DeGiro mocht een elektronische handtekening van een klant wegens een foutmelding over de geldigheid weigeren, las ik bij Security.nl. De klant had het beleggingsplatform de opdracht gegeven om zijn beleggingen naar een andere broker over te boeken. Alleen werd deze afgewezen omdat er wat mis zou zijn met de elektronische handtekening. Tijd om hier eens in te duiken, want de term EIDAS doet nog steeds sommigen duizelen.
De uitspraak (van het Kifid) gaat over de vraag of een instelling verplicht is om een gekwalificeerde elektronische handtekening te accepteren. Dat ging hier mis, want de handtekening vereiste een certificaat van een instantie die niet in de lijst bij het Kifid stond (klik voor groot):
De handtekening was dus wel gezet conform de eisen van de zogeheten gekwalificeerde handtekening. De EIDAS Verordening regelt dit onderwerp en benoemt drie soorten elektronische handtekening:
- de gewone elektronische handtekening, zeg maar een plaatje van een krabbel;
- de geavanceerde elektronische handtekening, het enorme verhaal met grote priemgetallen en certificaten waar de naam in staat die erbij zou horen;
- de gekwalificeerde elektronische handtekening, de geavanceerde maar dan is dat certificaat met de naam uitgegeven door een onafhankelijke instantie die instaat voor de juistheid.
Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.“Dit is elektronisch en dus niet rechtsgeldig” of “een van de regels over gekwalificeerde handtekeningen is niet gevolgd” is dus geen argument. Je hebt meer nodig, zoals een concreet vermoeden dat de handtekening nep is of een technische fout waardoor de validatie ter discussie komt te staan.
Je hóeft dus niet alle moeite te nemen die bij de gekwalificeerde handtekening hoort. Daar staat tegenover dat je dan een sterker argument hebt: bij deze categorie is nadrukkelijk in de wet vermeld dat deze dient te worden behandeld net zoals de ouderwetse, natte handtekening.
Het gevolg is dat je als organisatie dus niet zomaar mag weigeren een gekwalificeerde handtekening te accepteren:
In artikel 25 lid 1 van de eIDAS-Verordening is bepaald dat het rechtsgevolg van een elektronische handtekening niet mag worden ontkend louter op grond van het feit dat de handtekening elektronisch is. Meer specifiek voor de gekwalificeerde elektronische handtekening is in artikel 25 lid 2 bepaald dat dit type handtekening hetzelfde rechtsgevolg heeft als een handgeschreven handtekening. [Oftewel deze heeft] altijd hetzelfde rechtsgevolg als een handgeschreven handtekening.Je mag als private partij dit rechtsgevolg niet wegnemen door in je algemene voorwaarden te zeggen “alleen natte handtekeningen”. Dat is wel een interessant precedent dat het Kifid hier schept, want het opent de route tot vele digitale formulieren.
Voor deze specifieke consument ging het echter toch mis, vanwege die foutmelding.
Bij dupliek heeft DeGiro namelijk aangegeven dat zij een foutmelding kreeg (“signature validity is unknown”) bij het openen van de elektronische handtekening van de consument. DeGiro heeft dit onderbouwd door een afbeelding van deze foutmelding over te leggen (zie 2.4). De consument is in de gelegenheid gesteld om hierop in te gaan. Uit de gegevens die hij vervolgens heeft ingebracht, blijkt dat zijn handtekening van 22 oktober 2022 valide was (“la firma es válida”). Waarom de validiteit van de handtekening door DeGiro toch niet kon worden vastgesteld (en of de oorzaak hiervan bij de consument en/of bij DeGiro ligt), is in deze klachtprocedure niet duidelijk geworden. Wat wel duidelijk is, is dát de validiteit van de handtekening niet door DeGiro kon worden vastgesteld.Dit voelt wel een beetje makkelijk. Weliswaar regelt de EIDAS niet hoe je om moet gaan met een niet-validerende handtekening, maar het systeem van de gekwalificeerde elektronische handtekening is opgezet zodat dit eigenlijk niet zou moeten gebeuren. De EU heeft een uitgebreid overzicht van vertrouwde leveranciers van certificaten. Als de uitgevende instantie van de klant daar op staat, dan zie ik niet waarom de foutmelding bij DeGiro consequenties voor de consument moet hebben.
Eerlijk gezegd doet het me wat knullig aan: het voelt niet of DeGiro een systeem heeft voor het verwerken van elektronische handtekeningen, maar gewoon het knopje in Adobe aanklikte en toen hijdoetutniet zei.
Arnoud
Stel dat de uitgever daadwerkelijk niet op de lijst van vertrouwde leveranciers stond (bv een self-signed certificate). Dan is er misschien geen sprake meer van een “gekwalificeerde elektronische handtekening” maar toch nog steeds van een “geavanceerde elektronische handtekening”, die óók niet zomaar geweigerd mag worden?
Een “gekwalificeerde elektronische handtekening” is inderdaad een “geavanceerde elektronische handtekening” plus daarbij een certificaat van een vertrouwde partij. Dat het een geavanceerde elektronische handtekening is, kan geconcludeerd worden uit de opmerking in het screenshot dat “the document has not been modified since this signature was applied.”
Ik denk dat als de consument dat argument had aangedragen en niet had benadrukt dat het toch een gekwalificeerde handtekening was, hij een grotere kans had gehad om gelijk te krijgen.
Dat het een elektronische handtekening is is niet genoeg. De “derde partij” is heel belangrijk. Het is namelijk makkelijk genoeg om zelf voor derde partij te spelen. Alleen als de derde partij ook werkelijk betrouwbaar is dan heeft de handtekening enige validiteit.
De foutmelding geeft aan dat het probleem is dat de partij onbekend is. Dit kan zijn omdat de lijst met vertrouwde partijen (te) oud is, de “vertrouwde” partij niet betrouwbaar genoeg is (bijv. alleen een email adres met een naam is genoeg) – zie ook diginotar, of omdat de vertrouwde partij niet bekend is als vertrouwde partij.
Dat is nou juist het hele punt. Als het certificaat gebruikt in de handtekening correct de juiste naam bevat en is getekend door een vertrouwde partij, dan is het een type 3 “gekwalificeerde elektronische handtekening”.
Voor type 2 “de geavanceerde elektronische handtekening” heb je alleen een certificaat nodig met de juiste naam. Of hij getekend is door een vertrouwde partij is daarbij niet belangrijk.
De hele zaak is dus een farce; zonder aan te tonen dat de naam in het certificaat onjuist is, had DeGiro nooit de handtekening mogen afwijzen. Als het certificaat getekend is door een onvertrouwde partij (bijvoorbeeld self-signed) dan zal hij hooguit vervallen van type 3 naar type 2. Niet zomaar ineens ongeldig worden.
Dat wij als techneuten zowel type 1 als type 2 handtekeningen waardeloos vinden, doet niet af aan het feit dat de wet dat anders voorschrijft.
Ik ben altijd op me hoede met kfid als ik iets lees erover is het altijd de financiële instelling die de geschillen wint.
Een financiële instelling heeft juridische specialisten in dienst. Als er een probleem is tussen een instelling en een klant zullen die specialisten een inschatting maken hoe het KFID zal oordelen. Als de kans groot is dat de klant daar gaat winnen zullen ze het niet eens zo ver laten komen. Dan krijgt de klant een brief dat ze voor deze keer coulance hebben en de schade zullen vergoeden. De klant heeft die kennis niet dus die gaat ook naar het KFID met een zaak die ze gegarandeerd gaan verliezen.
Ik hoop altijd dat er meer mensen zijn met principes en niet direct schikken maar gewoon voor een uitspraak gaan.
Je gaat er blijkbaar vanuit dat het allemaal ter kwader trouw is gegaan? Van waar het negativisme?
Waarom een principe uitspraak als je al gelijk hebt gekregen en de schade vergoed is? De enige opmerking die ik bij Patrick zijn verhaal zou plaatsen is dat er ook gewoon gezegd wordt “u heeft gelijk wij vergoeden uw schade” als dat zo is.
Mijn opmerking zag niet specifiek op deze casus maar was een reactie op een reactie. Erkenning krijgen zou een factor kunnen zijn om te bepalen of ik een uitspraak zou willen, maar als men de klant uit coulance tegemoetkomt, kan die afweging voor mij persoonlijk anders uitvallen.
Kifid, persoonlijk heb ik altijd het gevoel dat die mensen daar tot hun nek in de aandelen van de banken zitten.
Wat Patrick schrijft klopt ook wel, maar er komen soms uitspraken voorbij waarvan ik echt wantrouwend wordt.
Want was er laatst niet een uitspraak die banken toestond om een wet te omzeilen? Kon het voorbeeld helaas niet zo snel vinden tussen alle andere klachten over het Kifid…
Het gaat hier om het overdragen van de portfolio van de klant aan een andere firma. Er is bij zo’n transactie een reëel gevaar voor fraude (en het kan makkelijk om redelijk grote waarden gaan). Daarom is het niet onredelijk om bij twijfel wat extra werk te doen. Het “windows” dialoog is waarschijnlijk pas ter sprake gekomen toen de zaak buiten het reguliere process kwam. (Men ging nog eens kijken wat er aan de hand was).
Als een handtekening zegt dat het een gekwalificeerde handtekening is dan betekend dat niet automatisch dat dit waar is. Verder is de klacht/uitspraak niet al te helder aan de details (het is niet precies duidelijk wat er verkeerd ging of waarom) – ik neem aan dat als er meerdere dit soort klachten komen dit wellicht een indicatie is van een slecht werkend systeem, maar op incidentele basis lijkt het vooral een incident dat “redelijk” opgelost moet worden. Een scan van een handgeschreven krabbel is wellicht de makkelijkste oplossing voor de klant (veel sneller dan technisch proberen uit te zoeken waar het fout ging – in het beste geval is dit lastig, met een ondeskundige klant in het Spaans is dit alleen nog maar lastiger).
Ben het helemaal met je eens. Tegelijkertijd is het ergens wel diep treurig dat een willekeurige krabbel op een stuk papier dan makkelijker tot voortgang in het proces leidt dan de installatie van een root certificaat gevolgd door een keurige evaluatie van certificaten samengesteld door mensen die verstand hebben van authenticatie en identificatie.
Dat zouden we eigenlijk moeten oplossen door de eisen die we stellen aan een natte handtekening te verhogen, niet door een digitale handtekening onbetrouwbaarder te maken. Bij voorbeeld door dat soort grote transacties op dezelfde manier af te handelen als de verkoop voor een huis, dus tekenen via een notaris na controle van een fysiek ID.
Het is mij ook totaal onduidelijk waar de fout zit, maar kennelijk staat het kifid het toe dat een aangesloten bank een rammelend systeem heeft voor het verifiëren van gekwalificeerde handtekeningen. Bij een goed werkend systeem had DeGiro moeten kunnen aangeven waar in de certificaatketen de validatie stokte, of welk root-certificaat niet erkend werd.