Bewijs het eens: De notaris in een wereld waarin nep steeds echter lijkt
Het notariaat draait om vertrouwen. Maar digitale systemen zijn kwetsbaar en documenten, identiteiten en beelden steeds makkelijker te vervalsen. Als digitaal bewijs manipuleerbaar wordt, hoe blijft de rechtszekerheid dan overeind? ‘De notaris blijft ook met de opkomst van AI een onafhankelijk baken van objectieve betrouwbaarheid.’
Het antwoord op de vraag hierboven begint bij de basis: veiligheid. Maar waar fysieke beveiliging relatief statisch is, geldt het tegenovergestelde voor de digitale wereld. ‘Met twee politiekeurmerk-sterrensloten op je voordeur is je huis vijf jaar lang beveiligd tegen inbraken‘, zegt IT-jurist Arnoud Engelfriet. ‘Cybersecurity daarentegen is een continu proces. Criminelen speuren dagelijks heel Nederland af op zoek naar bedrijven met een zwakke server, een zwak geconfigureerde laptop of een onveilige app. Notariskantoren moeten doorlopend evalueren: welke risico’s lopen we en hoe kunnen we die opvangen?’
Digitale veiligheid is dus geen vinkje, maar een permanent punt van aandacht. Bovendien gaat het niet alleen om veiligheid; de vraag is ook hoe digitaal vertrouwen juridisch wordt gewaarborgd. Hoe combineer je technologisch vertrouwen met het institutionele vertrouwen in het notariaat? Joost Rotteveel Mansveld, partner en consultant bij BridgeHead, formuleert daarop een antwoord in samenwerking met de KNB. De oplossing zoekt hij in Europese regelgeving en technologie rond digitale identificatie en elektronische handtekeningen. ‘De eIDAS-tools (zie kader, red.) waarborgen de authenticiteit en integriteit van gegevens’, legt hij uit. ‘Stel dat iemand een digitaal document wijzigt. Dan wordt het zegel verbroken. Dat kun je zien, net als vroeger bij een fysieke zegel op een envelop.’
Papieren documenten ontlenen hun echtheid aan fysieke kenmerken. Digitaal gebeurt dat via gekwalificeerde elektronische handtekeningen die juridisch gelijkstaan aan de natte handtekening. ‘Met eIDAS-tools kun je straks veilig gegevens uit een digitale akte in een wallet plaatsen en ze vervolgens digitaal delen, bijvoorbeeld met een bank. Denk aan een UBO-status of een volmacht uit een levenstestament. Doel is om automatische controles mogelijk te maken, zodat een bank met één muisklik kan vaststellendat iemand notarieel gemachtigd is via een levenstestament. Dat proces verloopt nu veel omslachtiger.‘ De technologie hiervoor is al beschikbaar. ‘We onderzoeken nog hoe we de rechtszekerheid en rechtsbescherming in dit proces kunnen behouden. Daarvoor komen er certificeringen.’
‘Alleen als je er slaafs op vertrouwt, vormt AI een bedreiging voor de rechtszekerheid’
(online) slijterij
Yong Yong Hu gaat dieper in op de problematiek rondom digitale authenticatie. Zij deed PhD-onderzoek naar de juridische eisen aan de betrouwbaarheid van digitale authenticatie en authenticiteit. In juni verdedigt ze haar proefschrift aan de Radboud Universiteit Nijmegen.
De huidige problematiek illustreert Hu met een concreet voorbeeld. ‘Wil je alcohol kopen bij een online slijterij, dan vink je aan dat je boven de 18 bent. Vervolgens klik je op ‘bevestigen’. Als je eigenlijk minderjarig bent, heeft niemand dat door. Dat authenticatieproces verloopt dus te soepel.’
Ze vervolgt: ‘Veel processen leunen op kennis van persoonsgegevens, zoals geboortedatum en adres. Maar die gegevens zijn vaak makkelijk te achterhalen of al bekend bij anderen. Dat maakt ze kwetsbaar voor identiteitsfraude en datalekken. Een oplossing is het gebruik van multi-factorauthenticatie. Daarbij combineer je dat wat iemand weet – een wachtwoord of pincode – met wat iemand hééft: een telefoon, app of digitale wallet. Je kunt nog een stap verder gaan door ook biometrische gegevens toe te voegen, zoals een vingerafdruk of gezichtsherkenning.’
Hu keert terug naar het voorbeeld van de slijterij – dit keer de ouderwetse, fysieke Gall & Gall om de hoek. ‘Als je daar naar binnenloopt, dan laat je je ID-kaart of paspoort zien om je leeftijd aan te tonen. Maar daarop staan ook gegevens als afgiftelocatie, BSN-nummer en lengte. Dat is niet privacyvriendelijk, omdat die extra persoonsgegevens voor de aanschaf van alcohol irrelevant zijn. De slijterij hoeft immers alleen te weten of de klant ouder is dan 18. En let op: precies hetzelfde geldt voor online authenticatie met DigiD.’ Haar conclusie: de huidige authenticatieprocessen zijn óf te zwak óf te privacy-onvriendelijk en vormen daarmee een bedreiging voor de digitale rechtszekerheid.
eIDAS 2.0 biedt een nieuw perspectief. Vanuit de Europese wallet kunnen gebruikers in plaats van een volledige set persoonsgegevens ook losse, relevante attributen afgeven. Bijvoorbeeld enkel een geboortedatum of – nog privacyvriendelijker: het attribuut ‘ouder dan 18’. Zo ontstaat een systeem dat betrouwbaarder verifieert én privacyvriendelijker is. Juridisch is echter nog niet alles uitgekristalliseerd. Hu: ‘Bij een gekwalificeerde elektronische handtekening stuur je een volledige set persoonsgegevens mee. Ook die is dus niet privacyvriendelijk. Maar of een elektronische handtekening met losse attributen een gekwalificeerde handtekening is, blijft onder eIDAS 2.0 vooralsnog onduidelijk. Het is in elk geval de geavanceerde versie.’
Autopech
Alsof dit alles nog niet genoeg is, voegt de razendsnelle opmars van AI een nieuwe laag onzekerheid toe. Zijn in een wereld van AI-gegenereerde documenten echt en nep straks niet meer van elkaar te onderscheiden? ‘Dat is inderdaad een ontzettend lastige kwestie’, zegt IT-jurist Engelfriet. ‘Het wordt daarom steeds belangrijker om voorbij het document te kijken, naar de context. In het verzekeringswezen dienen klanten nu al declaraties in op basis van AI-gegenereerde foto’s van bijvoorbeeld autoschade. Gaat het mogelijk om een AI-gegenereerd bonnetje, dan vraag je de leverancier zelf de factuur te sturen. Notarissen zijn al bekend met vervalsing van papieren akten en vragen standaard het origineel op. Dat is hetzelfde principe.’
Vormt AI een bedreiging voor de rechtszekerheid? ‘Alleen als je er slaafs op vertrouwt’, zegt Engelfriet. ‘Wel vereist het een nieuwe vorm van verwachtingsmanagement jegens de cliënt. In de medische wereld bestaat het fenomeen Dokter Google. Mensen googelen hun symptomen, met als zoekresultaat dat hun been er volgende week afvalt. Daarmee gaan ze naar de huisarts met het verzoek om een passende behandeling. In juridisch verband leggen nu al veel mensen hun conflict voor aan AI. Maar AI is primair een tekstgenerator. Die praat je naar de mond en adviseert bijvoorbeeld: stel de wederpartij voor 2 miljoen euro aansprakelijk op basis van deze AI-gegenereerde claim. Je advocaat hoeft er alleen maar een krabbeltje onder te zetten. Ook in het notariaat denken waarschijnlijk genoeg cliënten: ik heb alvast huwelijkse voorwaarden samengesteld met Copilot, dan hoeft de notaris ze alleen maar even te tekenen.’
Engelfriets advies is helder: ‘Beschouw AI-gegenereerde teksten die cliënten meenemen puur als suggestie; de cliënt heeft aantekeningen gemaakt. Of diegene nou op een briefje schrijft: ‘Kinderen onterven’ of een lapt tekst van ChatGPT laat zien, dat maakt niet uit. Je hebt in beide gevallen een uiting van iemands wil.’
Menselijk baken
AI en digitalisering vormen geen existentiële bedreiging voor het notariaat, zeggen de experts. Rotteveel Mansveld: ‘Door de opkomst van AI hebben we juist een menselijk vertrouwensanker nodig om nep van echt te onderscheiden. AI kan de rechtszekerheid en rechtsbescherming onder druk zetten, waardoor de rol van de notaris nog belangrijker wordt. Wilsbekwaamheid bijvoorbeeld kun je niet technologisch toetsen. Of iemand onder druk zijn handtekening zet, blijft een vraagteken zolang er geen mens aan te pas komt. Je wil een human in the loop. Op welke momenten, daarover moet een maatschappelijke discussie plaatsvinden.’
Bovendien laat juridische kennis zich volgens hem beperkt digitaliseren. ‘Bij belangrijke beslissingen heb je liefst een mens voor je. Toen ik vorig jaar trouwde, hebben we onze huwelijkse voorwaarden bij de notaris vastgelegd. Dat had ik echt niet met AI willen doen.’ ‘De notaris blijft ook met de opkomst van AI een onafhankelijk baken van objectieve betrouwbaarheid’, zegt ook Engelfriet. Daarbij hoeft het notariaat zich volgens hem niet de benen uit het lijf te rennen om de ontwikkelingen bij te benen. ‘Veel mensen creëren een gevoel van urgentie met betrekking tot AI, vanuit de gedachte: anders lopen we straks permanent achter. Laat je niet meeslepen in die hype. Het notariaat mag gerust wat conservatiever zijn en deze ontwikkeling rustig, grondig en objectief bestuderen. Waarom is die frictie, die digitale vertraging noodzakelijk om de rol van notaris goed te blijven vervullen? Dáár gaat het om.’
‘Een menselijk vertrouwensanker is nodig om nep van echt te onderscheiden’
Wat is eIDAS 2.0
eIDAS 2.0 is de vernieuwde Europese verordening voor elektronische identificatie en vertrouwensdiensten. Het doel: digitale transacties in de EU veiliger, betrouwbaarder en juridisch beter afdwingbaar maken. De belangrijkste vernieuwing is de introductie van de Europese digitale identiteitswallet (EUDI wallet). Dat is een digitale portemonnee op de telefoon waarmee je je identiteit kunt bewijzen, documenten kunt opslaan en gegevens veilig kunt delen met organisaties. In plaats van een volledig identiteitsbewijs te delen, kun je bijvoorbeeld alleen aantonen dat je ouder bent dan 18. Gebruikers krijgen zelf de regie over hun gegevens. Bedrijven en overheden moeten digitale identificatie via eIDAS 2.0 accepteren. Daarmee ontstaat één grensoverschrijdend Europees systeem voor digitale identificatie en elektronische handtekeningen.