Dit is hoe elektronische handtekeningen in de praktijk werken

Meestal zetten we handtekeningen omdat we dat mooi vinden, of omdat het extra formeel staat (vanwege de bewijskracht, bijvoorbeeld). Het is nooit erg een handtekening te zetten als dat niet juridisch hoeft. Maar als het wél moet, zoals in dit vonnis, en je doet het niet goed, dan ga je keihard onderuit.

Eiser BridgeFund verstrekt online overbruggingsfinancieringen, en de gedaagde partij was bestuurder van een bedrijf die borg stond voor een financiering van dat bedrijf. Nadat het bedrijf omgevallen was (ontbonden en uitgeschreven KvK), sprak BridgeFund de gedaagde aan op terugbetaling. Die had een mooi verweer: er was nooit een rechtsgeldige borgstellingsovereenkomst tot stand gekomen.

De kern: de beweerdelijke overeenkomst was digitaal en met een elektronische handtekening aangegaan. Dat is spannend, want de wet eist een ondertekend geschrift (art. 7:859 BW). BridgeFund had gekozen voor een systeem van elektronische handtekeningen, wat op zich rechtsgeldig kan zijn als je kunt bewijzen dat een en ander voldoende betrouwbaar in elkaar zit.

Zoals ik recent blogde, de EIDAS Verordening regelt dit onderwerp en benoemt drie soorten elektronische handtekening:

  1. de gewone elektronische handtekening, zeg maar een plaatje van een krabbel;
  2. de geavanceerde elektronische handtekening, het enorme verhaal met grote priemgetallen en certificaten waar de naam in staat die erbij zou horen;
  3. de gekwalificeerde elektronische handtekening, de geavanceerde maar dan is dat certificaat met de naam uitgegeven door een onafhankelijke instantie die instaat voor de juistheid.
De bewijslast welke vorm van tekenen is gebruikt en waarom dit voldoende betrouwbaar is, ligt bij de partij die zich op de handtekening beroept – BridgeFund dus. Als wederpartij hoef je (trouwens ook bij ‘natte’ handtekeningen) niet meer te doen dan te stellen dat het niet de jouwe is, of geen echte handtekening.

Ik laat BridgeFund het even uitleggen. Eerst volgt de aanvraagfase, waarin contact is met de klant (de rechter noemt dit een ‘salespraatje’). Daarna gaat men over tot de contractfase:

Over die fase, waaronder die van ondertekening van het contract, heeft BridgeFund verklaard dat dit proces is uitbesteed aan het gespecialiseerde bedrijf Stiply. Stiply stuurde een code naar het door de klant opgegeven e-mailadres. (…) Met die code kon toegang worden verkregen tot de digitale omgeving waarbinnen de betreffende documenten, in dit geval de overeenkomst van borgtocht, via een touchscreen getekend konden worden. (…) Daarbij komt dat [gedaagde01] onbetwist heeft aangevoerd dat het zakelijke e-mailadres waarnaar de code is verstuurd, niet exclusief voor [gedaagde01] toegankelijk was, maar – wegens zijn regelmatige afwezigheid – ook door andere medewerkers van de vennootschappen werd gebruikt die onder meer administratieve en dagelijkse zaken voor de vennootschappen regelden.
Het probleem met ondertekenen op afstand is dat je hooguit kunt vaststellen dat iemand met toegang tot een zekere mailbox de handtekening zette, maar niet welke persoon dat precies was. Zeker niet als daarvoor zo’n gedeelde mailbox wordt gebruikt. En nee, dat kun je niet weten als BridgeFund maar dat is dus juridisch jouw probleem.

Bij de zitting kwam BridgeFund nog met het argument van een digitaal certificaat, maar dat was rijkelijk laat en bovendien niet onderbouwd (met het daadwerkelijke certificaat, bijvoorbeeld). Daar gaat de rechter dus aan voorbij. En het gevolg is dat niet bewezen is dat er een handtekening is gezet, zodat de overeenkomst inderdaad nietig is en de man formeel geen borg heeft gesteld.

Arnoud

 

 

25 reacties

  1. “Bij de zitting kwam BridgeFund nog met het argument van een digitaal certificaat, maar dat was rijkelijk laat en bovendien niet onderbouwd”. Maar wat dan nog? Wat zou het certificaat uitmaken? Dat bewijst nog steeds niet wie het mailtje heeft gebruikt. En hoe doe je het dan wel goed? Je ID uploaden of NFC chip scannen? 2FA/MFA? Getuigenverklaringen?

  2. Maar er heeft toch iemand die e-mail gelezen en een handtekening gezet? Ik neem aan dat dit een bedrijf/werknemer verband betreft. Heeft die werknemer dan niet valsheid in geschrifte gepleegd? En is dat bedrijf dan niet als werkgever daar gewoon voor aansprakelijk?

    Nu is e-mail theoretisch onveilig en zou een ieder die e-mail kunnen hebben gelezen. Dus zou ook heel iemand anders die handtekening kunnen hebben gezet. Maar dat lijkt mij onwaarschijnlijk. Ik neem aan dat Stiply ook wel IP logs bijhoudt waar bepaalde aannames op gebaseerd kunnen worden.

    1. Het bedrijf ís al aansprakelijk voor terugbetaling, want het is de wederpartij bij de lening. Het bedrijf bestaat echter niet meer, dus kan je het niet aanspreken. Dat vindt BridgeFund vervelend, dus willen ze borgstelling van de directeur als privépersoon. Maar de directeur als privépersoon is (in beginsel) dan weer niet aansprakelijk voor eventuele schade die het bedrijf moet vergoeden.

  3. Toch vreemd. De gedaagde heeft zich er knap uitgepraat, maar het kan natuurlijk niet de bedoeling zijn (niet van de partijen, en maatschappelijk gezien ook niet) dat je zo makkelijk onder een contract uitkomt.

    Had Bridgefund er zich op kunnen beroepen dat, gezien de organisatie van het bedrijf van gedaagde (waar gedaagde natuurlijk voor verantwoordelijk was), zij erop mochten vertrouwen dat, als het al niet door de gedaagde getekend was, dat het in ieder geval met zijn instemming namens hem getekend was?

    ‘Ik ben onvoorzichtig geweest met mijn mailbox, en ik had mijn werknemers niet onder controle en dat waren een stelletje vrijbuiters die van alles ondertekenden’ lijkt me toch echt voor risico van gedaagde te komen, of niet?

    1. Nou ja, “knap uitgepraat” gaat er van uit dat het wel daadwerkelijk door die gedaagde gedaan is, maar dat weten we dus niet zeker. Een gedeelde mailbox gebruiken is gebruikelijk binnen bedrijven en dus niet onvoorzichtig. Misschien heeft de gedaagde wel helemaal gelijk en heeft een administratief medewerker die handtekening gezet tussen het betalen van de rekening van de glazenwasser en het bestellen van drie halfjes bruin bij de Jumbo door.

      1. Nou ja, “knap uitgepraat” gaat er van uit dat het wel daadwerkelijk door die gedaagde gedaan is, maar dat weten we dus niet zeker. Een gedeelde mailbox gebruiken is gebruikelijk binnen bedrijven en dus niet onvoorzichtig.

        Wel als je als bestuurder in onderhandeling bent over een borgstelling. Dan valt je te verwijten als bestuurder dat je geen apart emailadres voor de bestuurder hebt aangemaakt en/of niet een prive-emailadres van de bestuurder hebt gebruikt.

        Mooie boel: je geeft zelf als ene contractpartij het emailadres op dat de andere contractpartij moet gebruikten, en als die andere contractpartij dat doet en er komt gedoe van zeg je ‘haha gefopt, het was niet mijn emailadres’

        Misschien heeft de gedaagde wel helemaal gelijk en heeft een administratief medewerker die handtekening gezet tussen het betalen van de rekening van de glazenwasser en het bestellen van drie halfjes bruin bij de Jumbo door.

        Maar ook dan is het de tekortkoming van gedaagde als bestuurder dat hij zo’n flutte organisatie had dat dat kon gebeuren.

        1. Wel als je als bestuurder in onderhandeling bent over een borgstelling. Dan valt je te verwijten als bestuurder dat je geen apart emailadres voor de bestuurder hebt aangemaakt en/of niet een prive-emailadres van de bestuurder hebt gebruikt.

          Dat ben ik niet met je eens. Het is niet raar dat e-mail van een directeur via de mailbox van een secretaresse of secretariaat verloopt. Ik zie niet in waarom je voor zakelijke correspondentie met de ene leverancier of afnemer het wel via een secretariaat laat verlopen, en met een andere niet. Het was hier gewoon sprake van een zakelijke relatie. Sterker nog, je zou kunnen zeggen dat e-mails die naar een functie moeten juist niet naar een prive-emailadres moeten, zodat het werk gecontinueerd kan worden door iemand anders als degene die die funtie vervult weg gaat. Je mailt tenslotte ook naar “info@”,”afspraken@” en “privacy@” e.d. als je contact hebt met een bedrijf.

          Mooie boel: je geeft zelf als ene contractpartij het emailadres op dat de andere contractpartij moet gebruikten, en als die andere contractpartij dat doet en er komt gedoe van zeg je ‘haha gefopt, het was niet mijn emailadres’

          Er is niets mis met contact hebben via een of ander emailadres. Het valt Bridgefund te verwijten dat ze op basis van een emailtje krediet hebben gegeven. Er was duidelijk geen goede identiteitscontrole en die had er wel moeten zijn voordat ze geld gingen overmaken. Als je volledig vertrouwen hebt in wat je leest in een email dan ken ik nog wel een betrouwbare Nigeriaanse prins met een interessant aanbod trouwens.

          Maar ook dan is het de tekortkoming van gedaagde als bestuurder dat hij zo’n flutte organisatie had dat dat kon gebeuren.

          Misschien wel, maar aan de andere kant is het volkomen normaal vooral bij MKB-organisaties dat mensen meer dingen doen dan wat hun eigenlijke functie is. Het is niet ongebruikelijk dat in de praktijk van alledag een secretaresse (m/v/x) de dagelijke boel draaiende houdt. En bovendien, als het al een terkortkoming is dan toch zeker niet een die zo zwaarwegend of ernstig verwijtbaar is dat het voldoende is om zo iemand persoonlijk aansprakelijk te stellen voor de schulden van een bedrijf. Daar is echt wel meer voor nodig.

          Ik zeg niet dat deze gedaagde met zekerheid volledig eerlijk en onschuldig is. Ik zeg wel dat a) schuld of opzet erg lastig te bewijzen is, b) het niet onredelijk is dat er een menselijke vergissing aan ten grondslag ligt die niet zo ernstig verwijtbaar is dat de gedaagde persoonlijk aansprakelijk is, en c) dat Bridgefund op een fatsoenlijke manier de identiteit had moeten vaststellen voordat ze krediet verstrekte.

          1. Dat ben ik niet met je eens. Het is niet raar dat e-mail van een directeur via de mailbox van een secretaresse of secretariaat verloopt. Ik zie niet in waarom je voor zakelijke correspondentie met de ene leverancier of afnemer het wel via een secretariaat laat verlopen, en met een andere niet. Het was hier gewoon sprake van een zakelijke relatie.

            Nou nee dus. Het ging hier wel degelijk om de bestuurder PERSOONLIJK. Dan is het juist wel raar (of tenminste: eigen schuld dikke bult) als je het via een algemeen emailadres of via een secretaresse laat lopen.

            Er was duidelijk geen goede identiteitscontrole en die had er wel moeten zijn voordat ze geld gingen overmaken.

            Dat heb ik dan gemist. Ik was ervan uitgegaan dat er in het voortraject wel een identiteitscontrole was geweest, en dat alleen de ondertekening door de juiste persoon betwist werd.

            iemand persoonlijk aansprakelijk te stellen.

            Zo is het niet: Die persoon had zich vrijwillig persoonlijk borggesteld. Dan moet je niet klagen als iemand dat komt opeisen. Dat is niet ‘persoonlijk aansprakelijk stellen’ maar ‘aanspreken op vrijwillig aangegane verplichtingen’.

            1. Of het nu wel of niet persoonlijk is, is nu juist het punt. De gedaagde zegt dat de overeenkomst zakelijk was. Dat die borgstelling verhaald kon worden op de persoon staat inderdaad ergens in de overeenkomst, maar gedaagde zegt dus dat die niet rechtsgeldig tot stand is gekomen. Het betrof een zakelijk krediet aan het bedrijf, met een borgstelling waarvan Bridgefund dus zegt dat die persoonlijk was, wat gedaagde dus betwist. Die borgstelling zat in het stapeltje pdf’jes dat met dat zakelijk krediet meekwam. In het vonnis staat “bijlage 1 van de leningsovereenkomst”, echt expliciet was het dus niet, en het was zeker niet een losse overeenkomst die apart is ondertekend door de gedaagde prive.

              Maar goed. Hierover valt nog te twisten. Wat echter duidelijk is, is dat er geen fysiek contact is geweest, dat er ook geen fysiek paspoort of id-bewijs is gezien, dat er een verkoopgesprek heeft plaatsgevonden per telefoon met iemand anders dan de gedaagde, dat de mailbox door meerdere mensen gebruikt werd waaronder door mensen die zich met de dagelijke gang van zaken bezig hielden (dit is ook onbetwist door Bridgefund) en dat de overeenkomst zonder echte handtekening is gemaakt.

              Ik blijf er dus bij dat Bridgefund beter en zorgvuldiger had moeten zijn. Dat die borgstelling ergens in de bijlage vermeld stond is wel duidelijk, maar voordat je dan iemand als prive-persoon voor tienduizenden euro’s aansprakelijk stelt had er veel zorgvuldiger gehandeld moeten worden. In elk geval kan je niet zomaar zeggen dat de gedaagde bewust op persoonlijke titel een verplichting is aangegaan. Daarvoor is een paragraaf in een bijlage van een document dat je emailt naar een zakelijke groepsmailbox van iemand die nooit gezien hebt volgens mij gewoon te weinig.

              1. Ik heb (voor de verandering) het vonnis eens een keer niet gelezen. Als het zo is dat het in het begin van de discussie over een zakelijk krediet ging, en dat die persoonlijke borgstelling er op het laatste moment ingesneaked is door de andere partij, dan heb je wel een punt.

                Maar die indruk kreeg ik niet uit Arnoud’s samenvatting.

                Blijft nog wel staan dat een bestuurder die gedoogt dat een of andere onderling voor een zakelijk krediet kan tekenen, en dat ook niet controleert en herroept, ook wel iets uit te leggen heeft. Die had zijn zaakjes niet op orde.

        2. De vraag die ik stel is

          Is het mogelijk dat een derde, buiten medeweten van de bestuurder, het krediet heeft kunnen regelen en de borgstelling heeft kunnen ondertekenen?
          Mijn antwoord is dat zoiets triviaal is voor ieder van de medewerkers die toegang heeft tot het betreffende email account. En als dit achter de rug van de bestuurder is gedaan valt de bodem uit het argument van de zorgplicht.

          Dat de werkwijze van Bridgefund dergelijke fraude mogelijk maakt is een terechte reden om deze borgstelling nietig te verklaren.

          1. Ik ging in het begin uit van een scenario waarin de bestuurder een borgstelling wilde, waarbij alleen de ondertekening van de documenten een beetje twijfelachtig was.

            Door de discussie zie ik in dat er ook een ander scenario mogelijk is: van het bedrijf dat een zakelijke lening wilde en de borgstelling was een onverwachte bijkomende eis in een bijlage die de bestuurder niet wilde.

            In het tweede scenario hebben de meeste commentaren wel een punt.

    2. Daar valt wat voor te zeggen, alleen heeft de wetgever er hier voor gekozen de strenge eis van een ondertekend contract te stellen als voorwaarde om een overeenkomst aan te mogen nemen. Ik denk vanwege het financiële risico bij al te lichtvaardig een borgstelling aangaan. Dus dan mag je van een professionele partij als Bridgefund verwachten dat die een proces inrichten waarmee zorgvuldig contracten worden getekend en pas daarna de borgstelling wordt geaccepteerd.

      Ik zie wat je zegt over onvoorzichtig maar is dat niet iets dat moet opvallen bij een professionele wederpartij?

      1. Ik kijk eens naar de website van Bridgefund: “Bankvrije financiering tot €250.000”, “Binnen 1 dag op je rekening”, “Zonder businessplan of jaarcijfers”.

        Dat er bij een dergelijke (on-line) werkwijze wel eens een juridisch detail over het hoofd gezien wordt is zo goed als onvermijdelijk.

      2. Ik kijk eens naar de website van Bridgefund: “Bankvrije financiering tot €250.000”, “Binnen 1 dag op je rekening”, “Zonder businessplan of jaarcijfers”.

        Dat er bij een dergelijke (on-line) werkwijze wel eens een juridisch detail over het hoofd gezien wordt is zo goed als onvermijdelijk.

          1. OK, daar heb je een punt. Maar dan counter ik weer met dat de gedaagde dan misschien wel de borgstelling heeft kunnen laten verdwijnen, maar met zijn argumenten het risico op bestuurdersaansprakelijkheid aanmerkelijk heeft verhoogd (en ik weet niet wat duurder gaat zijn, maar ik heb wel een vermoeden).

            [en ik weet zelfs niet of je gelijk hebt. Misschien handelde hij dan wel als prive-persoon, maar gezien de omstandigheden/kennis die je van hem mocht verwachten is een verhoogde zorgplicht voor Bridgefund nog lang geen uitgemaakte zaak. We moeten de bestuurder nu ook niet afschilderen als katvanger.]

  4. Voor een expert is het mogelijk bij een natte handtekening te bewijzen dat 2 handtekeningen NIET door dezelfde persoon zijn gezet. Is het ook mogelijk om te bewijzen dat 2 handtekening WEL door dezelfde persoon zijn gezet, vooral als die persoon een waardeloos handschrift heeft en/of ervoor zorgt dat zijn handtekening nooit identiek zijn.

  5. was bestuurder van een bedrijf die borg stond

    Ik wou bijna al weer gaan taalneuzelen dat het “het bedrijf, dat” is, en dat deze taalregel jammerlijk teloor aan het gaan is zelfs bij grotendeels kundige schrijvers, maar wat blijkt?: het is hier goed.

    En belangrijk, want niet het bedrijf (onzijdig) stond borg, maar de bestuurder (grammaticaal mannelijk; zelfs al zou het een vrouw zijn). Dit denk ik op te maken uit het verdere verhaal.

    Dus: applaus voor Arnoud.

  6. Zou de volgende stap dan moeten zijn dat BridgeFund aangifte doet van (vermeende) fraude door de bestuurder? En afhankelijk van wat er dan uit een strafrechtelijk onderzoek komt, opnieuw kijken of ze geld terug kunnen krijgen?

    Het lijkt mij wel “vreemd” dat je als bedrijf “onverwacht” een bak geld op je rekening krijgt en niet even contact opneemt met de verzender.

    1. Welke fraude zou dat dan zijn?

      Het bedrijf had onbetwist een contract tot geldlening met Bridgefund. Dus dat geld is verwacht en legitiem ontvangen, daar is verder geen discussie over. De vraag gaat erom of men de directeur in privé mag aanspreken nu het geld én het bedrijf weg zijn. Daarvoor is cruciaal of deze een schriftelijk stuk heeft getekend, dat is de eis bij borgstelling.

      De borgstelling zat als bijlage bij het geldleningscontract, waarbij geen identiteitscontrole is gedaan anders dan “het e-mailadres werkt” en “de naam van de directeur zit in het mailadres”. Voor een zakelijk contract is zoiets goed genoeg, je mag er dan vanuit gaan dat iemand in het bedrijf kennelijk geautoriseerd was om te tekenen. Ook al is dat de secretaresse – de wet (art. 3:35 BW) zegt dat zoiets voor rekening van het bedrijf komt.

      Bij het specifieke geval dat de directeur ook vanuit privé moet tekenen vind ik dat dat wel even anders ligt. De secretaresse of collega-directeur mag dan misschien tekenen namens het bedrijf, maar zeker niet voor die ene directeur privé. Ik zie wel hoe ik een stapel documenten zou tekenen als mijn secretaresse me die voorlegt, en hoe ik dan mis dat handtekening 3 op pagina 35 ineens voor mijn collega Steven in privé was. Het systeem zegt daarna “alles is getekend” en Bridgefund loopt dat niet na met bv. een kopie identiteitsbewijs of het wel echt de handtekening van Steven was. Ik vind dat dit rammelt in de specifieke omstandigheid van de privé-meetekeneis.

  7. Hoe zou de zaak verschillend zijn geweest als er wel een fysieke handtekening was geplaatst? Zeg maar, BridgeFund stuurt een papieren contract naar het bedrijf t.a.v. Dhr/Mw/Mx. Bestuurder (eventueel nog met ‘VERTROUWELIJK’ erbij) en krijgt het terug met een – inmiddels opgedroogde – handtekening eronder.

    Later, bij het innen van de borgsom, zegt de bestuurder “Ja maar ho even, dat is mijn handtekening niet, er hebben wel meerdere mensen bij het bedrijf toegang tot onze brievenbus.” Is het dan ook aan BridgeFund om op de één of andere manier te bewijzen dat de handtekening wel degelijk echt is?

    1. Goeie vraag. Ja, de bewijslast dat een handtekening echt is berust bij de partij die zich erop beroept (art. 159 lid 2 Rechtsvordering):

      Een onderhandse akte waarvan de ondertekening door de partij, tegen welke zij dwingend bewijs zou leveren, stellig wordt ontkend, levert geen bewijs op, zolang niet bewezen is van wie de ondertekening afkomstig is. Is degeen tegen wie de akte wordt ingeroepen een ander dan hij die haar ondertekend zou hebben, dan kan worden volstaan met de verklaring, dat men de echtheid van de ondertekening niet erkent.

      Dus de directeur zegt “nee dat is nadrukkelijk en stellig NIET mijn handtekening” en mag weer gaan zitten. Bridgefund moet dan bewijzen dat het wel de zijne is. Een gebruikelijke manier is dat je dan aantoont een identiteitsbewijs van die persoon te hebben gezien, of dat je een enrollment van die persoon hebt gedaan met een handtekening die onder toezicht gezet is. Ik moest ooit bij de bank drie keer mijn handtekening zetten op een stuk papier dat daarna de kluis in ging, en een handtekening op een cheque (zo’n ouderwets ding ja) werd ooit afgekeurd omdat deze niet genoeg leek op die drie specimen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.