 |
| Foto van auteur |
Kom je wel eens in Duitsland? En heb je daar wel eens een kassabon van dichtbij bekeken? Nou, ik wel. En toen viel mij meteen de cryptografische informatie op die erop stond.
Voor
de duidelijkheid: als ik het over crypto heb, dan praat ik over cryptografie en
niet over digitaal geld, zoals de bitcoin. Cryptografie: de wiskundige kunst
van het beveiligen van gegevens, zei laatst iemand op een congres. Maar wat
stond er dan precies op die bon, en vooral: waarom?
Het
waren lange reeksen cijfers en letters, zoals je op de foto kunt zien. Mijn
aandacht werd getrokken door de ‘PublicKey’-rubriek helemaal onderaan de bon. Daarachter
een brij van 132 tekens. De bon bevat in nog zo’n zelfde weergave een digitale
handtekening (signature). Je ziet niet vaak dergelijke informatie over digitale
handtekeningen op een analoog medium (de papieren bon).
Het
zit ‘m in de Duitse wetgeving, de Kassensicherungsverordnung (Kassabeveiligingsverordening,
ietwat vreemd afgekort tot KassenSichV). Daarin staat dat elektronische kassa’s
voorzien moeten zijn van een Technische Sicherheitseinrichtung (TSE –
Technische Beveiligingsvoorziening). Die TSE voorkomt dat er met de kassa
gerommeld kan worden: alle transacties worden, met een volgnummer, gelogd en
digitaal ondertekend. Zo kan het Finanzamt (de belastingdienst)
controleren op onregelmatigheden, zoals ontbrekende bonnen. Als een kassa geen
gecertificeerde TSE heeft, kan de winkelier een boete tot 25.000 euro krijgen.
Die
cryptografische bewerking speelt zich binnen de kassa af. Maar waarom staat die
informatie ook op de bon? Omdat die bon zelf ook controleerbaar moet zijn. Jij
als klant doet daar niets mee – beschouw het feit, dat die gegevens mij
opvielen, gerust als beroepsdeformatie. Maar de fiscus kan steekproeven doen,
bijvoorbeeld door een mystery guest te laten shoppen en vervolgens de
bon te checken. Vroeger konden winkeliers de klant een keurige kassabon
meegeven en toch transacties uit de kassa verwijderen of manipuleren. Dat kan
nu niet meer, omdat de digitale handtekening dat meteen aan het licht zou
brengen.
Op
modernere kassabonnen is de uitgeschreven TSE-informatie vervangen door een
QR-code. Dat maakt het leven van controleurs gemakkelijker (al wordt het aangeprezen
als papierbesparende maatregel). Nóg milieuvriendelijker is de digitale
kassabon, die heel on-Duits fiskaly receipt heet. De klant scant dan een
QR-code op de kassa. Maar het kan ook eenvoudiger: bij de supermarkt, waar wij
om de zoveel tijd heen gaan om dingen te kopen die ze hier niet hebben of die
daar veel goedkoper zijn, kun je de kassabon rechtstreeks in de app van de
winkel ontvangen.
Die
digitalisering is mooi, maar ik zie wel een probleem. Als ik iets koop waar garantie
op zit, dan scan ik de bon in en bewaar hem onder een zinvolle naam op de
computer. Dat doe ik om twee redenen: originele bonnen vervagen en ik kan de
computer voor mij laten zoeken. Digitaal verstrekte bonnen vind ik dan echter niet
terug. Als je je dat realiseert, moet je vervolgens maar net weten bij welke
winkel je het product hebt gekocht, om de bon vervolgens in de desbetreffende
app of op hun website terug te zoeken. Om dat te ondervangen ga ik in dat soort
gevallen nu maar een bestandje in mijn administratie opnemen waar ik in zet
waar het product gekocht is. Nog een tip voor collega-administratieve nerds:
omdat er aan kleding nog wel eens wat kapot wil gaan, bewaar ik bij de
ingescande bon ook een foto van het kledingstuk. Dan weet je dat die bon bij
die broek hoort.
Op de
kassabon van Shawarma Al-Zaiem (ja, zo heet shoarma in het Duits) viel
mij nog iets op: de tekst “Es bediente Sie: LPADMIN” (U werd geholpen door). Op
de kassa was dus de beheerder ingelogd. Nou is Al-Zaiem een kleine zaak waar
slechts twee mensen aan het werk waren, maar toch: inloggen als administrator
(beheerder) om reguliere werkzaamheden uit te voeren is nooit een goed idee.
Stuur
me foto’s van je verbaasde reisgenoten als jij bij je volgende bezoek aan
Duitsland aandachtig de kassabon zit te bestuderen (-;
En in de grote boze buitenwereld …
- zijn de gegevens van miljoenen klanten van Odido en Ben gestolen.
- plegen statelijke actoren momenteel spearphishing-aanvallen op Signal-accounts.
- doet de Nigeriaanse prins zich tegenwoordig voor als Emirati.
- zit er nog veel groei in ransomware.
- geeft een hacker inzicht in Russische
desinformatie. [DUITS]
- wordt stalkerware vaak gehackt en gelekt.
- blokkeert Rusland WhatsApp, en zelfs Telegram.
- zit de Belastingdienst voorlopig vast aan M365.
- kan Europa zich sowieso niet losmaken van Amerikaanse tech.
- krijgen Belgische bankklanten een engelbewaarder.
