Hoe betekenisvol is een digitale handtekening onder een PDF?

| AE 10672 | Ondernemingsvrijheid | 14 reacties

Een lezer vroeg me:

Recent stuurde een zakenpartner me een contract om te tekenen via Digisign. In de mail van Digisign las ik “Deze e-mail bevat een veilige koppeling naar DocuSign. Deel deze e-mail, link of toegangscode niet met anderen. … Het is veilig en juridisch bindend.” Dat vind ik raar, als die link bij iemand anders komt dan kan hij in mijn naam tekenen. Hoe veilig is dat? Waarom is dit juridisch bindend?

Het komt inderdaad wat erg stellig over zo, met die tekst. Er zijn genoeg theoretische situaties te bedenken waarin hier misbruik van kan worden gemaakt, zonder dat je met zekerheid kunt vaststellen of het de beoogde contractspartner / tekenbevoegde persoon was die de digitale handtekening zette. Daarmee is formeel dus geen zekerheid dat de handtekening ‘echt’ is.

Echter, de wet is wat flexibeler. De regels over digitale handtekeningen kennen een zogeheten eenvoudige variant, waarbij het van de omstandigheden afhangt of een handtekening betrouwbaar genoeg is. Dat is waar men hier op meelift. Er is hier weinig authenticatie, maar het argument is dan dat er ook weinig nodig is gezien de situatie.

De situatie waarin je een tool als deze inzet, is immers dat je hebt onderhandeld en het eens bent geworden over een tekst. Je stuurt dan de finale tekst via Digisign naar je contractspartner en vraagt hem te tekenen. Dat is een formeel momentje en mag dus geen verrassing zijn. Ik vind het moeilijk om in die situatie een reëel scenario te bedenken waarin de handtekening wordt misbruikt.

Zo ongeveer het enige scenario is dat partij A er stiekem een rare clausule in stopt, en een collega bij partij B omkoopt om in de mailbox van A’s contractspartner de link te klikken en de handtekening te zetten. Dat kan, maar is achteraf op te sporen. Immers, die rare clausule zat nooit in de eerdere drafts en het is in onderhandelingen uitgesloten dat je zonder redline iets toevoegt en het dan een finale versie voor handtekening noemt. Daar zal dus altijd een luchtje aan kleven.

Het kan natuurlijk op zich wel dat iemand bij B in de mail zit en via de link de handtekening zet. Ik zou dat in principe toch echt het risico van B zien. Als je iemand je zaken laat waarnemen bij ziekte of vakantie, dan komen zijn acties voor jouw (bedrijf zijn) rekening. Dus nee, ik zie in de praktijk hier geen risico met die handtekening.

Arnoud

Deel dit artikel

  1. Vervolgvraag: waarom houden sommige advocaten, apothekers en hier en daar nog anderen. nog zo hardnekkig vast aan de fax ? Vaak vanwege de handtekening ? Is dat inderdaad een verkeerde risico inschatting, of zitten daar nog addertjes onder het gras? (ik zelf een fax printer met een heel lang verlengsnoer) ..

    • Bij een fax wordt een directe verbinding met de ontvanger opgezet en weet de verzender dus ook gegarandeerd dat het ‘bericht’ is aangekomen. Meestal komt er ook een bevestigingsbewijsje uit de fax rollen.

      Als je een E-mail stuurt dan hopt deze (mogelijk) via verschillende servers en filters al-dan-niet unencrypted naar de ontvangende partij toe. Zo lang je geen reply terugkrijgt van de ontvanger heb je geen enkel sluitend bewijs dat het bericht is aangekomen.

      Ik heb voor een bedrijf gewerkt dat VoIP oplossingen leverden en voor advocaten moest daar altijd een VoIP>Analoog convertertje bij voor de faxmachine. De rechtbank accepteerde niets anders dan de oude analoge fax. (dat is in ieder geval wat onze klanten ons vertelde)

  2. Bij Docusign (wat Digisign onder water gebruikt), wordt daarom ook een hoop metadata vast gelegd (fingerprint van de browser/pc, locatie gegevens, IP adres etc etc), zodat er zo veel mogelijk informatie wordt vast gelegd over de handtekening.

    Daarbij is het vaak dat beide partijen moeten tekenen, en de partij die verstuurd vaak zelf pas als laatste tekent. Na het tekenen door alle partijen wordt er nog een kopie naar iedereen gestuurd (meestal dus een paar dagen later), waarbij je dus nog altijd de mogelijkheid hebt om daarop te reageren.

    Ik vraag me echter af hoe je juridisch verder zou omgaan met een handtekening door iemand anders dan de geadresseerde. Je kiest er zelf voor iemand te machtigen tot je mailbox, is het dan niet een beetje “eigen risico” dat die tekent voor dingen die hij niet mocht tekenen? In de analoge praktijk bestaat ook de schijn van volmachtverlening, waarmee in sommige gevallen een onbevoegde vertegenwoordiging aan de wederpartij kan worden toegerekend. Hierbij gaat het normaal om 3 eisen (zie ook 3:61 BW): 1. De onderneming heeft zelf een verklaring of gedraging geuit waaruit je de vertegenwoordigingsbevoegdheid mocht afleiden; 2. Je hebt op grond van deze verklaring of gedraging aangenomen dat de handelende persoon bevoegd was om de overeenkomst te sluiten; 3. Je mocht op grond van alle gegeven omstandigheden ook terecht aannemen dat de handelende persoon bevoegd was om de overeenkomst te sluiten.

    Als je dus onderhandelt over een contract met een (bevoegde) directeur, constant hierover met hem mailt op zijn persoonlijke e-mailadres (dus niet de algemene info box ofzo), alleen naar hem persoonlijk een link stuurt om te tekenen en er vervolgens getekend wordt onder zijn naam, dan lijkt het me dat je er vanuit mag gaan dat alles in orde is. Je zou zelfs kunnen stellen dat als iemand dusdanige toegang heeft tot de mailbox van een directeur, dat er sprake is van een schijn volmacht.

    Mocht dat niet slagen, dan kan je altijd nog met behulp van 3:70 BW de gene die getekend heeft persoonlijk aansprakelijk stellen, mits je die weet te achterhalen.

    • Ik vraag me echter af hoe je juridisch verder zou omgaan met een handtekening door iemand anders dan de geadresseerde. Je kiest er zelf voor iemand te machtigen tot je mailbox, is het dan niet een beetje “eigen risico” dat die tekent voor dingen die hij niet mocht tekenen?

      Alleen als je bij dat machtigen je expliciet ervan bewust was dat je daarmee diegene de bevoegdheid geeft om digitale handtekeningen te doen in jouw naam. Als je niet bekend bent met die mogelijkheid, en iemand stuurt je zo’n link, dan is die machtiging helemaal niet ‘eigen risico’. Dan is het risico m.i. voor de verzender, want die had eerst moeten vaststellen of het genoemde e-mail adres wel ‘veilig’ was.

    • ‘Machtigen voor toegang tot je mailbox’. Dat is leuk en behapbaar, maar hoe zit het met al die andere partijen onderweg die je e-mail kunnen inzien? Mailserver beheerder verzendende partij, Spamfilterbedrijf verzendende partij, Hostingbedrijf spamfilterbeheerder verzendende partij, Internetprovider verzendende partij, Peering partner internetprovider verzende partij, Peering partner van peering partner van internetprovider , verzendende partij

      Verdubbel dat nog even aan de ontvangende partij, doe er een paar stappen bij en je hebt een goed beeld van wie er allemaal bij jouw ‘veilige’ E-mail kan.

      Tja, wettelijk gezien mag dat niet…

  3. Ik kan me dus wel een scenario voorstelen, waarbij ik een contract afsluit op naam van iemand anders. Het voorbeeld (frauduleus, zonder twijfel, maar te doen): Ik wil 20 laptops kopen op naam van en bedrijf waar ik niets mee te maken heb. Daarvoor zoek ik een relatief kleine leverancier, die maar al te graag op een stille maandagmorgen even snel €20.000 omzet scoort. Ik gebruik het KvK nummer van het bedrijf en een email-account dat ik hiervoor speciaal heb aangemaakt. Een paar visitekaartjes van het bedrijf, en dan het leuke verhaal, dat we een nieuw locatie openen en die dingen snel nodig hebben. “Het beste is, als je me het contract straks even per digisign stuurt, dan heb je de zekerheid, dat alles correct verloopt…” Zo gezegd, zo gedaan, het contract komt, ik teken -op naam van het bedrijf met de naam van iemand die tot tekenen een volmacht heeft- en stuur het terug. De laptops laat ik bij een katvanger leveren, pik ze daar op en weg ben ik, met de laptops en zonder een cent te betalen. Als ik niet betaal, landt men in eerste instantie bij het bedrijf, een “geldig conract” met een handtekening via digisign heb ik dus mijn leverancier krijgt zijn geld – niet!

    • De leverancier krijgt wel een handtekening op zijn orderbevestiging, alleen het is niet die van de klant maar van iemand die zich voordoet als de klant. De situatie is in wezen niet anders als wanneer er een persoon de winkel van de leverancier binnenstapt, en daar een orderbevestiging met pen ondertekent zonder dat de leverancier vraagt naar het identiteitsbewijs van de klant. De leverancier moet er wel altijd voor zorgen dat hij zeker weet wie hij tegenover zich heeft. De vraag ging over juridisch bindendheid. In jouw voorbeeld was het digitaal ondertekenen ook juridisch bindend, echter is een van de gebonden partij door list en bedrog niet te achterhalen. Deze manier van digitaal ondertekenen biedt dus geen bescherming tegen dit soort bedrog, net zoals een normale ondertekening (zonder controle van identiteit) dat ook niet doet. Een handtekening is leuk, maar alleen als je zeker (genoeg) bent van wie die handtekening is.

      Het bedrijf waarvan de naam gebruikt werd is natuurlijk niet gebonden want dat had hier part noch deel aan.

      • Er zijn bergen jurisprudentie over “vermeende” handtekeningen op een stuk papier en hoe te bewijzen dat partij A wel of niet ingestemd heeft met wat er door partij B op papier gezet is.

        Mijn stelling is dat je ook onder een bij Digisign getekend contract uit kunt, maar dat je daar wel een heel goed verhaal bij moet hebben over hoe jij nooit ingestemd kunt hebben met de ondertekende variant van het contract.

  4. Ik tekende al heel lang documenten (pdf’s) met een ingekopieerde handtekening, zeker als die getekend retour gestuurd worden per mail. Sinds een paar jaar kun je handtekingen opslaan in Foxit reader die met een wachtwoord beveiligd zijn. Zal wel niet deugen maar who cares.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS