Hoe verkrijgen we een authentieke handtekening van iemand?

| AE 2730 | Security | 26 reacties

handtekening.jpgEen lezer vroeg me:

De wachtwoorden van een aantal van onze computersystemen worden in een archiefkast bewaard. Om de auditors enigszins gelukkig te maken wordt de toegang tot deze kast onder meer gecontroleerd met een handtekeningformulier. Wie de kast open wil doen, moet naam en handtekening (en tijdstip) vermelden. Mogen wij daarbij eisen dat werknemers zich legitimeren, en mogen we dan een kopie bewaren van dat legitimatiebewijs zodat we de authentieke handtekening hebben?

Ik ga nu iets zeggen dat voor veel mensen verrassend is: er is geen wet die vastlegt of regelt wat iemands authentieke handtekening is!

Een handtekening is een krabbel op een stuk papier waarmee de plaatser aangeeft dat de inhoud juist is of dat hij daarmee akkoord gaat. De wet bepaalt echter nergens hoe een handtekening eruit moet zien of hoe je “de” handtekening van de plaatser herkent. Je bent dus formeel vrij om naar verschillende instanties toe verschillende handtekeningen te gebruiken, zolang je maar goed onthoudt per instantie wat je handtekening daar is.

In securitytaal: een handtekening zetten is het papieren equivalent van een pincode intypen. “Something you can do” in plaats van “something you know”, als het ware. Wie de handtekening kan zetten, wordt geacht de betreffende persoon te zijn.

In de praktijk is het natuurlijk volstrekt ingeburgerd dat je met één handtekening werkt, en dat we met z’n allen doen alsof handtekeningen niet triviaal te vervalsen zijn. De wet zegt over handtekeningen eigenlijk niet veel meer dan wat in artikel 159 Rechtsvordering staat. Een ondertekend document is tegen de ondertekenaar bewijs van de inhoud (tenzij hij tegenbewijs aanlevert). Enkel roepen dat je het zo niet had bedoeld of dat er een fout is gemaakt, gaat je niet helpen. Echter, ontken je stellig dat je dat document nooit getekend hebt, dan moet eerst bewezen worden van wie de ondertekening afkomstig is.

En ja, dat is alles dat de wet hierover zegt. Niets over bewijsvermoedens wanneer vulpennen zijn gebruikt, of dat een betrouwbaar middel voor het overbrengen van inkt moet zijn gebruikt of dat minstens twee door TNO gecertificeerde getuigen aanwezig waren. Het is me dan ook al jaren een doorn in het oog dat we voor digitale handtekeningen een heel raamwerk hebben opgetuigd waarin dat allemaal wél wordt geëist. Met als uitsmijter dat als je dat allemaal doet je “vermoedelijk” een rechtsgeldige handtekening hebt gezet. Oh, en natuurlijk komt daar nog bij dat handtekeningen zelden juridisch nodig zijn. Ok sorry, ik ben alweer rustig.

Hoe dan ook. Een handtekening is dus handig om bewijs te verzamelen, in dit geval van het feit dat persoon X bij de archiefkast is geweest op tijdstip T. Om te verifiëren dat iemand is wie hij zegt dat hij is, kan het bedrijf vragen dat hij een controlehandtekening plaatst in een logboek. Men mag ook wel vergelijken met de bankpas of identiteitskaart, maar een kopie daarvan bewaren lijkt me niet echt nodig.

Update (12:00) heel toevallig lees ik dit vonnis waarin de handtekening onder een verkoopcontract (van een domeinnaam) werd betwist. De koper moest bewijzen dat het contract echt was en ondertekend door de verkoper. Deze had uitdrukkelijk betwist dat de handtekening van hem was (onder verwijzing naar “fotoshoppen”). Het contract was ooit op papier opgemaakt en vervolgens gescand.

Het origineel had de koper niet meegenomen, en uit de documenteigenschappen van de gescande PDF die wél was overlegd bleek dat deze pas was vervaardigd op 22 april 2010, terwijl in het document een datum van 20 februari 2010 genoemd stond. Dat was voor de rechter genoeg om de scan niet als bewijs te accepteren.

(In 4.10 staat “een overeenkomst hebben gesloten” maar volgens mij is dat fout, omdat in 5.1 de koper wordt verboden de domeinnaam te gebruiken tot dat vaststaat dat er wél een overeenkomst is.)

