DeGiro mocht een elektronische handtekening van een klant wegens een foutmelding over de geldigheid weigeren, las ik bij Security.nl. De klant had het beleggingsplatform de opdracht gegeven om zijn beleggingen naar een andere broker over te boeken. Alleen werd deze afgewezen omdat er wat mis zou zijn met de elektronische handtekening. Tijd om hier eens in te duiken, want de term EIDAS doet nog steeds sommigen duizelen.
De uitspraak (van het Kifid) gaat over de vraag of een instelling verplicht is om een gekwalificeerde elektronische handtekening te accepteren. Dat ging hier mis, want de handtekening vereiste een certificaat van een instantie die niet in de lijst bij het Kifid stond (klik voor groot):
De handtekening was dus wel gezet conform de eisen van de zogeheten gekwalificeerde handtekening. De EIDAS Verordening regelt dit onderwerp en benoemt drie soorten elektronische handtekening:
- de gewone elektronische handtekening, zeg maar een plaatje van een krabbel;
- de geavanceerde elektronische handtekening, het enorme verhaal met grote priemgetallen en certificaten waar de naam in staat die erbij zou horen;
- de gekwalificeerde elektronische handtekening, de geavanceerde maar dan is dat certificaat met de naam uitgegeven door een onafhankelijke instantie die instaat voor de juistheid.
Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.“Dit is elektronisch en dus niet rechtsgeldig” of “een van de regels over gekwalificeerde handtekeningen is niet gevolgd” is dus geen argument. Je hebt meer nodig, zoals een concreet vermoeden dat de handtekening nep is of een technische fout waardoor de validatie ter discussie komt te staan.
Je hóeft dus niet alle moeite te nemen die bij de gekwalificeerde handtekening hoort. Daar staat tegenover dat je dan een sterker argument hebt: bij deze categorie is nadrukkelijk in de wet vermeld dat deze dient te worden behandeld net zoals de ouderwetse, natte handtekening.
Het gevolg is dat je als organisatie dus niet zomaar mag weigeren een gekwalificeerde handtekening te accepteren:
In artikel 25 lid 1 van de eIDAS-Verordening is bepaald dat het rechtsgevolg van een elektronische handtekening niet mag worden ontkend louter op grond van het feit dat de handtekening elektronisch is. Meer specifiek voor de gekwalificeerde elektronische handtekening is in artikel 25 lid 2 bepaald dat dit type handtekening hetzelfde rechtsgevolg heeft als een handgeschreven handtekening. [Oftewel deze heeft] altijd hetzelfde rechtsgevolg als een handgeschreven handtekening.Je mag als private partij dit rechtsgevolg niet wegnemen door in je algemene voorwaarden te zeggen “alleen natte handtekeningen”. Dat is wel een interessant precedent dat het Kifid hier schept, want het opent de route tot vele digitale formulieren.
Voor deze specifieke consument ging het echter toch mis, vanwege die foutmelding.
Bij dupliek heeft DeGiro namelijk aangegeven dat zij een foutmelding kreeg (“signature validity is unknown”) bij het openen van de elektronische handtekening van de consument. DeGiro heeft dit onderbouwd door een afbeelding van deze foutmelding over te leggen (zie 2.4). De consument is in de gelegenheid gesteld om hierop in te gaan. Uit de gegevens die hij vervolgens heeft ingebracht, blijkt dat zijn handtekening van 22 oktober 2022 valide was (“la firma es válida”). Waarom de validiteit van de handtekening door DeGiro toch niet kon worden vastgesteld (en of de oorzaak hiervan bij de consument en/of bij DeGiro ligt), is in deze klachtprocedure niet duidelijk geworden. Wat wel duidelijk is, is dát de validiteit van de handtekening niet door DeGiro kon worden vastgesteld.Dit voelt wel een beetje makkelijk. Weliswaar regelt de EIDAS niet hoe je om moet gaan met een niet-validerende handtekening, maar het systeem van de gekwalificeerde elektronische handtekening is opgezet zodat dit eigenlijk niet zou moeten gebeuren. De EU heeft een uitgebreid overzicht van vertrouwde leveranciers van certificaten. Als de uitgevende instantie van de klant daar op staat, dan zie ik niet waarom de foutmelding bij DeGiro consequenties voor de consument moet hebben.
Eerlijk gezegd doet het me wat knullig aan: het voelt niet of DeGiro een systeem heeft voor het verwerken van elektronische handtekeningen, maar gewoon het knopje in Adobe aanklikte en toen hijdoetutniet zei.
Arnoud