Nederlandse Rechtspraak vervangt in 2022 fax door Veilig Mailen

De Nederlandse Rechtspraak gaat vanaf 2022 de fax uitfaseren. De Rechtspraak stapt over op Veilig Mailen om versleutelde digitale communicatie mogelijk te maken. Veilig Mailen heeft dezelfde juridische status als faxen.

Het nieuwe beleid gaat vanaf 1 februari 2022 in, schrijft de Rechtspraak, de overkoepelende organisatie voor rechtbanken en het juridisch stelsel. De fax is op dit moment nog populair in het gerecht. Maandelijks ontvangen rechtbanken 30.000 faxen en worden er 3500 verstuurd. De Rechtspraak moet daar echter mee stoppen omdat KPN stopt met het aanbieden van een ISDN-verbinding waar faxen nu over worden verstuurd.

De Rechtspraak gaat voortaan gebruikmaken van de Veilig Mailen-standaard van Zivver. Het was al langer mogelijk om via Veilig Mailen te communiceren met de rechtbank. Dat werd mogelijk gemaakt in april vorig jaar, toen de coronacrisis net volop bezig was. Omdat veel advocaten en rechters vanuit huis moesten werken werd Veilig Mailen als communicatiemiddel toegevoegd. De Rechtspraak heeft nu besloten Veilig Mailen definitief te gebruiken.

Veilig Mailen is vorig jaar officieel goedgekeurd als veilig communicatiemiddel. Het heeft daarmee dezelfde juridische status als een faxbericht. Dat betekent dat het dezelfde eisen heeft voor betrouwbaarheid en veiligheid. Veilig Mailen valt voortaan onder de NEN-norm NTA 7530. Naast veiligheid zorgt die er ook voor dat kan worden aangetoond dat een bericht is verstuurd en ontvangen. Ook krijgen verzenders een ontvangstbevestiging.

Vanaf 1 februari kan iedereen, inclusief burgers, een e-mail opstellen naar de Rechtspraak. Dat kan via rechtspraak.nl. Daarbij hebben verzenders zelf geen abonnement nodig op Veilig Mailen. De Rechtspraak maakt gebruik van Zivver, maar verzenders kunnen zelf kiezen voor andere aanbieders. Die moeten dan wel aan de NEN-norm voldoen. De Rechtspraak zegt dat fysieke post ook nog steeds kan worden gestuurd.

Door Tijs Hofmans

Nieuwscoördinator

30-09-2021 • 14:44

179 Linkedin

Reacties (179)

179
176
109
13
0
50
Wijzig sortering
Zivver... |:( Twee interessante ervaringen.

De eerste is vrij actueel, we hebben hier al anderhalve week problemen met de webversie. Gevolg is dat een groot deel van ons personeel überhaupt niet kon mailen. Ook niet 'onveilig', gewoon helemaal niet. Inmiddels zijn er wat workarounds om te kunnen mailen, maar kom op zeg.

De tweede ervaring was ook erg bijzonder. Ik had een lijst met mailadressen om te mailen, alles netjes in de BCC en mezelf in het Aan-vak. Zivver zeurde dat er een geadresseerde dubbel in de lijst stond, dat was onveilig. Maar dat was op te lossen door op een knopje in de pop-up te klikken, dus ik doe dat netjes. En wat doet Zivver? Die haalt het betreffende dubbele adres netjes tweemaal weg, om het toe te voegen aan het Aan-vak en daarna de mail direct te versturen. Hoppa, datalek veroorzaakt door Zivver... :X

[Reactie gewijzigd door ari op 30 september 2021 17:27]

Even gemeld bij Zivver - wie weet fixen ze het :)
Dat had ik ook direct gedaan, nadat ik had achterhaald dat de oorzaak niet bij mezelf lag. Helaas duurde dat even, dus ik heb me toch wel even behoorlijk naar gevoeld van dat hele gebeuren.
Die laatste is wel echt een gore bug ja. Het wordt tijd voor een audit.
Een beveiligingsincident is niet meteen een datalek. Als alle ontvangende partijen aan te merken zijn als 'betrouwbare ontvangers' dan kan je concluderen dat er geen sprake is van een inbreuk. Of als de ontvangers toch al toegang hadden tot het gelekte op een andere manier.

Nu is bij e-mails vaak geen van beide het geval... maar toch.
Het niet bij gegevens kunnen is ook een datalek
Technisch gezien is dat een inbreuk in de beschikbaarheid van persoonsgegevens en geen datalek, maar dat komt door dat de term datalek foutief gebruikt wordt in Nederland.

Maar dat gaat over het 1e voorbeeld wat ari gaf, ik had het over het 2e voorbeeld. Overigens moet het mailen van persoonsgegevens nooit onderdeel zijn van je kernproces, waardoor de onbeschikbaarheid van e-mail eigenlijk niet mag leiden tot een inbreuk. Dan is je proces gewoon slecht ingericht.
Het ging om een groep van 50 personen, ouders van kinderen in een specifieke klas. Of we alle ontvangers dan als 'betrouwbaar' kunnen aanmerken, ik hoop het wel. Ik zal het voortaan een beveiligingsincident noemen, hoewel ik toch denk dat data terechtgekomen is bij mensen die geen toegang hadden moeten hebben tot die data.
Zivver? Waarvan zie die Outlook plugin niet stabiel kunnen krijgen :'(
Outlook plugins zijn ook een draak om te bouwen en onderhouden, je mag bijna niks van Microsoft. Wij hebben een concurrerend product, en werkt de plugin (in principe API naar onze omgeving) in basis goed, maar er zijn bepaalde zaken niet te regelen waardoor het allemaal net niet is.
Die Zivver werkt wel mooi, maar is echt mega-overpriced. Duur waar je eng van wordt.

Ik hoop dat er 'snel' concurrenten komen die 3/4 kunnen voor 1/5 van de prijs. Moet makkelijk kunnen denk ik.
Over wat voor kosten hebben we het dan?
zonder de sales afdeling te bellen kom ik op minimaal €5.44 per gebruiker per maand als je drie jaar vooruit betaalt. Maar als je de feature list erbij pakt denk ik dat ze bij de rechtbank eerder het Ultimate pakket willen (want compliance) en dat is minimaal €9.73 per maand per gebruiker als je drie jaar vooruit betaalt.

https://www.zivver.com/pricing
Wij maken gebruik van Filecap bij diverse klanten. Is erg vergelijkbaar en betaalbaarder. Er zijn meerdere alternatieven, maar die zijn buiten de EU of heeft een Duitse logica. En Office 365 heeft de functie ingebouwd.

[Reactie gewijzigd door joenevd op 30 september 2021 17:58]

Smartlockr is ook een Nederlands alternatief
In welk opzicht niet stabiel? Ervaring mee als gebruiker of beheerder?
ik als Exchange beheerder bij een x aantal gemeentes. Raar gedrag van de Zivver Outlook add-in zorgt ervoor dat er in sommige mailboxen een map genaamd "contactpersoonX" wordt aangemaakt (met opvolgnr).
Of dat je een bericht hebt, inlogt en toch geen bericht ziet. Ik vind het echt een nachtmerrie dat Zivver. Aan/uit zetten steeds, echt onwerkbaar binnen justitie.

Ben wel blij dat die fax verdwijnt. Uitprinten, ondertekenen, faxen.
Ik hoop toch echt dat zij zichzelf dit besparen 8)7 8)7
Alles beter dan het Lotus Notes gedrocht waar vrij veel departementen nog mee werken.
Jemig bestaat dat nog. Lotus Notes was al iets wat op zijn retour was in mijn jeugd... in de jaren 90. Duidelijk de software versie van onkruid dan.
Tuurlijk, in mijn vorige firma werd het pas in 2018 uitgefaseerd. En ondanks de vele tekortkomingen merk je dan ook ineens dat het toch ook wel zijn sterke kanten had.
Lotus Notes komt nog voor bij o.a. het Europees octrooibureau (die werkten ook met faxen... om dezelfde reden als de rechtbank) en bij bedrijven die veel met ministeries emailen, waarschijnlijk ook vanwege security, al weet ik niet welke. Ik heb inderdaad vijf jaar geleden nog met Lotus Notes gewerkt, en mis het nog geen enkele dag.
Nou, echt he. Al sinds dat ik dit gebruik werkt de Outlook plug-in niet goed.
Wij hebben zivver bij 15-20 klanten van ons geïmplementeerd en zij hebben 0 problemen met Zivver, zodra ik de registry keys aanpas dat de outlook plugin actief blijft werkt alles echt heel erg goed.
Same hier voor een klant.