Arnoud

Deel dit artikel

  1. Maar van een werknemer moet je toch al een copie legitimatie bewijs hebben in het personeels dossier?

    Verder weer wassen neus voor de auditors. Zit een special slot op de kast die alleen open gaat als er een handtekening is gezet?

    Ik zou zeggen zet de passwords in een document management systeem dan heb je een electronisch audit trail.

  2. Geen auditor zal ooit vragen om handtekeningen of wat dan ook. Wat ze (we) wel zullen vragen is “Kunt u aantonen dat de towegang tot deze kast beheerst is?”. Met andere woorden. Hoe weet u dat niemand op eigen houtje in die passwords zit te grasduinen? Het kan de auditor op zich geen moer schelen maar als jij als berijf hoog opgeeft van de beveiliging op dergelijke informatie dan zal de auditor je ook vragen om dat hard te maken.

  3. Ah, er is geen wettelijke status. Vandaar dat je tegenwoordig voor elke scheet die bij de notaris terecht komt een door een notaris gewaarmerkte handtekening moet zetten. Het zou fijn zijn als notarissen ook met DigiD gingen werken. Uiteraard wel nadat de veiligheid van een en ander op voldoende niveau is en er een duidelijke aansprakelijkheid is voor wat je anderen met je DigiD laat doen.

    Zelf werk ik al jaren met wachtwoorddocumenten met een wachtwoord en/of in mappen waar slechts de gebruikers bij kunnen die daartoe gerechtigd zijn. Met uiteraard de nodige kopieën op veilige plaatsen.

  4. ???Echter, ontken je stellig dat je dat document nooit getekend hebt, dan moet eerst bewezen worden van wie de ondertekening afkomstig is.???

    En bedoel je niet “ondertekend” in plaats van “getekend”? Documenten schrijf je namelijk, die teken je niet. 🙂

    Als we dan toch opmerkingen maken over schrijffouten dan doe ik vrolijk mee… 🙂

    Wat mij overigens opvalt als ik mijn handtekening ergens plaats, is dat men dan vaak ongeduldig wordt. Mijn handtekening bestaat namelijk uit vier lijnen die ik teken, maar meestal willen ze het document al hebben nadat ik twee of drie lijnen heb geplaatst. Vooral postbodes met die digitale apparaten denken al dat ik klaar ben na twee lijnen en krijgen dan ook meestal een halve handtekening mee… Maar goed, zoals gezegd, de handtekening maakt weinig uit zolang deze maar als extra bewijs aangevoerd kan worden. Maar indien er een tussenpersoon is betrokken, zoals een pakketdienst/postbode, dan is de status van een handtekening wel belangrijk. Want die postbode kan zelf de handtekening hebben vervalst en het pakket zelf hebben gehouden. Of hij heeft deze afgeleverd en de ontvanger doet alsof hij niets heeft ontvangen. Probeer dan maar eens je schade vergoed te krijgen…

  5. Dit stukje: “en dat we met z???n allen doen alsof handtekeningen niet triviaal te vervalsen zijn.”

    Slaat de spijker op z’n kop. It only works when it works, when it doesn’t, it doesn’t.

    Bij de handtekening gaat het om het gevoel, je moet je handtekening neerpennen zodat je het gevoel krijgt dat je bebonden bent, dat je het bewust hebt gedaan (en om de andere partij daartoe te overtuigen).

    De enig plekken waar tot nu toe mijn handtekening “echt” is gecontroleerd is bij de bank en bij het gemeentehuis. De bank wil per se dat mijn handtekening op hun documenten hetzelfde is als de handtekening op mijn ID-kaart. De medewerkers bij het gemeentehuis zijn, mits je foto nog enigszins lijkt, meestal nog wel over te halen om je “nieuwe” handtekening te accepteren.

  6. @ Wim Daarmee toon je meteen aan hoe waardeloos die handtekening is. Het is volstrekt onmogelijk om achteraf aan te tonen wie een krabbel heeft gezet. Als ik de kluit zou willen bedonderen dan zet ik gewoon een andere krabbel als anders en bij navraag toon ik mijn paspoort met mijn gebruikelijke krabbel. Alleen als ik bij het zetten van de handtekening ook mijn paspoort moet tonen ter vergelijking dan kan ik laten zien dat ik ik ben. Anders kan ik later altijd volhouden dat niet ik maar iemand anders dat pakketje in ontvangst heeft genomen of dat document heeft ondertekend.

  7. Hoe meer je je handtekening overal moet achterlaten, hoe meer waarschijnlijk een vervalser daar iets mee kan. Hoe meer instanties copies van je ID documenten vrgaen, hoe meer kans dat ze in verkeerde handen vallen. Recent nog een GSM abo genomen? Al geprobeerd de data op te vragen die een instantie over je heeft? On-line een bankrekening geopend? Een vliegreis geboekt? Nog even en ik kan gewoon adviseren een google search voor m’n copies te gebruiken ipv van ze door te mailen 🙁 Oh, en daar staat het RSZ (BSN ?) nummer ook op.

  8. Verder, de DigiNotar blamage toonde ook al aan dat digitale handtekeningen ook niet te vertrouwen zijn. Net als bij de handtekeningen die je met pen en papier maakt is het geheel zo betrouwbaar als de zwakste schakel in het geheel. In het geval van de postbode moet je erop vertrouwen dat de postbode eerlijk is en het tevens bij de juiste persoon heeft bezorgd. Want wat indien de postbode zich in straat vergist en het pakketje bij totaal iemand anders brengt die wel een gratis pakketje wil hebben en meteen een handtekening zet… We leven gelukkig in een wereld waarin de meeste personen van nature gewoon goudeerlijk zijn. Het zijn alleen die paar zwarte schapen die het voor de rest verpesten. Die paar personen die misbruik maken zorgen voor de noodzaak van extra beveiligingen…

  9. Toevoeging: vonnis waarin de handtekening onder een verkoopcontract (van een domeinnaam) werd betwist. De koper moest bewijzen dat het contract echt was en ondertekend door de verkoper. Deze had uitdrukkelijk betwist dat de handtekening van hem was (onder verwijzing naar “fotoshoppen”). Het contract was ooit op papier opgemaakt en vervolgens gescand.

    Het origineel had de koper niet meegenomen, en uit de documenteigenschappen van de gescande PDF die wél was overlegd bleek dat deze pas was vervaardigd op 22 april 2010, terwijl in het document een datum van 20 februari 2010 genoemd stond. Dat was voor de rechter genoeg om de scan niet als bewijs te accepteren.

    (In 4.10 staat “een overeenkomst hebben gesloten” maar volgens mij is dat fout, omdat in 5.1 de koper wordt verboden de domeinnaam te gebruiken tot dat vaststaat dat er wél een overeenkomst is.)

  10. Op een kopie identiteitsbewijs schrijf ik altijd ‘afgegeven aan [bedrijfsnaam] op [datum] ten behoeve van [handeling]’ om al te makkelijk misbruik van de kopie te voorkomen.

    Anekdote:

    Ik stond – uitgerekend in de USA – een keer met een niet ondertekende creditcard. Bij het betalen dus algehele consternatie bij het juniore kassameisje, maar al snel zocht ze een stift en mocht ik mijn creditcard ter plekke ondertekenen. Nadat ik ook de bon had ondertekend ging ze braaf de twee handtekeningen op creditcard en bon vergelijken.

  11. Nog even terugkomend op het kopiëren van paspoorten:

    Een gerechtvaardigde reden om iemands persoonsgegevens te mogen verwerken betekent niet dat je het recht hebt om iemands identiteitsdocument te kopiëren. Veel mensen (inclusief ikzelf) zijn zich soms niet bewust van het verschil.

    De sportschool en de telecomprovider hebben natuurlijk een gerechtvaardigd belang om te controleren met wie ze zaken doen. Ze mogen dus best eisen dat je je legitimatie toont, om vervolgens een bepaald aantal gegevens over je op te slaan. Uit gemakzucht is tegenwoordig de eis dat ze een kopie van je ID-kaart opslaan, maar die eis is juridisch nergens op gefundeerd en is in principe zelfs buitenproportioneel (tonen van legitimatie in de winkel biedt ze voldoende zekerheid).

    Maar er is natuurlijk een groot verschil tussen theorie en praktijk, want in de praktijk weigeren ze dan gewoon om jou die telefoon of dat fitness-abonnement te verkopen en wordt het dus prepaid-bellen vanaf de hometrainer in je woonkamer… De enige “oplossing” die ik zie is dat je toch eerst een kopie afgeeft, maar zodra het abonnement rond is direct op grond van de WBP eist dat ze de kopie verwijderen.

