de verwerking van bedrijfsgegevens. Dit kan echter anders zijn indien de bedrijfsgegevens herleidbaar zijn tot een individu, zoals een werknemer of een klant, in welk geval deze gegevens wel de wettelijke bescherming van de Wbp genieten. Ook wanneer bedrijfsgegevens niet zijn aan te merken als persoonsgegevens in de zin van de Wbp, is dit echter nog geen vrijbrief om onzorgvuldig met deze gegevens om te springen. De verantwoordelijke moet zich gedragen naar de normen zoals in het 'maatschappelijke verkeer betaamt'. Als deze norm niet wordt nageleefd kan dit leiden tot een onrechtmatige daad12. Hier zou bijvoorbeeld sprake van kunnen zijn in het geval dat vertrouwelijke bedrijfsgegevens van een wederpartij in handen vallen een derde, terwijl dit relatief eenvoudig voorkomen had kunnen worden en daardoor de redelijke belangen van de wederpartij geschaad worden. 11 12
Kamerstukken II 1997/98, 25892, nr. 22; Hand. II 23 november 1999, nr. 25-1868. Artikel 6:162 lid 1 Burgerlijk Wetboek.
De omgang met persoons- en vertrouwelijke gegevens in het kader van Registered Email® Wanneer er gebruikt gemaakt wordt van de Registered Email® dienst zullen e-mails via de servers van RPost van de verzender naar de ontvanger worden verstuurd. Aangezien dergelijke e-mails persoonsgegevens kunnen bevatten is het van belang hoe RPost omgaat met dergelijke gegevens. Met de term persoonsgegevens wordt op alle gegevens gedoeld die kunnen dienen om een bepaald persoon te identificeren. Binnen de Europese Economische Ruimte mogen persoonsgegevens landsgrenzen overschrijden, maar deze mogen alleen naar derde landen worden verstuurd als deze landen een passend beschermingsniveau voor gegevensbescherming kennen13. Voor de Verenigde Staten betekent dit vereiste dat een passend beschermingsniveau alleen geboden wordt door bedrijven en organisaties die zich hebben verplicht om de Safe Harbor regels toe te passen. Deze regels houden in dat personen geïnformeerd moeten worden met betrekking tot hoe hun gegevens worden verzameld en gebruikt, personen de mogelijkheid moeten hebben tot opt-out voor het verzamelen en versturen van hun gegevens naar derden, gegevens alleen mogen worden verstuurd naar derden die zich ook aan de Safe Harbor regels hebben verbonden, er redelijke maatregelen moeten worden genomen ter beveiliging van de gegevens en om de integriteit van de gegevens zeker te stellen, personen informatie die over hen is verzameld moeten kunnen corrigeren en laten verwijderen en dat er effectieve procedures moeten zijn om zeker te stellen dat de regels worden nageleefd14. In het kader van de Registered Email® dienst worden e-mails die potentieel persoonsgegevens bevatten verstuurd via servers in de Verenigde Staten. RPost is sinds januari 2008 Safe Harbor gecertificeerd om dergelijke persoonsgegevens uit de Europese Unie (die de Europese Economische Ruimte omvat) te mogen ontvangen15. Specifiek wat betreft de uitvoering van de Registered Email® dienst kan verder opgemerkt worden dat via RPost verstuurde e-mails niet integraal door RPost opgeslagen hoeven te worden om de inhoud daarvan op een later moment te kunnen verifiëren. Op basis van de inhoud van de e-mails wordt een hash-code berekend die als digitale vingerafdruk van de email dient, aan de hand waarvan de feitelijke verificatie van verzonden e-mails plaats vindt. Daarnaast is het mogelijk om de inhoud en bijlages van met behulp van de Registered Email® dienst te versleutelen, als gevolg waarvan de versleutelde inhoud en bijlages niet meer aangemerkt kunnen worden als persoonsgegevens tijdens de verzending. Deze twee technische omstandigheden zorgen ervoor dat de toegestane verwerkingen van persoonsgegevens door RPost in de praktijk ook tot het minimum beperkt kunnen worden.
Artikel 76 Wet Bescherming Persoonsgegevens Export.gov, U.S.-EU Safe Harbor Overview, 03/02/2011
15 Export.gov, Safe Harbor - Organization Information, 28-03-2011 13 14
Conclusie met betrekking tot de dienstverlening van RPost Met behulp van de Registered Email® dienst kan bewijs worden geleverd dat een e-mail met een vast te stellen inhoud (inclusief bijlage) op een door een onafhankelijke derde vastgesteld moment is verzonden door een geverifieerde verzender en afgeleverd aan de ontvanger. De Registered Email® dienst levert onder de besproken omstandigheden voldoende bewijs om te voldoen aan de bewijsopdracht die op een verzender van een e-mail zal rusten in geval van betwisting door een wederpartij. De Registered Email® dienst kan in combinatie met eSignOff® gebruikt worden om online overeenkomsten aan te gaan, inclusief overeenkomsten die normaliter schriftelijk zouden moeten worden aangegaan. De bewijswaarde van een dergelijke geavanceerde elektronische handtekening is in Europa geharmoniseerd door Richtlijn 1999/93/EG. RPost is Safe Harbor gecertificeerd en in dat kader bevoegd persoonsgegevens uit de Europese Unie en Europese Economische Ruimte te ontvangen. De verwerking van persoonsgegevens kan daarbij tot een minimum worden beperkt door gebruik te maken van hashing en encryptie. Op deze wijze kan een invulling worden gegeven aan de plicht om op een verantwoorde wijze om te gaan met persoonsgegevens en andere vertrouwelijke informatie.