Nu overgestapt naar Microsoft Exchange met Azure Protection Information.
Alleen willen op de Outlook Clients lokaal geen Sjablonen voor veiligheid geladen worden.
De IRE van Microsoft met labels.

Zivver verwijderen van het systeem heeft niet geholpen.
Outlook verwijderen+regedit verwijzigen ook niet geholpen.

Toch nog ergens Zivver heel ver verweven in het systeem? :|
Want in de Outlook online werkt het wel.

Ook snap ik het niet waarom er nog gefaxt wordt, hoe lang bestaat beveiligd emailen wel niet??
En ze kunnen ipv Zivver toch ook gewoon Microsoft Azure Information Protection gebruiken, zodat je vanuit alle programma’s beveiligd kan mailen.

[Reactie gewijzigd door mrooie op 1 oktober 2021 06:34]

Oef. Zivver heeft echt een enorm brakke grafapp. De webversie is so/so, maar die app is echt walgelijk. Dan nog liever faxen eigenlijk, maar alé.
De meeste organisaties gebruiken Outlook i.c.m. de Zivver Office Plug-in om direct vanuit Outlook veilig te mailen. Zo hoeft de gebruiker niet een andere applicatie te gebruiken om normale en veilige berichten te versturen en ontvangen.
Dat zou kunnen, maar verandert niets aan wat ik zei. :P Ik gebruik geen Outlook, zal dat ook niet doen, en verwacht gewoon een fatsoenlijk werkende app. Zivver krijgt het al meer dan een jaar niet eens voor elkaar om het tekstveld goed te laten functioneren en die bug zou "zo spoedig mogelijk" opgelost worden. En dan hebben we het dus over een extreem basale functie die al niet goed functioneert.
Hebben ze überhaupt software (non-web) die op iets anders dan Windows draait?
Heb het geprobeerd op hun website te vinden
Jazeker, zo hebben ze een app voor iOS. Die dus nogal wat problemen heeft. :P
:)
Al bedoelde ik meer in trant van Mac OS en Linux ;)
Ja en dan krijg je voor ieder normaal ticket mat een basale vraag zonder enige vertrouwelijke of persoonsgegevens een Zivver-mail in je helpdesk mailbox/applicatie, met een 2e mail er naast met de code zodra je die wil en voor iedere volgende mail dubbele tickets omdat zivver de ticket-id uit het subject weghaalt om mysterieuze redenen.

Doffe ellende. Veel van onze klanten zijn gemeentes en ze gebruiken of Zivver of ZorgMail; ook al zo'n halfbakken oplossing. In vrijwel alle gevallen komt de 2FA mail gewoon binnen op dezelfde mailbox.
Je ontvangt dan waarschijnlijk een verificatiecode. Deze verificatiecode is geen 2FA. De verificatiecode wordt gebruikt om de ontvanger zijn mailadres te laten bevestigen. Dit om te voorkomen dat je het notificatiebericht kan doorsturen en dat de ontvanger het doorgestuurde bericht kan gebruiken, om de veilige mail te lezen.
Als je het notificatiebericht (een mailtje) door kunt sturen, wat verhindert je dan om de verificatiecode (ook een mailtje, in dezelfde mailbox) ook door te sturen?

"We willen zeker weten dat degene die deze mail leest deze mail kan lezen, dus we sturen nóg een mailtje naar die mailbox"... De eerste helft is al een rare gedachte, laat staan die tweede...
Je kan inderdaad ook de verificatiecode nog doorsturen, maar dan moeten er dus al 2 stappen plaatsvinden: het notificatiebericht doorsturen plus de mail met daarin de verificatiecode doorsturen. Niet onmogelijk, maar wel onrealistischer dat dit beide gebeurt. En nogmaals: de verificatiecode is geen vervanger voor een 2FA. Maar wel een stapje beter dan een normaal, onveilig bericht versturen.
Ik zou dat niet onrealistisch durven noemen. Een regel in Outlook die alles doorstuurt, stuurt alles door, en als ik handmatig een mailtje door wil sturen dat een ander mailtje nodig heeft om het eerste mailtje te kunnen lezen, waarom zou ik dan alleen het eerste mailtje doorsturen?

Ik blijf het raar vinden...
Heb paar keer te maken gehad met Zivver mails. Verschrikkelijk.
Zivver werkt inderdaad alleen met een plugin. E-mails verstuurd via een smartphone of webmail worden niet veilig verstuurd. Jammer, want je wilt dat alle mail mogelijkheden veilige mail verstuurd.
Via de iOS-app worden ze vziw en wat ze in hun beschrijving zeggen encrypted verstuurd/ontvangen en je kunt ook de versleutelde emails decrypten als je de challenge code hebt.
En android, routers, ups'en, firewalls en dergelijke die mailen?
Bij Zivver is een bijlage van meer dan 4MB al te groot. Kost 130 euro en je krijgt geen geld terug terwijl ze de beloofde service niet kunnen leveren. En als je de bijlage encrypt zodat Zivver niet mee kan lezen wordt je bericht geweigerd te versturen.

[Reactie gewijzigd door Cobalt op 30 september 2021 16:43]

Met Zivver kan je bijlages versturen tot 5 TB. 4 MB moet dus zeker lukken. Maar aangezien je aangeeft dat de bijlage op zichzelf al versleuteld is voordat je hem probeert te versturen, vermoed ik dat Zivver aangeeft dat de bijlage niet gecontroleerd kon worden op mogelijk gevoelige informatie. Juist dit laatste is wat organisaties willen, zodat je beleid kan bepalen zoals: medische informatie aan een externe ontvanger moet altijd veilig verstuurd worden.
Die controle is inzage en dat is juist alles wat je niet wil. Data moet van begin- tot eindpunt ge-encrypt zijn.
Nee, je kunt zivver configureren om email te scannen en vervolgens business rules toe te passen. Dst jij dat niet wilt is geen reden om deze functionaliteit niet goed te vinden. Het is bedoeld om datalekken te voorkomen.
Ik ken Zivver niet echt, maar even de website bekeken. Dit lijkt toch gewoon op een implementatie van OpenPGP, of vergis ik mij? Waarom kiezen ze dan specifiek voor Zivver?
Zivver is een in Nederland gevestigd bedrijf met veel overheidskladen/publieke sector klanten en waar ook overheidssubsidie achter zit.

Heb met twee organisaties gewerkt waar Zivver werd gebruikt. Bij beiden werd zeer gevoelige persoonsgegevens dat via Zivver verstuurd. Je krijgt een email met een link naar een omgeving waar het bestand te downloaden is met een 2FA code. Vervolgens krijg je via dezelfde emailadres een email met de 2FA code. Toegang tot een mailbox is toegang tot link en 2FA code en daarmee toegang tot gevoelige informatie. 8)7 |:(

[Reactie gewijzigd door Lisadr op 30 september 2021 15:06]

Dit is echt onzin, dat is een optie de je gewoon kan uitzetten. Je kan ook 2FA met een code op een mobiele telefoon krijgen of een code die je alleen met de ontvanger deelt.
Het is niet onzin, het is hoe de implementatie is gedaan. Dat is vaak het probleem met dit soort oplossingen. Implementatie!
Daarom heeft Zivver ook een uitvoerig implementatie-aanpak om ervoor te zorgen dat een organisatie Zivver niet slechts als een "knopje" implementeert, maar nadenkt over waar en wanneer veilig mailen moet worden toegepast. En daar hoort uiteraard ook het opleiden van medewerkers bij.
Dat gaat er echt iets goed mis bij de controles van Zivver. Recentelijk kreeg ik van een zorginstelling een email met een link en vervolgens een tweede email met daarom een eenmalige code. Onder de code staat dat je altijd een nieuwe toegangscode kunt aanvragen. Een link met gevoelige medische documenten.
Dat heeft niet zoveel te maken met de implementatie. Je hebt in jouw geval een Zivver-bericht ontvangen die niet extra is beveiligd met een 2FA (zoals een code per sms). Een organisatie kan hiervoor kiezen als ze bijvoorbeeld geen mobiel nummer van jou hebben, waarmee ze het bericht extra kunnen beveiligen. Door het bericht wel veilig met Zivver te versturen, kan de verzender zien of jij het bericht al hebt gelezen. En eventueel kunnen ze het bericht nog intrekken, mocht toch de verkeerde informatie toegestuurd zijn. Dit laatste is met een normaal bericht (of met iets dat je per brief of fax verstuurt) niet mogelijk.

De toegangscode waar je het over hebt is een zogenaamde verificatiecode. Deze verificatiecode is geen 2FA. De verificatiecode wordt gebruikt om jou (de ontvanger) je mailadres te laten bevestigen. Dit om te voorkomen dat je het notificatiebericht kan doorsturen en dat de ontvanger het doorgestuurde bericht vervolgens kan gebruiken, om de veilige mail te lezen.
Het heeft wel met de implementatie te maken. Een implementatie waarbij bewust of onbewust is gekozen voor geen aanvullende vertificatie, zoals 2FA.
Dit is echt onzin, dat is een optie de je gewoon kan uitzetten. Je kan ook 2FA met een code op een mobiele telefoon krijgen of een code die je alleen met de ontvanger deelt.
Dat is het nadeel van het huidige IT-landschap. Overal wordt er op grote schaal aanbesteed en buiten de deur geplaatst maar daarbij wordt vergeten dat je het nog steeds moet configureren en beheren. Nogal vaak is het beeld heel naief "wij hebben het nu ondergebracht bij een professioneel bedrijf dus moet het wel goed zijn". Alsof je bedrijf overstapt van koopauto's naar huurautos' en denkt dat ze auto's met chauffeur krijgen en zelf niet hoeven te rijden.
En de leverancier in kwestie zou het best goed kunnen regelen maar daar zit wel een prijs aan vast. En de meeste organisaties willen ook niet met de hoogste veiligheid werken want dat wordt heel snel vervelend en omslachtig.
In dat geval is het bericht zonder 2FA verstuurd maar met een verificatiecode. Deze verificatiecode is geen 2FA. De verificatiecode wordt gebruikt om de ontvanger zijn mailadres te laten bevestigen. Dit om te voorkomen dat je het notificatiebericht kan doorsturen en dat de ontvanger het doorgestuurde bericht kan gebruiken, om de veilige mail te lezen.
Zivver zegt zelf het volgende over 2FA op hun website:

Nergens in de wet is vastgelegd dat 2FA een verplichting is. Ook is er geen wetgeving of jurisprudentie over hoe 2FA eruit moet zien. Theoretisch mag je 2FA dus op verschillende manieren inrichten.
Dat klinkt heel erg als "we weten dat we het niet goed doen maar dat is dan jammer want het hoeft niet beter"
Of je bekijkt het positief: er wordt nu onveilig gemaild en een oplossing zoals Zivver is een stap in de goede richting. Zelfs zonder een 2FA op het bericht heb je nog 2 voordelen die gewone (onveilige) mail niet biedt:
1. Als verzender kan je zien of de ontvanger het bericht heeft geopend of niet.
2. Je kan ten alle tijden een verzonden Zivver-bericht intrekken.

Beide opties geven je controle over het bericht in het geval je bijvoorbeeld toch het verkeerde PDF-bestand hebt toegevoegd. Je kan zien of de ontvanger het bericht al heeft geopend en het bericht intrekken. Zo weet je zeker dat de ontvanger het PDF-bestand niet heeft kunnen openen en hoef je dit niet aan te melden als een (mogelijk) datalek.
Dan hebben die organisaties hun inrichting niet op orde want dat is het eerste wat ik bij mijn werkgever heb uitgezet. Het is óf een authenticator (wij gebruiken zelf die van Microsoft maar die van Google werkt net zo goed) of een code per SMS als mensen nog geen account hebben. Het idee van de code per mail is precies om de reden die je aangeeft erg onhandig.
Er waren iets van 6 berichten nodig om het de eerste keer in gebruik te nemen.

Daarnaast introduceert dit soort technieken het probleem dat de afzender ook de eigenaar van het bericht blijft. Heb je een dispuut met de afzender kan hij er voor zorgen dat (per ongeluk) alle correspondentie wordt gewist. Dus naast een hoop gedoe om een bericht te kunnen lezen moet ik ook nog maar zien een kopie van de berichten te maken op een zodanige manier dat te verifieren is wie en wanneer het bericht heeft verzonden.
Wissen van correspondentie wil je niet in de rechtspraak.
Een zorgverlener waar ik kom gebruikt ook Zivver. Het kromme is dat volgens mij deze persoon de "2FA" (het is eerder een wachtwoord/pincode, of bedoelen we wat anders?) moet aanmaken en zij begrijpt niets van veilige codes. Iets met geboortedata van klanten en beperkte digits. Ergens blij dat er in elk geval iets meer beveiliging op zit dan gewone mail en dat het gescheiden is, maar toch voelt het allemaal nogal debiel als je medische info gaat delen. Nadelen van digibeten en een service die toch e.e.a. blijkbaar niet voldoende heeft uitgelegd of intuïtief heeft gemaakt. Ik heb er haar al op aangesproken, maar dat werd niet zo gewaardeerd. Waarschijnlijk omdat ze er weinig van begrijpt.

Nadeel van Zivver vind ik trouwens ook dat je zoals ik mails krijg en mail naar die zorgverlener, maar dat ik per thread weer een losse mail in mijn niet afgeschermde mail krijg om in te loggen. Nu is dat enerzijds prima en logisch, zoals dat nieuwe berichten een nieuwe thread zijn. Maar ik zou het ook logisch vinden dat je ook alle opgestarte threads in 1 omgeving kunt zien... een soort van maildossier. Hetzij met aparte inlog, maar in elk geval gebundeld bij elkaar. Nu moet ik namelijk alle oude nietszeggende notificaties bewaren op de normale mail, zodat als ik wil, de oude threads weer opnieuw kan nalezen. Zou ik per ongeluk een notificatie verwijderen, dan kan ik de hele thread niet meer lezen. Nooit meer. Echt verschrikkelijk niet gebruiksvriendelijk als klant van iemand. Neem aan dat de zorgverlener zelf, bijv. via outlook, wel een overzicht heeft van alle threads.

[Reactie gewijzigd door Xavorius op 30 september 2021 17:54]

Subsidie en de hoofdprijs vragen. Klinkt als vriendjespolitiek. Nog nooit gehoord van Zivver. Frappant dat het in zoveel overheidsorganisaties gebruikt wordt. Rara.
Hoe het precies werkt staat in een whitepaper waar je toegang voor moet aanvragen (EDIT: wat ik niet gedaan heb), maar ze claimen geen pgp te gebruiken:
ZIVVER maakt geen gebruik van PGP
Bron: https://www.zivver.com/nl...or-beveiligingslek-in-pgp

[Reactie gewijzigd door Blaurens op 30 september 2021 15:07]

Hoe het precies werkt staat in een whitepaper waar je toegang voor moet aanvragen (EDIT: wat ik niet gedaan heb), maar ze claimen geen pgp te gebruiken:
Dat ze geheimzinnig doen over de werking is een enorme rode vlag. Een van de basisprincipes van security is dat niks ooit echt geheim blijft. Daarom moet ieder beveiligingssysteem zo worden opgezet dat kennis van de werking niet helpt om binnen te komen. Neem een simpel slot op je voordeur. Iedereen weet hoe het werkt. Maar je hebt er niets aan zonder de sleutel. De sleutel is wat het slot veilig maakt, niet een of ander geheim mechanisme in het slot.
Een ander basisprincipe (in de hele wereld) is dat niemand alles kan weten en iedereen fouten maakt. Dat veel handen/ogen licht werk maken. De security wereld heeft daar uit geconcludeerd dat je beveiligingssystemen pas kan vertrouwen als ze uitgebreid zijn bestudeerd door de community.

En bij Zivver weten ze dat ook wel, heel moeilijk lijken ze niet te doen over toegang tot hun whitepaper. Ze weten dus ook wel dat de 'black hats' die informatie wel boven krijgen. Ze zullen het dus wel doen om alvast contactinformatie te verzamelen voor hun afdeling marketing. Maar voor mij is dat een reden om het links te laten liggen.
Zelfs al werd het echt geheim gehouden wordt, impliceert dat toch niet dat de beveiliging zelf gebasseerd is op het geheim zijn van die informatie?
Zelfs al werd het echt geheim gehouden wordt, impliceert dat toch niet dat de beveiliging zelf gebasseerd is op het geheim zijn van die informatie?
Dat klopt, dat impliceert het niet. Maar daar heb ik niet zo veel aan. Ik vertrouw het pas als de hele security community er in alle openheid overheen is gegaan.
Tnx, goed dat ze dat doen hoor. Maar ik draag liever bij aan projecten die publiek worden ontwikkelt en voor iedereen bruikbaar zijn.
De whitepaper is voor iedereen gratis te downloaden na het invullen van enkele contactgegevens. Daar is niets mis mee toch? De schoorsteen moet immers roken om een dergelijk product op te kunnen zetten en te onderhouden. Daarnaast zijn ook alle certificeringen (waaronder de NEN7510 en Cyber Essentials Plus) gewoon online inzichtelijk via: https://www.zivver.com/certifications-assurance.
Daarnaast zijn ook alle certificeringen (waaronder de NEN7510 en Cyber Essentials Plus) gewoon online inzichtelijk via: https://www.zivver.com/certifications-assurance.
Het gaat een beetje OT, maar die certificeringen (ik ken ze niet allemaal) kijken vooral naar de papieren werkelijkheid. Of je beleid hebt opgesteld enzo. Een typische Cyber Essentials Plus vraag is "Is all software licensed in accordance with the publisher’s recommendations?". Ik probeer niet te beweren dat het niet ook belangrijk is, maar voor mij is dat niet voldoende om die software te vertrouwen.

Ik wil graag weten hoe ze input-validatie hebben gegeregeld en met welke tools dat getest wordt. Of de SSL-configuratie competent is of nog downgrades naar SSLv3 toestaat.
Waarom kiezen ze dan specifiek voor Zivver?
Omdat ze bij rechtbanken geen verstand van zaken hebben?

Er was natuurlijk al 10 jaar geen enkele valide reden meer om faxen te gebruiken, maar de rechtbanken bleven er heel eigenwijs als enige plek ter wereld aan vast houden.
Simpel: Wetgeving die mijlenver achterloopt. Staat ook in het artikel dat dat volgend jaar(!) pas wijzigt. Die mensen op de rechtbank zijn ook niet achterlijk ...
In 2008 werd deze discussie al gevoerd met advocatenkantoren, de orde van advocaten, rechtbanken, etc. Zonder enig resultaat, helaas. Dus faxen meer dan 12 jaar later advocatenkantoren en rechtbanken elkaar nog steeds duizenden pagina’s per dag. Inefficient, kostbaar en slecht voor het milieu. Genoeg alternatieven voor de fax, maar bereidheid tot innoveren is daar echt nihil, dat is de enige reden dat alles bij het oude blijft.
Die discussie is dan met de verkeerde partijen gevoerd. Je gaat ook niet met BMW overleggen over de snelheid op de weg, die zijn daar gebruikers van. Dat doe je met degene die er over gaat. In dit geval de overheid. De wetgeving is met faxen tamelijk rigide geweest, met mijn bericht van hierboven zat ik er wel iets naast, het alternatief is vorig jaar goedgekeurd. Dat dat echt meer dan15 jaar te laat is, dat zal duidelijk zijn, je bent nog soepel met je 12 jaar :) PGP ontstond in 1991 al, toen was dat revolutionair en had de spin-off kunnen zijn naar betere/snellere/goedkopere methoden om rechtsgeldige documenten te versturen. Edoch, we leven in 2021 en weten inmiddels beter.
Natuurlijk is die discussie niet met de verkeerde partijen gevoerd. Als je een wet wilt aanpassen, of zelf een richtlijn, dan gaat dat pas gebeuren als belanghebbenden de politiek overtuigen dat een wetswijziging nodig is.

En aangezien die belanghebbenden al niet vooruit te branden zijn, kun je de politiek niet kwalijk nemen dat het zo lang duurt.
Respect voor de techneut die het faxen via VoIP aan de praat heeft gekregen. Welcome to hell.
Of ze hebben toch een geheim analoog PSTN lijntje aangehouden na de ISDN->VoIP migratie...
Met faxen over ISDN wordt G4 faxen gebruikt. Dat is puur digitaal verkeer. Eind vorige eeuw gebruikte ik dat vanaf mijn thuis computer met W98 en een teles-isdn-kaart. Dat werkte net zo goed als printen.

Enneh, isdn is al digitaal, dat gaat niet in een voip signaal door. Als er over isdn een spraak signaal gaat, dan wordt dat spraak signaal overgezet op voip. Een fax signaal over isdn is als het goed is een g4 (of nieuwer?) signaal, dat is een data signaal, dat gaat als digitaal signaal door tot het eindstation en wordt echt niet via een voip-spraak-signaal doorgestuurd.

Faxen via analoge lijnen gaat ook in de voip tijd best wel goed. Voor een analoog fax signaal schakelt het modem-systeem automatisch terug naar de werkende baud-rate, net zoals vroegâh met internetten over analoge verbindingen via waslijnen. Een 9k6-baud verbinding zou via de huidige voip systemen moeten werken, anders valt het vanzelf terug naar 1200baud of 300 baud of zo iets. Het duurt alleen iets langer om te versturen.

googel naar fax, isdn en/of g4 leverde de volgende tweakers pagina op, pure nostalgie voor mij: reviews: USB ISDN Modem vergelijking

[Reactie gewijzigd door beerse op 30 september 2021 17:02]

Het duurt alleen iets langer om te versturen. Als je dan een fax van 100 bladzijden moest versturen, duurde het vreselijk lang en kreeg je nogal eens een foutmelding. Vaak was het nog sneller om even de auto te pakken en in ieder geval een stuk zekerder.Wat dat betreft was de pandemie een zegen.
Of je kreeg helemaal geen foutmelding, maar toch kwam maar een deel van je bericht aan bij de ontvanger. Zonder dat jij dat wist.
Tikkie offtopic, voor zover ik weet waren V27 en V29 de fax standaarden met de laagste datarate daarin (4800bps). Aardig genoeg maakte V21 (300bps) wel deel uit van de handshake tussen faxen waarin FSK (Frequency Shift Keying, oftewel, toontjes) werd gebruikt. Met een lossless G711 codec op je VoIP lijn werkt er verdacht veel oude meuk nog prima :) Het is dan ook de codec die door ISDN gebruikt werd. Maar na die constatering vraag je je af: "En wat ga ik er nu mee doen?" :) Manmanman, waarom weet ik dit ...
Er zijn in ieder geval genoeg ITU standaarden in de V.xx reeks om voor faxen te gebruiken: https://en.wikipedia.org/..._V-series_recommendations. Zo even snel gezien is die V21 met 300 baud inderdaad de laagste. Nu ik er aan denk, dat was voor de modem in de msx-computer ooit ook 1 van de laagste snelheden: 300/300 synchroon of 1200/50 asynchroon.
Dat zijn voor zover ik even snel zie meestal voor data-over-voice signalen, wat met analoge fax machines gebruikt wordt. De simpele zielen met 'zo werkt het ook' fax machines die een fax op een analoge telefoonlijn aansluiten zullen hier inderdaad last van gehad hebben.

Dat ik zelf privé thuis in 1996 met mijn computer en isdn lijn al een g4 fax modem had die direct digitaal de lijn over ging, doet mij verwonderen dat er nu, 25 jaar later, nog steeds analoog gefaxt wordt. Maar ja, ik verwonder mij wel vaker over sommige zaken.

[Reactie gewijzigd door beerse op 4 oktober 2021 08:53]

1200/75 was V23. Dat werd met name door Viditel gebruikt. Het idee was dat je ontving met 1200bps en omdat je toch weinig terugtikte, dat dat met 75bps terug ging. En dat kon ook nog ter plekke worden omgedraaid. Die V standaarden werden lang niet allemaal gebruikt om te faxen. V27/V29 waren met 4800bps de laagste snelheden die met fax werden ondersteund. Snelheden daaronder waren alleen voor "gewoon" dataverkeer.

Dataverkeer (als in "gewoon" modemverkeer) heeft alles gekend tussen V21 (300bps) tot aan V90 (56K) aan toe. De laatste kon alleen met deze snelheid bereiken als één van beide kanten "digitaal" (lees: ISDN) was.
Daar is dus e-Fax/T.38 voor, omdat het inderdaad niet kan anders.

"T.38 is an ITU recommendation for allowing transmission of fax over IP networks (FoIP) in real time. " https://en.wikipedia.org/wiki/T.38
En dat werkt verre van perfect in het Nederlandse telefonie netwerk. De operators laten T38 meestal over aan de endpoints en T38 implementaties zijn nogal brak over het algemeen (als die er al zijn en zijn ingeschakeld).
Respect voor de techneut die het faxen via VoIP aan de praat heeft gekregen.
Naja dat valt op zich mee, aangezien zowel de PSTN (vanaf de centrale) als ISDN digitaal zijn en dezelfde codecs gebruiken als VoIP. KPN transporteert intern ook veel over IP tegenwoordig, zelfs als 't bij jou analoog afgeleverd wordt.

Enige waar je mee zit is dat die eerste twee andere karakteristieken hebben vwb packet loss en jitter maar dat is meestal niet zo'n punt tegenwoordig. Wel een punt is dat je moet zorgen dat die codec (G.711) ook daadwerkelijk gebruikt wordt en dat er niet G.726 of G.729 of iets anders met minder bandbreedte tevoorschijn komt want dan gaat 't stuk.

[Reactie gewijzigd door CyBeR op 30 september 2021 15:17]

voip aanbieder moet T.38 ondertussen dat is voor fax over ip.
Zivver. Bizar om dat te gebruiken. Je stuurt een mail naar x@y.com en in plaats van dat de e-mail aankomt, krijgt de ontvanger een e-mail dat hij op een link moet klikken waarna hij op datzelfde e-mail adres een code krijgt. En met die code kan je vervolgens: de mail openen.

Dan weet je tenminste DAT je e-mail is onderschept :)
In dat geval heeft de verzender geen 2FA opgegeven en wordt de verificatiecode slechts verstuurd om de ontvanger zijn mailadres te laten bevestigen. Dit om te voorkomen dat je het notificatiebericht kan doorsturen en dat de ontvanger het doorgestuurde bericht kan gebruiken, om de veilige mail te lezen.
Maar dat voegt toch niets toe? De content van de e-mail kan ik als 'onderschepper' nog altijd bemachtigen en mee doen wat ik wil.

Laat die schijn-veiligheid dan weg; super vervelend voor de werkelijke ontvanger, want die krijgt de mail nooit in zijn mailbox (tenzij hij de pagina gaat opslaan, dat kan gewoon), en je hebt weer een tracker waarmee iemand kan zien wanneer je een e-mail opent/leest.

Enige voordeel is dat de e-mail zelf niet per e-mail verstuurd wordt en dus niet over vreemde servers heen gaat. Maar desondanks blijft de man-in-the-middle blijft gewoon mogelijk, want de basis is een mail die voor iedereen te lezen is. Ook met 2FA.
Wat het toevoegt is het per abuis forwarden van de mail naar personen die de inhoud niet mogen lezen. Het voorkomt dus een type user error.

De security van Zivver is niet alleen technisch van aard, het is ook het voorkomen van bepaalde gebruikersfouten. Het lukraak doorsturen van e-mail is daar een van.
De website van Zivver (en de gebruikers waar ik mee te maken heb), geven je toch echt een ander gevoel:

"Zivver is een gebruiksvriendelijke oplossing voor veilig mailen, gewoon vanuit jouw vertrouwde e-mailprogramma. Daardoor voorkom je menselijke fouten, is informatie versleuteld tegen hackers en behoud je de regie over verzonden informatie."

Gewoon vanuit je Outlook mailen naar allemaal mensen en dan is het veilig, versleuteld, top! Gogogogogo!

En Zivver moet weten dat dat in de praktijk dus niet zo is. Maar ik lees het nergens op hun website?
Veel organisaties mailen veilig met Zivver direct vanuit Outlook door gebruik te maken van de Zivver Office Plug-in. De Zivver Office Plug-in geeft de verzender de mogelijkheid om bij het opstellen van een bericht zelf te bepalen of een bericht veilig of niet veilig verstuurd moet worden. Daarnaast kan een organisatie ook beleid instellen. Zodat als bijvoorbeeld medische informatie wordt geadresseerd aan een externe ontvanger, dat het dan altijd veilig verstuurd moet worden.

Het is daarnaast natuurlijk ook mogelijk om berichten vanaf de mailserver van de organisatie te submitten naar de Zivver SMTP-server, om op die manier het bericht veilig bij de ontvanger terecht te laten komen.
Kan je aangeven in welke gevallen het veilig versturen van een medisch dossier via Zivver met een 2FA niet veilig genoeg is? Vele zorgverleners mailen veilig met Zivver conform de NTA7516 (https://www.nen.nl/nta-7516), een norm die juist is opgesteld door het zorgveld in opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS).
Of je wil het niet lezen, of je kijkt er echt over heen, of mensen hebben er echt heel weinig verstand van. Ik twijfel, maar vooruit, nog een keer.

Het gaat om de gevallen waar Zivver wordt ingezet en de gebruiker het idee heeft iets veilig te versturen, maar dat dit niet veilig is. Als jij iets naar mij -als (nog) niet zivver gebruiker- stuurt, dan weet zivver nooit of ik daadwerkelijk de bedoelde ontvanger ben. En dus voegt je 2FA niks toe. Dat kan ook niet, want die 2FA insteller kan de onderschepper zijn. En die leest dan voor mij bestemde berichten. Natuurlijk, die stuurt het daarna ook nog even door, zodat ik niks door heb.

Veilig berichten uitwisselen werkt alleen met een public en secret key. Zonder dat is het security by obscurity. Heel simpel.

En bovenstaande use cases zie ik veelvuldig voorbij komen, mensen denken dat het veilig is (want "ik heb de knop aangeklikt") en vervolgens is het helemaal niet zo veilig als de indruk werd gewekt.

En dat kan ook helemaal niet. Tenzij we via een ander kanaal eerst nog ons 2FA mechanisme uitwisselen, bijvoorbeeld per telefoon het 06 nummer uitwisselen. Maar als we dan toch al op een veilige manier contact hadden, hadden ze daar direct het dossier mee kunnen uitwisselen :)

En mijn punt is dat ik veel zivver mails krijg ZONDER zelfs een 06 verificatie, want die hebben ze niet van mij, en dan wel in de veronderstelling zijn dat het veilig is.

Of ligt dat aan de gebruiker en staat dat duidelijk op de site van zivver?

[Reactie gewijzigd door DealExtreme2 op 30 september 2021 17:56]

Als jij iets naar mij -als (nog) niet zivver gebruiker- stuurt, dan weet zivver nooit of ik daadwerkelijk de bedoelde ontvanger ben. En dus voegt je 2FA niks toe. Dat kan ook niet, want die 2FA insteller kan de onderschepper zijn
Juist in dat geval voegt een 2FA wel iets toe. Want als het mailadres verkeerd is, dan kan de ontvanger het niet openen zonder een 2FA op te geven. En de 2FA wordt door de verzender ingesteld, niet door de ontvanger.
Veilig berichten uitwisselen werkt alleen met een public en secret key. Zonder dat is het security by obscurity. Heel simpel.
Een oplossing zoals Zivver probeert dit juist te vergemakkelijken, want niet iedereen gaat een oplossing zoals PGP begrijpen. En het is altijd een afweging tussen optimale veiligheid en gebruiksgemak. Je kan het optimaal veilig maken, maar dan zal je zien dat medewerkers het niet weten te gebruiken en dus maar via WeTransfer of Whatsapp (onzichtbaar voor de organisatie) bestanden gaan uitwisselen.
En mijn punt is dat ik veel zivver mails krijg ZONDER zelfs een 06 verificatie, want die hebben ze niet van mij, en dan wel in de veronderstelling zijn dat het veilig is.
Dat kan een keuze zijn van de verzender. Bijvoorbeeld omdat ze geen mobiel nummer hebben van de ontvanger, maar het bericht wel veiliger willen versturen dan een normaal bericht.
ik ben het met je eens dat het handiger zou zijn indien de overheid eindelijk eens over zou stappen op native- pgp waarbij de overheid dus ook de keyserver zou beheren, alsook de public en private keys van burgers. dat zou bijvoorbeeld kunnen door in het BRP geen bsn of sofi nummer op te nemen maar het publike deel van diens key. de private sleutel wordt dan door het ministerie van burgerzaken veilig verwerkt en na voldoende authenticatie aan de burger verstrekt. (op dezelfde manier waarop een bank ook je pincode verstrekt).

op die manier zou ieder bedrijf, iedere instelling en elk overheidsorgaan gegevens zodanig kunnen versleutelen dat alleen de persoon in kwestie in staat is deze te ontsleutelen en zou iederr bericht dat deze persoon stuurt ook als zodanig gevalideerd kunnen worden.

nu heb ik toch weer het gevoel dat men het wiel WÉÉR opnieuw probeert uit te vinden
Zelfs zonder een 2FA op het bericht heb je nog 2 voordelen die gewone (onveilige) mail niet biedt:
1. Als verzender kan je zien of de ontvanger het bericht heeft geopend of niet.
2. Je kan ten alle tijden een verzonden Zivver-bericht intrekken.

Beide opties geven je controle over het bericht in het geval je bijvoorbeeld toch het verkeerde PDF-bestand hebt toegevoegd. Je kan zien of de ontvanger het bericht al heeft geopend en het bericht intrekken. Zo weet je zeker dat de ontvanger het PDF-bestand niet heeft kunnen openen en hoef je dit niet aan te melden als een (mogelijk) datalek.
Zivver heeft geen enkele toegang tot de berichten die verstuurd worden. Organisaties die Zivver gebruiken om gevoelige informatie veilig te versturen, vereisen ook dat Zivver berichten niet kan inzien.
Ehhhh, hoe kan het dan dat mijn mail leesbaar door zivver.com wordt gepresenteerd? Dan kan Zivver er toch echt wel bij :)

Kwestie van tijd voor er iemand naast zivver ook bij kan ;)

[Reactie gewijzigd door DealExtreme2 op 30 september 2021 15:26]

Middels een geautomatiseerd proces wordt de data op dat moment ontsleuteld en gepresenteerd aan de gebruiker. De gebruiker heeft daarbij zelf de sleutel in handen om dit mogelijk te maken. Zonder input van de gebruiker is de data niet ontsleutelen.
Middels een geautomatiseerd proces wordt de data op dat moment ontsleuteld en gepresenteerd aan de gebruiker. De gebruiker heeft daarbij zelf de sleutel in handen om dit mogelijk te maken. Zonder input van de gebruiker is de data niet ontsleutelen.
Dat "geautomatiseerde proces" is neem ik aan code (javascript?) die door Zivver is geschreven. Wat houdt ze tegen om die code aan te passen om je sleutel even door te sturen? Ik snap dat ze dat niet doen omdat hun reputatie dan naar de knoppen gaat, maar ik vertrouw liever op harde techniek dan op reputatie.

Zelfs als ze het gebruik van een HSM of andere hardwaregebaseerde oplossing verplicht stellen zouden ze het bericht in theorie al kunnen onderscheppen bij de verzender, die draait immers ook software van Zivver.

En ja, dat wordt allemaal een beetje paranoide maar we hebben het wel op software die zich op die doelgroep richt. En hoe meer klanten zo'n bedrijf heeft hoe groter de kans dat een of andere staatshacker of geheime dienst geinteresseerd raakt. Alleen om die reden al vind ik gecentraliseerde oplossingen voor beveiliging in het algemeen een slecht idee. Er worden steeds meer eieren in hetzelfde mandje geladen en dus moet er steeds meer moeite worden gedaan om dat ene mandje super stevig te maken. Maar alles gaat ooit een keer stuk.
[...]

Dat "geautomatiseerde proces" is neem ik aan code (javascript?) die door Zivver is geschreven. Wat houdt ze tegen om die code aan te passen om je sleutel even door te sturen? Ik snap dat ze dat niet doen omdat hun reputatie dan naar de knoppen gaat, maar ik vertrouw liever op harde techniek dan op reputatie.

Zelfs als ze het gebruik van een HSM of andere hardwaregebaseerde oplossing verplicht stellen zouden ze het bericht in theorie al kunnen onderscheppen bij de verzender, die draait immers ook software van Zivver.

En ja, dat wordt allemaal een beetje paranoide maar we hebben het wel op software die zich op die doelgroep richt. En hoe meer klanten zo'n bedrijf heeft hoe groter de kans dat een of andere staatshacker of geheime dienst geinteresseerd raakt. Alleen om die reden al vind ik gecentraliseerde oplossingen voor beveiliging in het algemeen een slecht idee. Er worden steeds meer eieren in hetzelfde mandje geladen en dus moet er steeds meer moeite worden gedaan om dat ene mandje super stevig te maken. Maar alles gaat ooit een keer stuk.
Een oplossing zoals Zivver kan niet bestaan zonder aantoonbaar veilig te zijn. Enerzijds tonen certificering aan dat alle processen op orde zijn en anderzijds toont het gebruik maken van Deloitte Hacking as a Service aan dat er geen achterdeur plots wordt ingebouwd.
Daarom moet je die oplossing dus ook niet kiezen :)

Gebruik gewoon DigiD of eHerkenning i.c.m. een website van de rechtbank. Precies zoals ik dat bij mijn belastingaangifte doe. Dit is gewoon een tijdelijke oplossing permanent inzetten en wachten tot het mis gaat. Of nee, niet eens wachten, want dat gaat het al mis, dagelijks :) Mensen die denken iets veilig te versturen en het dat niet is.
Inderdaad, clientside uitgevoerde code om het versleuteld ontvangen gegeven te ontsleutelen. Die JavaScript kun je zelf (laten) controleren op stiekem doorsturen van sleutels en ik geloof dat dat ook echt wel gedaan wordt door mensen.
Het gaat natuurlijk om het gemak van gebruik, maar het moet wel fatsoenlijk ingericht zijn om geen schijnveiligheid te bieden.
Die JavaScript kun je zelf (laten) controleren op stiekem doorsturen van sleutels en ik geloof dat dat ook echt wel gedaan wordt door mensen.
Iedere keer dat ze een bericht ontvangen? Dan heb jij meer vertrouwen in de mensheid dan mij :)
Dat kan dan alleen client-side met javascript. En volgens kenners is dat niet 100% goed te beveiligen. Doe je het server-side dan kan zivver het bericht lezen.
Dit is echt onzin, dat is een optie de je gewoon kan uitzetten. Je kan ook 2FA met een code op een mobiele telefoon krijgen.
Maar wat is het voordeel van die 2FA? Een man in the middle (iemand die de e-mail onderschept en kan veranderen/doorsturen), die vang je hiermee toch niet af? Als ik jouw e-mail kan onderscheppen, kan ik hem ook aanpassen, mijn eigen proxy URL ertussen zetten en jij hebt niks door.

Het is echt een vorm van veiligheid simuleren. Normaal is 2FA gewoon 100% waterdicht, omdat je een key-exchange doet met een partij die je zelf opzoekt.

En als beide partijen dat ook bij Zivver (zivvvver.com of ziffer.com of swiffer.com, wat was het ook alweer) doen, dan zou het veilig kunnen zijn. Maar dan is zivver dus een soort van Authority in de rechtspraak. En ik neem toch aan dat we daar de overheid voor hebben :)
Als je het bericht onderschept en aanpast, dan zal de DKIM-handtekening niet meer kloppen. Zivver-berichten worden altijd verstuurd met een geldige DKIM-handtekening. Een 2FA voorkomt niet het onderscheppen, maar voorkomt wel dat je het bericht kan openen als onderschepper.
Ik heb geen Zivver. Ik heb gewoon mijn Outlook client, dus ik zal daar niks van merken en ben in de verondestelling veilig bezig te zijn.

Natuurlijk kan het met allerlei plugins aan beide kanten in theorie veilig. Maar alleen als we Zivver en haar software vertrouwen; dan is het een soort Microsoft, en soort CA. Al blijft het ok dan trouwens nog vaag, want op basis waarvan is die key? Mijn e-mail adres, mijn DigiD? En waar kan ik dat controleren/instellen als ontvanger? En waarom kan de onderschepper dat niet?

Zivver wordt te pas en te onpas gebruikt door instanties die dan met andere partijen (zonder zivver) denken veilig te zitten. En gaan op basis daarvan complete medische en persoonlijke dossiers 'mailen'. En dat, dat, is mijn probleem.
Zowel in Nederland als in Engeland zijn er meerdere certificaten behaald om aan te tonen dat het met de veiligheid en privacy goed zit: https://www.zivver.com/certifications-assurance. Als dat niet het geval zou zijn, dan zouden organisaties gevoelige gegevens absoluut niet via Zivver versturen.
En ik maar denken dat we hier zo modern waren. :P
Het gaat er in dit soort gevallen niet om 'modern' te zijn, maar om het geven van bepaalde garanties die wettelijk vastgelegd zijn. Als reguliere mail daar niet onder valt moet je dus iets anders gebruiken.

Wat ik dan wel weer boeiend vind is dat er kennelijk een beetje wildgroei ontstaat in private partijen die dit soort 'veilige' mailsystemen hebben (in de zorg is er ZorgMail wat vergelijkbaar werkt) en daarmee onmisbaar worden in de dienstverlening van de overheid met een commercieel product. Dacht dat er jaren geleden besloten was voor OSS en open standaarden te gaan, maar als je zoiets als dienst aanbiedt is dat kennelijk geen probleem.
maar om het geven van bepaalde garanties die wettelijk vastgelegd zijn
De vraag is echter welke garanties die fax dan gaf. De rechtbank dacht dat er garanties aan faxen zat dat al jaren achterhaald was.

En als de wet extreem verouderd is, dan moet je die wellicht eens aanpassen.

De enige reden dat wij nog faxen hebben is omdat het nodig is voor die stomme rechtbanken. De rest van de wereld had de laatste faxen 10 jaar geleden al verbannen.
De garantie is heel simpel. Er is een garantie dat het aangekomen is. Het ontvangende fax apparaat geeft namelijk aan of een pagina goed en wel is ontvangen. Het verzendende fax apparaat kan vervolgens een delivery report uitdraaien waar die gegevens op staan.

Daarmee is voldaan aan de bewijslast dat het document goed en wel is afgeleverd. Niet meer en niet minder.

Stel dat een fax bv. geen papier meer zou hebben, dan zou het apparaat niet bevestigen dat de fax goed is ontvangen.
En dat kan ook gewoon in email.
Tenzij je het specifiek uitzet zoals veel mensen doen, maar voor de rechtbank is het een peuleschil om die functionaliteit niet uit te zetten.
Dus wat is die garantie bij faxen die modernere communicatie methode missen?

De klanten die helaas met de rechtbank te maken hebben, die gebruiken zelf geen faxen met papier meer.
Die doen het gewoon electronisch. Ontvangende faxen worden in een mailbox afgeleverd en verzenden gaat ook via een mailbox of eventueel een printer die het vervolgens naar een mailsysteem stuurt die het via FOIP doorstuurt.
De rechtbank vind een handtekening op een fax ook meer waarde hebben dan in een email. Wellicht volgens de wet, maar qua betrouwbaarheid natuurlijk totaal niet in de praktijk.
Dat KAN inderdaad in e-mail. Maar het kan zoals je zelf al aangeeft uitgezet worden. En dat is een probleem. De rechtbank (of een advocaat) moet zeker weten dat het aangekomen is. En zeker bij rechtszaken is tijd soms belangrijk.

Bovendien wordt een ontvangstbevestiging ook per e-mail gestuurd. Het is in feite gewoon een email met 'Hey piet, ik heb m!'. En die aflevering kan ook weer problematisch zijn. Denk aan spamfilters, etc.

En daarom is de fax bevestiging zekerder. Het zit als functionaliteit meer geïntegreerd in het systeem dan bij e-mail, waarbij het een poptie is.
En daarom is de fax bevestiging zekerder. Het zit als functionaliteit meer geïntegreerd in het systeem dan bij e-mail, waarbij het een poptie is.
Daar wil ik wel wat vraagtekens bij zetten.
Een ontvangstbevestiging als los mailtje is inderdaad niet zaligmakend.

Maar de fax bevestiging is alleen een bevestiging van de fax ontvanger dat de fax geheel ontvangen is.
Dat doen email servers onderling per definitie ook al. Als de ontvangende server aan het eind niet bevestigt dat de mail geheel ontvangen en verwerkt is, dan zal de verzende server de mail als niet verzonden beschouwen en na een korte periode een nieuwe poging doen.

Waarom heb je dan nog de losse ontvangstbevestiging? Omdat ontvangst op de mailserver niet 100% garandeert dat het ook in de mailbox arriveert.
Maar dat garandeert het bij een fax ook niet!

Ooit heel lang geleden had je allemaal losse fax apparaten die rechtstreeks aan de telefoonlijn zaten.
Maar tegenwoordig zit er ook gewoon een server tussen. De server ontvangt de fax via FOIP, maakt er een mailtje van dat vervolgens in een mailbox word afgeleverd.

Dus die vermeende "zekerder" fax bevestiging is een illusie.
Je hebt wellicht gelijk, maar de wet zegt nou eenmaal dat het bij een fax een afleverbevestiging is die rechtsgeldig is. Dat is hetzelfde als een aangetekende brief.. Is ook niet perse 100% waterdicht, maar wordt wel ook als zodanig beschouwd.
Er zit nog een belangrijk component aan faxen: Je weet zeker dat alleen de verzender, de ontvanger en KPN bij de signalen kan.

Dat is bij e-mail wel anders; dat is niet deterministisch en kan via allerlei servers lopen. Als je de headers van een willekeurige mail bekijkt dan staan daar een aantal Received-headers in, en ieder van die headers is een server waar je mail langs is gekomen. Je vertrouwt op DNS (MX records) om de mail te versturen, maar er wordt niet afgedwongen dat tussen al die servers TLS wordt gebruikt (je kunt het hooguit op de eerste hop afdwingen), je weet niet of die DNS-records kloppen, etc.

In geval van ZorgMail (en ik neem aan Zivver maar daar heb ik geen ervaring mee) stuur je het expliciet rechtstreeks naar de server van ZorgMail zonder te vertrouwen op DNS, en zorgt ZorgMail dat het rechtstreeks (wederom zonder te vertrouwen op DNS) bij de mailserver van de ontvanger wordt afgeleverd, en wordt er op iedere stap TLS afgedwongen, inclusief certificate pinning; als ons cert verloopt moeten we het nieuwe (publieke deel van het) cert uploaden bij ZorgMail.

Misschien allemaal hele theoretische risico's (ik heb geen idee, ben geen hacker) maar reëel genoeg voor de wetgever om generieke e-mail niet als voldoende veilig / vertrouwelijk te beschouwen.
Wat dacht je van de zorg waar tot op de dag van vandaag nog receptjes worden gefaxed? Of mijn bloedprikformuliertje van gisteren waar een knaloranje sticker op stond: "Fax de uitslag svp naar nummer ....." ...
Nu is zorg in principe geen overheid, maar wordt wel beschouwt als algemeen nut. Werk zelf veel met zorgmail en ook met Zivver in een ziekenhuis. Dan ontkom je niet aan een soort van standaardisatie en gebruiken wat iedereen gebruikt. Maar in een ziekenhuis ben je ook afhankelijk van Siemens, Philips en Microsoft. Het gebouw wordt neergezet door commerciële bouwbedrijven etc. Het ziekenhuis is niet commercieel als in de zin van winst voor de aandeelhouders, maar de achterkant is dat natuurlijk wel.
"Nu is zorg in principe geen overheid, maar wordt wel beschouwt als algemeen nut."

Dit argument gaat mijns inziens stuk op het feit dat je als Nederlands staatsburger verplicht wordt gesteld om een zorgverzekering te hebben.
Als er geen zorgverzekeringsaanbieders zouden zijn in Nederland, krijg ik dan een boete van de overheid omdat ik niet verzekerd ben? terwijl er geen enkele zorgverzekering bestaat die ik kan/mag afsluiten?...

Autoriteit en aansprakelijkheid/verantwoordelijkheid gaan wat mij betreft ALTIJD hand in hand.
Overheid vereist dat ik een zorgverzekering afsluit? dan is de overheid er voor verantwoordelijk dat ik dat kan doen en dat ik niet bij elke partij die zorgverzekeringen uitgeeft afgezet wordt.
Verzekeraars gaan over de bekostiging, maar er moet elk jaar onderhandeld worden tussen verzekeraars en zorgaanbieders. Dokters, verpleegkundigen, ICTers in de zorg, allemaal geen ambtenaren, maar werknemers van stichtingen en bedrijven die geacht worden hun eigen broek op te houden maar een land vol burgers die menen (vaak terecht) recht te hebben op zorg. Ja, het is verplicht een zorgverzekering te hebben, maar daar hoort een aannameverplichting bij. Het is niet zo zinvol om van jouw hypothese uit te gaan, die zorgverzekeraars zijn er natuurlijk wel.
Ik doelde meer op het principe dat de overheid vereist van burgers dat ze een zorgverzekering hebben onder de aanname dat dit iets is wat goed en wenselijk is en meerwaarde heeft t.o.v. het alternatief.

Het is een keuze die gemaakt is vóór het volk, en dus een keuze die het volk, op individueel niveau, niet meer kan/mag maken voor henzelf.

Hier hoort, mijns inziens, een verplichting bij. De verplichting dat de overheid toeziet dat dit in der daad de beste keuze is, en blijft.
Net zoals de overheid heeft te verantwoorden aan het volk wat het met onze belastingscenten doen heeft het mijns inziens ook zeer zeker te verantwoorden wat al deze zorgverzekeraars met ons geld doen, gezien de overheid eist dat wij ons geld aan hen overhandigen.

Het feit is natuurlijk dat een collectieve verzekering enkel werkt als veel mensen hem nemen, dat is immers het hele idee van zo'n constructie: je spreid de kosten over zo veel mogelijk mensen zodat de prijs per individu te dragen is. Dit betwist ik niet; je hoeft enkel naar de situatie in Amerika te kijken om te zien dat het (mijns inziens) een góed systeem is.
Dát is echter niet wat ik bedoel. Wij hebben wat van onze (keuze)vrijheid afgestaan aan onze overheid, dus zij dragen nu de verantwoordelijkheid voor de gevolgen daarvan.

[Reactie gewijzigd door Ayporos op 30 september 2021 20:24]

Ja, die verplichting is er ook. De politiek stelt het basispakket vast. Dat moeten de verzekeraars vergoeden. Dus die kopen dat ook in bij de zorgaanbieders en stellen daarbij eisen aan de kwaliteit. Dat systeem heeft weer allerlei andere tekortkomingen, maar wordt een beetje off topic zo. Dit ging over de rechtspraak die de fax ging vervangen ;-)
Dan ontkom je niet aan een soort van standaardisatie en gebruiken wat iedereen gebruikt.
Dat 'wat iedereen gebruikt' vind ik hier niet echt van toepasing, er wordt nu iets nieuws ingevoerd.
Ik snap helemaal dat je wil standariseren maar de geldende wijsheid in de IT is dat je moet standaardiseren op communicatieprotocollen en dataformaten. Niet op een specifiek bedrijf of een specifieke applicatie.
Bedrijven kunnen falliet gaan, overgenomen worden of er gewoon geen zin meer in hebben. Protocollen en formaten verdwijnen niet en kun je altijd nog door iemand anders laten (her)implementeren.
In theorie juist, in de praktijk zijn er bedrijven die zowel software als infrastructuur hebben. Als je software gebruikt die de andere aanbieders niet gebruiken betaal je voor elke koppeling de hoofdprijs. Beetje alsof de hele wereld libreoffice gebruikt en jij als enige bedrijf een volledig Office-pakket laat ontwikkelen wat wel uitwisselbare documenten oplevert. Dat ontwikkelen kost dan wel wat meer vermoed ik zo. In de zorg zijn koppellingen schering en inslag, apparaten met epd’s, verzekeraars, overheidsinstellingen, labs etc. etc. Ondanks standaardisatie van berichtenformaat (HL7 e.d.) is iedere koppeling toch weer uniek omdat alle gekoppelde software dat is omdat die weer aangepast is aan een specifieke situatie. Een stadsziekenhuis heeft nu eenmaal andere uitdagingen dan een streekziekenhuis. Dus als er dan infra (software en hardware) ligt die iets kan wat jij nodig hebt en er is maar één aanbieder maak je daar dankbaar gebruik van.

edit typo

[Reactie gewijzigd door TheDutchChief op 30 september 2021 20:30]

Dat. En ik wil als gebruiker gewoon alles in 1 emailbox. Nu moet ik iedere maand al op meerdere plaatsen facturen uit een portaal gaan halen, berichten uit verschillende systemen downloaden, etc.. Het wordt er voor de gebruiker niet gemakkelijker op.
Daar heb je wel een terecht punt. In de zorg zie je dat ze zoiets proberen te bereiken via MedMij. In theorie kan je daarmee al je gezondheidsgegevens (geregistreerd en opgeslagen in verschillende bronsystemen) bekijken en beheren vanuit één persoonlijke gezondheidsomgeving. Juist vanuit het streven: al jouw gezondheidsinformatie is vanuit één portaal inzichtelijk.

Maar zulke projecten zijn niet gemakkelijk om op te zetten. Want alle aanbieders (zorginstellingen en hun softwareleveranciers) moeten het eens worden over welke gegevens, in welke formaat en volgens welke technische standaard worden ze uitgewisseld. En dan heb je altijd nog de mensen die dit soort vooruitgang tegen proberen te houden door direct te roepen dat het vast niet veilig is en de privacy van jou als patiënt wordt aangetast.
Dat systeem is er al lang. Eerst was dat mijn brievenbus en tegenwoordig mijn mailbox.Enige wat er moet gebeuren is het SMTP protocol voorzien van een beveiligingslaag. Is ook een kluif, maar uiteindelijk een betere oplossing dan de lappendeken die nu ontstaat.
Het gaat er in dit soort gevallen niet om 'modern' te zijn,
Het was ook maar een grapje. Maar ja, helaas snapt tegenwoordig niemand meer wat ‘ :P ’ betekent…

[Reactie gewijzigd door TheVivaldi op 30 september 2021 16:45]

Is dit niet phishing gevoelig, linkjes in ontvangen e-mails? Die vele waarschuwingen over klikken op links? Of dat zo'n e-mail gewoon in de spam folder terecht komt?

Wat ik op de presentatie video zie is veel meldingen bij de verzender over al dan niet gevoelige inhoud, ontvanger etc. Krijg je als medewerker dan niet het gevoel na de 100-ste e-mail van "het zal wel" en "ik moet mijn werk ook afkrijgen?", dus klik-en-weg? Net zoiets als de zoveelste "Are you sure (Y/N)? vraag".
Gelukkig zijn spamfilters slim en controleren ze op zaken zoals SPF en DKIM om het binnenkomende bericht een spamscore mee te geven, om op die manier te voorkomen dat phising bij de eindgebruiker terecht komt.
Naief, de meeste mail die hier binnenkomt met correcte SPF, DKIM en DMARC is spam. Spammers waren de eerste die dit implementeerden.
Dat moeten dan spammers zijn die namens hun eigen domeinen mailen en niet namens een andere organisatie.
Holy shit, dat dat nog per fax gaat. Verbaast mij niks, huisartsenposten doen dit ook nog vaak.
Toen ik wat meer zaken ging doen met de Verenigde Staten moest ik ook mijn fax weer uit het stof halen (faxen had ik niet meer gebruikt sinds je domeinnamen ook zonder fax kon aanvragen). En tot overmaat van ramp kon ik ook alleen maar faxen terwijl ik de ontvanger aan de telefoon had want ze moesten tijdens het gesprek naar het apparaat lopen om de ontvangen fax uit de lade te halen anders werd hij als niet aangekomen beschouwd. Uiteraard kon je dus ook alleen iets versturen tijdens hun kantooruren. Het is met de VS soms net alsof ze het internet nog moeten ontdekken.

Een vriend van mij levert wel eens softwarediensten aan Amerikaanse partijen en dan krijg je doodleuk een papieren cheque voor een paar miljoen dollar in de post. Een papieren cheque in een papieren envelop. Via de post naar de andere kant van de wereld.

Een andere vriend van mij is aan het overwegen uit te breiden naar de VS en wees me lachend op deze site: https://services.sunbiz.org/ Het officiële bedrijfsregister van de staat Florida. Alsof je een GeoCities pagina uit 1998 bezoekt. Dan heeft de KvK het toch wel een stuk beter voor elkaar, compleet met APIs.

Kortom, de voorkant van de golf kan hypermodern zijn, er zit een enorme long tail van achterblijvers achter.

[Reactie gewijzigd door Maurits van Baerle op 30 september 2021 15:27]

Ik heb denk ik liever een https://services.sunbiz.org dan een kvk.nl. Denk namelijk dat ze daar geen lijsten verkopen met telefoonnummers. Terwijl ik hier in nederland bijna elke dag wordt gespamt aan de telefoon (mede mogelijk gemaakt door de KVK nederland).
Zelf ook ervaring mee, en opgelost voor mijn eigen bedrijf met een investering van 125 euro per jaar. :+

[Reactie gewijzigd door Tweakez op 30 september 2021 15:37]

125 euros.. vertel nu ben ik benieuwd haha
Heb je een DM gestuurd :-) en geloof me.. het werkt echt }>
Ik ben ook erg benieuwd!
In Nederland moet alles altijd anders, nieuw en modern, alles wordt constant aangepast omdat het zogenaamd modern moet zijn. Maar waarom als het goed werkt? Daarom is bij jullie ook alles zo duur, tig adviesbureaus die de overheid adviseren, elke 2,3 jaar een ander systeem etc etc
Je zou verbaasd zijn hoe vaak het nog gebruikt wordt. Zeker als je zaken doet in het buitenland is fax vaak de enige manier om iets voor elkaar te krijgen bij bijvoorbeeld een bank.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee