Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rechtbanken maakten fouten met tweefactorauthenticatie van uitspraken

Rechters en griffiers hebben sommige digitale uitspraken niet volgens de wet ondertekend, zegt de Raad van State. Dit moest met tweefactorauthenticatie gebeuren, maar soms werd dezelfde authenticatiemethode twee keer gebruikt. De Rechtspraak gaat de werkwijze aanpassen.

Rechters en griffiers ondertekenen sinds 29 maart uitspraken in asiel- en bewaringszaken digitaal, schrijft de Raad van State. Daarbij moet volgens de wet gebruik worden gemaakt van tweefactorauthenticatie, om de betrouwbaarheid van de koppeling tussen de identiteit van de ondertekenaars en de uitspraak te waarborgen. In sommige gevallen is hier volgens de Raad van State echter niet aan voldaan. De problemen zouden optreden als de rechters of griffiers gebruikmaken van vaste of mobiele werkplekken van de Rechtspraak, ofwel autonome onderdelen die betrokken zijn bij het rechtssysteem.

Wanneer rechters en griffiers gebruikmaken van een mobiele werkplek om een uitspraak digitaal te ondertekenen, wordt bijvoorbeeld twee keer dezelfde authenticatiemethode gebruikt, schrijft de Raad van State. Welke methodes dat zijn, zegt de Raad niet, maar dit zou bijvoorbeeld kunnen betekenen dat gebruikers twee keer met een inlognaam en wachtwoord moeten inloggen.

Als rechters en griffiers gebruik willen maken van een vaste werkplek van de Rechtspraak, moeten ze inloggen met een Rijkspas, een smartcard voor ambtenaren. Dit is volgens de Raad van State geen authenticatiemethode, al wordt er geen reden gegeven waarom dit niet als authenticatiemethode wordt gezien. Als rechters en griffiers gebruikmaken van een 'eigen', mobiele werkplek, wordt volgens de Raad van State wel aan de wettelijke eisen voldaan.

Volgens de Raad van State is aan een uitspraak niet te zien vanaf welke werkplek de rechter en de griffier deze hebben ondertekend. Het is dan ook niet te zien of de uitspraak is geautoriseerd met tweefactorauthenticatie. Daarom worden uitspraken in asiel- en bewaringszaken nu weer met een geschreven handtekening ondertekend. De Rechtspraak zegt de werkwijze voor de digitale handtekening ook aan te passen om wel aan de wet te kunnen voldoen. Ook voor digitale civiele zaken zal de nieuwe werkwijze worden gebruikt. Binnen het strafrecht wordt volgens de Rechtspraak een 'andere digitale handtekening' gebruikt. Deze uitspraak van de Raad van State heeft voor het strafrecht dan ook geen consequenties.

Hoewel bepaalde uitspraken niet op de juiste manier zijn ondertekend, heeft dit geen gevolgen voor eerdere uitspraken, schrijft de Raad van State. Pas als er een hoger beroep wordt ingesteld en er over de ondertekening wordt geklaagd, zal de afdeling bestuursrechtspraak daar een oordeel over vellen.

Door Hayte Hugo

Stagiair nieuwsredactie

01-05-2019 • 11:31

36 Linkedin Google+

Reacties (36)

Wijzig sortering
Als het systeem van strafrecht wel werkt, waarom gebruiken de andere rechtbanken dat niet? Lijkt mij een beetje kapitaalvernietiging om allemaal wat anders te gebruiken.

Of nog verder. Digitaal ondertekenen is niet iets dat alleen rechtbanken doen. Waarom heeft de overheid niet gewoon 1 systeem?
Waarom heeft de overheid niet gewoon 1 systeem?
Omdat 'de overheid' niet 1 bedrijf is.

Idealiter zou je alles gelijktrekken maar in de praktijk kan zo'n organisatie enorm complex worden met ontzettend veel variabelen en afhankelijkheden. Daar wordt het echt niet beter van en komt de beheersbaarheid ook niet automatisch ten goede.

Edit: Quote toegevoegd.

[Reactie gewijzigd door Evanescent op 1 mei 2019 13:19]

Ja, dat vraag ik me ook af terwijl we bijvoorbeeld een mooi PKI-O persoonsgebonden certificaat hebben, wat ook nog aan de Rijkspas gehangen kan worden..
Maar het is de onafhankelijke rechtelijke macht die waarschijnlijk roet in het eten gooit.
Tja, dit is dus niet heel fraai... Ten eerste omdat het (kennelijk) niet duidelijk is wanneer een uitspraak (digitaal) ondertekend is en wanneer niet. Ten tweede omdat daarmee dus mogelijk een formeel gebrek ontstaat in uitspraken.

Juridisch gezien zal het wel meevallen. De appellanten zijn immers niet in hun processuele belang geschaad. Eigenlijk is het te vergelijken met 'uitspraak had met blauwe pen ondertekend moeten worden, maar het was gedaan met een zwarte'. Niet netjes, maar ook niet fataal.

Wat wel zou kunnen, is dat veel appellanten hun kans schoon zien voor een hoger beroep of een herziening. Mijn verwachting is dat zij van de koude kermis thuiskomen: het oordeel zal waarschijnlijk zijn dat dit een herstelbaar gebrek, zonder (verder) effect op rechtsposities. Het zal dus alleen veel extra werk kunnen betekenen...
Ik denk dat als je je voorbeeld van een pen hanteert dat, gezien het een verificatie is het volgende voorbeeld meer van toepassing is:

Uitspraak is door Hans ondertekend, maar misschien was het niet Hans.

En dat is wel fataal.
Je weet pas of iemand geschaad is als je alle uitspraken helemaal laat controleren door de rechter die ze digitaal ondertekent hadden. Pas als die bevestigen dat de ondertekende uitspraak inderdaad correct en door hen ondertekent is, weet je of iemand geschaad is of niet.

Eigenlijk zegt de hoge raad dat 2FA helemaal niet nodig is voor rechters want ze verwachten geen fraude met uitspraken. Ze gaan er vanuit dat alles gewoon klopt en zien geen enkele reden om e.e.a. te onderzoeken, zolang er niemand klaagt over zijn uitspraak. Aangezien niemand kan overzien of de uitspraak aangepast is of niet, is de kans dat er klachten komen ook erg klein.

Dus omdat niemand het weet, zowel de rechter niet als degene die de uitspraak betreft niet, blijven de uitspraken gewoon van kracht.
Om hier nou de schuld bij rechters en griffiers te leggen met de tekst 'ze maakten fouten', is misschien wat oneerlijk. Normale IT kennis bij dit 'volk' is niet denderend en het verschil herkennen tussen 2x authenticatie die wel 2 factoren bevat of niet , is niet echt te verwachten van 'dat soort gebruikers'.

en dan bedoel ik de '' niet als denigrerend :)
Het IT systeem moet niet eens toestaan dat op een niet-legale wijze wordt ondertekend. Oorzaak/schuld ligt dus bij de instantie die de eisen voor het systeem heeft opgesteld of onvoldoende heeft toegezien dat dit correct is geïmplementeerd.
Dat was mijn gedachte ook, ja. Het feit dat het kan is een probleem, niet dat rechters de gemakkelijkste aangeboden manier kiezen om hun taken uit te voeren.
Sterker nog, als ze de makkelijkste weg kiezer (mobiele werkplek) dan gaat het wél goed. Kiezen ze er voor om naar kantoor te komen en daar te ondertekenen, dán gaat het mis...
Deels ook wel mee eens. Toch een kanttekening hierbij. Binnen ons bedrijf hadden we voor bijvoorbeeld de beruchte cookie wetgeving 5 juristen er op zitten om alle plannen, software ontwikkelingen en het uiteindelijke product te "reviewen" aan de hand van de wetgeving. Er zijn best een aantal gevallen geweest waar zelfs zij niet wisten of het wel of niet afdoende was en in veel gevallen navraag bij instanties ook geen duidelijkheid bracht.

Uiteindelijk komt het er vaak op neer mocht het tot een rechtzaak komen dan gaan we er vanuit dat het goed zit zo niet dan zien we het dan wel weer. Als ik naar de uitspraaken kijk staat er niet dat het in zijn geheel niet gehandhaafd is maar in bepaalde senarios niet afdoende is.

Ergens snap ik de uitleg wel maar verbaas me ook wel weer dat Bitlocker niet gezien wordt als authenticatie. We gebruiken dat ook in het bedrijf. Zeg maar login laptop, login external server, end to end communicatie maar kennelijk is dat dus geen 2 factor authenticatie.
Logisch, zou ik zeggen. Bitlocker beschermt tegen het kwaadaardig overnemen van het systeem van de gebruiker, maar niet tegen het impersoneren van de gebruiker. Daar is een MFA-authenticatiesysteem voor nodig.
In een deel ben ik het ook met je eens maar zoals het aangegeven spreekt die wetgeving over 2FA. Als je dan kijkt naar bijvoorbeeld Wikipedia uitleg.

"Two-factor authentication (also known as 2FA) is a type, or subset, of multi-factor authentication. It is a method of confirming users' claimed identities by using a combination of two different factors: 1) something they know, 2) something they have, or 3) something they are."

Dus iets wat men weet: login naam wachtwoord
Iets wat men heeft: Persoonlijk met Bitlocker beveiligd systeem

Maargoed ik begrijp de uitleg ook wel weer dat het in sommige gevallen niet het beoogde doel bereikte.
Dat het IT het niet goed voor elkaar heeft ben ik met je eens. Maar dat het makkelijker kan betekent niet altijd dat het rechtvaardig is. Als ze er bewust (dus echt wetende dat het verkeerd is) voor kiezen om iets te doen wat tegen de regels is dan vind ik wel dat er ook schuld bij de rechters. Als ik naar me moeder moet rijden met de auto moet ik helemaal omrijden. Zou ik een stukje over de fietspad willen rijden dan kan ik er 2/3 minuten sneller zijn. Maar als de politie het ziet dan kan ik ook niet zeggen van "dit is makkelijker dus ik daarom geen straf".
Daarbij is duidelijk aangegeven dat het niet mag (borden, rode wegkleur). Echter lees ik niet terug uit het artikel dat er duidelijk stond aangegeven "Deze optie mag niet meer gebruikt worden". Als ze dat hadden aangegeven was dat ook wel geblokkeerd.
Ook al staat het er niet duidelijk aangegeven betekent niet dat het wel/niet mag. Er zijn blijkbaar regels opgesteld wat bepaalt waar de rechters aan moeten houden. Anders waren ze ook niet de fout in gegaan. Nu weet ik niet of het bewust of onbewuste fout ging maar als ze het bewust gedaan hebben dan hebben ze dus wel die regels overtreden ook al was het niet geblokkeerd of goed aangegeven. Anders kan ik ook zeggen van als de gemeente niet wou dat ik op de fietspad ging rijden dan hadden ze wel de pad smaller gemaakt (al is dit juist bewust zo breed gemaakt zodat de ambulance erdoor kan).
Ik worstelde al wat met de kop, maar bij deze lezing had ik niet bij stilgestaan. Bedankt voor de feedback, we hebben het aangepast naar iets dat beter de lading dekt :)
fair enough, huidige kop dekt het idd stuk beter :)
Wow, waarom krijgt Orion64 een -1?
Het staat zelfs in het artikel
Hoewel bepaalde uitspraken niet op de juiste manier zijn ondertekend, heeft dit geen gevolgen voor eerdere uitspraken, schrijft de Raad van State. Pas als er een hoger beroep wordt ingesteld en er over de ondertekening wordt geklaagd, zal de afdeling bestuursrechtspraak daar een oordeel over vellen.
Het punten systeem zouden beter afschaffen het trekt op niets, je mist heel vaak terechte opmerkingen
Welke methodes dat zijn, zegt de Raad niet, maar dit zou bijvoorbeeld kunnen betekenen dat gebruikers twee keer met een inlognaam en wachtwoord moeten inloggen.
Dit lijkt mij toch wel vreemd. Het lijkt mij niet de bedoeling van 2FA dat twee keer dezelfde methode wordt gebruikt, laat staan met andere inloggegevens. Als dus die 2FA te omzeilen is op deze manier dan is dat wel een ontzettend zwakke policy of zelfs implementatie.
Volgens de Raad van State is aan een uitspraak niet te zien vanaf welke werkplek de rechter en de griffier deze hebben ondertekend. Het is dan ook niet te zien of de uitspraak is geautoriseerd met tweefactorauthenticatie.
Oke, auw. Laten we iets implementeren zodat we digitaal dingen kunnen ondertekenen en laten we daar vervolgens niks mee doen, ach weet je, het hoeft alleen op maandag :Y)

[Reactie gewijzigd door Ventieldopje op 1 mei 2019 11:52]

Tussen de regels door lees je zelfs welke methode twee maal gebruikt wordt ;)
Waarmee het gewoner lijkt, totdat inderdaad zo als nu iemand de hele keten bekijkt.
Een 'natte' handtekening heeft het rechtsvermoeden dat deze wordt geacht te zijn van degene die ondertekend heeft, tenzij het tegendeel wordt bewezen. De digitale variant ervan is de gekwalificeerde elektronische handtekening (stukje hardware in combinatie met een certificaat). Die heeft ook dat rechtsvermoeden. Kennelijk is deze bij de ondertekening van gerechtelijke uitspraken niet (altijd) gebruikt. Bij een gekwalificeerde elektronische handtekening worden de inloggegevens duurzaam gehecht aan het te ondertekenen document.

De twee andere elektronische varianten hebben dat niet. De geavanceerd elektronische handtekening (alleen certificaat/hardware) en de 'gewone' elektronische handtekening ('groetjes Bert onder een e-mail b.v.) mogen gerust gebruikt worden mits er voldoende betrouwbaarheid en vertrouwelijkheid wordt betracht: duidelijk moet zijn wie ondertekend heeft, en dat deze ten tijde van die ondertekening ook bevoegd was.

Afhankelijk van het te ondertekenen document kan er dus gevarieerd worden in het gebruik van de ondertekening. Logging in een DMS-systeem met alleen een organisatiecertificaat komt ook voor. Bij een geschil over de rechtsgeldigheid van een ondertekening, moet je als organisatie uiteindelijk bij een rechter gaan uitleggen dat je proces goed in elkaar zit. En dit maakt het topic wel komisch vind ik! ;-)

Voor de duidelijkheid: een DigiD is géén elektronische handtekening, maar slechts een inlogcode. De gegevens worden immers niet duurzaam gehecht aan de, bijvoorbeeld aanvraag die je ermee wilt doen. De rijksoverheid heeft bepaald dat een overheid van een burger geen andere variant mag verlangen.
Mogelijk tijdelijke loophole voor wat asielzoekers en inbewaringstellingen met slimme advocaten...
Rechters en griffiers ondertekenen sinds 29 maart uitspraken in asiel- en bewaringszaken digitaal, schrijft de Raad van State.
Even het artikel lezen ;)
Daar heb je gelijk in maar het is wel erg belangrijk voor de echtheid van de uitspraak. Zonder 2FA is het gewoon een digitale uitspraak zonder handtekening, bij wijze van spreken.
ondertussen maken wij ons druk om de laatste hype: 2FA

bedoelde ik maar :P

ondertussen leggen ze wel DigID en iDIN overal op, waarom gebruiken ze zelf niet hun eigen systemen dan aangezien die zo geweldig zijn voor authenticiteit

[Reactie gewijzigd door Stealthy op 1 mei 2019 12:30]

Het klinkt misschien vreemd voor IT-autisten, maar bij rechtspraak zijn ook nog gewoon mensen betrokken. En die hebben gezien en gehoord wat de uitspraak was. Gewoon geldig dus nadat de kleine glitch is opgelost. Tegenwoordig wordt echt ieder klein foutje opgeblazen. Maar goed, ik snap wel dat je zoiets doet als je iedere dag nieuws moet brengen zonder dat er iets serieus te melden valt.
Dat blijkt ook uit het oorspronkelijke artikel, want de oplossing is gewoon verificatie bij diegene die de uitspraak gedaan hebben....en een tijdelijke oplossing voor het ontbreken van een goede handtekening hebben ze ook alweer gevonden. Gewoon old school een krabbel door de griffier en de rechter met PEN.

Heel eerlijk gezegd begrijp ik niet dat dit niet gewoon gehandhaafd is. De uitspraak is geldig als deze is ondertekend met pen, want dat biedt allerlei voordelen: betrouwbaar, verifieerbaar, persoonlijk, goedkoop, continu. Dat er daarnaast voor toevoeging aan een elektronisch dossier nog verificatie-eisen zijn is natuurlijk wel degelijk nodig, ook juridisch, maar dat zou niet moeten gelden voor de geldigheid van de uitspraak.
Uitspraken ondertekenen met pen heeft de voordelen die je noemt, maar ook nadelen. Zo moet een uitspraak geprint, vervoerd, getekend, opnieuw vervoerd en gearchiveerd worden. Voor een enkele uitspraak zijn die handelingen vrij klein, maar alle uitspraken bij elkaar genereren zo toch een heleboel logistiek en administratie, wat weer kosten met zich meebrengt. De rechtbanken zijn mede daarom al jaren bezig om veel zaken te digitaliseren. Dan is het tekenen een kwestie van (simpel gezegd) klikken en klaar, zonder dat daar een printer, papier en archivaris aan te pas hoeven te komen.
Dat "klikken en klaar" is natuurlijk de belofte in de offerte van de IT-dienstverlener, maar valt in de praktijk zo blijkt weer erg tegen. Naast klikken en klaar moet namelijk een hele architectuur ontworpen worden, gebruikers geïnstrueerd, inloggegevens gedistribueerd, dan moet het nog compatibel zijn met diverse systemen, en alsof dat nog niet genoeg is moet het ook nog opgeslagen worden en gedurende hele lange tijd controleerbaar en verifieerbaar zijn.

Begrijp mij niet verkeerd. Ik zie heus voor grote delen van het dossier de toegevoegde waarde van digitalisering. Als het gaat om processtukken en dan met name producties van de eiser of verweerder, want dat zijn vaak hele rapporten (denk aan jaarstukken, personeelsdossiers, onderzoeksrapporten en vertalingen), zijn de voordelen legio. Belangrijkste bijkomend voordeel van digitalisering daarbij is nu juist dat het zoekraken van dossieronderdelen moeilijker wordt, omdat dit niet meer verzand in kopieerapparaten, de posterijen, dossierkasten, bureaulades, etc.

Echter juist in het sluitstuk van een zaak, waarbij zowel de rechter als de griffier persoonlijk betrokken zijn, zie ik de meerwaarde nu juist niet. Een gemiddelde uitspraak telt, met diverse uitzonderingen, vaak slechts 2 of 3 kantjes. Uitprinten en handmatig ondertekenen, goede scanapparatuur bij de griffier* en weer uploaden (met 2FA) levert nauwelijks problemen noch extra administratie op, met name omdat het gros van de uitspraken altijd nog per post betekend wordt.

toevoeging: * = staat natuurlijk weer haaks op het (ridicule) beleid om overal flexplekken te creëren

[Reactie gewijzigd door FilipSP op 1 mei 2019 15:39]

De invoering van elk systeem kost een flinke hoop geld, die hopelijk in de loop der tijd wordt terugverdiend. Een deel van de investering is er al, de medewerkers hebben namelijk al beveiligde inlogaccounts om in het system te werken. We speken dus eigenlijk alleen over een uitbreiding met een module om te ondertekenen.

Digitaal tekenen voorkomt de stap van printen, handtekening zetten met pen, scannen en daarna het origineel op verantwoorde wijze archiveren of vernietigen. Het komt ook de flexibiliteit ten goede (wat je ook van flexplekken an sich vindt) omdat je voldoende hebt aan een laptop en het 2FA-spul dat er toch al is.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True