    ( @ Sander: Ik zat net als jij ook meteen aan die aflevering van Tros Radar te denken inderdaad! )

  12. @hAl, bijna juist! 🙂 Er zitten wat meer zwierige krullen in. Veel mensen hebben een handtekening die je met 1 of 2 lijnen tekent. Ik dus 4 en dat maakt veel mensen erg ongeduldig. Ik vraag mij dus ook eigenlijk af hoe rechtsgeldig een halve handtekening is, indien het document wordt weggetrokken terwijl ik nog bezig ben mijn handtekening te plaatsen. 🙂 Immers, is mijn bedenktijd afgelopen als ik begin met het plaatsen van de handtekening of nadat ik de laatste pennestreek heb geplaatst?

  13. Even over het later genoemde domeinnaamvonnis: Ik lees niet meteen in het vonnis dat de rechter zich alleen heeft laten leiden door het verschil in de genoemde data, maar stel dat de metadata van het document (i.c. “22 april”) doorslaggevend is geweest, dan verbaast mij dat hogelijk. Het is niet vreemd dat ondertekende documenten, die vermoedelijk per post verstuurd zijn, op een latere datum gescand worden, dan de ondertekeningsdatum. Het zou pas verdacht zijn als de metadata uitwezen dat het document vóór de genoemde datum (dus bijvoorbeeld 19 april) gecreëerd was, inclusief handtekening. Ik begrijp dan ook niet waarom dit een relevant feit is. Eerlijk gezegd zou ik vooral alle door eiser ondertekende documenten, die bij gedaagde aanwezig moeten zijn, opvragen en dan de handtekeningen vergelijken. Mocht de gewraakte signatuur exact overeenkomen (iedere ‘zelfde’ handtekening heeft toch steeds een klein beetje afwijkende uitvoering) met een eerder gezette handtekening, dan is een sterk vermoeden van fraude gerechtvaardigd. Het feit dat het papieren origineel niet meegenomen is naar de zitting kan tegen de gedaagde pleiten, maar het feit van het documentkenmerk in deze vorm doet dat niet.

  14. @Chido, het probleem met de metadata gaf aan dat het document kennelijk eerst twee maanden ergens heeft gelegen voordat deze werd ingescand. Als je iets al twee maanden bewaard, hoe kan het dan dat het daarna “spontaan” verdwijnt nadat het is ingescand? Tja, het kan zijn dat het inscannen gebeurt om het papieren archief op te ruimen. Dat zou een aardige verklaring kunnen zijn. Het verzoek om het origineel kwam echter op 13 September (en mogelijk werden er al eerder verwijzingen naar gemaakt) dus het is opvallend dat het origineel in een periode van 5 maanden (vanaf de scan) is verdwenen. Waar het op neer kwam is dat de eiser een reden aanvoerde waarmee hij probeerde aan te tonen dat het document was vervalst. De tegenpartij had daar geen weerwoord op, geen verklaring voor de afwijkende datum, en dan heeft in het civielrecht de eiser gewoon gelijk.

    Overigens is dat contract niet van tafel geveegd. De gedaagde en eiser kunnen nog verder strijden over of het contract nu wel of niet rechtsgeldig is. Indien gedaagde alsnog het origineel kan overleggen heeft hij een goede kans om alsnog de site op te eisen. Jammer alleen voor de gedaagde dat hij de betreffende handelsnaam niet kan gebruiken, want hij heeft de handelsnaam niet “gekocht” van de eiser.

  15. @Wim Ja, deels heb je gelijk. Ik heb een leesfout gemaakt en heb “20 februari” als 20 april gelezen. Vandaar mijn “19 april” hierboven. Twee maanden is wat anders dan twee dagen, qua geloofwaardigheid. Niettemin blijf ik van mening dat een ‘scandatum’ die na de ondertekening valt, niets zegt over de vermeende valsheid van het document. Het is op zijn best indirect bewijs, maar ook dat is met een beetje verweer onderuit te halen. Bedenk het maar: “het stuk bleek bij iemand in een la te liggen en we hebben het toen alsnog gescand”. Een heel rijtje kantoorsmoezen is mogelijk 😉

  16. @Chido, inderdaad geeft de scandatum niet aan dat het is vervalst. Het is alleen aannemelijk en werd niet door de gedaagde tegengesproken. De gedaagde zal dus moeten aantonen dat het niet is vervalst. Kan hij een rekening-overzicht tonen waarin staat dat hij 2.000 Euro heeft overgemaakt naar de eiser? En is die rekening overgemaakt voor of na de scan? Heeft hij een verklaring voor wat er met het origineel is gebeurt en hoe het kan dat deze eerst twee maanden netjes werd bewaard en daarna “spontaan” verdween? In ieder geval heeft de rechter de gedaagde wel de kans geboden om alsnog aan te tonen dat dit contract echt is. Maar zolang de gedaagde dit niet wil of kan, wordt hij in het ongelijk gesteld. Sowieso de vraag wat hij aan het domein heeft indien hij niet de handelsnaam bezit. Die handelsnaam is immers geen onderdeel van het contract. 🙂

  17. @Wim Zeker, het originele, papieren document is theoretisch nog niet van tafel en dat is mooi. Mij ging het meer om de redenatie tav de metadata van het document. Ik voorzie nog interessante rechtzaken, als dat stand houdt. Al was het maar omdat de overheid in hoog tempo aan het substitueren (documenten rechtmatig vervangen digitale scans) is conform de Archiefwet. De nu in zwang zijnde methode is die van de doorlopende vervanging. Toon dan na een paar maanden nog maar eens aan dat die scan een vervalsing is. Je kan dan stellen dat de bewijslast ligt bij de overheid die het document vervangen heeft, maar dat is blijkbaar alleen mogelijk met het leveren van het papieren exemplaar, dat vernietigd is. Daarmee stort het hele vervangingsbouwwerk qua rechtmatigheid in. En daarmee trouwens ook een belangrijk onderdeel van bijvoorbeeld de ‘digitalisering’ van de rijksoverheid dat daar op leunt.

  18. @Chido: Het is niet zo dat er maar één manier is om te bewijzen dat een document echt is, laat staan dat die manier is dat je het origineel er naast legt. We hebben vrije bewijslast, dus hoe je er komt moet je zelf weten, zolang je de rechter maar overtuigt met jouw manier.

    Hier was er -tussen de regels door lezend- wel meer aan de hand. Ik kan me goed voorstellen dat de rechter zijn oordeel baseerde ook op de ontbrekende originele tekst. De late datum bij de metadata zou op zich niet doorslaggevend moeten zijn, wellicht was het een optelsom van vele kleine dingetjes (waaronder de metadata) én het niet kunnen vergelijken.

  19. @Chido,

    Als een scan van een document gemaakt wordt in de kader van een regulier bedrijfsproces (de dag van ontvangst archiveren van alle binnengekomen post) én er kan aannemelijk gemaakt worden dat er met die scan niet geknoeid is, dan heeft die een behoorlijk gewicht als bewijsmateriaal. Wanneer je als organisatie je archief converteert moet je voordat je originele documenten gaat vernietigen controleren of deze van belang zijn voor een dispuut waarin de organisatie verwikkeld is. Als je bewijsmateriaal vernietig dat jouw positie in een actueel dispuut ondersteunt… dan scoor je, in eigen doel.

  20. @Arnoud Ik zie wel dat de metadata slecht een klein puntje in het geheel is, maar het wordt zo expliciet genoemd in het vonnis. Dat verbaast me. @MathFox Knoeien met de scan is niet meteen het probleem. Het probleem zit ‘m in de oncontroleerbaarheid van een ‘natte’ handtekening na scanning. ’t Is namelijk heel simpel: je fotoshopt de gescande handtekening van het ene document op het nieuwe, zelfgemaakte document. Daarna maak je er een print van het nieuwe ‘ondertekende’ document, die je dan als archiefexemplaar inscant. Dit probleem zal altijd blijven bestaan en het toont weer eens – precies wat Arnoud betoogt – de onzinnigheid van de authenticerende handtekening aan. Zoals ik in mijn blog beschrijf (waar in in reactie 22 naar verwijs) zijn er verschillende vormen van vervanging. Eén daarvan is de routinematige vervanging achteraf (de ‘vertraagde vervanging’). Daarbij worden stukken / zaken pas na afdoening vervangen. Dan lopen stuk- en scandatum dus altijd uit de pas, soms maanden of jaren. Of er dan een vervalsing tussen gefrommeld is voordat er gedigitaliseerd werd, is moeilijk vast te stellen. Een dispuut kan zich heel goed pas ontwikkelen nadat er vervangen is, zeker bij routinematige vervanging. Deze stukken worden niet meteen na digitalisering vernietigd, maar meestal blijven ze niet langer dan 6 weken bewaard. Dat hoeft ook niet, want het nieuwe origineel is immers het digitale exemplaar. En omdat er maar één origineel kan zijn, wordt het oude origineel dus vernietigd. De 6 weken zijn om te waarborgen dat als er tijdens de digitalisering toch iets niet goed is gegaan, het nog hersteld kan worden. Niettemin kan een dispuut met alle gemak pas daarna ontstaan.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS