Op de bon

Foto van auteur

Kom je wel eens in Duitsland? En heb je daar wel eens een kassabon van dichtbij bekeken? Nou, ik wel. En toen viel mij meteen de cryptografische informatie op die erop stond.

Voor de duidelijkheid: als ik het over crypto heb, dan praat ik over cryptografie en niet over digitaal geld, zoals de bitcoin. Cryptografie: de wiskundige kunst van het beveiligen van gegevens, zei laatst iemand op een congres. Maar wat stond er dan precies op die bon, en vooral: waarom?

Het waren lange reeksen cijfers en letters, zoals je op de foto kunt zien. Mijn aandacht werd getrokken door de ‘PublicKey’-rubriek helemaal onderaan de bon. Daarachter een brij van 132 tekens. De bon bevat in nog zo’n zelfde weergave een digitale handtekening (signature). Je ziet niet vaak dergelijke informatie over digitale handtekeningen op een analoog medium (de papieren bon).

Het zit ‘m in de Duitse wetgeving, de Kassensicherungsverordnung (Kassabeveiligingsverordening, ietwat vreemd afgekort tot KassenSichV). Daarin staat dat elektronische kassa’s voorzien moeten zijn van een Technische Sicherheitseinrichtung (TSE – Technische Beveiligingsvoorziening). Die TSE voorkomt dat er met de kassa gerommeld kan worden: alle transacties worden, met een volgnummer, gelogd en digitaal ondertekend. Zo kan het Finanzamt (de belastingdienst) controleren op onregelmatigheden, zoals ontbrekende bonnen. Als een kassa geen gecertificeerde TSE heeft, kan de winkelier een boete tot 25.000 euro krijgen.

Die cryptografische bewerking speelt zich binnen de kassa af. Maar waarom staat die informatie ook op de bon? Omdat die bon zelf ook controleerbaar moet zijn. Jij als klant doet daar niets mee – beschouw het feit, dat die gegevens mij opvielen, gerust als beroepsdeformatie. Maar de fiscus kan steekproeven doen, bijvoorbeeld door een mystery guest te laten shoppen en vervolgens de bon te checken. Vroeger konden winkeliers de klant een keurige kassabon meegeven en toch transacties uit de kassa verwijderen of manipuleren. Dat kan nu niet meer, omdat de digitale handtekening dat meteen aan het licht zou brengen.

Op modernere kassabonnen is de uitgeschreven TSE-informatie vervangen door een QR-code. Dat maakt het leven van controleurs gemakkelijker (al wordt het aangeprezen als papierbesparende maatregel). Nóg milieuvriendelijker is de digitale kassabon, die heel on-Duits fiskaly receipt heet. De klant scant dan een QR-code op de kassa. Maar het kan ook eenvoudiger: bij de supermarkt, waar wij om de zoveel tijd heen gaan om dingen te kopen die ze hier niet hebben of die daar veel goedkoper zijn, kun je de kassabon rechtstreeks in de app van de winkel ontvangen.

Die digitalisering is mooi, maar ik zie wel een probleem. Als ik iets koop waar garantie op zit, dan scan ik de bon in en bewaar hem onder een zinvolle naam op de computer. Dat doe ik om twee redenen: originele bonnen vervagen en ik kan de computer voor mij laten zoeken. Digitaal verstrekte bonnen vind ik dan echter niet terug. Als je je dat realiseert, moet je vervolgens maar net weten bij welke winkel je het product hebt gekocht, om de bon vervolgens in de desbetreffende app of op hun website terug te zoeken. Om dat te ondervangen ga ik in dat soort gevallen nu maar een bestandje in mijn administratie opnemen waar ik in zet waar het product gekocht is. Nog een tip voor collega-administratieve nerds: omdat er aan kleding nog wel eens wat kapot wil gaan, bewaar ik bij de ingescande bon ook een foto van het kledingstuk. Dan weet je dat die bon bij die broek hoort.

Op de kassabon van Shawarma Al-Zaiem (ja, zo heet shoarma in het Duits) viel mij nog iets op: de tekst “Es bediente Sie: LPADMIN” (U werd geholpen door). Op de kassa was dus de beheerder ingelogd. Nou is Al-Zaiem een kleine zaak waar slechts twee mensen aan het werk waren, maar toch: inloggen als administrator (beheerder) om reguliere werkzaamheden uit te voeren is nooit een goed idee.

Stuur me foto’s van je verbaasde reisgenoten als jij bij je volgende bezoek aan Duitsland aandachtig de kassabon zit te bestuderen (-;

 

En in de grote boze buitenwereld …

• zijn de gegevens van miljoenen klanten van Odido en Ben gestolen.
• plegen statelijke actoren momenteel spearphishing-aanvallen op Signal-accounts.
• doet de Nigeriaanse prins zich tegenwoordig voor als Emirati.
• zit er nog veel groei in ransomware.
• geeft een hacker inzicht in Russische desinformatie. [DUITS]
• wordt stalkerware vaak gehackt en gelekt.
• blokkeert Rusland WhatsApp, en zelfs Telegram.
• zit de Belastingdienst voorlopig vast aan M365.
• kan Europa zich sowieso niet losmaken van Amerikaanse tech.
• krijgen Belgische bankklanten een engelbewaarder.